Недавно разбирали с заказчиком вопрос, который показалось важным разобрать в подробной статье так как в рамках телеграмм-канала формат подробности не допускает: «Можно ли написать одну политику обработки персональных данных, которая закроет сразу всех - и сотрудников, и клиентов, и контрагентов?»
Звучит привлекательно: один документ вместо трёх, меньше бумаги, меньше согласований. Но когда начинаешь копать в требования 152-ФЗ, выясняется, что такая «экономия» может обойтись очень дорого. Давайте разберем риски и, что можно все таки сделать.
Что говорит закон о политике оператора
Прежде чем говорить о структуре документа, вспомним ключевые принципы. Статья 5 152-ФЗ требует, чтобы обработка персональных данных ограничивалась достижением конкретных, заранее определённых целей. Не допускается обработка, несовместимая с целями сбора, а также объединение баз данных с несовместимыми целями. Содержание и объём данных должны соответствовать заявленным целям - никакой избыточности. Хранение допускается не дольше, чем требуют цели обработки.
Теперь о самой политике. Согласно статье 18.1 152-ФЗ, опера��ор обязан издать документы, определяющие для каждой цели обработки: категории и перечень обрабатываемых данных, категории субъектов, способы и сроки обработки, порядок уничтожения данных при достижении целей. Обратите внимание на формулировку - «для каждой цели». Это ключевое требование, которое делает по-настоящему универсальную политику практически невозможной.
Почему у разных категорий субъектов разные «правила игры»
Посмотрим, чем принципиально отличается обработка данных сотрудников, клиентов и контрагентов - и почему их не рекомендуется смешивать в одном котле.
Для работников основное правовое основание - Трудовой кодекс РФ (глава 14). Это значит, что для большинства операций согласие не требуется: закон прямо обязывает работодателя вести кадровый учёт, оформлять трудовые книжки, передавать данные в ПФР, ФСС, налоговую. Цели обработки - исполнение трудового договора, кадровый учёт, начисление зарплаты, исполнение требований законодательства. Состав данных широкий: паспорт, СНИЛС, ИНН, сведения об образовании, воинском учёте, банковские реквизиты для зарплаты. Сроки хранения значительные - до 50–75 лет для документов по личному составу согласно Приказу Росархива № 236. Согласие требуется только для целей, не предусмотренных законом: размещение фото на корпоративном сайте, передача данных в негосударственный пенсионный фонд, использование личного телефона для корпоративных рассылок.
Для клиентов ситуация принципиально другая. Цели обработки - заключение и исполнение договора купли-продажи ил�� оказания услуг, доставка товаров, гарантийное обслуживание, информирование о статусе заказа, маркетинговые рассылки. Состав данных минимальный: ФИО, телефон, email, адрес доставки. Паспортные данные - только если это прямо необходимо для договора (кредит, страховка). Правовое основание - договор (для исполнения заказа) или согласие (для маркетинга). Сроки хранения короче - срок договора плюс 3 года исковой давности, для бухгалтерских документов - 5 лет. Для маркетинговых рассылок согласие обязательно по статье 15 152-ФЗ, и оно может быть отозвано в любой момент.
Для контрагентов/представителей юридических лиц - всё ещё специфичнее. Цели - взаимодействие по договору ГПХ, бухгалтерский учёт. Состав данных: ФИО контактного лица, должность, рабочий телефон и email, данные для доверенности при необходимости. Основание - договор или законные интересы оператора. Срок - период договора плюс исковая давность. Согласие, как правило, не требуется, если обработка ограничена целями договора.
Видите картину? Разные цели, разные основания, разный состав данных, разные сроки хранения, разные получатели. Попытка уместить всё это в один «универсальный» текст неизбежно приводит к юридическим и практическим проблемам.
Пять причин, почему «одна на всех» не работает
Несовместимые цели. Если в политике написано, что данные обрабатываются для исполнения трудовых обязанностей, заключения договоров купли-продажи и маркетинговых рассылок одновременно - какая цель применяется к конкретному субъекту? Типичная ошибка: формулировка «обработка в целях ве��ения хозяйственной деятельности» или «осуществления уставной деятельности». Это слишком абстрактно и не соответствует требованию конкретности. Роскомнадзор может расценить как нарушение принципа целевой обработки.
Разные правовые основания. Для сотрудников основание - Трудовой кодекс и пункт 5 части 1 статьи 6 152-ФЗ (исполнение договора). Для клиентов - договор или согласие. Если в политике написано «обработка осуществляется на основании согласия субъекта», но для сотрудников согласие в большинстве случаев не нужно - документ вводит в заблуждение и самого оператора, и проверяющих, и самих работников.
Разные сроки хранения. Кадровые документы хранятся до 75 лет, клиентские - 3–5 лет, данные подрядчиков — на срок договора плюс исковая давность. Типичная ошибка: единый срок «5 лет» или вообще «до момента отзыва согласия». В результате либо нарушается архивное законодательство (для кадровых документов), либо данные хранятся дольше необходимого (избыточность).
Разный состав данных. Для сотрудников собираются паспортные данные, СНИЛС, сведения о воинском учёте. Для клиентов - обычно только контактные данные. Если в универсальной политике перечислен максимальный состав (паспорт, СНИЛС, адрес, телефон, банковские реквизиты), клиент видит этот список и думает: «Зачем им мои паспортные данные для покупки кофеварки?» Снижается доверие, растёт количество отказов от согласия, увеличивается число жалоб.
Разные получатели. Данные сотрудников передаются в Социальный фонд России, ФНС, банк для зарплаты. Данные клиентов - курьерской службе, платёжной системе. Если в политике общий список получателей без разделения по категориям субъектов, клиент видит «данные передаются в Пенсионный фонд» и не понимает - при чём здесь его заказ на сайте.
На всякий случай напомню про штрафы за ошибки
С 30 мая 2025 года штрафы по статье 13.11 КоАП РФ существенно выросли.
- За обработку данных, несовместимую с целями сбора, юридическим лицам грозит от 150 000 до 300 000 рублей,
- При повторном нарушении - от 300 000 до 500 000 рублей. За обработку без согласия, когда оно требуется, - от 300 000 до 700 000 рублей.
- При утечке данных от 1000 до 10 000 субъектов - от 3 до 5 миллионов рублей.
- При повторной утечке - оборотные штрафы д�� 3% годовой выручки (в пределах от 20 до 500 миллионов рублей).
Как сделать правильно и удобно?
Закон не требует создавать три отдельные политики. Он требует, чтобы для каждой цели были определены конкретные параметры. Это можно сделать в рамках одного документа с модульной структурой.
Общая часть политики содержит: сведения об операторе (наименование, адрес, контакты), общие принципы обработки персональных данных, права субъектов и порядок их реализации, общие меры по защите данных, контакты ответственного за организацию обработки ПДн, порядок обращения с запросами и сроки ответа.
Приложения по категориям субъектов - отдельные разделы для работников, клиентов, контрагентов, посетителей сайта. Каждое приложение содержит: конкретные цели обработки для данной категории, правовое основание, перечень обрабатываемых данных, категории получателей, сроки обработки и хранения, условия прекращения обработки.
Такая структура полностью соответствует требованиям статьи 18.1, проста в обновлении (меняется только нужное приложение), понятна субъектам данных (каждый видит релевантную информацию), удобна при проверках (инспектор сразу видит логику и может проверить соответствие реальным процессам).
Типичные ошибки и как их избежать
На практике чаще всего встречаю несколько характерных промахов.
Резиновые» формулировки целей. Вместо «обработка в целях осуществления уставной деятельности» нужно перечислить конкретные цели для каждой категории: для работников - исполнение трудового договора и кадровый учёт, для клиентов - исполнение договора купли-продажи и доставка товаров.
Ссылка только на согласие. Формулировка «обработка на основании согласия субъекта» некорректна, когда есть законное основание. Для сотрудников это Трудовой кодекс, для клиентов при исполнении договора - пункт 5 части 1 статьи 6 152-ФЗ. Укажите все применимые основания.
Максимальный состав данных для всех. Не нужно указывать паспортные данные и СНИЛС в разделе про клиентов интернет-магазина. Для каждой категории - только тот состав, который реально собирается и необходим для целей.
Единый срок хранения. «Данные хранятся 5 лет» - это ошибка. Кадровые документы хранятся десятилетиями, клиентские - годы. Укажите сроки со ссылками на нормативные акты: Приказ Росархива № 236, Налоговый кодекс, срок исковой давности по ГК РФ.
Отсутствие информации о правах субъектов. Обязательно опишите: право на доступ, исправление, удаление, отзыв согласия. Укажите контакты для обращений и срок ответа - 10 рабочих дней согласно статье 20 152-ФЗ.
В итоге, что получаем
Единая «универсальная» политика для всех категорий субъектов противоречит принципам 152-ФЗ, требующим конкретности целей и соразмерности объёма данных. Оптимальное решение, что бы не плодить кучу документов и при этом не нарушить закон - модульная структура: общая часть плюс приложения по категориям субъектов.
Если находите у себя «универсальную» политику с размытыми формулировками - это повод для ревизии. Лучше потратить время на доработку документов сейчас, чем объяснять инспектору Роскомнадзора, почему ваш клиент-физлицо должен знать о передаче его данных в Пенсионный фонд :)
Напоследок небольшой чек-лист для самопроверки
Пройдитесь по своей политике и проверьте:
— Указаны конкретные цели для каждой категории субъектов?
— Для каждой категории указано своё правовое основание?
— Состав данных соответствует реально собираемым?
— Сроки хранения разные для разных категорий с обоснованием?
— Получатели данных разделены по категориям?
— Описаны права субъектов и порядок обращения?
— Указаны контакты ответственного за обработку ПДн?
— Политика опубликована на сайте (если собираете данные онлайн)?
— Работники ознакомлены под подпись?
Если хотя бы на три вопроса ответ «нет» - документ требует доработки.
