Персональные данные

Персональные данные под прицелом: разбираем критические ошибки в обработке персональных данных и их последствия

С 30 мая 2025 г. заработали обновлённые штрафные санкции за нарушения в обработке персональных данных. Но это не единственный риск для бизнеса. Есть множество нюансов, которые могут стоить миллионы. В статье разберем частые ошибки и дадим практические советы, как их избежать и защитить доход компании.

Риск №1. Незаконное применение инструментов Google: Google Analytics, Google Формы

Несмотря на регулярные предупреждения Роскомнадзора и экспертов на конференциях, многие сайты до сих пор используют Google Analytics и Google Формы, хотя это прямо запрещено в России.

Почему это незаконно?

Персональные данные должны храниться только в базах на территории РФ. Серверы Google расположены за рубежом, что противоречит закону о локализации данных.

Ч. 5 ст. 18 Закона «О персональных данных»: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.»

Как исправить?

Полностью отказаться от Google-сервисов. Вместо Analytics — Яндекс.Метрика, вместо Forms — Яндекс.Формы или другие российские аналоги.

Штрафы за нарушение:

• Граждане и самозанятые — 30 000–50 000 ₽,
• ИП и юрлица — 1–6 млн ₽ (ч. 8 ст. 13.11 КоАП РФ).

Лайфхак: нарушение легко выявить — специальные инструменты показывают, какие сервисы собирают данные с сайта.

Риск №2. Отсутствие предупреждения о сборе cookies на сайте

Согласно части 1 статьи 3 ФЗ «О персональных данных» и разъяснениям Роскомнадзора, cookies относятся к персональным данным. Судебная практика также подтверждает эту позицию. Значит, сбор такой информации без уведомления пользователей незаконен.

Как исправить ситуацию?

Добавьте на сайт cookie-баннер с текстом следующего содержания:

«Наш сайт использует cookie-файлы, включая инструменты веб-аналитики. Продолжая работу с ресурсом, вы соглашаетесь на обработку персональных данных через cookies. Подробнее — в Политике конфиденциальности.»

С 30 мая 2025 года штрафы выросли:

• Физлица: 10 000–15 000 ₽,
• ИП: 50 000–100 000 ₽,
• Компании: 150 000–300 000 ₽.

Не рискуйте — настройте уведомление заранее, чтобы не попасть под санкции. Проверить наличие cookies на сайте можно за пару минут с помощью специальных инструментов.

Риск №3. Формы сбора данных без подтверждения согласия

Этот пункт объединяет несколько типичных ошибок:

• Полное отсутствие ссылки на обязательное согласие,
• Некорректное согласие, не соответствующее требованиям закона,
• Подмена понятий — вместо согласия ведёт на политику конфиденциальности.

Почему это нарушение?

Согласно ч. 1 ст. 6 ФЗ «О персональных данных», обработка данных возможна только при наличии правового основания — чаще всего это договор или согласие пользователя.

Если под формой сбора (например, для отклика на вакансию) нет действительного согласия, значит, у вас нет законных оснований для обработки этих данных.

Как исправить?

1. Провести аудит сайта:

• Определить, для каких форм нужно согласие.
• Проверить, соответствует ли существующее согласие ст. 9 ФЗ «О персональных данных».
• Заменить ссылки на политику конфиденциальности на полноценное согласие.

2. Разработать корректное согласие, которое должно включать:

• Чёткую цель обработки данных,
• Перечень собираемых данных,
• Срок действия согласия,
• Иные требования закона.

Добавить чекбокс с текстом: «Я согласен на обработку персональных данных. Подробнее в Политике конфиденциальности», где слово «согласен» должно вести на текст согласия, словосочетание «Политике конфиденциальности» — на саму политику.

С 30 мая 2025 года штрафы за сбор данных без подтверждения согласия увеличены:

• Физлица: 10 000–15 000 ₽,
• ИП: 50 000–100 000 ₽,
• Компании: 150 000–300 000 ₽.

Вывод: не откладывайте проверку форм — даже незначительное упущение может обернуться крупным штрафом.

Риск №4. Публикация отзывов без разрешения на использование персональных данных

Как и в случае с формами сбора данных, для размещения отзывов с персональной информацией (ФИО, фото, контакты) необходимо письменное согласие человека. Без него у вас нет законных оснований на публикацию этих данных, что прямо нарушает ст. 10.1 ФЗ «О персональных данных».

Как исправить?

1. Получайте отдельное согласие на распространение данных по форме, утверждённой Приказом Роскомнадзора №18.
2. Указывайте в политике конфиденциальности условия обработки данных и возможные ограничения, установленные субъектом (ч. 10 ст. 10.1 закона).
3. Для уже опубликованных отзывов:

• Запросите согласие у авторов.
• Если согласие не получено — удалите персональные данные (например, оставьте только инициалы или никнейм).

Сумма штрафов за нарушение с 30 мая 2025 года:

• Физлица: 10 000–15 000 ₽
• ИП: 50 000–100 000 ₽
• Компании: 150 000–300 000 ₽

Важно! Даже если отзыв положительный, публиковать его без согласия — риск. Проверьте сайт и устраните нарушения.

Риск №5. Неправильно оформленная или отсутствие Политики конфиденциальности

Согласно п. 2 ч. 1 ст. 18.1 ФЗ «О персональных данных», владелец сайта (оператор) обязан:

• Разместить Политику конфиденциальности в подвале сайта,
• Обеспечить к ней доступ при заполнении любых форм сбора данных.

Если документа нет или он не соответствует требованиям закона — это прямое нарушение.

Ч. 2 ст. 18.1 Закона «О персональных данных»: «Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.»

Как исправить?

1. Разработать корректную Политику конфиденциальности

В ней должны быть указаны:

• Категории и перечень обрабатываемых данных,
• Субъекты, чьи данные обрабатываются (клиенты, сотрудники и др.,
• Способы, сроки обработки и хранения,
• Порядок уничтожения данных (по достижении целей или иным законным основаниям),
• Третьи лица, которым могут передаваться данные,
• Меры по защите данных и предотвращению нарушений.

2. Разместить Политику на сайте

• В подвале (footer) всех страниц,
• Рядом с формами сбора данных (ссылкой или текстом).

Штраф за нарушение:

• Для граждан (самозанятых) от 1 500 до 3 000 рублей;
• Для ИП от 10 000 до 20 000 рублей;
• Для юр.лиц от 30 000 до 60 000 рублей (по ч. 3 ст. 13.11 КоАП РФ).

Рекомендация: проверьте, соответствует ли ваша Политика актуальным требованиям. Даже если документ есть, он может устареть!

Риск №6. Неподанное или некорректное уведомление в РКН

Почему это важно?

Согласно законодательству, все операторы персональных данных обязаны направлять соответствующее уведомление в Роскомнадзор.

Кто считается оператором?

Если ваш сайт или бизнес собирает, хранит или обрабатывает личные данные пользователей (например, через формы обратной связи, регистрации или подписки), вы автоматически попадаете под это определение.

Ч . 1 ст. 22 Закона «О персональных данных»: «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.».

Как исправить нарушение?

1. Если уведомление не подавалось → необходимо направить его в Роскомнадзор.
2. Если подавалось до декабря 2022 года и данные не менялись → требуется обновить по новой форме (Приказ Роскомнадзора №180 от 28.10.2022).
3. Если информация устарела (например, изменились способы обработки данных) → нужно внести актуальные сведения.

Сумма штрафов за нарушение с 30 мая 2025 года:

• Для граждан (самозанятых) от 5 000 до 10 000 рублей;
• Для ИП и юр. лиц от 100 000 до 300 000 рублей.

Рекомендуем проверить и обновить документы заранее.

Риск №7. Неподанное или некорректное уведомление в РКН

Согласно ст. 88 ТК РФ, работодатель не вправе передавать персональные данные сотрудников сторонним организациям без их письменного согласия. Исключение составляют лишь случаи, связанные с угрозой жизни/здоровью или прямо предусмотренные законом.

Типичные ошибки работодателей:

• Полное отсутствие согласия на передачу данных,
• Одно «универсальное» согласие на все возможные цели,
• Указание в одном документе нескольких третьих лиц.

П. 4 ч. 4 ст. 9 Закона «О персональных данных»: «Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 4) цель обработки персональных данных».

Как правильно оформить согласие?

1. Отдельное согласие для каждой цели

• Передача данных в страховую для ДМС → 1 документ,
• Предоставление сведений в банк для зарплатного проекта → другое согласие.

2. Форма должна соответствовать ч. 4 ст. 9 ФЗ «О персональных данных» и содержать:

• Конкретную цель передачи,
• Наименование третьего лица,
• Перечень передаваемых данных,
• Срок действия согласия.

Штраф за нарушение:

• Для ИП от 100 000 до 300 000 рублей;
• Для юр.лиц от 300 000 до 700 000 рублей (по ч. 2 ст. 13.11 КоАП РФ).

Важно! Даже если передача данных обусловлена трудовыми отношениями (например, для начисления зарплаты), согласие обязательно. Его отсутствие — прямой путь к крупному штрафу.

Рекомендация: проверьте все действующие согласия сотрудников. Каждая новая цель передачи данных требует отдельного документа!

Риск №8. Передача персональных данных без договора поручения

Согласно ч. 3 ст. 6 ФЗ «О персональных данных», передача обработки персональных данных третьим лицам (например, сервисам рассылок или CRM-системам) допускается только при наличии специального соглашения. Без такого документа любая передача данных считается нарушением закона.

Как исправить ситуацию?

1. При заключении нового договора с подрядчиком:

• Включите отдельный раздел о передаче персональных данных,
• Пропишите все требования закона.

2. Для действующих договоров:

• Заключите дополнительное соглашение о поручении обработки данных.

Обязательные условия соглашения:

• Конкретный перечень передаваемых данных,
• Четкие цели обработки,
• Список разрешенных операций с данными,
• Гарантии конфиденциальности,
• Ответственность за нарушение требований.

Важно! Даже если вы пользуетесь облачными сервисами (например, для email-рассылок), это считается передачей данных. Убедитесь, что у вас есть правильное соглашение с провайдером.

Совет: проверьте все действующие договоры с подрядчиками. Отсутствие положений о защите персональных данных может дорого обойтись.

Сумма штрафов за нарушение с 30 мая 2025 года:

• Для граждан (самозанятых) от 10 000 до 15 000 рублей;
• Для ИП — от 50 000 до 100 000 рублей;
• Для юридических лиц — от 150 000 до 300 000 рублей.

Риск №9. Отсутствие реестра мест хранения бумажных носителей с персональными данными

Законодательство РФ прямо обязывает операторов персональных данных вести единый документ, фиксирующий места хранения бумажных носителей (ст. 18.1 ФЗ «О персональных данных»). Если у вас есть хотя бы один документ с персданными (например, трудовые договоры, анкеты клиентов), такой реестр обязателен.

П. 13 Постановления Правительства РФ от 15.09.2008 № 687: «Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.».

Как исправить?

1. Создать реестр (в электронном или бумажном виде), включающий:

• Перечень видов документов (договоры, заявления и т. д.),
• Конкретные места хранения (архив, кабинет отдела кадров, сейф и пр.,
• Ответственных лиц за сохранность данных.

2. Регулярно актуализировать реестр при изменении мест хранения.

Штраф за нарушение:

• Для граждан (самозанятых) от 1 500 до 4 000 рублей;
• Для ИП от 20 000 до 40 000 рублей;
• Для юр. лиц от 50 000 до 100 000 рублей (по ч. 6 ст. 13.11 КоАП РФ).

Совет: даже если бумажные носители временно передаются сотруднику (например, для работы из дома), факт перемещения нужно отражать в документе.

Риск №10. Игнорирование запросов граждан и Роскомнадзора

Согласно ст. 21 ФЗ «О персональных данных», оператор обязан своевременно отвечать на запросы:

• Граждан (например, требование удалить персданные или пояснить законность рассылки),
• Роскомнадзора (проверочные обращения).

Сроки ответа

• 30 дней — для запросов субъектов данных,
• 15 дней — для требований РКН.

Пропуск сроков или полное отсутствие ответа = нарушение закона.

Как исправить?

1. Назначить ответственного за обработку персданных.
2. Создать инструкцию с пошаговым алгоритмом:

• Фиксация входящих запросов
• Проверка их обоснованности
• Подготовка ответа в установленные сроки

3. Автоматизировать процесс (например, через CRM или систему тикетов).

Штраф за нарушение:

• Для граждан от 2 000 до 4 000 рублей;
• для ИП от 20 000 до 40 000 рублей;
• для юр. лиц от 50 000 до 90 000 рублей (по ч. 5 ст. 13.11 КоАП РФ).

Большинство нарушений можно выявить через аудит и устранить, разработав недостающие документы. Не ждите проверок — действуйте на опережение!