На практике штрафы налагаются не только за реальные инциденты с персональными данными, но и за отсутствие либо формальный характер организационно-распорядительной документации, политики обработки персональных данных, согласий и иных обязательных документов. Поэтому отсутствие документов по персональным данным — это не формальность, а один из наиболее распространённых и «дешёвых» для проверяющих способов зафиксировать нарушение.
Какие документы по персональным данным считаются обязательными
Единого «закрытого списка» документов в 152-ФЗ нет, но закон прямо обязывает оператора принять меры по обеспечению выполнения обязанностей, в том числе утвердить локальные документы, а также обеспечить неограниченный доступ к политике обработки персональных данных.
Минимальный набор, который запрашивают при проверках чаще всего:
- Политика в отношении обработки персональных данных (должна быть в открытом доступе, в том числе на сайте при его наличии).
- Локальные акты (ОРД) по обработке и защите персональных данных: положения/регламенты обработки, распределение ролей и доступа, порядок хранения, блокирования и уничтожения данных, порядок реагирования на запросы субъектов и т. п. В ряде территориальных управлений Роскомнадзора публикуются примерные перечни таких документов.
- Приказы о назначении ответственных лиц (за организацию обработки ПДн и/или за обеспечение безопасности ПДн) и документы об ознакомлении сотрудников с требованиями.
- Согласия на обработку персональных данных — когда согласие требуется по закону (для клиентов/пользователей/сотрудников в соответствующих кейсах); проверяется наличие и корректность формулировок.
- Кадровый блок (если есть работники): локальные документы о порядке обработки ПДн работников и кандидатов, доступы, хранение, передачи третьим лицам (например, бухгалтерия/кадровый аутсорсинг).
- Документы, подтверждающие выполнение мер защиты ПДн (организационные и, при необходимости, технические) — состав зависит от того, как именно вы обрабатываете данные и в каких системах.
Если задача — закрыть требования под проверку и снизить риск штрафов, обычно требуется разработка организационно-распорядительной документации по защите персональных данных.
Нормативная база ответственности
Ответственность за отсутствие документов по персональным данным вытекает не из одного конкретного требования, а из совокупности обязанностей оператора, закреплённых в законодательстве.
Ключевая логика такова:
- Федеральный закон № 152-ФЗ «О персональных данных»
Закон прямо обязывает оператора:
- принимать меры по обеспечению выполнения требований законодательства,
- утверждать локальные акты по вопросам обработки и защиты персональных данных,
- обеспечивать доступ к политике обработки персональных данных,
- обеспечивать конфиденциальность и безопасность ПДн.
Отсутствие документов означает, что оператор не доказал выполнение этих обязанностей, что квалифицируется как нарушение требований к обработке персональных данных.
- Кодекс Российской Федерации об административных правонарушениях (КоАП РФ)
КоАП устанавливает ответственность за:
- нарушение требований к обработке персональных данных,
- нарушение установленных законом обязанностей оператора,
- несоблюдение порядка сбора, хранения, использования или распространения персональных данных.
Именно на основании этих норм накладываются штрафы за отсутствие или формальность документов.
- Полномочия Роскомнадзора
Роскомнадзор наделён правом:
- проверять соблюдение требований законодательства о персональных данных,
- запрашивать документы, подтверждающие выполнение обязанностей оператора,
- выдавать предписания и привлекать к административной ответственности.
Штраф накладывается не за отсутствие конкретного «названия документа», а за то, что оператор не обеспечил выполнение возложенных на него законом обязанностей, что и подтверждается отсутствием или ненадлежащим характером документов.
Штрафы за отсутствие документов по персональным данным
Штрафы за отсутствие или ненадлежащее оформление документов по персональным данным накладываются не «за бумагу», а за нарушение требований к обработке персональных данных, в рамках которых документы являются обязательным элементом исполнения закона.
Размеры штрафов зависят от статуса оператора и характера нарушения.
Для должностных лиц
К должностным лицам относятся руководители организаций, ответственные за обработку персональных данных, главные бухгалтеры, директора по персоналу и иные лица, на которых возложены соответствующие обязанности.
За нарушение требований законодательства о персональных данных, выраженное в отсутствии обязательных документов, может быть назначен административный штраф в размере от 6 000 до 20 000 рублей — в зависимости от состава правонарушения и обстоятельств дела.
Для индивидуальных предпринимателей
Индивидуальные предприниматели несут ответственность как лица, осуществляющие предпринимательскую деятельность без образования юридического лица.
Штрафы для ИП за аналогичные нарушения, как правило, составляют от 10 000 до 40 000 рублей.
Для юридических лиц
Для организаций штрафы наиболее чувствительны.
За отсутствие документов по персональным данным либо формальный характер их оформления штрафы для юридических лиц могут достигать от 30 000 до 100 000 рублей и выше, в зависимости от:
- состава правонарушения,
- количества выявленных нарушений,
- наличия повторности.
Повторные нарушения
Если аналогичное нарушение выявляется повторно, размеры штрафов увеличиваются.
Повторность рассматривается как отягчающее обстоятельство и может повлечь:
- более высокий штраф,
- усиленный контроль со стороны Роскомнадзора,
- повторные проверки.
На практике штрафы нередко суммируются, поскольку при проверке выявляется сразу несколько нарушений (например, отсутствие политики, отсутствует ОРД, отсутствуют согласия, ошибки в уведомлении).
Отсутствие документов и формальный подход: в чем разница для проверяющих
Для Роскомнадзора принципиально важно не только наличие документов, но и их реальная применимость к деятельности оператора. С точки зрения контроля различаются две принципиальные ситуации: полное отсутствие документов и формальный (шаблонный) подход к их разработке.
Полное отсутствие документов
Если у оператора отсутствуют:
- политика обработки персональных данных,
- организационно-распорядительная документация,
- приказы о назначении ответственных,
- согласия субъектов ПДн,
это квалифицируется как неисполнение обязанностей оператора персональных данных.
В этом случае нарушение очевидно и доказывается простым фактом отсутствия документов, без необходимости углублённого анализа процессов.
Как правило, именно при отсутствии документов:
- штрафы назначаются безальтернативно,
- предписание об устранении нарушений выдается в обязательном порядке,
- устанавливаются жесткие сроки на разработку документации.
Формальный или шаблонный подход
Наличие документов не всегда означает отсутствие нарушений. Проверяющие отдельно оценивают:
- соответствие документов реальной деятельности;
- актуальность формулировок;
- полноту отражения процессов обработки персональных данных;
- корректность правовых оснований обработки.
Типовые проблемы формального подхода:
- документы не соответствуют фактическим целям обработки данных;
- указаны данные, которые реально не обрабатываются, или наоборот — не указаны реальные данные;
- используются шаблоны без адаптации под бизнес;
- документы не обновлялись после изменений в законодательстве или в деятельности компании.
С точки зрения Роскомнадзора формальные документы приравниваются к их отсутствию, поскольку они не подтверждают выполнение оператором своих обязанностей.
На практике именно формальный подход становится причиной штрафов даже у компаний, которые формально «что-то разработали».
Штрафы при проверке Роскомнадзора
Штрафы за отсутствие документов по персональным данным применяются по результатам различных форм контроля со стороны Роскомнадзора. При этом формат проверки напрямую влияет на характер выявляемых нарушений и порядок привлечения к ответственности.
Плановые проверки
Плановые проверки проводятся на основании ежегодного плана контрольных мероприятий.
В рамках таких проверок:
- заранее запрашивается комплект документов;
- анализируется их полнота, актуальность и соответствие деятельности оператора;
- особое внимание уделяется ОРД и кадровым персональным данным.
При выявлении отсутствия документов штрафы, как правило, назначаются без смягчающих обстоятельств, так как оператор имел возможность подготовиться заранее.
Внеплановые проверки
Внеплановые проверки проводятся при наличии оснований:
- жалобы субъектов персональных данных;
- обращения бывших сотрудников;
- утечки данных;
- выявление нарушений при мониторинге сайтов;
- ошибки или отсутствие уведомления.
Для таких проверок характерно:
- ограниченное время на предоставление документов;
- более жесткая оценка нарушений;
- высокая вероятность назначения штрафа даже при единичных нарушениях.
Камеральные проверки
Камеральные проверки проводятся без выезда к оператору — на основании:
- сведений из реестров,
- информации на сайте,
- ранее поданных уведомлений,
- данных, полученных от третьих лиц.
Даже при камеральной проверке отсутствие политики, некорректные сведения или противоречия между сайтом и уведомлением могут привести к административному делу и штрафу.
Совокупность нарушений
На практике штрафы редко накладываются за одно нарушение. Обычно выявляется сразу несколько несоответствий:
- отсутствует ОРД,
- отсутствует политика,
- ошибки в уведомлении,
- отсутствуют согласия,
- нарушения на сайте.
Это приводит к тому, что ответственность применяется по нескольким составам одновременно, что существенно увеличивает финансовые последствия для оператора.
Штрафы за отсутствие документов на сайте
Наличие сайта само по себе почти всегда означает обработку персональных данных: через формы обратной связи, заявки, онлайн-чаты, подписки, регистрацию пользователей, cookies и системы аналитики. Поэтому отсутствие документов, связанных с обработкой персональных данных на сайте, рассматривается как отдельный и самостоятельный состав нарушений.
На практике чаще всего выявляются следующие нарушения:
Отсутствие политики конфиденциальности
Если на сайте отсутствует политика в отношении обработки персональных данных либо она:
- недоступна пользователям,
- не соответствует фактическим процессам,
- не содержит обязательных сведений,
это квалифицируется как нарушение обязанности по обеспечению неограниченного доступа к информации об обработке персональных данных и влечёт административную ответственность.
Отсутствие согласий на обработку персональных данных
Распространённые нарушения:
- формы отправки данных без получения согласия;
- формальное согласие без указания целей и перечня данных;
- отсутствие согласия на передачу данных третьим лицам (CRM, рассылки, хостинг).
Даже при наличии политики, отсутствие корректных согласий рассматривается как отдельное нарушение.
Сбор данных без законных оснований
Штрафы назначаются, если:
- сайт собирает избыточные персональные данные;
- отсутствует обоснование целей обработки;
- данные используются не для заявленных целей.
Cookies, аналитика и сторонние сервисы
Использование cookies, систем аналитики и сервисов без отражения этого в документации и согласиях также рассматривается как нарушение порядка обработки персональных данных.
Для выявления таких нарушений необходимо провести аудит сайта на соблюдение законодательства по защите информации, а для устранения выявленных рисков осуществляют разработку документов по защите персональных данных для сайта.
Можно ли избежать штрафа при отсутствии документов
Вопрос возможности избежать штрафа при отсутствии документов по персональным данным зависит от стадии, на которой выявлено нарушение, и от поведения оператора после его обнаружения.
Устранение нарушений до проверки
Если оператор самостоятельно:
- выявил отсутствие документов,
- разработал и утвердил их,
- привёл процессы обработки персональных данных в соответствие требованиям закона
до начала проверки, как правило, оснований для привлечения к ответственности не возникает, так как отсутствует событие правонарушения на момент контроля.
Именно поэтому превентивная разработка ОРД и актуализация документов — самый надёжный способ избежать штрафов.
Устранение нарушений по предписанию
Если нарушение выявлено в ходе проверки, но оператор:
- своевременно исполнил предписание Роскомнадзора,
- устранил все выявленные нарушения в установленный срок,
это не всегда освобождает от штрафа, но может:
- снизить его размер,
- быть учтено как смягчающее обстоятельство,
- уменьшить вероятность повторных проверок.
Исполнение предписания не отменяет автоматически факт уже совершённого административного правонарушения.
Когда штраф неизбежен
Штраф, как правило, назначается, если:
- документы отсутствуют на момент проверки;
- нарушения грубые или системные;
- выявлена повторность;
- имела место утечка персональных данных;
- поступили жалобы от субъектов персональных данных.
Риски повторных проверок
Даже если штраф удалось минимизировать, отсутствие системного подхода к документации почти всегда приводит к:
- повторным проверкам,
- более жёсткому контролю,
- усилению ответственности при последующих нарушениях.
Поэтому задача оператора — не «разово закрыть проверку», а выстроить устойчивую систему соблюдения требований по персональным данным.
Что делать, чтобы избежать штрафов
Чтобы минимизировать риск привлечения к ответственности за отсутствие документов по персональным данным, необходим не формальный, а системный подход к соблюдению требований законодательства.
Ключевые практические меры:
Провести аудит обработки персональных данных
Необходимо определить:
- какие персональные данные реально обрабатываются;
- в каких процессах (кадры, клиенты, сайт, контрагенты);
- на каких правовых основаниях;
- кому и куда передаются данные.
Без этого корректная документация невозможна.
Актуализировать уведомление об обработке персональных данных
Уведомление должно соответствовать фактической деятельности оператора:
- целям обработки,
- категориям данных,
- категориям субъектов,
- используемым информационным системам.
Ошибки или устаревшие сведения в уведомлении в Роскомнадзор сами по себе создают риск штрафа, даже при наличии документов.
Разработать или обновить ОРД по персональным данным
Необходимо:
- утвердить комплект организационно-распорядительной документации;
- адаптировать его под специфику бизнеса;
- обеспечить его актуальность при изменениях законодательства или деятельности.
Именно разработка организационно-распорядительной документации по защите персональных данных является базовым элементом защиты от штрафов.
Привести сайт и онлайн-сервисы в соответствие требованиям закона
Важно:
- наличие корректной политики конфиденциальности;
- наличие согласий на обработку персональных данных;
- соответствие фактического сбора данных заявленным целям;
- отражение использования cookies, аналитики и сторонних сервисов.
Обеспечить фактическое выполнение документов
Документы должны не просто существовать, а реально применяться:
- сотрудники ознакомлены под подпись;
- доступы распределены;
- регламенты соблюдаются на практике.
Без этого даже формально корректная документация не защитит от ответственности.
На практике
На практике большинство штрафов за отсутствие документов по персональным данным накладываются не из-за утечек или громких инцидентов, а именно из-за отсутствия либо формального характера организационно-распорядительной документации.
Типичная ситуация выглядит так:
- компания подала уведомление в Роскомнадзор;
- на сайте размещена политика конфиденциальности;
- при этом отсутствует полноценный комплект ОРД или он не соответствует реальной деятельности.
Для проверяющих этого достаточно, чтобы зафиксировать нарушение требований законодательства о персональных данных и привлечь оператора к административной ответственности.
Наиболее устойчивым способом минимизации риска штрафов является не разовое «закрытие документов под проверку», а комплексная разработка и поддержание в актуальном состоянии системы документации по персональным данным, с учётом:
- специфики деятельности,
- кадровых процессов,
- обработки данных через сайт и информационные системы,
- требований проверок Роскомнадзора.
Именно такой подход позволяет не только снизить вероятность штрафов, но и существенно упростить прохождение любых форм контроля по 152-ФЗ.
