Какие ошибки чаще всего допускают компании при работе с персональными данными?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Большинство нарушений, выявляемых Роскомнадзором, связано не с утечками, а с неправильной организацией процессов обработки данных. Даже небольшие компании часто допускают типовые ошибки, которые приводят к штрафам.

Самые распространённые ошибки:

1. Отсутствие локальных документов по 152-ФЗ
   • нет политики обработки ПДн, положения о защите ПДн, назначенного ответственного;
   • документы скачаны из интернета и не отражают реальные процессы.
2. Некорректные формулировки целей обработки
   • указаны размытые цели («для улучшения сервиса», «для любых законных целей»);
   • отсутствует разделение целей (кадры, бухгалтерия, маркетинг).
3. Обработка без согласия субъекта
   • рассылки, рекламные звонки и SMS без отдельного согласия;
   • публикация отзывов или фото клиентов без их письменного разрешения.
4. Сбор избыточных данных
   • анкеты с лишними вопросами (паспортные данные при подписке на рассылку, семейное положение при приёме на курсы).
5. Нарушение сроков хранения
   • бессрочное хранение резюме кандидатов, клиентских баз, копий документов;
   • отсутствие актов об уничтожении данных.
6. Отсутствие уведомления в Роскомнадзор
   • компания фактически является оператором ПДн, но не подала уведомление о начале обработки.
7. Неправильная работа с правами субъектов
   • игнорирование запросов на удаление или уточнение данных;
   • отказ предоставлять информацию о целях и сроках обработки.
8. Нарушение технической защиты ПДн
   • доступ к базам клиентов имеют все сотрудники;
   • отсутствие антивирусной защиты, шифрования и резервного копирования;
   • хранение паролей в открытых файлах.

Обоснование по законодательству

• Ст. 5 ФЗ-152 — закрепляет принципы обработки: законность, ограниченность целей, недопустимость избыточности, актуальность, ограничение сроков.
• Ст. 6 ФЗ-152 — обработка без согласия возможна только в строго определённых случаях.
• Ст. 18.1 ФЗ-152 — оператор обязан публиковать политику обработки ПДн и предоставлять субъектам информацию.
• Ст. 22 ФЗ-152 — оператор должен уведомить Роскомнадзор о начале обработки (кроме установленных исключений).
• Ст. 13.11 КоАП РФ — штрафы за нарушения: до 150 000 руб. за незаконную обработку, до 500 000 руб. за незаконное распространение.

Практика проверок Роскомнадзора

• В интернет-магазине рассылали рекламу без согласия клиентов → штраф по ст. 13.11 КоАП.
• В клинике анкеты пациентов хранились бессрочно → нарушение принципа ограничения сроков, штраф.
• В образовательном центре политика ПДн была «шаблонной» и не отражала реальных процессов → выдано предписание об устранении нарушений.

Важный нюанс

Даже формальное несоответствие (например, неактуальная политика на сайте) считается нарушением. С 01.09.2025 отдельные согласия должны оформляться отдельными документами, что потребует пересмотра всех форм и анкет.

Рекомендации и выводы

Чтобы избежать типичных ошибок, компании нужно:

1. Провести аудит процессов обработки ПДн.
2. Разработать индивидуальный комплект документов по 152-ФЗ (политики, положения, регламенты).
3. Обеспечить разделение целей и оформление согласий для маркетинга, фото, отзывов и резерва кадров.
4. Настроить систему контроля сроков хранения и удаления данных.
5. Назначить ответственного и обеспечить техническую защиту ПДн.

Компания ICTech поможет вашей организации выявить и устранить ошибки при работе с ПДн, разработает корректный пакет документов и подготовит вас к проверке Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге