Добавить в корзинуПозвонить
Найти в Дзене
Brocast.team

Часть 2. Документы

Во первой части нашей блокбастер-статьи мы разобрали закон об обработке персональных данных, а теперь — самое полезное: шаблоны документов. Пользуйтесь на здоровье! Если понравилось — поддержите лайком 👍 Этот шаблон основан на содержании документа "ЗАК Согласие на обработку ПД.docx", который вы предоставили, с удалением ваших персональных данных и заменой их на плейсхолдеры # СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПОЛУЧЕНИЕ МАРКЕТИНГОВЫХ КОММУНИКАЦИЙ
г. [Город подписания]
[Дата подписания: «___» _________ 20___ г.]
Я, **[Фамилия, Имя, Отчество Клиента полностью]**,
документ, удостоверяющий личность: [Вид документа, серия, номер, кем и когда выдан],
адрес регистрации: [Адрес регистрации Клиента по документу],
контактный телефон: [Номер телефона Клиента],
адрес электронной почты: [Email Клиента],
(далее – «**Субъект персональных данных**» или «**Клиент**»),
свободно, своей волей и в своем интересе даю конкретное, предметное, информированное, сознательное и однозначное соглас
Оглавление

Во первой части нашей блокбастер-статьи мы разобрали закон об обработке персональных данных, а теперь — самое полезное: шаблоны документов.

Пользуйтесь на здоровье! Если понравилось — поддержите лайком 👍

Часть 1: Документы для взаимодействия с Клиентами (Заказчиками)

1. Шаблон: Согласие на обработку персональных данных и получение маркетинговых коммуникаций (для Клиентов)

Этот шаблон основан на содержании документа "ЗАК Согласие на обработку ПД.docx", который вы предоставили, с удалением ваших персональных данных и заменой их на плейсхолдеры

# СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПОЛУЧЕНИЕ МАРКЕТИНГОВЫХ КОММУНИКАЦИЙ

г. [Город подписания]
[Дата подписания: «
___» _________ 20___ г.]

Я,
**[Фамилия, Имя, Отчество Клиента полностью]**,
документ, удостоверяющий личность: [Вид документа, серия, номер, кем и когда выдан],
адрес регистрации: [Адрес регистрации Клиента по документу],
контактный телефон: [Номер телефона Клиента],
адрес электронной почты: [Email Клиента],
(далее – «
**Субъект персональных данных**» или «**Клиент**»),

свободно, своей волей и в своем интересе даю конкретное, предметное, информированное, сознательное и однозначное согласие Индивидуальному предпринимателю
**[Фамилия Имя Отчество Индивидуального предпринимателя]**, ОГРНИП [ОГРНИП Оператора], ИНН [ИНН Оператора], адрес регистрации: [Юридический адрес Оператора] (далее – «**Оператор**»), на обработку моих персональных данных на следующих условиях:

**1. Цели обработки персональных данных:**
1.1. Заключение, исполнение, изменение и прекращение договора на оказание услуг между мной и Оператором (далее –
**Договор**).
1.2. Осуществление расчетов по Договору.
1.3. Предоставление мне информации об услугах Оператора, его партнеров (если применимо и если на это есть отдельное согласие ниже или указание в политике), специальных предложениях, акциях, мероприятиях, а также направление мне новостных и маркетинговых рассылок (рекламы) Оператора.
1.4. Проведение опросов, анкетирования, исследований для улучшения качества услуг Оператора.
1.5. Обеспечение обратной связи со мной, обработка моих запросов и обращений.
1.6. Ведение клиентской базы Оператора.
1.7. Соблюдение требований действующего законодательства Российской Федерации.

**2. Перечень обрабатываемых персональных данных:**
Фамилия, имя, отчество, дата и место рождения, социальное, имущественное и семейное положения, адреса регистрации, места жительства, электронной почты, номер телефона, ИНН, гражданство, СНИЛС, данные документа удостоверяющего личность, данные водительского удостоверения, реквизиты банковского счета и банковской карты, сведения о трудовой деятельности, фото, видео изображения и иные. Объем обрабатываемых данных должен быть минимально необходимым для достижения указанных целей.

**3. Перечень действий с персональными данными:**
Оператор вправе совершать с моими персональными данными следующие действия (операции) с использованием средств автоматизации или без использования таких средств: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ, в том числе третьим лицам, привлекаемым Оператором для исполнения Договора и/или оказания технической поддержки при обработке данных, при условии соблюдения такими лицами требований законодательства РФ о защите персональных данных и настоящего согласия – например, подрядчикам, платежным системам, курьерским службам), обезличивание, блокирование, удаление, уничтожение персональных данных.

**4. Срок действия согласия и порядок отзыва:**
4.1. Настоящее согласие действует со дня его подписания и до момента достижения целей обработки персональных данных, либо до момента отзыва мною настоящего согласия, либо в течение [Укажите конкретный срок, например: 5 (пяти) лет после прекращения Договора с Оператором, если это обосновано целями или требованиями законодательства, либо "до момента отзыва мной настоящего согласия"], в зависимости от того, какое событие наступит ранее.
4.2. Я уведомлен(а) о том, что вправе в любое время отозвать настоящее согласие путем направления Оператору письменного заявления по адресу: [Почтовый адрес Оператора для корреспонденции] или на адрес электронной почты: [Контактный Email Оператора для отзыва согласий]. Отзыв согласия на обработку персональных данных для целей, указанных в п. 1.1 и 1.2, может повлечь невозможность дальнейшего исполнения Договора Оператором.

**5. Согласие на получение маркетинговых коммуникаций (рекламы):**

[ ] Я СОГЛАСЕН(НА)
[ ] Я НЕ СОГЛАСЕН(НА)
*(Пожалуйста, отметьте один из вариантов)*

на получение от Оператора информационных и маркетинговых сообщений (в том числе рекламы) об услугах, акциях, специальных предложениях Оператора по сетям электросвязи, включая телефонную связь (звонки, SMS-сообщения), электронную почту, мессенджеры (Telegram, WhatsApp и др.) по указанным мной в настоящем согласии или Договоре контактным данным.
Я уведомлен(а), что могу в любое время отказаться от получения указанных маркетинговых сообщений, уведомив об этом Оператора способом, указанным в п. 4.2 настоящего Согласия, или следуя инструкциям в самих сообщениях (например, ссылка "отписаться" в email).

**6. Подтверждение:**
Подписывая настоящее согласие, я подтверждаю, что:
* действую свободно, своей волей и в своем интересе;
* предоставленные мной персональные данные являются достоверными и актуальными;
* ознакомлен(а) с положениями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", права и обязанности в области защиты персональных данных мне разъяснены и понятны;
* ознакомлен(а) с Политикой обработки персональных данных Оператора ([ссылка на Политику Оператора на сайте, например: [Адрес сайта Оператора]/privacy-policy] или указание на то, что Политика предоставлена иным способом);
* уведомлен(а) о том, что Оператор будет осуществлять обработку моих персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

**Субъект персональных данных (Клиент):**_________________________ / [Фамилия И.О. Клиента] /
(подпись)

**Оператор:**

Индивидуальный предприниматель [Фамилия Имя Отчество Индивидуального предпринимателя]

_________________________ / [Фамилия И.О. ИП] /
(подпись)
М.П. (при наличии)

2. Шаблон: Пункт об обработке персональных данных для включения в основной договор с Клиентом (Заказчиком)

Этот шаблон основан на содержании соответствующего раздела из документа "ЗАК Шаблон Договора ИП Зюзин 2025 (1).docx", который вы предоставили, с удалением ваших персональных данных и заменой их на плейсхолдеры

## Статья [Номер Статьи]. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Клиент (если Клиент – физическое лицо) или представитель Клиента (если Клиент – юридическое лицо, и предоставляются персональные данные представителя) дает свое согласие Индивидуальному предпринимателю
**[Фамилия Имя Отчество Индивидуального предпринимателя]** (ОГРНИП [ОГРНИП Оператора], далее – «Исполнитель» [*или иное наименование Стороны по Договору, например, «Продавец»*]) на обработку своих персональных данных, предоставленных при заключении и в ходе исполнения настоящего Договора.

2. Цели обработки персональных данных: надлежащее исполнение настоящего Договора, включая, но не ограничиваясь: идентификацию Стороны, проведение расчетов, предоставление услуг/выполнение работ, информирование об исполнении Договора, рассмотрение претензий, а также соблюдение требований действующего законодательства РФ.

3. Более подробный перечень обрабатываемых персональных данных, целей и действий с персональными данными содержится в Политике обработки персональных данных Исполнителя, размещенной по адресу: [Ссылка на Политику Оператора на сайте, например: [Адрес сайта Оператора]/privacy-policy] (далее – Политика), и/или в отдельно подписываемом Сторонами Согласии на обработку персональных данных.

4. Перечень обрабатываемых персональных данных включает как минимум: фамилию, имя, отчество, контактный телефон, адрес электронной почты, а также иные данные, необходимые для исполнения Договора и указанные в Политике и/или отдельном Согласии на обработку персональных данных. Конкретный перечень обрабатываемых персональных данных, на которые Клиент дает согласие, определен в Политике и/или отдельном Согласии на обработку персональных данных и включает: фамилия, имя, отчество, дата и место рождения, социальное, имущественное и семейное положения, адреса регистрации, места жительства, электронной почты, номер телефона, ИНН, гражданство, СНИЛС, данные документа удостоверяющего личность, данные водительского удостоверения, реквизиты банковского счет и банковской карты, сведения о трудовой деятельности, фото, видео изображения.

5. Перечень действий с персональными данными, на совершение которых дается согласие: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6. Подписывая настоящий Договор, Клиент подтверждает, что он ознакомлен и согласен с условиями обработки его персональных данных, изложенными в Политике обработки персональных данных Исполнителя и/или в отдельно подписанном Согласии на обработку персональных данных. Клиент уведомлен о своих правах, включая право на отзыв согласия в порядке, установленном Политикой и/или отдельным Согласием.

7. Получение маркетинговых и рекламных сообщений от Исполнителя осуществляется только при наличии отдельного явно выраженного согласия Клиента, предоставленного в соответствии с действующим законодательством РФ (например, в рамках отдельного Согласия на обработку персональных данных и получение маркетинговых коммуникаций или путем проставления соответствующей отметки на сайте Исполнителя).

Часть 2: Документы для взаимодействия с Подрядчиками (Исполнителями)

1. Шаблон: Пункт об обработке персональных данных (Поручение Оператора) для включения в НОВЫЕ договоры гражданско-правового характера (ГПХ) с Подрядчиками/Исполнителями

Этот шаблон основан на содержании соответствующего раздела из документа "ПОД ИП - Зюзин (brocast.team) Договор шаблон 2025.docx", который вы предоставили, с заменой данных Оператора (вас) на плейсхолдеры.

## Раздел [Номер Раздела]. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ (ПОРУЧЕНИЕ ОПЕРАТОРА)

1. В случае если при исполнении настоящего Договора Исполнителю (Подрядчику) для целей исполнения Договора необходимо совершать обработку персональных данных, предоставляемых Заказчиком (Индивидуальный предприниматель
**[Фамилия Имя Отчество Индивидуального предпринимателя]**, ОГРНИП [ОГРНИП Оператора], далее – «Оператор») или получаемых Исполнителем (Подрядчиком) от имени и по поручению Оператора, Исполнитель (Подрядчик) обязуется осуществлять такую обработку в строгом соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" и иными нормативными правовыми актами Российской Федерации в области персональных данных, а также в соответствии с настоящим разделом Договора, который является поручением Оператора на обработку персональных данных.

2.
**Цели обработки персональных данных Исполнителем (Подрядчиком) по поручению Оператора:** обеспечение выполнения работ/оказания услуг по настоящему Договору, взаимодействие с клиентами Оператора по вопросам, связанным с исполнением настоящего Договора, продвижения товаров, услуг, работ на рынке Оператора[cite: 144].

3.
**Перечень персональных данных, подлежащих обработке Исполнителем (Подрядчиком) по поручению Оператора:** фамилия, имя, отчество, дата и место рождения, социальное, имущественное и семейное положения, адреса регистрации, места жительства, электронной почты, номер телефона, ИНН, гражданство, СНИЛС, данные документа удостоверяющего личность, данные водительского удостоверения, реквизиты банковского счет и банковской карты, сведения о трудовой деятельности, фото, видео изображения[cite: 145]. Объем обрабатываемых данных должен быть минимально необходимым для достижения указанных целей[cite: 146].

4.
**Перечень действий (операций) с персональными данными, совершаемых Исполнителем (Подрядчиком) по поручению Оператора:** сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных[cite: 147].

5.
**Исполнитель (Подрядчик) обязан:** 5.1. Соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных[cite: 148]. Перечень конкретных мер согласовывается Сторонами в Приложении к настоящему Договору или определяется Исполнителем (Подрядчиком) самостоятельно на уровне не ниже требований, установленных законодательством РФ, и требований Оператора[cite: 149].
5.2. Использовать базы данных, находящиеся на территории Российской Федерации, для записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан Российской Федерации, если иное не согласовано с Оператором в письменной форме и не противоречит законодательству РФ[cite: 150].
5.3. Не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или Оператора, если иное не предусмотрено федеральным законом[cite: 151].
5.4. Осуществлять обработку персональных данных только по поручению Оператора и только в целях, указанных в п. 2 настоящего раздела[cite: 152]. (Примечание: в вашем документе [cite: 152] ссылка на п. 1.2, здесь исправлено на п.2 для соответствия нумерации этого шаблона).
5.5. По запросу Оператора предоставлять информацию о мерах, принимаемых для обеспечения выполнения обязанностей, возложенных настоящим поручением[cite: 153].
5.6. В случае выявления неправомерной обработки персональных данных при исполнении настоящего Договора незамедлительно уведомить об этом Оператора[cite: 154].
5.7. Прекратить обработку персональных данных и уничтожить их (либо обеспечить их уничтожение) по достижении целей обработки или в случае утраты необходимости в их достижении, а также по окончании срока действия настоящего Договора или его расторжения, если иное не предусмотрено законодательством РФ или соглашением Сторон[cite: 155]. Факт уничтожения подтверждается соответствующим актом[cite: 156].
5.8. Не привлекать к обработке персональных данных третьих лиц (субобработчиков) без предварительного письменного согласия Оператора[cite: 156]. В случае получения такого согласия, Исполнитель (Подрядчик) несет перед Оператором ответственность за действия таких третьих лиц как за свои собственные[cite: 157].

6. Исполнитель (Подрядчик) несет ответственность перед Оператором за неисполнение или ненадлежащее исполнение обязанностей по обработке персональных данных, установленных настоящим разделом и законодательством РФ[cite: 158]. Оператор несет ответственность перед субъектом персональных данных за действия Исполнителя (Подрядчика) в случае, если Исполнитель (Подрядчик) обрабатывал персональные данные с нарушением настоящего поручения[cite: 159].
7. В случае возникновения штрафов или иных требований к Заказчику (Оператору) по причине действий или бездействий Исполнителя (Обработчика), Исполнитель обязуется самостоятельно урегулировать такие требования и оплатить штрафы и дополнительно возникшие издержки и налоги[cite: 160].
8. Настоящее поручение действует в течение срока действия Договора и до момента полного исполнения Исполнителем (Подрядчиком) своих обязательств по обработке и/или уничтожению персональных данных[cite: 161].

2. Шаблон: Дополнительное соглашение к Договору об обработке персональных данных (Поручение на обработку персональных данных) для СУЩЕСТВУЮЩИХ Подрядчиков/Исполнителей

Этот шаблон основан на содержании документа "ПОД Согласие обработчик ПД.docx", который вы предоставили, с заменой данных Оператора (вас) и Обработчика на плейсхолдеры. Обратите внимание, что перечень ПДн здесь немного отличается от приведенного выше в договоре; рекомендуется привести их к единообразию, используя наиболее полный и актуальный список для вашей деятельности, как в п.3 предыдущего шаблона, если это применимо ко всем подрядчикам.

# Дополнительное соглашение № [Номер Доп. соглашения]
# к Договору [название основного договора] № [Номер основного договора] от [Дата основного договора] г.
# об обработке персональных данных (Поручение на обработку персональных данных)

г. [Место заключения] \
[Дата заключения доп. соглашения] г.

Индивидуальный предприниматель
**[Фамилия Имя Отчество Индивидуального предпринимателя]**, ОГРНИП [ОГРНИП Оператора], ИНН [ИНН Оператора], действующий на основании Свидетельства о государственной регистрации физического лица в качестве индивидуального предпринимателя, именуемый в дальнейшем «**Оператор**», с одной стороны, и

**[Полное наименование/ФИО Подрядчика/Исполнителя]**, [ОГРНИП/ОГРН для юр.лиц/ИП или паспортные данные для физ.лиц, не ИП], адрес: [Адрес Подрядчика/Исполнителя], именуемый в дальнейшем «**Обработчик**», с другой стороны, совместно именуемые «Стороны», заключили настоящее Дополнительное соглашение о нижеследующем:

1. В связи с исполнением Договора [название основного договора] № [Номер основного договора] от [Дата основного договора] г. (далее – «Основной договор») Оператор поручает, а Обработчик принимает на себя обязательство осуществлять обработку персональных данных на условиях, определенных настоящим Дополнительным соглашением, в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" и иными нормативными правовыми актами Российской Федерации в области персональных данных[cite: 86, 87].

2.
**Цели обработки персональных данных Обработчиком:** обеспечение выполнения работ/оказания услуг по Договору, взаимодействие с клиентами Заказчика (Оператора) по вопросам, связанным с исполнением Договора, продвижения товаров, услуг, работ на рынке[cite: 88].

3.
**Перечень персональных данных, подлежащих обработке Обработчиком по поручению Оператора:** фамилия, имя, отчество, дата и место рождения, социальное положение, адреса регистрации, места жительства, электронной почты, номер телефона, ИНН, гражданство, СНИЛС, данные документа удостоверяющего личность, данные водительского удостоверения, реквизиты банковского счет и банковской карты, сведения о трудовой деятельности, фото, видео изображения[cite: 89]. *(Рекомендация: сверьте этот список со списком в п.3 предыдущего шаблона и при необходимости унифицируйте).* Объем обрабатываемых данных должен быть минимально необходимым для достижения указанных целей[cite: 90].

4.
**Перечень действий (операций) с персональными данными, совершаемых Обработчиком:** сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных[cite: 91].

5.
**Обработчик обязан:** 5.1. Соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных[cite: 93]. Конкретные меры должны соответствовать требованиям статьи 19 Федерального закона № 152-ФЗ[cite: 94].
5.2. Использовать базы данных, находящиеся на территории Российской Федерации, для записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан Российской Федерации при их сборе по поручению Оператора[cite: 95].
5.3. Не раскрывать третьим лицам и не распространять персональные данные без согласия Оператора, если иное не предусмотрено федеральным законом[cite: 96].
5.4. Осуществлять обработку персональных данных только по поручению Оператора и только в целях, указанных в п. 2 настоящего Дополнительного соглашения[cite: 97].
5.5. По запросу Оператора в течение 5 (пяти) рабочих дней предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора положений Федерального закона № 152-ФЗ[cite: 98].
5.6. Незамедлительно уведомлять Оператора о любых фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, а также о любых инцидентах, связанных с нарушением безопасности персональных данных[cite: 99].
5.7. Прекратить обработку персональных данных и уничтожить их (либо обеспечить их уничтожение) в течение 30 (тридцати) календарных дней по достижении целей обработки, по окончании срока действия Основного договора или его расторжения, либо по требованию Оператора, если иное не предусмотрено законодательством РФ[cite: 100]. Факт уничтожения подтверждается соответствующим актом, предоставляемым Оператору[cite: 101].
5.8. Не привлекать к обработке персональных данных, порученной Оператором, других лиц (субобработчиков) без предварительного письменного согласия Оператора[cite: 101]. В случае получения такого согласия, Обработчик несет перед Оператором ответственность за действия субобработчиков как за свои собственные, обеспечив наличие аналогичных обязательств у субобработчика[cite: 102].

6. Оператор вправе проверять соответствие обработки персональных данных Обработчиком настоящему поручению и требованиям законодательства РФ[cite: 103].

7. Обработчик несет ответственность перед Оператором за убытки, причиненные Оператору вследствие неисполнения или ненадлежащего исполнения Обработчиком обязательств, предусмотренных настоящим Дополнительным соглашением и законодательством РФ о персональных данных[cite: 104]. Оператор несет ответственность перед субъектом персональных данных за действия Обработчика, если докажет, что Обработчик действовал не в соответствии с его указаниями[cite: 105].

8. Настоящее Дополнительное соглашение вступает в силу с момента его подписания Сторонами и действует в течение срока действия Основного договора, а в части обязательств по обработке и уничтожению персональных данных – до их полного исполнения[cite: 106].

9. Во всем остальном, что не урегулировано настоящим Дополнительным соглашением, Стороны руководствуются положениями Основного договора и действующим законодательством Российской Федерации[cite: 107].

10. Настоящее Дополнительное соглашение составлено в двух экземплярах, имеющих одинаковую юридическую силу, по одному для каждой из Сторон[cite: 108].

**ПОДПИСИ СТОРОН:****Оператор:**
Индивидуальный предприниматель [Фамилия Имя Отчество Индивидуального предпринимателя]
ОГРНИП [ОГРНИП Оператора]
ИНН [ИНН Оператора]
Адрес: [Юридический адрес Оператора]
Контакты: [Контактный Email и/или Телефон Оператора]

_________________________ / [Фамилия И.О. ИП] /
М.П. (при наличии)

**Обработчик:**
[Полное наименование/ФИО Подрядчика/Исполнителя]
[ОГРНИП/ОГРН/ИНН/Паспортные данные Подрядчика]
Адрес: [Адрес Подрядчика/Исполнителя]
Контакты: [Контактный Email и/или Телефон Подрядчика]

_________________________ / [Фамилия И.О. Подрядчика или уполномоченного лица] /
М.П. (при наличии у юр.лица/ИП)

Часть 3: Шаблоны внутренних документов (Политика и Приказы)

1. Шаблон: Политика в отношении обработки персональных данных

Этот шаблон основан на тексте Политики, который вы предоставили и утвердили, с удалением ваших конкретных данных и заменой их на плейсхолдеры. Все условия, структура и формулировки сохранены в соответствии с вашим документом.

УТВЕРЖДЕНО
Приказом Индивидуального предпринимателя
[Фамилия Имя Отчество Индивидуального предпринимателя]
№ [Номер Приказа об утверждении Политики] от «[Дата Приказа об утверждении Политики]»
Версия 1.0

**ПОЛИТИКА
в отношении обработки персональных данных
Индивидуального предпринимателя [Фамилия Имя Отчество Индивидуального предпринимателя]**


г. [Город]
[Дата введения Политики в действие]

**1. ОБЩИЕ ПОЛОЖЕНИЯ**

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) Индивидуального предпринимателя [Фамилия Имя Отчество Индивидуального предпринимателя] (далее – Оператор) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон «О персональных данных»), а также иных нормативных правовых актов Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных, которые Оператор может получить от субъектов персональных данных.
1.2. Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых у Оператора персональных данных, функции Оператора при обработке персональных данных, права субъектов персональных данных, а также реализуемые у Оператора требования к защите персональных данных.
1.3. Политика является общедоступным документом, декларирующим основы деятельности Оператора при обработке персональных данных. Оператор обеспечивает неограниченный доступ к настоящей Политике, в том числе путем ее публикации на официальном сайте Оператора в сети Интернет по адресу: [Адрес сайта Оператора, например, https://вашсайт.рф/privacy-policy].
1.4. Основные понятия, используемые в Политике:
* Оператор персональных данных (Оператор) – Индивидуальный предприниматель [Фамилия Имя Отчество Индивидуального предпринимателя], самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
* Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
* Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
* Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
* Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
* Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
* Конфиденциальность персональных данных – обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
* Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.5. Сведения об Операторе:
Индивидуальный предприниматель [Фамилия Имя Отчество Индивидуального предпринимателя]
ОГРНИП: [ОГРНИП Оператора]
ИНН: [ИНН Оператора]
Адрес регистрации: [Юридический адрес Оператора]
Контактные данные для обращений по вопросам обработки персональных данных:
Email: [Контактный Email Оператора для ПДн]
Почтовый адрес: [Почтовый адрес Оператора для корреспонденции]
1.6. Настоящая Политика вступает в силу с момента ее утверждения Оператором и действует бессрочно до замены ее новой версией Политики.

**2. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ**

2.1. Обработка персональных данных Оператором осуществляется на основе следующих принципов:
* законности и справедливости целей и способов обработки персональных данных;
* соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
* соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
* достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
* недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
* обеспечения хранения персональных данных не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
* уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в их достижении, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом;
* обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.
2.2. Оператор осуществляет обработку персональных данных в следующих целях:
2.2.1. В отношении Клиентов (физических лиц, представителей юридических лиц и индивидуальных предпринимателей):
* Заключение, исполнение, изменение и прекращение договоров на оказание услуг в сфере [Укажите основную сферу деятельности, например: видеопроизводства и организации трансляций], а также иных сопутствующих услуг.
* Идентификация стороны в рамках договоров.
* Осуществление расчетов по заключенным договорам.
* Обеспечение взаимодействия с Клиентами в процессе оказания услуг, включая направление уведомлений, запросов и информации, касающихся исполнения договоров.
* Обработка запросов и заявок от Клиентов.
* Предоставление Клиентам информации об услугах Оператора, специальных предложениях, акциях, мероприятиях, а также направление новостных и маркетинговых рассылок (рекламы) Оператора (при наличии соответствующего согласия Клиента).
* Проведение опросов, анкетирования, исследований для улучшения качества услуг Оператора.
* Ведение клиентской базы.
* Соблюдение требований действующего законодательства Российской Федерации.
2.2.2. В отношении Подрядчиков/Исполнителей (физических лиц, представителей юридических лиц и индивидуальных предпринимателей, привлекаемых Оператором для выполнения работ/оказания услуг):
* Заключение, исполнение, изменение и прекращение договоров гражданско-правового характера.
* Идентификация стороны в рамках договоров.
* Осуществление расчетов по заключенным договорам.
* Обеспечение взаимодействия в процессе исполнения договоров.
* Соблюдение требований действующего законодательства Российской Федерации.
2.2.3. В отношении Соискателей (физических лиц, претендующих на заключение договоров гражданско-правового характера или найм с Оператором):
* Рассмотрение кандидатур для заключения договоров гражданско-правового характера на выполнение работ/оказание услуг.
* Формирование кадрового резерва (с согласия соискателя).
* Связь с соискателями по вопросам трудоустройства/сотрудничества.

**3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ**

3.1. Правовыми основаниями обработки персональных данных Оператором являются:
* Конституция Российской Федерации;
* Гражданский кодекс Российской Федерации;
* Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
* Иные федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
* Договоры, заключаемые между Оператором и субъектами персональных данных;
* Согласия субъектов персональных данных на обработку их персональных данных;
* Сведения о государственной регистрации Оператора в качестве индивидуального предпринимателя.

**4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ**

4.1. Категории субъектов персональных данных, чьи данные обрабатываются Оператором:
* Клиенты/Заказчики: физические лица, а также представители/работники юридических лиц и индивидуальных предпринимателей, являющиеся заказчиками или потенциальными заказчиками услуг Оператора.
* Подрядчики/Исполнители: физические лица, а также представители/работники юридических лиц и индивидуальных предпринимателей, привлекаемые Оператором к выполнению работ/оказанию услуг на основании гражданско-правовых договоров.
* Соискатели: физические лица, претендующие на заключение гражданско-правовых договоров с Оператором.
* Участники мероприятий, съемок, трансляций: физические лица, чьи изображения и иные персональные данные обрабатываются в связи с их участием в видеопроизводстве или трансляциях, организуемых или проводимых Оператором для Клиентов или для собственных нужд Оператора (с их согласия или на иных законных основаниях).
* Посетители сайта Оператора, заполняющие формы обратной связи.
4.2. Объем и категории обрабатываемых персональных данных:
4.2.1. Для Клиентов:
Фамилия, имя, отчество, дата и место рождения, социальное, адреса регистрации, места жительства, электронной почты, номер телефона, ИНН, гражданство, СНИЛС, данные документа удостоверяющего личность, данные водительского удостоверения, фото, видео изображения (в том числе в рамках создаваемого видеоконтента или проводимых трансляций), сведения о заказываемых/полученных услугах, а также иные персональные данные, необходимые для заключения и исполнения договора и предоставленные Клиентом или его представителем. (*Примечание: в Политике пользователя были также "имущественное и семейное положения", "реквизиты банковского счета и банковской карты", "сведения о трудовой деятельности". Если они актуальны для всех клиентов, их следует оставить. В данном шаблоне я использую версию из п. 4.2.1 вашей Политики, где они отсутствуют, но в Согласии клиента они есть. Рекомендуется унифицировать или четко разделить, когда какие данные собираются.*).
4.2.2. Для Подрядчиков/Исполнителей:
Фамилия, имя, отчество, дата и место рождения, паспортные данные, ИНН, СНИЛС, адрес регистрации/проживания, контактный телефон, адрес электронной почты, банковские реквизиты, сведения об образовании, квалификации, опыте работы, портфолио (включая фото и видеоматериалы, если применимо к характеру выполняемых работ), а также иные персональные данные, необходимые для заключения и исполнения договора.
4.2.3. Для Соискателей:
Фамилия, имя, отчество, дата рождения, контактная информация (телефон, email), сведения об образовании, опыте работы, профессиональных навыках, а также иные данные, содержащиеся в резюме или анкете соискателя. Фото и видеоизображения соискателей обрабатываются только с их отдельного согласия для конкретных целей (например, для внутреннего кадрового учета).
4.2.4. Для Участников мероприятий, съемок, трансляций:
Фамилия, имя, отчество (если сообщаются), фото и видеоизображения, голос, а также иные персональные данные, которые могут стать известны в процессе съемки/трансляции и необходимы для создания конечного продукта в соответствии с договором с Клиентом или целями Оператора (при условии получения необходимых согласий или наличия иных законных оснований).
4.2.5. Для Посетителей сайта Оператора:
IP-адрес, информация из cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к сайту), время доступа, адрес запрашиваемой страницы.
4.2.6. Для Посетителей сайта Оператора, заполнивших формы:
Имя, номер телефона, адрес электронной почты.
4.3. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, по возможности, не обрабатывает персональные данные, избыточные по отношению к заявленным целям.
4.4. Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния интимной жизни, не осуществляется. Обработка персональных данных о состоянии здоровья возможна только в случаях, предусмотренных законодательством (например, если это связано с обеспечением безопасности на съемочной площадке и только с согласия субъекта).
4.5. Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) не производится. *(Примечание: Если фото/видеоизображения людей используются для их однозначной идентификации (а не просто как часть репортажа/фильма), это может считаться обработкой биометрии и требует отдельного письменного согласия. В вашей Политике указано "не производится", что является наиболее безопасной позицией, если нет специальных процедур для этого.)*

**5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ**

5.1. Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без использования таких средств (смешанная обработка).
5.2. Действия, совершаемые с персональными данными Оператором, включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.3. Хранение персональных данных:
5.3.1. Персональные данные субъектов хранятся в электронном виде в информационных системах персональных данных Оператора, а также на материальных носителях (в случаях, предусмотренных законодательством или при необходимости).
5.3.2. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (в частности, используются облачные сервисы [Название облачного провайдера, например, ООО «ЯНДЕКС»] и другие сервисы, обеспечивающие локализацию данных в РФ).
5.3.3. Сроки хранения персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками хранения документов, установленными законодательством об архивном деле, другими требованиями законодательства, а также сроком действия согласия субъекта на обработку его персональных данных. Персональные данные хранятся не дольше, чем этого требуют цели их обработки.
5.3.4. По достижении целей обработки или в случае утраты необходимости в их достижении, а также при отзыве субъектом согласия на обработку ПДн (если отсутствуют иные законные основания для обработки), ПДн подлежат уничтожению либо обезличиванию. Порядок уничтожения ПДн определяется Оператором во внутренних документах.
5.4. Передача персональных данных третьим лицам:
5.4.1. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.4.2. Оператор вправе поручить обработку персональных данных другому лицу (обработчику) с согласия субъекта персональных данных или при наличии иных законных оснований, на основании заключаемого с этим лицом договора (поручения на обработку персональных данных). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом «О персональных данных», и несет ответственность перед Оператором. Оператор несет ответственность перед субъектом персональных данных за действия указанного лица. В настоящее время Оператор привлекает подрядчиков (исполнителей) для выполнения отдельных работ в рамках своей деятельности, с которыми заключаются соответствующие договоры, включающие положения об обработке персональных данных.
5.5. Трансграничная передача персональных данных:
5.5.1. Оператор не осуществляет трансграничную передачу персональных данных на территорию иностранных государств, за исключением случаев, когда:
* имеется письменное согласие субъекта персональных данных на трансграничную передачу его персональных данных;
* это необходимо для исполнения договора, стороной которого является субъект персональных данных;
* это предусмотрено международными договорами Российской Федерации;
* это необходимо для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения письменного согласия субъекта персональных данных.
5.5.2. В случае осуществления трансграничной передачи персональных данных Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться только в случаях, прямо предусмотренных Законом «О персональных данных».
*(Примечание для Оператора: Если используются облачные сервисы, чьи серверы или серверы их субподрядчиков могут находиться за пределами РФ, этот пункт требует внимательной проверки и возможной корректировки, а также соответствующего уведомления РКН. Формулировка в вашей Политике уже содержала подобное примечание – важно его учесть на практике).*
5.6. Актуализация и исправление персональных данных:
Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их. Субъекты ПДн имеют право требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

**6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ**

6.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьями 18.1 и 19 Закона «О персональных данных».
6.2. К таким мерам, в частности, относятся:
* Назначение лица, ответственного за организацию обработки персональных данных (Индивидуальный предприниматель [Фамилия Имя Отчество Индивидуального предпринимателя]).
* Издание настоящей Политики и других локальных актов, регламентирующих обработку и защиту персональных данных.
* Ознакомление лиц, непосредственно осуществляющих обработку персональных данных по поручению Оператора (подрядчиков), с положениями законодательства РФ о персональных данных и локальными актами Оператора.
* Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных, включая:
* определение угроз безопасности персональных данных при их обработке в ИСПДн;
* применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
* применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (при необходимости);
* оценка эффективности принимаемых мер по обеспечению безопасности ПДн;
* учет машинных носителей персональных данных (при их использовании);
* обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
* восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (включая резервное копирование);
* установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
* контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
* Использование антивирусных средств, средств защиты от несанкционированного доступа (межсетевые экраны, системы аутентификации и авторизации).
* Организация режима обеспечения безопасности при работе с персональными данными.
* Осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике.

**7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ**

7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
7.2. Субъект персональных данных вправе требовать от Оператора:
* подтверждения факта обработки его персональных данных Оператором;
* правовых оснований и целей обработки персональных данных;
* целей и применяемых Оператором способов обработки персональных данных;
* наименования и места нахождения Оператора, сведений о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
* обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источника их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
* сроков обработки персональных данных, в том числе сроков их хранения;
* порядка осуществления субъектом персональных данных прав, предусмотренных Законом «О персональных данных»;
* информации об осуществленной или о предполагаемой трансграничной передаче данных;
* наименования или фамилии, имени, отчества и адреса лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
* уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.3. Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных в любое время. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе «О персональных данных».
7.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
7.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
7.6. Запросы и обращения субъектов персональных данных по вопросам обработки их персональных данных направляются Оператору в письменной форме по почтовому адресу: [Почтовый адрес Оператора для корреспонденции] или в форме электронного документа на адрес электронной почты: [Контактный Email Оператора для ПДн]. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 Закона «О персональных данных».
7.7. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя (если иной срок не предусмотрен законодательством).
*(Примечание: в вашей Политике был срок 30 дней, но ст. 14 и 20 152-ФЗ устанавливают более короткие сроки для ответа на первичный запрос – 10 рабочих дней для предоставления информации и возможности ознакомления, или 7 рабочих дней для ответа на требование об уточнении/блокировании/уничтожении. 30 дней - общий срок ответа на письменный запрос, но для конкретных прав он может быть короче. Рекомендуется уточнить и использовать наиболее строгие сроки.)***8. ОТВЕТСТВЕННОСТЬ**

8.1. Оператор несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.
8.2. Лица, виновные в нарушении требований Закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность (дисциплинарную, материальную, гражданско-правовую, административную, уголовную).

**9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ**

9.1. Настоящая Политика является внутренним документом Оператора, общедоступна и подлежит размещению на официальном сайте Оператора ([Адрес сайта Оператора]) или предоставляется по запросу.
9.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, а также по решению Оператора.
9.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора (Индивидуальный предприниматель [Фамилия Имя Отчество Индивидуального предпринимателя]).
9.4. Все вопросы, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

Часть 4: Шаблоны внутренних приказов Оператора персональных данных

1. Шаблон: Приказ о назначении ответственного за организацию обработки персональных данных

ИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ
[Фамилия Имя Отчество Индивидуального предпринимателя]
(ИП [Фамилия И.О. ИП])
ОГРНИП [ОГРНИП Оператора], ИНН [ИНН Оператора]

ПРИКАЗ № [Номер Приказа]

г. [Город] «[Дата Приказа]»

**О назначении ответственного за организацию обработки персональных данных**

В целях исполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и обеспечения надлежащей защиты персональных данных, обрабатываемых Индивидуальным предпринимателем [Фамилия Имя Отчество Индивидуального предпринимателя] (далее – Оператор),

ПРИКАЗЫВАЮ:

1. Назначить ответственным за организацию обработки персональных данных у Оператора Индивидуального предпринимателя [Фамилия Имя Отчество Индивидуального предпринимателя].
2. Ответственному за организацию обработки персональных данных в своей деятельности руководствоваться требованиями действующего законодательства Российской Федерации в области персональных данных, Политикой в отношении обработки персональных данных Оператора и иными локальными актами Оператора по вопросам обработки и защиты персональных данных.
3. Ответственный за организацию обработки персональных данных осуществляет внутренний контроль за соблюдением Оператором (включая самого ИП и привлекаемых подрядчиков в рамках их компетенций по договорам поручения) законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.
4. Контроль за исполнением настоящего Приказа оставляю за собой.
5. Настоящий Приказ вступает в силу с момента его подписания.

Индивидуальный предприниматель

___________________ / [Фамилия И.О. ИП] /

2. Шаблон: Приказ об утверждении Политики в отношении обработки персональных данных

ИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ
[Фамилия Имя Отчество Индивидуального предпринимателя]
(ИП [Фамилия И.О. ИП])
ОГРНИП [ОГРНИП Оператора], ИНН [ИНН Оператора]

ПРИКАЗ № [Номер Приказа об утверждении Политики]

г. [Город] «[Дата Приказа об утверждении Политики]»

**Об утверждении Политики в отношении обработки персональных данных**

В целях исполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных Индивидуальным предпринимателем [Фамилия Имя Отчество Индивидуального предпринимателя] (далее – Оператор),

ПРИКАЗЫВАЮ:

1. Утвердить и ввести в действие с «[Дата введения Политики в действие]» Политику в отношении обработки персональных данных Индивидуального предпринимателя [Фамилия Имя Отчество Индивидуального предпринимателя] (Приложение № 1 к настоящему Приказу).
2. Обеспечить неограниченный доступ к Политике в отношении обработки персональных данных, в том числе путем ее публикации на официальном сайте Оператора в сети Интернет по адресу: [Адрес сайта Оператора, где опубликована Политика].
3. Лицу, ответственному за организацию обработки персональных данных, руководствоваться утвержденной Политикой в своей деятельности и обеспечить контроль за ее соблюдением.
4. Контроль за исполнением настоящего Приказа оставляю за собой.
5. Настоящий Приказ вступает в силу с момента его подписания.

Индивидуальный предприниматель

___________________ / [Фамилия И.О. ИП] /

3. Шаблон: Приказ об утверждении перечня лиц, имеющих доступ к персональным данным

ИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ
[Фамилия Имя Отчество Индивидуального предпринимателя]
(ИП [Фамилия И.О. ИП])
ОГРНИП [ОГРНИП Оператора], ИНН [ИНН Оператора]

ПРИКАЗ № [Номер Приказа]

г. [Город] «[Дата Приказа]»

**Об утверждении перечня лиц, имеющих доступ к персональным данным**

В целях исполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обеспечения конфиденциальности и безопасности персональных данных, обрабатываемых Индивидуальным предпринимателем [Фамилия Имя Отчество Индивидуального предпринимателя] (далее – Оператор),

ПРИКАЗЫВАЮ:

1. Утвердить следующий перечень лиц, имеющих доступ к персональным данным, обрабатываемым Оператором, в объеме, необходимом для выполнения ими своих обязанностей:
* Индивидуальный предприниматель [Фамилия Имя Отчество Индивидуального предпринимателя].
*
*(При необходимости, если есть подрядчики с прямым системным доступом к ИСПДн Оператора, можно добавить строки вида:)* * *[Наименование подрядчика/ФИО подрядчика – физ.лица], на основании Договора № [Номер договора с подрядчиком] от [Дата договора с подрядчиком] и Поручения на обработку персональных данных (Дополнительного соглашения № [Номер доп.соглашения] от [Дата доп.соглашения]), в части [указать, к каким ПДн и информационным системам Оператора имеет доступ и для каких целей – например, "в части доступа к облачному хранилищу Оператора для выгрузки/загрузки файлов по проектам клиентов"].*2. Лицам, указанным в п.1 настоящего Приказа, при обработке персональных данных руководствоваться действующим законодательством Российской Федерации, Политикой Оператора в отношении обработки персональных данных и иными локальными актами Оператора.
3. Обязать лиц, указанных в п.1 настоящего Приказа, соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке.
4. Контроль за исполнением настоящего Приказа оставляю за собой.
5. Настоящий Приказ вступает в силу с момента его подписания.

Индивидуальный предприниматель

___________________ / [Фамилия И.О. ИП] /

4. Шаблон: Приказ об утверждении мест хранения материальных носителей персональных данных

ИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ
[Фамилия Имя Отчество Индивидуального предпринимателя]
(ИП [Фамилия И.О. ИП])
ОГРНИП [ОГРНИП Оператора], ИНН [ИНН Оператора]

ПРИКАЗ № [Номер Приказа]

г. [Город] «[Дата Приказа]»

**Об утверждении мест хранения материальных носителей персональных данных**

В целях обеспечения сохранности и конфиденциальности персональных данных, обрабатываемых на материальных носителях Индивидуальным предпринимателем [Фамилия Имя Отчество Индивидуального предпринимателя] (далее – Оператор), в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

1. Установить, что основным способом хранения персональных данных у Оператора является электронный вид с использованием информационных систем персональных данных, размещенных на защищенных облачных сервисах ([Название облачного провайдера, например, ООО «ЯНДЕКС»]), обеспечивающих локализацию баз данных на территории РФ.
2. В случае возникновения необходимости использования материальных носителей персональных данных (документы на бумажном носителе, такие как подписанные договоры, согласия, анкеты; съемные электронные носители информации и т.п.):
2.1. Утвердить в качестве мест хранения материальных носителей персональных данных, исключающих несанкционированный доступ к ним:
* [Указать конкретное место, например: запираемый металлический шкаф (сейф), расположенный по адресу: [Адрес местонахождения шкафа/сейфа, если отличается от основного адреса Оператора, или указать "по адресу регистрации Оператора"]].
* [Указать конкретное место, например: рабочее место Индивидуального предпринимателя [Фамилия И.О. ИП] при условии обеспечения отсутствия неконтролируемого доступа посторонних лиц к носителям в его отсутствие].
2.2. Возложить на ответственного за организацию обработки персональных данных (Индивидуального предпринимателя [Фамилия Имя Отчество Индивидуального предпринимателя]) контроль за соблюдением правил хранения материальных носителей персональных данных, их учетом (при необходимости) и порядком уничтожения.
3. Запретить хранение материальных носителей персональных данных в местах, не предусмотренных настоящим Приказом, и без обеспечения мер, исключающих несанкционированный доступ.
4. Контроль за исполнением настоящего Приказа оставляю за собой.
5. Настоящий Приказ вступает в силу с момента его подписания.

Индивидуальный предприниматель

___________________ / [Фамилия И.О. ИП] /

Часть 5: Шаблоны текстов для Уведомления об обработке персональных данных в Роскомнадзор

1. Шаблон: Текст для пункта "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»"

В целях обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами, Оператором (Индивидуальный предприниматель [Фамилия Имя Отчество Индивидуального предпринимателя], ОГРНИП [ОГРНИП Оператора]) реализуются следующие меры:

1. Организационные и правовые меры (ст. 18.1 Федерального закона «О персональных данных»):
* Назначено лицо, ответственное за организацию обработки персональных данных (Индивидуальный предприниматель [Фамилия Имя Отчество Индивидуального предпринимателя]).
* Разработаны и утверждены внутренние документы, определяющие политику Оператора в отношении обработки персональных данных, и локальные акты по вопросам обработки персональных данных (включая Политику обработки персональных данных, Положение об обработке персональных данных (при наличии), приказы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений). Политика обработки персональных данных опубликована (или обеспечен неограниченный доступ к ней иным способом по адресу: [Адрес сайта Оператора, где опубликована Политика]).
* Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора.
* Проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», и осуществляется соотнесение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».
* Лица, непосредственно осуществляющие обработку персональных данных по поручению Оператора (привлекаемые подрядчики/исполнители), ознакомлены (или: будут ознакомлены в рамках договорных отношений) с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. С подрядчиками/исполнителями, обрабатывающими персональные данные по поручению Оператора, заключаются договоры (поручения на обработку персональных данных), содержащие требования по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
* Обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (используются серверные мощности и облачные сервисы [Название облачного провайдера, например, ООО «ЯНДЕКС» или иного российского провайдера], обеспечивающие размещение баз данных на территории РФ).

2. Меры по обеспечению безопасности персональных данных при их обработке (ст. 19 Федерального закона «О персональных данных»):
* Определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) с учетом специфики деятельности Оператора и актуальных угроз.
* Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных. Данные меры включают:
* Организацию режима обеспечения безопасности помещений (при их наличии и использовании для обработки ПДн на материальных носителях или размещения компонентов ИСПДн), в которых размещена информационная система и хранятся материальные носители персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
* Обеспечение сохранности носителей персональных данных.
* Утверждение перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими должностных (договорных) обязанностей.
* Реализацию разрешительной системы доступа к информационным ресурсам, программным средствам обработки и защиты информации.
* Использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (в случае, если применение таких средств необходимо для нейтрализации актуальных угроз и соответствует определенному уровню защищенности).
* Проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (или при ее модернизации).
* Обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер.
* Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (посредством процедур резервного копирования и восстановления данных).
* Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета (по возможности) действий, совершаемых с персональными данными в информационной системе персональных данных.
* Постоянный контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
* Применяются технические средства и программное обеспечение, направленные на защиту от несанкционированного доступа, вредоносного программного обеспечения и иных угроз безопасности.

2. Шаблон: Текст для пункта "Средства обеспечения безопасности"

Для обеспечения безопасности персональных данных Оператором (Индивидуальный предприниматель [Фамилия Имя Отчество Индивидуального предпринимателя]) используются следующие средства и принимаются следующие меры:

1. Программно-аппаратные средства и технические меры:
* Средства антивирусной защиты с регулярно обновляемыми базами (устанавливаются на рабочих станциях и устройствах, с которых осуществляется доступ к персональным данным).
* Межсетевые экраны (программные или аппаратные, включая встроенные в операционные системы и предоставляемые облачным провайдером на уровне инфраструктуры).
* Средства разграничения и контроля доступа к данным и функциям информационных систем (включая механизмы аутентификации и авторизации, предоставляемые операционными системами, прикладным ПО и облачными сервисами [Название облачного провайдера, например, ООО «ЯНДЕКС»]).
* Системы резервного копирования и восстановления данных (предоставляемые облачным провайдером и/или реализуемые Оператором для локальных данных).
* Средства криптографической защиты информации при передаче данных по открытым каналам связи (например, использование протокола HTTPS для сайта и веб-сервисов). Шифрование данных при хранении (если предоставляется и используется облачным провайдером или применяется Оператором для локальных хранилищ).
* Средства обеспечения безопасности, встроенные в облачные платформы и сервисы [Название облачного провайдера, например, ООО «ЯНДЕКС»], используемые для обработки и хранения персональных данных (могут включать средства защиты от DDoS-атак, системы мониторинга безопасности, инструменты управления идентификацией и доступом, средства логирования).

2. Организационные средства и меры:
* Применение парольной защиты для доступа к компьютерам, мобильным устройствам и информационным системам. Внедрение политики использования надежных паролей и их периодической смены (при необходимости). Использование двухфакторной аутентификации (где применимо и доступно).
* Контроль физического доступа к устройствам и материальным носителям, на которых могут храниться или обрабатываться персональные данные.
* Разработка и внедрение внутренних процедур по управлению инцидентами информационной безопасности.
* Ограничение и контроль доступа лиц к персональным данным в соответствии с их должностными (договорными) обязанностями.

3. Использование сертифицированных средств защиты информации:
* [Если используются сертифицированные ФСТЭК России или ФСБ России средства защиты информации, указать их наименование и реквизиты сертификатов. Если не используются или используются только встроенные в общесистемное ПО или облачные платформы несертифицированные средства, этот пункт можно опустить или указать: "Специальные сертифицированные средства защиты информации не применяются, безопасность обеспечивается комплексом организационных и технических мер, а также встроенными средствами защиты общесистемного программного обеспечения и используемых облачных платформ"].

⚠️Помните, что эти шаблоны – это основа. Каждому предпринимателю нужно будет внимательно их изучить, заполнить своими данными, при необходимости – адаптировать под свои уникальные процессы и, что самое главное, – реально внедрить все описанные процедуры и меры защиты на практике. Регулярный пересмотр и актуализация этих документов также очень важны.