Какие нарушения по персональным данным выявляют чаще всего?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Роскомнадзор при проверках операторов персональных данных чаще всего выявляет не технические утечки или сложные нарушения, а системные и формальные несоответствия требованиям законодательства. В большинстве случаев нарушения связаны с отсутствием обязательных документов, ошибками в уведомлении и несоответствием бумажных регламентов фактической деятельности.

Практика показывает, что даже у операторов, которые осознанно обрабатывают персональные данные и не допускают явных инцидентов, выявляются нарушения из-за формального подхода к требованиям 152-ФЗ. Именно такие нарушения становятся основанием для предписаний, повторных проверок и административной ответственности.

Общая практика выявления нарушений Роскомнадзором

Нарушения в сфере персональных данных выявляются Роскомнадзором как в ходе проверок, так и без их формального проведения — в рамках камерального контроля и рассмотрения обращений субъектов персональных данных. Существенная часть нарушений обнаруживается дистанционно, без выезда к оператору.

Основные источники выявления нарушений:

мониторинг реестра операторов персональных данных;
анализ информации, размещённой на сайтах и в онлайн-сервисах;
жалобы субъектов персональных данных;
обращения работников и бывших сотрудников;
результаты ранее проведённых проверок и контроль исполнения предписаний.

Характерной особенностью является повторяемость нарушений.

Одни и те же ошибки выявляются у разных операторов независимо от размера бизнеса и отрасли. Это связано с тем, что требования 152-ФЗ часто воспринимаются формально, без внедрения в реальные процессы обработки персональных данных.

Отсутствие или ошибки в уведомлении об обработке персональных данных

Одним из самых распространённых нарушений, выявляемых при проверках, является отсутствие уведомления об обработке персональных данных либо наличие в нём существенных ошибок. Это нарушение фиксируется как при камеральном контроле, так и при внеплановых проверках.

Чаще всего выявляются следующие проблемы:

уведомление об обработке персональных данных не подано вовсе;
указанные в уведомлении цели обработки не соответствуют фактической деятельности;
неверно определены категории персональных данных и субъектов;
не указаны используемые информационные системы и онлайн-сервисы;
изменения в деятельности оператора не отражены в уведомлении.

Роскомнадзор сопоставляет сведения из уведомления с реальной обработкой персональных данных, в том числе по информации с сайта и из открытых источников. Любые расхождения рассматриваются как нарушение требований законодательства.

Для устранения этого риска требуется подача уведомления в Роскомнадзор с последующей обязательной актуализацией сведений при любых изменениях в обработке персональных данных.

Отсутствие организационно-распорядительной документации

Одним из наиболее частых и одновременно наиболее существенных нарушений является отсутствие организационно-распорядительной документации по защите персональных данных либо её формальный характер. Это нарушение выявляется практически при каждой выездной, внеплановой или инспекционной проверке.

Типовые проблемы в этой части:

полное отсутствие организационно-распорядительных документов;
наличие только политики конфиденциальности без иных обязательных актов;
использование универсальных шаблонов без учета специфики деятельности;
несоответствие документов фактическим процессам обработки персональных данных;
отсутствие приказов о назначении ответственных лиц;
устаревшие документы, не учитывающие изменения законодательства или деятельности оператора.

На практике именно отсутствие полноценного комплекта ОРД рассматривается Роскомнадзором как признак системного несоблюдения требований 152-ФЗ.

Пакет документов для вашей организации

Разработаем документы по защите персональных данных

Берём на себя всё оформление: от политики обработки персональных данных до приказов и журналов.

Нарушения при обработке персональных данных работников

Отдельную группу часто выявляемых нарушений составляют нарушения, связанные с обработкой персональных данных работников. Даже у операторов, не ведущих активную работу с клиентскими базами, кадровые процессы становятся источником замечаний со стороны Роскомнадзора.

Наиболее распространённые нарушения:

сбор избыточных персональных данных работников без законных оснований;
отсутствие оформленных согласий работников в случаях, когда они требуются;
отсутствие правового обоснования обработки персональных данных;
неразграниченный доступ к кадровым данным;
нарушение сроков хранения кадровых документов;
передача персональных данных работников третьим лицам без надлежащего оформления.

Нарушения в кадровой части выявляются как при проверках документов, так и при анализе фактических процессов внутри организации, и часто фиксируются даже при наличии общей документации по персональным данным, поскольку именно регламенты, инструкции и приказы по работе с кадровыми данными составляют обязательную часть организационно-распорядительной документации, и их отсутствие или формальность приравниваются к нарушению.

Нарушения при обработке персональных данных через сайт

Обработка персональных данных через сайт является одной из самых частых причин выявления нарушений, поскольку такие нарушения легко обнаруживаются в ходе камерального контроля и мониторинга без выезда к оператору.

На практике чаще всего выявляются:

отсутствие политики конфиденциальности на сайте либо её формальный характер;
несоответствие политики конфиденциальности фактическим способам обработки персональных данных;
отсутствие корректных согласий пользователей на обработку персональных данных;
сбор персональных данных через формы обратной связи без законных оснований;
некорректная работа с cookies и системами веб-аналитики;
использование сторонних сервисов (CRM, формы, чаты) без документального оформления передачи данных.

Роскомнадзор сопоставляет информацию, размещённую на сайте, с данными уведомления и фактическими процессами обработки.

Для выявления и устранения таких нарушений необходимо своевременно проводить аудит сайта на соблюдение законодательства по защите информации, а для корректного оформления обязательных материалов — разработать документы по защите персональных данных для сайта в соответствии со всеми требованиями регулятора.

Незаконная передача персональных данных третьим лицам

Ещё одной распространённой группой нарушений является передача персональных данных третьим лицам без надлежащего правового и документального оформления. Такие нарушения выявляются как при анализе договоров, так и при сопоставлении фактических процессов с уведомлением и локальными актами оператора.

Чаще всего фиксируются следующие нарушения:

передача персональных данных подрядчикам без договора поручения обработки;
отсутствие в договорах условий о конфиденциальности и мерах защиты персональных данных;
передача избыточного объёма персональных данных, не соответствующего заявленным целям;
использование облачных сервисов, CRM и сервисов рассылок без правового оформления;
несоответствие фактической передачи персональных данных сведениям, указанным в уведомлении.

Роскомнадзор рассматривает такие нарушения как повышенный риск для прав субъектов персональных данных, поскольку оператор утрачивает контроль над дальнейшей обработкой данных.

Хотите защитить организацию от штрафов?

Подготовим документы по персональным данным

Разработаем и внедрим пакет документов, приведём сайт и процессы в соответствие требованиям законодательства РФ

Несоблюдение прав субъектов персональных данных

Нарушения, связанные с несоблюдением прав субъектов персональных данных, выявляются Роскомнадзором всё чаще, поскольку именно обращения граждан становятся основанием для проверок и контрольных мероприятий.

Наиболее типичные нарушения в этой части:

отсутствие установленного порядка рассмотрения обращений субъектов персональных данных;
игнорирование запросов о предоставлении информации об обработке персональных данных;
нарушение сроков ответа на обращения и требования субъектов;
отказ в реализации прав без законных оснований;
отсутствие фиксирования и учета обращений субъектов персональных данных.

Даже при наличии формальной документации отсутствие реально работающего механизма взаимодействия с субъектами персональных данных рассматривается как нарушение требований 152-ФЗ и нередко становится основанием для внеплановых проверок.

Отсутствие фактического исполнения требований

Отдельным и часто выявляемым нарушением является формальное соблюдение требований законодательства о персональных данных без их реального исполнения. Наличие документов само по себе не подтверждает соблюдение 152-ФЗ, если установленные правила не применяются на практике.

К таким нарушениям относятся:

наличие документов «для проверки», не используемых в реальной работе;
отсутствие ознакомления сотрудников с локальными актами под подпись;
фактическое несоблюдение регламентов доступа к персональным данным;
отсутствие внутреннего контроля за соблюдением требований;
расхождения между установленными процедурами и реальными процессами обработки.

При выявлении таких нарушений Роскомнадзор исходит из того, что оператор не обеспечил надлежащую организацию обработки персональных данных, что квалифицируется как системное нарушение.

Избежать этого помогает полноценный пакет организационно-распорядительной документации, в котором детально прописаны порядки работы с данными, зоны ответственности сотрудников, внутренние регламенты и все необходимые процедуры.

Повторяющиеся нарушения при проверках

При повторных проверках Роскомнадзор нередко выявляет одни и те же нарушения, которые уже фиксировались ранее. Это свидетельствует о формальном устранении замечаний или отсутствии системного подхода к соблюдению требований законодательства.

Наиболее часто повторяются:

нарушения, связанные с отсутствием или формальностью организационно-распорядительной документации;
несоответствие уведомления фактической обработке персональных данных;
нарушения при обработке персональных данных через сайт;
игнорирование замечаний, указанных в предписаниях;
частичное или формальное исполнение требований контролирующего органа.

Такие повторяющиеся нарушения, как правило, становятся основанием для усиления контроля, проведения внеплановых проверок и применения мер административной ответственности.

Не хотите рисковать штрафами?

Доверьте защиту персональных данных профессионалам

Создадим индивидуальный пакет документов и выстроим систему защиты данных под ваш бизнес под ключ.

На практике

На практике Роскомнадзор чаще всего выявляет формальные и системные нарушения, связанные с отсутствием обязательной документации, ошибками в уведомлении и несоответствием документов фактической обработке персональных данных. Именно эти нарушения составляют основную долю предписаний и административных дел.

Попытки ограничиться отдельными документами или разовыми мерами, как правило, не приводят к снижению рисков. Комплексный подход — корректное уведомление, полноценная организационно-распорядительная документация, соответствие сайта и фактических процессов требованиям законодательства — является единственным эффективным способом минимизировать количество нарушений и успешно проходить проверки Роскомнадзора.

Последние статьи

3 февраля, 2026

Персональные данные 2026: изменения 2025 и что срочно проверить

Нужна подробная консультация?

Оформите заявку, мы свяжемся с вами в ближайшее время и ответим на все интересующие вас вопросы.

Я ознакомлен(а) с политикой и даю согласие на обработку персональных данных

Заявка успешно отправлена

Произошла ошибка