Отличия политики оператора в отношении обработки персональных данных и положения об обработке персональных данных в следующем:
1) по характеру документа политика оператора в отношении обработки персональных данных – это внешний документ организации, который оператор обязан опубликовать или обеспечить к нему неограниченный доступ иным способом (часть 2 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ). В то время как положение об обработке персональных данных – это локальный нормативный акт организации, то есть ее внутренний документ. Такой вывод можно сделать из п. 2 части 1 ст. 18.1 Федерального закона N 152-ФЗ;
2) требования к содержанию политики оператора в отношении обработки персональных данных в законодательстве не установлены. Определение содержания политики отнесено к компетенции оператора (Письмо Роскомнадзора от 19.10.2021 N 08-71063). Для этого оператор может руководствоваться Рекомендациями Роскомнадзора. В то время как общие требования к содержанию положения об обработке персональных данных установлены в п. 2 части 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ;
3) требования к порядку принятия политики оператора в отношении обработки персональных данных в законодательстве не установлены. На практике ее обычно утверждает руководитель организации без каких-либо дополнительных согласований. В то время как положение, которое определяет в числе прочего порядок хранения и использования персональных данных работников организации, может потребовать согласования с профсоюзом при его наличии в организации (часть 2 ст. 8, ст. 87, часть 1 ст. 372 ТК РФ);
4) требования к ознакомлению работников организации с политикой и положением различаются. С положением, которое определяет в числе прочего порядок хранения и использования персональных данных работников организации, должны быть ознакомлены все ее работники под подпись (часть 2 ст. 22, часть 3 ст. 68, п. 8 части 1 ст. 86, ст. 87 ТК РФ), в то время как с политикой оператора в отношении обработки персональных данных в обязательном порядке должны быть ознакомлены только те работники, которые непосредственно осуществляют обработку персональных данных (п. 6 части 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ).
Требования оформлять политику и положение двумя разными документами в законодательстве нет. Можно утвердить единый документ с учетом всех изложенных выше требований. Однако на практике, как правило, принимают два документа. Лучше оформить отдельно политику в отношении обработки персональных данных и отдельно положение об обработке персональных данных для того, чтобы было проще подтвердить наличие в организации обоих этих документов.
Смотрите Образец политики оператора в отношении обработки персональных данных и Образец положения об обработке и защите персональных данных работников (иных лиц).
На заметку: о том, как опубликовать политику обработки персональных данных, рассказано в Готовом решении: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2025). О том, как составить и утвердить положение об обработке и защите персональных данных, рассказано в Путеводителе по кадровым вопросам. Персональные данные работников {КонсультантПлюс}.
О том, какая ответственность установлена за нарушения, связанные с персональными данными, рассказано в Готовом решении: Кто и какую ответственность несет за нарушение законодательства о персональных данных (КонсультантПлюс, 2025).
Читайте подробнее
Бухгалтерам
Кадровикам
