Политика в отношении обработки персональных данных: как составить документ в 2025 году

Почему в 2025 году Политика обработки персональных данных — это рабочий регламент, а не формальность

Политика обработки ПД — единая инструкция для компании и контролёров

Смысл: Политика объясняет, как вы собираете, храните, используете и защищаете ПД, и кто за что отвечает. Это общий словарь и «точка правды» для руководителей, команд и регуляторов.

Что связываем: каждый раздел Политики — с конкретным процессом 1С и KPI контроля. Пример: «Согласия клиентов» ↔ справочник и документы согласий в 1С ↔ метрика «доля актуальных согласий в CRM, %».

Польза: единые правила экономят часы на переписку, согласования и «ручные обходы».

Кому документ обязателен: если есть сотрудники или клиенты — Политика нужна

Любая компания или ИП, где есть трудовые отношения, база клиентов, формы на сайте, пропускной режим, видеонаблюдение или биометрия — обрабатывает ПД. Значит, Политика нужна «вчера».

Быстрый самоаудит:

• Ведёте кадровый учёт?
• Есть CRM/интернет-заказы/формы обратной связи на сайте?
• Используете видеоаналитику, пропуска, учет посетителей?
• Храните копии паспортов/медосмотров/фото сотрудников?
• Передаёте данные подрядчикам, банкам, курьерским/логистическим службам?

Обязательная структура Политики: шесть разделов, которые реально работают

Шаблоны «на два листа» больше не спасают: нужен связный документ с логикой «цель → данные → основания → действия → сроки → права». Ниже — каркас, который мы адаптируем под отрасль и ваш ИТ-ландшафт 1С.

Общие положения и цели — фиксируем назначение и применимость

• Простые термины и область действия (все процессы и системы, где есть ПД).
• Ссылки на нормы, распределение ролей: владелец процесса (бизнес), оператор ИСПДн (ИТ), контролёр (DPO/безопасность).
• Привязка к внутренним регламентам и 1С:ERP, 1С:ЗУП, 1С:Документооборот, CRM.

Конкретные цели обработки — только законные и «минимальные»

• Трудовые отношения, бухгалтерия/налоги, договоры с клиентами/подрядчиками, безопасность, маркетинг (только при наличии отдельного согласия).
• Для каждой цели — минимальный состав ПД («минимизация»).

Правовые основания обработки — закон как правила, а не «про запас»

• Основания: ТК, НК, договоры, отдельные согласия субъектов; спецкатегории и биометрия — строго по процедурам; локализация баз в РФ — обязательна для первичной записи ПД россиян.

Категории субъектов и данные — конкретика

• Субъекты: кандидаты/сотрудники/экс-сотрудники, клиенты-физлица, представители юрлиц, посетители офисов/площадок.
• Виды ПД: основные/контактные/кадровые/фото-видео/специальные/биометрия.
• Для каждой категории — цель, объём, срок, ответственный, система 1С.

Порядок и условия обработки — действия, передача, сроки хранения, уничтожение

• Действия: сбор, запись, систематизация, хранение, уточнение, использование, передача, блокирование, удаление, уничтожение.
• Способы: автоматизированная/бумажная/смешанная. Локализация БД в РФ. Требования к защите (роли, профили безопасности, журнал регистрации).
• Передача третьим лицам: перечень получателей, цели, объёмы, меры защиты, договорные условия.
• Сроки хранения: по целям и основаниям — запрет «бессрочно». При выявлении неправомерной обработки — уничтожение в 10 рабочих дней.

Права субъектов и стандартные процедуры реагирования

• Права: информирование, доступ, копии, исправление, удаление/ограничение, обжалование.
• SLA ответов: 10 рабочих дней на предоставление сведений по ст. 14; +5 — при мотивированном продлении; 7 рабочих дней — на исправление/уничтожение неправомерных ПД. Шаблоны заявлений и учёт обращений.

Новые требования 2025 года: что обязательно учесть при обновлении Политики

• Отдельные согласия. С 1.09.2025 согласие оформляется самостоятельным документом (бумажным или электронным), а не пунктом в договоре/оферте/пользовательском соглашении. Обновите формы на сайте, в CRM, в 1С.
• Биометрия. Усилены требования к работе с биометрическими ПД, включая хранение в ЕБС и особые процедуры отзыва/удаления. Проверьте, что биометрия не хранится «локально», если это запрещено, и что предусмотрен канал уведомления и удаление по требованию.
• Локализация. Первичная запись/хранение ПД граждан РФ — в БД, расположенных на территории РФ. Проверьте контуры интеграций и резервные копии.
• Инциденты и уведомления. Обязанность уведомлять Роскомнадзор об утечках: в течение 24 часов — первичное сообщение об инциденте, далее — расширенная информация. Политика должна ссылаться на регламент реагирования.
• Штрафы. С 30.05.2025 — новые размеры для общего состава нарушений и отдельных составов (в т.ч. за неуведомление об утечке). Пересмотрите матрицу рисков и KPI.

Методика разработки Политики за 10 шагов с привязкой к 1С

Цель: снять «страх чистого листа» и уложить проект в 6–8 недель.

1. Команда и RACI. Назначьте владельца (директор/IT-директор), куратора DPO/ИБ, авторов разделов (HR, маркетинг, ИТ, юрист).
2. Инвентаризация ПД. Источники, процессы, формы, интеграции: 1С:ERP/ЗУП/Документооборот, сайт/портал, почта, хранилища.
3. Карта потоков (data map) и «витрина регистров» в 1С: какие справочники/документы содержат ПД, кто создаёт/читает/меняет.
4. Матрица «цели → категории ПД → основания → сроки → роли». Это центральный артефакт Политики.
5. Шаблон Политики и приложений. Формы согласий/отзывов, шаблоны ответов субъектам, реестр получателей.
6. Настройки 1С. Журнал регистрации, ролевая модель, ограничение доступа к личным данным, маскирование реквизитов, профили безопасности.
7. Печатные формы согласий в 1С (в т.ч. электронные согласия) и учёт отзывов; статусы обработки (действует/отозвано/истекло).
8. Процессы реагирования на запросы субъектов: SLA 10 рабочих дней, чек-листы, типовые письма, автоматические задачи.
9. Обучение сотрудников и «карманный гид»: что можно/нельзя, как работать с ПД в 1С.
10. Публикация Политики: сайт/портал, офлайн-зоны сбора ПД, онбординг новых сотрудников.

Как автоматизировать соблюдение Политики в 1С: 5 приёмов

Учёт согласий и отзывов

• Отдельный справочник «Согласия» + связка с контрагентами/физлицами/сотрудниками.
• Печатные формы и электронные шаблоны; хранение статуса и срока действия; журнал отзывов; автопроверка актуальности при рассылках/выгрузках.

Доступ по ролям и маскирование

• Профили безопасности, разграничение по видам ПД, скрытие/замена реквизитов в формах и отчётах.
• «Принцип минимальных прав»: менеджер видит телефон клиента, но не видит паспорт; HR-специалист видит медсправки, но не видит зарплатные данные коллег.

Логирование и расследование

• Расширенная аналитика Журнала регистрации: фильтры по массовым выгрузкам, ночным активностям, попыткам чтения закрытых реквизитов.
• Автотреггеры и уведомления DPO/ИБ при аномалиях; выгрузка отчётов для комиссии по расследованию.

Сроки хранения

• Реестр сроков по категориям ПД и основаниям.
• Регламентные задания: проверка истечения сроков, блокировка записей, безопасное удаление; акты об уничтожении.

Интеграции

• Сайт/портал: формы заявок и отдельные согласия (после 01.09.2025 — только отдельный документ).
• ECM/EDMS (1С:Документооборот), КЭП/ГОСТ-крипто, S/MIME; БД и бэкапы — в РФ.

Размещение Политики и сопровождение в эксплуатации

Где размещать: отдельная страница сайта (прямая ссылка из футера), корпоративный портал, офлайн-точки сбора ПД (стойки пропусков, ресепшены).

Требования к веб-странице: доступ без авторизации, возможность скачать/распечатать, отметка «дата обновления», версия документа, контакт DPO.

Процедуры сопровождения:

• Уведомление сотрудников/клиентов об изменениях;
• Ежегодная ревизия (или чаще — при изменениях закона/процессов);
• Учёт ознакомления в 1С:Документооборот/HR.

Типовые ошибки и как мы их предотвращаем на проектах

• Расплывчатые цели. Лечим матрицей «цель → ПД → основания → срок».
• Избыточный сбор. Внедряем минимизацию наборов и маскирование в 1С.
• Нет процедуры реагирования. Добавляем SLA, шаблоны ответов, учёт обращений, автонапоминания.
• «Бессрочные» сроки хранения. Формируем реестр сроков, регламентные задания на очистку.
• Игнор изменений-2025. Настраиваем ежегодный апдейт и мониторинг нормативки; обновляем формы согласий (отдельный документ), проверяем биометрию, локализацию.

Контроль соблюдения и ответственность: снижайте риски проверок

Внутренний контроль дешевле антикризиса.

• Виды контроля: плановые/внеплановые проверки, автоматический мониторинг сайтов (наличие Политики, форм согласия), аудит при инцидентах.
• Метрики (KPI): доля процессов с актуальными согласиями; средний срок реакции на запросы субъектов (≤10 р.д.); число инцидентов; статус ревизии Политики; доля БД, локализованных в РФ.
• Подготовка к проверке: пакет артефактов — реестр ИСПДн, Политика и приложения, журналы 1С, акты об уничтожении, протоколы обучения, доказательства уведомлений об инцидентах (в т.ч. 24-часовые сообщения в РКН).

Отраслевые сценарии: как выглядит «живая» Политика

Производство. 1С:ЗУП + 1С:ERP + пропуска + видео. Фокус — доступ к кадровым документам, сроки хранения, отдельные согласия для фото/видео.

Ритейл/e-commerce. CRM + сайт/мобильное приложение. Фокус — отдельные маркетинговые согласия, связка с веб-формами, контроль выгрузок подрядчикам.

Проектно-строительные/инжиниринговые компании (наш профиль). Проектные группы, субподрядчики, объектный доступ. Фокус — разграничение по объектам/проектам, учёт согласий представителей юрлиц, контроль передачи ПД подрядчикам.

Чек-лист готовности к Политике

Чек-лист «10 шагов к готовой Политике»:

1. Команда и RACI назначены.
2. Инвентаризация ПД завершена.
3. Data map согласован.
4. Матрица «цели-ПД-основания-сроки-роли» утверждена.
5. Политика и приложения подготовлены.
6. 1С настроена (журналы, роли, маскирование).
7. Согласия/отзывы реализованы (отдельный документ с 01.09.2025).
8. Регламент реагирования и SLA внедрены.
9. Обучение проведено.
10. Публикация/ревизия организованы.

Что предлагаем мы: быстрый старт и сопровождение

• Аудит обработки ПД и ИТ-ландшафта 1С. Определяем потоки, риски, готовность к локализации и уведомлениям.
• Разработка/актуализация Политики и приложений. Учитываем отдельные согласия (с 01.09.2025), биометрию, сроки и SLA.
• Настройка 1С. Учёт согласий и отзывов, ролевые модели, журналы регистрации, регламенты хранения, отчётность DPO.
• Интеграции. Сайт/портал (отдельные формы согласий), 1С:Документооборот/ECM, сервисы ЭП; контроль локализации БД в РФ.
• Обучение, аттестация, сопровождение и ежегодные апдейты. Трекер нормативных изменений и планы обновлений.

Корректно написанная и внедрённая Политика — это рабочий инструмент, который снижает риск штрафов и инцидентов, ускоряет согласования, повышает доверие клиентов и сотрудников. Автоматизация на платформе 1С делает соблюдение ежедневной нормой: согласия учитываются, доступы контролируются, сроки хранения соблюдаются, ответы субъектам уходят вовремя.