Защита персональных данных без штрафов

Защита персональных данных влияет на работу сайта, CRM, кадрового учета, клиентских баз, рассылок и ИТ инфраструктуры. Риск штрафа возникает не только при утечке. Роскомнадзор проверяет правовые основания обработки, уведомление в реестр операторов, локальные акты, согласия, локализацию баз данных, доступ сотрудников и реакцию на инциденты. Закон требует, чтобы оператор собирал только необходимые сведения, фиксировал цели обработки. Также защищал организационными и техническими мерами и прекращал обработку после достижения цели.

Оператор персональных данных и обязанности бизнеса

Оператор персональных данных — это организация, ИП или гражданин, которые определяют цели обработки, состав и действия. Статус возникает из-за факта работы с личной информацией клиентов, сотрудников, соискателей, пациентов, учеников или пользователей сайта (ст. 3 ФЗ № 152).

Интернет-магазин становится оператором при сборе имени, телефона, адреса доставки и истории заказов. Онлайн-школа обрабатывает данные учеников, платежи, прогресс обучения и доступы к личному кабинету. Клиника работает с медицинской информацией, а в отдельных случаях — с биометрическими данными. HR-служба хранит анкеты, резюме, паспортные сведения, трудовые документы и результаты оценки кандидатов.

Обязанности оператора включают:

  • правовое основание обработки;
  • политику ПДн;
  • согласия;
  • внутренние регламенты;
  • назначение ответственного лица;
  • контроль доступа;
  • меры безопасности.

Формальная политика с сайта-конструктора не закрывает риск, если реальные процессы отличаются от текста. При проверке значение получает совпадение бумаг с имеющейся моделью работы.

Документы для обработки и защиты ПД

Для соответствия ФЗ № 152 недостаточно разместить политику конфиденциальности в футере сайта. Поскольку текст должен описывать, какие сведения собираются, зачем нужны, где хранятся, кто получает доступ, кому данные передаются и когда уничтожаются. Такой пакет подтверждает управляемую систему обработки, а не разовую подготовку к проверке.

Дополнительное внимание уделяется политике обработки, положению о защите персональных данных, согласию для отдельных целей. Также учитываются перечень информационных систем, модель угроз, акты классификации, журналы доступа, обязательства о неразглашении и порядок реагирования на утечки. Для сотрудников оформляются локальные акты, регламентирующие доступ к базам, использование корпоративной почты и внешних сервисов.

Согласие на обработку персональных данных разрабатывается конкретно, предметно, информировано и привязывается к цели. Такая бумага для исполнения договора не заменяет отдельное разрешение на рекламные сообщения. Маркетинговая рассылка требует отдельного подтверждения, где указаны каналы связи и возможность отказа. Общие формулировки создают риск претензий. Потому что субъект не видит, какие действия разрешает оператору.

Меры безопасности строятся на статье 19 ФЗ № 152. Для ИТ подразделения это означает настройку прав доступа, учет действий пользователей, резервное копирование, антивирусную защиту. Осуществляется контроль носителей, журналирование событий и классификация информационных систем. Постановление Правительства РФ № 1119 и Приказ ФСТЭК № 21 помогают определить уровень защищенности и набор мер для информационных систем персональных данных.

18 лет юридической практики
Не принимайте решений без консультации специалиста

Анализ ситуации и оценка рисков за 15 минут

Сопровождение от переговоров до результата в суде

Фиксированная стоимость по договору без доплат

Линия юридической поддержки 24/7

Уведомление Роскомнадзора и реестр операторов

До начала обработки оператор обязан направить уведомление в Роскомнадзор, если не действует узкое исключение из закона (ст. 22 ФЗ № 152). Для бизнеса с сайтом, CRM, личным кабинетом, онлайн-записью, маркетинговыми сервисами, колл-центром или внешней аналитикой исключения не подходят.

Уведомление содержит сведения об:

  • операторе;
  • целях обработки;
  • категориях субъектов;
  • перечне ПДн;
  • мерах защиты;
  • трансграничной передаче;
  • сроках обработки.

После включения в реестр РКН сведения поддерживаются в актуальном состоянии. Изменение CRM, появление новой категории клиентов, запуск рассылки, подключение зарубежного сервиса требуют проверки уведомления.

Неподача уведомления или устаревшие сведения в реестре формируют самостоятельный состав нарушения (ст. 13.11 КоАП РФ). Риск не зависит от утечки. Контролирующий орган выявляет нарушение при плановом анализе.

Сайт, CRM и трансграничная передача данных

Как правило, с создает больше рисков, чем внутренняя база. Форма заявки, обратный звонок, чат, cookie, аналитика и иные инструменты запускают обработку персональных данных. Если рядом с формой нет понятной цели сбора и ссылки на политику, доказать прозрачность обработки сложнее.

CRM-система требует отдельной проверки. Важно установить, где хранятся серверы, какие сотрудники имеют доступ, какие подрядчики видят клиентскую базу. Также следует проанализировать передаются ли сведения в рассылочные сервисы, мессенджеры, телефонию или аналитику. Если сервис размещает данные за пределами России, появляется вопрос трансграничной передачи (ст. 12 ФЗ № 152).

Локализация баз данных требует, чтобы при первичном сборе сведений граждан России обработка выполнялась с использованием баз данных на территории РФ (ст. 18 ФЗ № 152). Нарушение локализации влечет крупный штраф в размере от 1 млн до 6 млн рублей и ограничение доступа к ресурсу (ст. 13.11 КоАП РФ).

При жалобе клиента Роскомнадзор проверит не текст политики, а путь данных от формы до CRM. Риск усиливают отсутствие уведомления о трансграничной передаче, общий доступ сотрудников к таблице и отсутствие срока хранения заявок. Один лид с сайта способен раскрыть нарушение локализации, трансграничной передачи и контроля доступа.

Утечки персональных данных и сроки реакции

Утечка персональных данных фиксирует неправомерную передачу, раскрытие или доступ к информации. Инцидентом становится публикация клиентской базы в сети, отправка файла не тому адресату, взлом CRM, открытый доступ к таблице, компрометация личного кабинета.

После выявления инцидента оператор обязан направить первичное сообщение в Роскомнадзор в течение 24 часов. В сообщении отражаются характер нарушения, возможные причины, предполагаемый вред, меры реагирования и контактное лицо. В течение 72 часов предоставляются результаты внутреннего расследования, сведения о причинах, виновниках и мерах по предотвращению повторения (ст. 21 ФЗ № 152).

Сильная позиция строится на доказательствах реакции. Учитываются записки, логи доступа, акты ИБ подразделения, переписка с подрядчиком, данные SOC. Дополнительно представляются доказательства фиксации блокировки учетных записей, смены паролей, отключения уязвимого сервиса и обновления модели угроз. Если оператор не показывает действия по локализации, штрафной риск увеличивается.

Штрафы и помощь юриста при проверке

Ответственность за нарушения в сфере ПДн установлена статьей 13.11 КоАП РФ. Штрафы применяются за отсутствие правового основания, неподачу уведомления, нарушение локализации. Для бизнеса критичны повторные нарушения и инциденты с большим объемом данных.

С 30 мая 2025 года усилена ответственность за утечки и уведомления. За нарушение обязанности сообщить об утечке предусмотрен штраф до 3 млн рублей. Утечка данных наказывается штрафом до 15 млн рублей при крупной базе. При повторной утечке применяется оборотный штраф в размере от 1% до 3% совокупной выручки за год с установленными минимальными и максимальными пределами (ст. 13.11 КоАП РФ).

Помощь юриста важна до проверки и после получения требования Роскомнадзора. Юрист сопоставляет политику с процессами, проверяет согласия, уведомление в реестр, трансграничную передачу. Дополнительно оценивает договоры с подрядчиками, локальные акты, документы ИБ и порядок уничтожения ПДн. Такая работа выявляет разрывы между юридическими текстами, системами и действиями сотрудников.

В конкретном кейсе специалист выстраивает позицию по фактам. При оспаривании постановления значение имеют сроки, подсудность, состав доказательств, объяснения ответственного лица и технические материалы. Ошибка в процедуре приводит к проигрышу, даже при наличии содержательных аргументов.

Часто спрашивают

Какие штрафы грозят бизнесу за нарушение работы с персональными данными?

Ответственность — по статье 13.11 КоАП РФ. За отсутствие правового основания, неподачу уведомления или нарушение локализации — до 6 млн рублей. С 30 мая 2025 года за утечку — до 15 млн рублей, при повторной — оборотный штраф от 1% до 3% годовой выручки. Риск не только в утечке: сам факт нарушения порядка обработки уже ведёт к санкциям.

С чего начать, чтобы привести обработку персональных данных в порядок?

Определить, какие данные собираются: от клиентов, сотрудников, пользователей сайта. Зафиксировать цели обработки, подготовить политику конфиденциальности, получить согласия, направить уведомление в Роскомнадзор, назначить ответственного за ПДн. Важно, чтобы документы совпадали с реальными процессами — формальная политика из конструктора не защитит при проверке.

Нужно ли уведомлять Роскомнадзор, если на сайте только форма обратной связи?

Да, уведомление требуется в большинстве случаев. Исключения из статьи 22 ФЗ № 152 узкие и не подходят для бизнеса с сайтом, CRM или рассылками. В уведомлении указываются цели, категории данных, меры защиты и сроки. После включения в реестр сведения нужно поддерживать в актуальном состоянии, иначе — самостоятельное нарушение.

Что такое локализация баз данных и как её соблюсти?

Закон требует, чтобы при сборе данных граждан России первичная обработка выполнялась на серверах в РФ (ст. 18 ФЗ № 152). Это касается CRM, сайта, личных кабинетов. Если данные сразу уходят на зарубежный сервер без записи в российской базе — это нарушение. Штраф — от 1 млн до 6 млн рублей.

Какие документы должны быть у компании для защиты персональных данных?

Минимальный пакет: политика обработки ПДн, положение о защите, согласия (отдельно для договора и для маркетинга), приказ о назначении ответственного, перечень информационных систем, акты классификации, журналы доступа. Для сотрудников — локальные акты о доступе к базам. Документы должны описывать реальные процессы, а не лежать мёртвым грузом.

Что делать, если произошла утечка клиентской базы?

В течение 24 часов — первичное сообщение в Роскомнадзор: характер нарушения, возможные причины, меры. В течение 72 часов — результаты расследования, причины, виновные лица и меры по предотвращению. Если оператор не показывает действий по локализации инцидента, штрафной риск растёт. Логи, акты ИБ и переписка — ключевые доказательства.

Как проверить, передаются ли данные клиентов за границу без нарушения?

Проанализировать, какие сервисы обрабатывают данные: CRM, рассылочные системы, телефония, аналитика. Если сервис работает за пределами России — это трансграничная передача. Для неё требуется отдельное уведомление в Роскомнадзор (ст. 12 ФЗ № 152). Иностранное облачное CRM без проверки — прямой риск.

Когда предпринимателю стоит обратиться к юристу по персональным данным?

До проверки — юрист сопоставит политику с реальными процессами, проверит согласия, уведомление и локализацию. Если требование от Роскомнадзора уже пришло — специалист выстроит позицию и оспорит штраф. Ошибки в процедуре снижают шансы на защиту, даже если по сути бизнес прав.

Заключение юриста

Защита персональных данных — это не только про утечки. Роскомнадзор проверяет основания обработки, согласия, уведомление в реестр, локализацию баз, доступ сотрудников и сроки реакции на инциденты. Штрафы растут: за отсутствие уведомления — до 3 млн ₽, за утечку — до 15 млн ₽, а при повторной — оборотный штраф до 3% годовой выручки. Формальная политика с сайта-конструктора не спасает, если реальные процессы расходится с текстом.
Приведите документы в порядок до проверки. Обратитесь к юристу. Мы проверим политику, согласия, уведомление в РКН, локализацию и договоры с подрядчиками. Если требование уже пришло — подготовим позицию и поможем снизить риски.

Задайте вопрос юристу