Как составить политику обработки ПДн в 2026
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог более 300 компаниям привести обработку персональных данных в порядок. И почти в каждой — находил одну и ту же ошибку: политика есть, а по сути её нет.
В 2026 году Роскомнадзор активно штрафует за формальные документы, которые не соответствуют реальности. В этой статье — только практика: как составить политику, чтобы она работала и защищала.
Нужна ли политика обработки ПДн?
Да, обязательно.
Согласно статье 18.1 Федерального закона №152-ФЗ, юридические лица и ИП, обрабатывающие персональные данные, обязаны разработать и утвердить политику.
Это не рекомендация — это требование закона.
Не выполнил — штраф от 10 000 ₽ (для ИП) до 75 000 ₽ (для юрлиц). А при реальных нарушениях — до 1% годовой выручки.
На практике: в 2025 году суд в Краснодаре оштрафовал сеть клиник на 2 млн ₽ — не потому что утечка, а потому что политика была шаблонной, без указания реальных мер защиты.
Мой совет: не копируйте шаблоны с интернета. Политика должна отражать вашу реальную деятельность.
Какие разделы должны быть в политике?
Вот структура, которую я использую в «ЛЕГАС»:
Общие положения — кто разработал, на каком основании, кого касается.
Принципы обработки — законность, добросовестность, минимизация.
Цели обработки — только конкретные: «для заключения договора», «для доставки товара».
Категории субъектов и данные — кто и какие данные вы собираете (ФИО, телефон, email и т.д.).
Правовые основания — согласие, исполнение договора, закон и т.д.
Процедуры обработки — как вы храните, передаёте, уничтожаете данные.
Меры защиты — шифрование, 2FA, MDM, журналы доступа.
Права субъектов — как они могут запросить доступ, исправить или удалить данные.
Контакты ответственного лица — обязательно указать ФИО, телефон, email.
Дата вступления в силу и порядок внесения изменений.
Важно: если вы используете CRM, почту, облачные сервисы — это всё нужно описать.
Какие меры защиты указывать?
Шаблон «применяются современные средства защиты» — не пройдёт.
Роскомнадзор и суды требуют конкретики. Вот что реально работает:
Шифрование данных при хранении и передаче (TLS 1.2+, AES-256)
Двухфакторная аутентификация для доступа к системам
Разделение прав доступа (не все сотрудники видят все данные)
Журналы аудита — кто, когда и что делал с данными
MDM-системы для корпоративных устройств
Регулярное обучение сотрудников — это тоже мера защиты!
Пример из практики: в 2024 году суд в Москве снял штраф с компании, потому что в политике были прописаны все меры, а журналы аудита подтвердили их применение.
Мой комментарий: чем конкретнее — тем безопаснее. Не пишите «принимаются меры». Пишите — какие, кем, когда.
Как утвердить политику?
Подготовь документ.
Утвердите приказом руководителя (с номером и датой).
Ознакомьте под подпись всех сотрудников, имеющих доступ к ПДн.
Разместите на сайте в разделе «Политика обработки персональных данных».
Важно: политика — это живой документ.
Если вы изменили CRM, добавили новый сервис, наняли нового сотрудника — обновите политику.
Заключение
Политика обработки ПДн — это не формальность. Это ваш щит перед Роскомнадзором, судами и клиентами.
Чтобы она работала:
Составляйте под реальную деятельность
Указывайте конкретные меры защиты
Регулярно обновляйте и контролируйте
Сделайте это сейчас — пока вас не проверили.
Скачайте образец политики обработки ПДн от «ЛЕГАС» (PDF, 2026)
Поделитесь статьёй с коллегой, которому это пригодится
Подпишитесь на legascom.ru — разбираем сложное просто
