Можно ли использовать типовой шаблон политики обработки персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Формально закон не запрещает использовать типовые шаблоны политики обработки персональных данных. Однако в ст. 18.1 ФЗ-152 прямо указано, что политика должна отражать именно те процессы, которые реально применяются в вашей организации. Если компания возьмёт готовый шаблон «под копирку» и не адаптирует его под свои цели, категории данных и процедуры — это будет нарушением.

Чем опасен шаблон без доработки:

• он не отражает реальные цели и способы обработки (например, написано «обрабатываем биометрические данные», хотя в компании их нет);
• в нём могут отсутствовать сведения, которые обязательны по закону (например, контактные данные оператора или порядок обращения субъекта);
• в случае проверки Роскомнадзор признает политику формальной и наложит штраф.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан опубликовать политику, содержащую конкретные сведения о целях, категориях данных, сроках обработки, правах субъектов и мерах защиты.
• Ст. 19 ФЗ-152 — меры защиты ПДн должны соответствовать реальной деятельности компании.
• Ст. 14 ФЗ-152 — субъект имеет право знать, как именно обрабатываются его данные, а значит, политика должна быть достоверной и актуальной.

Практика проверок Роскомнадзора

• Небольшая компания скачала шаблон политики из интернета и разместила его на сайте. При проверке выяснилось, что в документе указана обработка биометрии и трансграничная передача данных, хотя этого не было в реальности. Роскомнадзор назначил штраф за недостоверность сведений.
• В другой организации политика была разработана с учётом конкретных процессов: кадровый учёт, клиентская база, работа с подрядчиками. Проверка подтвердила, что документ соответствует закону.

Важный нюанс

Шаблон можно использовать только как основу. Каждую позицию (цели, категории данных, сроки хранения, меры защиты) нужно адаптировать под деятельность именно вашей компании.

Политика — это публичный документ, и если он не соответствует фактическим процессам, это легко выявляется при проверке.

Рекомендации и выводы

Использовать типовой шаблон политики можно, но только как «скелет». Организации необходимо:

1. Переписать разделы под свои реальные процессы (цели, категории ПДн, порядок взаимодействия).
2. Добавить реквизиты компании и контакты ответственного.
3. Исключить положения, которые к вам не относятся (например, про обработку биометрии, если её нет).
4. Включить готовую политику в комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать политику ПДн и другие документы, которые обеспечат соответствие 152-ФЗ. Это избавит от штрафов и повысит доверие клиентов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге