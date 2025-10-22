Ошибки при работе с персональными данными (ПДн) влекут за собой серьезные последствия: за наиболее критические нарушения штрафы для операторов могут достигать 20 млн, а в некоторых случаях — до 500 млн рублей. Обработка данных без согласия или использование не в заявленных целях, неуведомление Роскомнадзора — все это существенно увеличивает риски для компании.
Ошибка №1: не разработана Политика обработки ПДн
Одна из ключевых ошибок при работе с персональными данными — отсутствие Политики обработки ПДн. Это основной документ, регулирующий особенности обработки данных в организации. Политика должна быть опубликована на сайте, а если у компании есть офис — размещена на информационном стенде.
Важно! Штраф за необеспечение неограниченного доступа к Политике — до 60 000 рублей (ч.3 ст.13.11 КоАП).
Решение
Готовые шаблоны из интернета не подойдут: Роскомнадзор требует, чтобы политика отражала специфику компании, в которой она применяется (Рекомендации от 27.07.2017).
Вам необходимо разработать политику с учетом ваших процессов обработки данных и опубликовать ее так, чтобы любой человек мог с ней ознакомиться. Также нужно следить за актуальностью документа — при изменениях в законе или бизнес-процессах его нужно обновлять.
Ошибка №2: не ограничен доступ к персональным данным
При организации работы с персональными данными оператор обязан разграничить доступ к ним: его должны иметь только сотрудники, которым он нужен для выполнения обязанностей. Например, если у вас медицинская клиника, администратор может иметь доступ, а вот уборщица — нет.
Решение
Издайте приказ и укажите либо конкретных сотрудников (ФИО + должность), либо перечень должностей и подразделений, имеющих доступ к ПДн. Пропишите, к каким именно данным разрешен доступ — принцип «минимума необходимой информации» должен соблюдаться.
Ошибка №3: не назначен ответственный за обработку ПДн
Ошибка №3: не назначен ответственный за обработку ПДн
В каждой компании должен быть ответственный за обработку персональных данных. Им может быть только один человек: например, юрист, HR, бухгалтер или руководитель (ст.18.1, ст.22.1 ФЗ №152-ФЗ).
Решение
Издайте приказ о назначении ответственного, четко прописав его должностные обязанности и уровень полномочий. Важно, чтобы он мог давать указания другим сотрудникам по вопросам защиты персональных данных.
Ошибка №4: нет регистрации в реестре операторов
Каждый оператор обязан зарегистрироваться в реестре Роскомнадзора, если не входит в перечень исключений, предусмотренных ст. 22 ФЗ №152-ФЗ. Для этого подается уведомление об обработке ПДн еще до того, как компания начнет их обрабатывать.
Важно! Если не зарегистрироваться в реестре РКН, когда это обязательно по закону, организацию могут оштрафовать на сумму до 300 000 рублей (ч.10 ст.13.11 КоАП).
Решение
Подайте уведомление в Роскомнадзор на официальном сайте ведомства. При заполнении указывайте только те категории ПДн, с которыми реально собираетесь работать. Даже если вы уже приступили к обработке, все равно зарегистрироваться нужно: от штрафа это может не спасти, но есть шанс свести его к минимуму.
Ошибка №5: не проводится внутренний аудит
Еще одна ошибка при работе с персональными данными — нерегулярный аудит документов. Законодательство постоянно меняется, поэтому нужно своевременно все актуализировать: Политику, Положение об обработке ПДн, регламенты, инструкции и т.д.
Решение
Внедрите систему внутреннего контроля, которая будет оценивать соответствие процессов обработки данных законодательным требованиям. Для этого создайте специальную комиссию, уполномоченную проверять документы, анализировать рабочие процессы и вносить предложения по улучшению системы защиты персональных данных.
Такой аудит поможет вовремя выявить уязвимости и предотвратить возможные нарушения. Однако самостоятельная организация проверок требует глубокого знания законодательства — без помощи юристов здесь не обойтись, особенно когда речь идет о сложных бизнес-процессах или большом объеме обрабатываемых данных.
Ошибка №6: запрос лишних документов у сотрудников
Вы можете запрашивать у физлиц (сотрудников, клиентов) только те документы, которые нужны вам для заключения договора и исполнения обязательств. Например, если по договору ваша компания должна построить человеку дом, вы не можете требовать с него ИНН или сведения о трудовой деятельности.
Решение
Проверьте личные дела сотрудников и документы клиентов. Удалите копии ненужных документов после завершения кадровых процедур или исполнения обязательств по договору.
Важно! Простого удаления файла с ПК недостаточно: нужно создать комиссию по уничтожению персональных данных, оформить соответствующий акт и выгрузку из журнала действий в информационной системе (ИС).
Ошибка №7: нет согласия на обработку персональных данных
Такое согласие не требуется для работы с персональными данными сотрудников, поскольку обработка осуществляется в рамках исполнения трудового законодательства. Однако если вы запрашиваете ПДн соискателей, которые присылают вам анкеты, согласие должно быть.
Важно! Обработка ПДн без согласия, когда оно обязательно = штраф до 700 000 рублей (ч.2 ст.13.11 КоАП).
Решение
Еще до начала обработки ПДн разработайте шаблон согласия. В нем должны быть:
полные данные субъекта: ФИО, адрес, паспортные реквизиты;
сведения о представителе (при наличии) с указанием полномочий;
наименование и адрес оператора;
четкое указание цели обработки;
конкретный перечень обрабатываемых данных;
данные третьего лица, если обработка поручена ему;
перечень операций с данными и способы их обработки;
срок действия согласия и порядок его отзыва;
личная подпись субъекта.
Ошибка №8: нет согласия на передачу ПДн
Если вы передаете персональные данные сотрудников или клиентов для обработки в другой организации, нужно взять согласие с каждого. Например, при поручении расчета зарплаты бухгатерской компании по договору аутсорсинга оно обязательно.
Важно! За неправомерную передачу ПДн без согласия субъекта предусмотрен штраф до 5 млн рублей (ч.12 ст.13.11 КоАП).
Решение
Разработайте шаблон согласия, указав, какие данные и кому передаются, для каких целей. Согласия должны быть подписаны каждым субъектом, чьи данные вы направляете третьему лицу.
Ошибка №9: нет согласия на распространение ПДн
Размещение фотографии сотрудника на сайте или использование ФИО человека в рекламе — это распространение ПДн, на которое нужно согласие. Если вы его не возьмете, Роскомнадзор может оштрафовать на сумму до 5 млн рублей, так как это считается незаконным распространением.
Решение
Разработайте шаблон согласия на распространение ПДн. Укажите в нем, какие данные разрешены для распространения, в каких целях, срок действия согласия.
Ошибка №10: использование данных не для заявленных целей
Если вы возьмете копию сертификата о повышении квалификации, чтобы оформить трудовой договор с сотрудником, а затем разместите фотографию документа на сайте — так делать нельзя. В первом случае речь идет об обработке с целью заключения договора, а для распространения нужно отдельное согласие. Цели использования ПДн должны соответствовать целям, заявленным в согласии.
Решение
Учитывайте цели, указанные в договоре и Политике обработки персональных данных. Обязательно берите согласие для разных целей.
Ошибка №11: неправильная реакция на утечки
Не самая редкая ошибка при работе с персональными данными — сокрытие факта утечки от Роскомнадзора, чтобы избежать штрафа. По закону оператор обязан уведомить РКН в течение 24 часов с момента выявления утечки, а также в течение 72 часов провести расследование и отправить отчет в ведомство.
Важно! Если вы не уведомите РКН об утечке, в дальнейшем вас могут оштрафовать не только за необеспечение защиты ПДн (до 20 млн в зависимости от объема и типа данных), но и за неуведомление ведомства — до 3 млн рублей (ч.11 ст.13.11 КоАП).
Решение
Разработайте инструкцию по работе с персональными данными и регламент действий при обнаружении утечки, чтобы сотрудники знали пошаговый алгоритм. Обеспечьте защиту ПДн не только с технической, но и с юридической точки зрения.
Ошибка №12: использование запрещенного ПО для обработки данных
С 01.07.2025 года введен запрет на первичную обработку ПДн с помощью иностранных сервисов. Например, нельзя использовать Google Analytics и зарубежные мессенджеры: WhatsApp1, Telegram, Viber, Signal и т.д.
Решение
Пользуйтесь сервисами и ПО с серверами на территории РФ. Посмотреть перечень разрешенных программ можно в открытом реестре Минцифры.
Чтобы избежать штрафов за нарушение работы с персональными данными и не понести репутационные потери в случае утечки, доверьте оформление документов юристам. Эксперты сервиса Роском Онлайн гарантируют индивидуальный подход с учетом специфики вашей деятельности и оформят все в соответствии с ФЗ №152-ФЗ.
- Деятельность компании Meta Platforms Inc. (Facebook и Instagram) на территории РФ запрещена
