Основные категории грубых нарушений
1. Обработка персональных данных без законных оснований
Самое частое и грубое нарушение — это обработка данных без согласия субъекта и без иных законных оснований (договора, требования закона, государственного поручения).
К этой категории относятся:
- сбор данных через формы на сайте без чекбокса согласия;
- рассылка рекламных сообщений без разрешения пользователя;
- передача данных подрядчикам без договора поручения;
- использование данных работников или клиентов для иных целей без их уведомления.
2. Отсутствие политики и внутренних документов по ПДн
Если организация не может предоставить политику обработки персональных данных или другие обязательные акты (приказ о назначении ответственного, положение, регламенты), это расценивается как отсутствие системы защиты данных.
Также грубым нарушением считается ситуация, когда политика размещена на сайте, но не утверждена приказом или не соответствует реальным процессам обработки.
3. Хранение баз данных за пределами России
Несоблюдение требования о локализации персональных данных граждан РФ — одно из наиболее серьёзных нарушений.
Если база данных или сервер физически размещены за рубежом (например, в Google Cloud или AWS), Роскомнадзор может признать это грубым нарушением законодательства и потребовать немедленный перенос.
4. Несоблюдение мер безопасности при обработке
Отсутствие защиты баз данных, отсутствие паролей, шифрования, резервного копирования, антивирусов или журналов доступа — всё это расценивается как грубое нарушение ст. 19 ФЗ-152.
На практике сюда относятся:
- использование общих логинов для доступа к ИСПДн;
- хранение файлов с ПДн на открытых дисках или флешках;
- отсутствие актов уничтожения и журналов доступа.
5. Утечка персональных данных
Если в результате нарушения мер безопасности произошла утечка данных, это рассматривается как одно из самых серьёзных нарушений.
Роскомнадзор фиксирует такие случаи по жалобам граждан или информации из СМИ и может инициировать внеплановую проверку.
Утечка подтверждается, если оператор не смог обеспечить конфиденциальность или предотвратить доступ третьих лиц.
6. Игнорирование предписаний Роскомнадзора
Если организация не исполнила ранее выданное предписание об устранении нарушений, это квалифицируется как грубое нарушение порядка государственного контроля.
В этом случае Роскомнадзор может повторно привлечь к ответственности и инициировать судебное разбирательство.
Практика проверок Роскомнадзора
На практике Роскомнадзор относит к грубым нарушениям следующие случаи:
- интернет-магазин собирал телефоны клиентов без согласия — назначен штраф и требование прекратить обработку;
- медицинская клиника хранила данные пациентов в облаке без шифрования — наложено предписание о немедленном переносе базы;
- образовательное учреждение не имело ни одного документа по ПДн — деятельность по обработке данных приостановлена.
Роскомнадзор также публикует методические рекомендации, где прямо указывает: главный критерий грубости — наличие реальной угрозы правам субъектов и безопасности данных.
Обоснование по законодательству
- ФЗ-152 «О персональных данных» — ст. 6, 9, 18.1, 19, 22;
- КоАП РФ, ст. 13.11 — ответственность за незаконную обработку и хранение ПДн;
- Постановление Правительства № 1511 от 30.09.2020 — порядок проведения проверок;
- Постановление Правительства № 1119 от 01.11.2012 — требования к защите ПДн.
Вывод
Грубым нарушением Роскомнадзор считает любое действие (или бездействие), которое приводит к риску утечки, незаконной обработке или утрате данных. Такие нарушения фиксируются в акте проверки и влекут не только штрафы, но и предписания о приостановке обработки ПДн. Чтобы избежать подобных рисков, важно не ограничиваться «папкой с документами», а выстроить работающую систему защиты данных: регламенты, технические меры и реальное исполнение требований.
Компания ICTech помогает организациям выстроить защиту персональных данных в соответствии с ФЗ-152 — от разработки полного пакета документов до внедрения мер безопасности, проверенных практикой Роскомнадзора.
