1. Отсутствие или устаревшая политика обработки ПДн
На сайтах часто нет опубликованной политики, или она не соответствует требованиям статьи 18.1 ФЗ-152. Распространённые нарушения:
- политика размещена, но не содержит целей и перечня ПДн;
- документ не подписан и не утверждён приказом;
- указаны общие фразы вроде «мы защищаем ваши данные», без конкретики.
Политика должна быть утверждена приказом и содержать сведения о целях, правовых основаниях, сроках хранения, порядке уничтожения и правах субъектов.
2. Нет уведомления в Роскомнадзор или оно неактуально
Многие организации не направляют уведомление или делают это один раз — при создании компании. Однако при изменении состава данных, целей, контрагентов или места хранения нужно подавать обновлённое уведомление. Проверяйте актуальность данных в реестре операторов не реже одного раза в год.
3. Неверное оформление согласий субъектов
Типовая ошибка — отсутствие отдельных согласий на разные цели. Например, одно общее согласие на трудовые и маркетинговые цели. Проблемы вызывают:
- неуказание конкретных целей и перечня ПДн;
- отсутствие подписи или электронной фиксации согласия;
- объединение согласий на обработку и cookie.
Разделяйте формы согласий по целям и используйте чекбоксы или электронную фиксацию (лог с датой и временем).
4. Нет документов по внутреннему контролю
Проверки показывают, что у большинства операторов отсутствуют:
- акты внутренних проверок и аудитов;
- журналы инструктажей сотрудников;
- приказы о назначении ответственных и допуске к ПДн.
Оформляйте контроль документально — актами, протоколами и журналами. Отсутствие фиксации приравнивается к отсутствию контроля.
5. Нарушение принципов обработки и хранения
Часто выявляют, что данные собираются «на всякий случай» или хранятся без сроков:
- ПДн не уничтожаются после достижения цели;
- архивы и резервные копии не защищены;
- данные передаются подрядчикам без договоров поручения.
Установите конкретные сроки хранения и оформите порядок уничтожения. Любая передача должна быть оформлена договором с пунктами о ПДн.
6. Нарушение требований локализации
Роскомнадзор регулярно находит хранение данных граждан РФ на зарубежных серверах (Google, Dropbox, Mailchimp и др.). Даже если данные «временно» обрабатываются за рубежом, это нарушение. Храните «первую запись» и базу граждан РФ на российских серверах, указав адрес в уведомлении. При использовании зарубежных серверов необходимо дополнительно подать уведомление о трансграничной передаче в Роскомнадзор.
7. Отсутствие технических мер защиты
Ошибки, встречающиеся в 80% проверок:
- нет паролей или разграничения доступа;
- отсутствует шифрование при передаче;
- нет резервного копирования или журналов событий.
Классифицируйте ИСПДн, применяйте меры по Постановлению № 687 и ведите журналы учёта действий пользователей.
8. Сайт не соответствует требованиям ФЗ-152
На сайтах часто отсутствуют:
- отдельный чекбокс на согласие;
- ссылка на политику;
- уведомление о cookie;
- фиксация согласий пользователей.
Перед запуском рекламы проведите аудит сайта на соответствие ФЗ-152 и оформите документацию: политику, чекбоксы, cookie-баннер.
Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 5–6, 18.1, 19, 22;
- Постановление Правительства РФ № 687 — меры по защите ПДн;
- Постановление № 1511 от 30.09.2020 — федеральный контроль;
- КоАП РФ, ст. 13.11 — административная ответственность.
Практика Роскомнадзора
По данным ведомства, 7 из 10 нарушений связаны с отсутствием политики и уведомления в реестре, 20 % — с передачей данных без договора, 10 % — с утечками. Даже мелкие ошибки, вроде неправильной формы согласия или хранения данных на Google Drive, фиксируются как нарушение.
Вывод
Главные проблемы организаций — не отсутствие защиты, а отсутствие доказательств правильной обработки. Любой шаг (согласие, удаление, передача, инструктаж) должен быть оформлен документально.
Компания ICTech поможет провести аудит по 152-ФЗ, выявить слабые места и оформить весь пакет документов для прохождения проверки без штрафов.
