Положение о персональных данных (ПДн)
Положение о персональных данных (ПДн) — это локальный нормативный акт, который обязаны иметь большинство организаций и ИП. Документ регулирует сбор, обработку, хранение и защиту информации о сотрудниках, клиентах и контрагентах. Требования к нему установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями на 2026 год). Отсутствие положения грозит штрафом до 50 000 ₽, а утечка данных — до 15 млн рублей или уголовной ответственностью. Ниже вы найдете полную структуру документа, порядок хранения ПДн, ответы на частые вопросы и готовый образец для скачивания.
Содержание
- Что такое положение о персональных данных и зачем оно нужно?
- Положение о защите персональных данных — что это и зачем нужно?
- Какие законы регулируют работу с персональными данными?
- Основные понятия: кто есть кто в сфере ПДн?
- Какие бывают персональные данные (категории ПДн)?
- Обязательно ли компании разрабатывать Положение о ПДн?
- Порядок разработки и утверждения Положения (пошаговая инструкция)
- Из каких разделов состоит Положение о ПДн (структура документа)?
- Положение о хранении персональных данных: сроки, правила и порядок уничтожения
- Как получить согласие на обработку ПДн?
- Как передавать персональные данные третьим лицам?
- Кто отвечает за обработку ПДн в организации?
- Штрафы за нарушения в работе с ПДн в 2026 году
- Что делать при утечке персональных данных (алгоритм действий)?
- Часто задаваемые вопросы (FAQ) по Положению о ПДн
- Полный образец положения о персональных данных: скачать бесплатно
Что такое положение о персональных данных и зачем оно нужно?
Положение о персональных данных (ПДн) — это внутренний документ организации, который устанавливает правила обработки и защиты персональных данных физических лиц в соответствии с 152-ФЗ.
Это регламент (Локальный нормативный акт или ЛНА), который объясняет:
какие данные собирает компания;
зачем они нужны (цели обработки);
как они хранятся и защищаются;
кто имеет к ним доступ;
как происходит уничтожение данных после достижения целей.
Положение обязательно для всех операторов ПДн, за исключением случаев, когда данные обрабатываются исключительно для заключения договора с физическим лицом или в личных и семейных нуждах (п. 2 ст. 22 152-ФЗ). На практике это означает, что если у вас есть хотя бы один сотрудник или один клиент — документ нужен.
Положение о защите персональных данных — что это и зачем нужно?
Положение о защите персональных данных — это локальный акт, который определяет организационные и технические меры по обеспечению безопасности ПДн при их обработке. Оно включает порядок предотвращения утечек, несанкционированного доступа, уничтожения или искажения данных.
Основные меры защиты по 152-ФЗ
| Тип мер | Примеры |
|---|---|
| Организационные | Назначение ответственного за ПДн, допуск по спискам, проведение инструктажей |
| Технические | Антивирусная защита, межсетевые экраны, шифрование данных, резервное копирование |
| Режимные | Пропускной режим в офис, хранение бумажных носителей в сейфах, контроль копирования |
Положение о защите персональных данных это документ, который должен быть у каждого оператора, обрабатывающего ПДн в информационных системах (ИСПДн). Оно разрабатывается на основе актов ФСТЭК России и ФСБ России. Без него проверка Роскомнадзора практически гарантированно выявит нарушение.
Какие законы регулируют работу с персональными данными?
Работа с персональными данными в России регулируется 152-ФЗ, Трудовым кодексом, КоАП РФ, УК РФ и подзаконными актами, включая Постановление Правительства № 1119.
Ключевые законы в сфере ПДн
| Закон / акт | Что регулирует |
|---|---|
| 152-ФЗ «О персональных данных» | Основные принципы, права субъектов, обязанности операторов |
| Трудовой кодекс РФ (ст. 85–90) | Особенности обработки данных сотрудников |
| КоАП РФ (ст. 13.11) | Административные штрафы за нарушения |
| УК РФ (ст. 137, 272) | Уголовная ответственность за незаконный сбор и утечку |
| Постановление Правительства № 1119 | Уровни защищенности ПДн в информационных системах |
| Приказ Роскомнадзора № 996 | Требования к уведомлению об обработке ПДн |
Все эти нормативные акты должны быть учтены при разработке положения о персональных данных в организации. В 2026 году особенно важно следить за поправками, ужесточающими ответственность за утечки.
Основные понятия: кто есть кто в сфере ПДн?
Ключевые субъекты — оператор ПДн (организация, обрабатывающая данные), субъект ПДн (физическое лицо, чьи данные обрабатываются), а также обработка, распространение и уничтожение ПДн.
Оператор ПДн — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных.
Субъект ПДн — физическое лицо, к которому относятся обрабатываемые персональные данные (сотрудник, клиент, контрагент).
Обработка ПДн — любое действие (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
Распространение ПДн — действия, направленные на раскрытие данных неопределенному кругу лиц.
Уничтожение ПДн — действия, после которых восстановить данные невозможно.
Понимание этих терминов необходимо для правильного составления положения о персональных данных в организации.
Какие бывают персональные данные (категории ПДн)?
Закон выделяет три категории персональных данных: общие ПДн (ФИО, адрес), специальные (раса, религия, здоровье) и биометрические (фото, отпечатки пальцев, голос).
Категории ПДн с примерами и особенностями обработки
| Категория | Что входит | Примеры | Особенности обработки |
|---|---|---|---|
| Общие | ФИО, паспорт, адрес, ИНН, СНИЛС, телефон, email | Иванов И.И., серия 1234 № 567890 | Обрабатываются с письменного согласия субъекта |
| Специальные | Раса, национальность, религия, здоровье, интимная жизнь | «православный», «инвалид 2 группы» | Запрещены, кроме случаев, прямо указанных в ст. 10 152-ФЗ |
| Биометрические | Фото, видео, отпечатки пальцев, голос, радужка глаза | фотография в пропуске, голосовая запись | Требуется отдельное письменное согласие |
Для биометрии в 2026 году действуют особые правила: например, фото и видео сотрудников для системы контроля доступа (СКУД) требуют оформления отдельного согласия, если они используются для идентификации.
Обязательно ли компании разрабатывать Положение о ПДн?
Да, положение о ПДн разрабатывать обязательно для всех операторов, кроме случаев, когда данные обрабатываются только для заключения договора с физлицом или в личных целях, не связанных с профессиональной деятельностью.
Обязанность разработать и утвердить положение о персональных данных закреплена в ст. 18.1 152-ФЗ. Отсутствие документа — прямое нарушение, которое выявляется при проверке Роскомнадзора.
Когда документ обязателен:
есть наемные сотрудники (даже один);
есть клиенты или база пользователей;
ведется кадровый учет;
используется сайт с формами заявок, CRM-система;
обрабатываются данные контрагентов (например, паспортные данные директора).
Даже ИП с одним работником обязаны иметь положение о персональных данных. Исключение — обработка данных исключительно для заключения договора (например, вы купили товар в магазине — ваши данные обрабатываются, но отдельное положение магазину может не требоваться, если нет других целей). Однако на практике Роскомнадзор рекомендует иметь документ всем.
Порядок разработки и утверждения Положения ПДн: пошаговая инструкция
Разработка положения о персональных данных включает 9 шагов: назначение ответственного, определение целей и состава данных, описание процессов, установка мер защиты, подготовка документа, согласование с юристом и службой безопасности, утверждение приказом руководителя и ознакомление сотрудников под роспись.
Пошаговый алгоритм:
Назначить ответственного за обработку ПДн (приказом по организации).
Определить цели обработки (трудовые отношения, договоры с клиентами, маркетинг и т.д.).
Сформировать перечень обрабатываемых данных по категориям.
Описать процессы обработки: сбор, хранение, передача, уничтожение.
Установить меры защиты (организационные и технические).
Подготовить проект положения (можно взять образец и адаптировать).
Согласовать с юристом и службой безопасности (если есть).
Утвердить положение приказом руководителя.
Ознакомить сотрудников под подпись.
Срок разработки — от 1 до 5 рабочих дней, если используется готовый шаблон.
Из каких разделов состоит Положение о ПДн (структура документа)?
Типовая структура ПДн включает общие положения, термины, цели обработки, состав данных, правила хранения и защиты, доступ, права субъектов, ответственность и заключительные положения.
Стандартная структура положения о персональных данных
| Раздел | Содержание |
|---|---|
| 1. Общие положения | Назначение документа, нормативная база, сфера действия |
| 2. Термины и определения | Основные понятия (оператор, субъект, обработка) |
| 3. Цели обработки ПДн | Для чего собираются данные |
| 4. Состав обрабатываемых ПДн | Перечень данных по категориям |
| 5. Порядок обработки ПДн | Правила сбора, систематизации, накопления |
| 6. Хранение ПДн | Сроки и условия хранения |
| 7. Защита ПДн | Организационные и технические меры |
| 8. Доступ к ПДн | Кто и как может получать доступ |
| 9. Права субъектов ПДн | Доступ, исправление, удаление, отзыв согласия |
| 10. Передача ПДн третьим лицам | Условия и основания |
| 11. Ответственность | Санкции за нарушения |
| 12. Заключительные положения | Порядок введения, изменения, хранения документа |
Это структура, которую использует большинство компаний при разработке положения о защите персональных данных.
Положение о хранении персональных данных: сроки, правила и порядок уничтожения
Положение о хранении персональных данных устанавливает, как долго и в каких условиях компания обязана сохранять ПДн, а когда и как их уничтожать. Основные сроки хранения определены Приказом Росархива № 236 (2020 год) и Перечнем типовых управленческих документов.
Основные принципы хранения:
хранение только для заявленных целей;
ограничение доступа сотрудников (ролевая модель);
раздельное хранение данных разных категорий;
обязательная локализация баз данных граждан РФ на серверах в России (ст. 18 152-ФЗ).
Сроки хранения ПДн в организации (с привязкой к НПА)
| Вид данных | Срок хранения | Нормативный акт |
|---|---|---|
| Личные дела уволенных сотрудников | 75 лет | ст. 22.1 Закона об архивном деле № 125-ФЗ |
| Трудовые договоры, приказы о приеме/увольнении | 75 лет | Перечень 2020, п. 286 |
| Личные карточки (форма Т-2) | 75 лет | Перечень 2020, п. 290 |
| Договоры с клиентами (ПДн) | 5 лет после окончания договора | ГК РФ ст. 196 |
| Согласия на обработку ПДн | до отзыва + 3 года | 152-ФЗ ст. 9 |
| Логи доступа к ИСПДн | 1 год | Постановление № 1119, п. 15 |
Уничтожение ПДн оформляется актом. Для бумажных носителей — шредирование или сжигание. Для электронных — удаление с перезаписью или физическое уничтожение диска. Срок уничтожения — 30 дней после достижения цели обработки или отзыва согласия.
Как получить согласие на обработку ПДн?
С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено в виде отдельного документа, а не включено в текст договора или оферты.
Требования к согласию (ст. 9 152-ФЗ):
письменная форма (в том числе электронная с подписью);
конкретность, информированность, сознательность;
возможность отзыва в любой момент.
Что обязательно указать в согласии:
ФИО и адрес субъекта;
цель обработки;
перечень обрабатываемых данных;
наименование и адрес оператора;
срок действия согласия;
способ отзыва.
Согласие может быть получено при оформлении на работу, при регистрации на сайте, при заключении договора. Отзыв согласия оформляется письменным заявлением, после чего оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если нет иных законных оснований.
Как передавать персональные данные третьим лицам?
Передача ПДн третьим лицам допускается только при наличии законных оснований: согласия субъекта, требования правоохранительных органов или исполнения договора.
Условия передачи:
письменное согласие субъекта (если передача не является обязательной по закону);
поручение обработки — договор с третьим лицом, где прописаны обязательства по защите ПДн;
трансграничная передача — особый порядок (страны, обеспечивающие адекватную защиту, и страны с дополнительными требованиями).
Запрещается передавать ПДн без согласия, если иное не предусмотрено федеральным законом (например, по запросу прокуратуры или суда). При передаче необходимо обеспечить конфиденциальность и уведомить субъекта, если это не противоречит закону.
Кто отвечает за обработку ПДн в организации?
Общая ответственность лежит на руководителе организации. Назначенный приказом ответственный за обработку ПДн обеспечивает соблюдение требований 152-ФЗ.
Функции ответственного:
контроль за разработкой и выполнением положения;
организация приема и обработки обращений субъектов;
взаимодействие с Роскомнадзором;
проведение внутренних проверок;
контроль за уничтожением данных.
Ответственный может быть штатным сотрудником (например, юристом, кадровиком или IT-специалистом) или внешним лицом по договору. В небольших организациях руководитель может взять обязанности на себя. Назначение оформляется приказом.
Штрафы за нарушения в работе с ПДн в 2026 году
Штрафы за утечку персональных данных для юридических лиц могут достигать 15 млн рублей, а за ряд нарушений предусмотрена уголовная ответственность с лишением свободы до 6 лет.
Актуальные штрафы за нарушения в сфере ПДн (2026)
| Нарушение | Штраф для должностных лиц | Штраф для юридических лиц |
|---|---|---|
| Отсутствие положения о ПДн | 2 000 – 6 000 ₽ | 15 000 – 50 000 ₽ |
| Обработка ПДн без письменного согласия | 10 000 – 20 000 ₽ | 30 000 – 150 000 ₽ |
| Неуведомление Роскомнадзора | 10 000 – 30 000 ₽ | 30 000 – 100 000 ₽ |
| Нарушение требований к локализации баз данных | 100 000 – 200 000 ₽ | 1 000 000 – 6 000 000 ₽ |
| Утечка ПДн (первое нарушение) | 100 000 – 400 000 ₽ | до 3 000 000 ₽ |
| Утечка ПДн (повторно, или крупный объем) | 400 000 – 800 000 ₽ | до 15 000 000 ₽ |
Уголовная ответственность (ст. 272 УК РФ): неправомерный доступ к ПДн с причинением крупного ущерба — до 5 лет лишения свободы. За создание и использование вредоносных программ для утечки — до 7 лет.
Что делать при утечке персональных данных: алгоритм действий?
При утечке ПДн оператор обязан в течение 24 часов уведомить Роскомнадзор, провести внутреннее расследование и принять меры по минимизации последствий.
Алгоритм из 4 шагов:
Изоляция — немедленно прекратить утечку (отключить доступ, заблокировать учетные записи, сменить пароли).
Расследование — создать комиссию, выявить причины, составить акт.
Уведомление РКН — в течение 24 часов с момента обнаружения. Форма уведомления утверждена Роскомнадзором.
Уведомление субъектов — если утечка может причинить вред, сообщить субъектам ПДн (в течение 72 часов).
За неуведомление — дополнительный штраф до 500 000 ₽. Рекомендуется также уведомить прокуратуру и правоохранительные органы при подозрении на хищение.
Полный образец положения о персональных данных: скачать
Ниже представлен готовый к использованию образец положения о персональных данных для ООО «Ромашка». Вы можете скопировать текст или скачать файл Word.
📥 Скачать готовый образец в Word
Вы можете скачать актуальный на 2026 год шаблон положения о персональных данных в формате Word, адаптированный под требования 152-ФЗ и последние изменения.
👉 СКАЧАТЬ ОБРАЗЕЦ ПОЛОЖЕНИЯ О ПЕРСОНАЛЬНЫХ ДАННЫХ (.DOCX)
В файле учтены:
все обязательные разделы по 152-ФЗ;
требования к хранению и уничтожению;
бланки согласий и уведомлений;
формы актов об уничтожении.
Перед использованием замените в квадратных скобках наименование организации, должности и другие реквизиты. После заполнения утвердите документ приказом руководителя.
📄 Текст образца укороченный (можно скопировать сразу здесь)
УТВЕРЖДАЮ
Генеральный директор ООО «Ромашка»
__________________ И.И. Иванов
«01» марта 2026 г.
ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), Трудовым кодексом РФ и иными нормативными правовыми актами.
1.2. Оператором персональных данных является ООО «Ромашка» (ИНН 1234567890, ОГРН 1234567890123, адрес: г. Москва, ул. Примерная, д. 1).
1.3. Цели обработки ПДн: исполнение трудовых договоров, заключение и исполнение гражданско-правовых договоров с клиентами и контрагентами, ведение кадрового и бухгалтерского учета.
2. Состав обрабатываемых персональных данных
2.1. В отношении сотрудников: ФИО, паспортные данные, ИНН, СНИЛС, адрес, телефон, email, должность, стаж работы.
2.2. В отношении клиентов: ФИО, контактный телефон, email, адрес доставки.
3. Порядок обработки персональных данных
3.1. Обработка осуществляется с согласия субъекта ПДн, за исключением случаев, установленных законом.
3.2. Сбор ПДн производится на основании анкет, договоров, заявлений.
3.3. Хранение ПДн — на бумажных носителях в сейфе и в электронном виде на сервере, расположенном на территории РФ.
4. Сроки хранения и уничтожения
4.1. Личные дела сотрудников хранятся 75 лет после увольнения.
4.2. Договоры с клиентами — 5 лет после окончания срока действия договора.
4.3. Уничтожение ПДн производится комиссионно с составлением акта.
5. Меры защиты
5.1. Назначен ответственный за обработку ПДн — юрист Петрова А.А. (приказ № 45 от 01.03.2026).
5.2. Установлены парольная защита, антивирус, резервное копирование.
6. Права субъектов ПДн
Субъекты вправе получить доступ к своим данным, требовать их исправления или удаления, отозвать согласие.
7. Ответственность
Лица, виновные в нарушении требований настоящего Положения, несут ответственность согласно ст. 13.11 КоАП РФ и 152-ФЗ.
8. Заключительные положения
Положение вступает в силу с 01.03.2026. Изменения вносятся приказом руководителя.
Заключение
Положение о персональных данных в организации — это не просто формальность, а обязательный документ, защищающий вас от многомиллионных штрафов и репутационных потерь. Используйте нашу структуру, готовый образец и актуальные на 2026 год требования, чтобы разработать идеальное положение и спокойно проходить любые проверки Роскомнадзора.
Часто задаваемые вопросы (FAQ) по Положению о ПДн
Положение о персональных данных и Политика обработки ПДн — это одно и то же?
Нет. Положение о персональных данных — внутренний локальный акт для сотрудников организации. Политика обработки ПДн — публичный документ для субъектов данных (размещается на сайте). По 152-ФЗ достаточно одного, но для полного соответствия лучше иметь оба.
Нужно ли положение о персональных данных для ИП?
Да, если ИП обрабатывает персональные данные клиентов или сотрудников. Например: интернет-магазин, парикмахерская, такси, ИП с наёмными работниками. Если ИП работает один и не собирает данные третьих лиц — положение не требуется.
Как составить положение о персональных данных в организации с нуля?
Пошагово: 1) назначить ответственного за ПДн приказом; 2) определить цели обработки и перечень данных; 3) описать процессы сбора, хранения, передачи, уничтожения; 4) установить меры защиты; 5) подготовить проект (используйте образец); 6) утвердить приказом руководителя; 7) ознакомить сотрудников под подпись.
Что должно содержать положение о персональных данных?
Обязательные разделы: общие положения, термины и определения, цели обработки, состав обрабатываемых ПДн, порядок обработки и доступа, правила хранения и сроки, меры защиты, права субъектов, ответственность, заключительные положения.
Где должно храниться положение о персональных данных?
В отделе кадров, у ответственного за ПДн и у руководителя организации. Сотрудники должны иметь доступ к документу (информационный стенд, внутренняя электронная сеть). Положение хранится постоянно, как локальный нормативный акт.
Каков срок хранения положения о персональных данных в организации?
Положение действует бессрочно, пока работает организация. После ликвидации компании документы по ПДн передаются в архив или уничтожаются с составлением акта. Обновлять положение нужно при изменениях в 152-ФЗ или бизнес-процессах.
Нужно ли уведомлять Роскомнадзор о начале обработки ПДн?
В большинстве случаев — да. Исключения по ст. 22 152-ФЗ: обработка только по трудовому договору, данные менее 100 субъектов, обработка для заключения договора с физлицом. Уведомление подаётся до начала обработки. За неуведомление — штраф до 100 000 ₽.
Какая ответственность за отсутствие положения о персональных данных?
Должностные лица — штраф 2 000 – 6 000 ₽. Юридические лица — 15 000 – 50 000 ₽ (ст. 13.11 КоАП РФ). При повторном нарушении или утечке данных — до 800 000 ₽ для должностных лиц и до 15 млн ₽ для юрлиц, а также уголовная ответственность до 6 лет лишения свободы.
Можно ли скачать образец положения о персональных данных и использовать его?
Да, но образец нужно адаптировать под свои цели обработки и перечень данных. Слепое копирование ведёт к нарушениям, так как в каждой компании свои категории ПДн. Используйте наш образец, заменив реквизиты и добавив свои процессы.
Какие приложения нужны к положению о персональных данных?
Типовые приложения: форма согласия на обработку ПДн (отдельный документ), форма разъяснения прав субъекту, форма уведомления об утечке в РКН, перечень лиц с доступом к ПДн, журнал ознакомления сотрудников с положением.
Как часто нужно обновлять положение о персональных данных?
При изменении 152-ФЗ, целей обработки, состава данных или структуры организации. Рекомендуется проводить аудит и актуализацию не реже одного раза в год. При серьёзных поправках (например, 2025–2026 годов) — немедленно.
Положение о защите персональных данных — это отдельный документ?
Чаще всего это раздел внутри общего положения о ПДн, но может быть и отдельным локальным актом. Он описывает исключительно меры безопасности: организационные (назначение ответственного, допуск), технические (шифрование, антивирусы, межсетевые экраны) и режимные (пропускной режим, сейфы).
Что такое положение о хранении персональных данных?
Это часть положения о ПДн, которая устанавливает сроки хранения, условия размещения носителей и порядок уничтожения данных. Основные сроки: личные дела — 75 лет, договоры с клиентами — 5 лет после окончания договора, согласия — до отзыва + 3 года.
Положение о персональных данных это обязательный документ для ООО?
Да, для любого ООО, у которого есть сотрудники или клиенты. Обязанность закреплена в ст. 18.1 152-ФЗ. Отсутствие положения — прямое нарушение, которое выявляется при первой проверке Роскомнадзора и влечёт штраф.
Чем отличается положение о персональных данных от образца положения?
Образец — это шаблон с пустыми полями (название организации, должности, цели). Положение — готовый документ, адаптированный под конкретную компанию. Использовать образец без изменений нельзя — это не соответствует требованиям 152-ФЗ.
Нужно ли обновлять положение из-за изменений в 152-ФЗ в 2026 году?
Да, обязательно. В 2025–2026 годах вступили в силу изменения: отдельное письменное согласие (не в договоре), ужесточение локализации баз данных в РФ, повышение штрафов за утечки до 15 млн ₽. Если в положении это не отражено — оно недействительно, штраф как за отсутствие.