Защита персональных данных без штрафов
Защита персональных данных влияет на работу сайта, CRM, кадрового учета, клиентских баз, рассылок и ИТ инфраструктуры. Риск штрафа возникает не только при утечке. Роскомнадзор проверяет правовые основания обработки, уведомление в реестр операторов, локальные акты, согласия, локализацию баз данных, доступ сотрудников и реакцию на инциденты. Закон требует, чтобы оператор собирал только необходимые сведения, фиксировал цели обработки. Также защищал организационными и техническими мерами и прекращал обработку после достижения цели.
Оператор персональных данных и обязанности бизнеса
Оператор персональных данных — это организация, ИП или гражданин, которые определяют цели обработки, состав и действия. Статус возникает из-за факта работы с личной информацией клиентов, сотрудников, соискателей, пациентов, учеников или пользователей сайта (ст. 3 ФЗ № 152).
Интернет-магазин становится оператором при сборе имени, телефона, адреса доставки и истории заказов. Онлайн-школа обрабатывает данные учеников, платежи, прогресс обучения и доступы к личному кабинету. Клиника работает с медицинской информацией, а в отдельных случаях — с биометрическими данными. HR-служба хранит анкеты, резюме, паспортные сведения, трудовые документы и результаты оценки кандидатов.
Обязанности оператора включают:
- правовое основание обработки;
- политику ПДн;
- согласия;
- внутренние регламенты;
- назначение ответственного лица;
- контроль доступа;
- меры безопасности.
Формальная политика с сайта-конструктора не закрывает риск, если реальные процессы отличаются от текста. При проверке значение получает совпадение бумаг с имеющейся моделью работы.
Документы для обработки и защиты ПД
Для соответствия ФЗ № 152 недостаточно разместить политику конфиденциальности в футере сайта. Поскольку текст должен описывать, какие сведения собираются, зачем нужны, где хранятся, кто получает доступ, кому данные передаются и когда уничтожаются. Такой пакет подтверждает управляемую систему обработки, а не разовую подготовку к проверке.
Дополнительное внимание уделяется политике обработки, положению о защите персональных данных, согласию для отдельных целей. Также учитываются перечень информационных систем, модель угроз, акты классификации, журналы доступа, обязательства о неразглашении и порядок реагирования на утечки. Для сотрудников оформляются локальные акты, регламентирующие доступ к базам, использование корпоративной почты и внешних сервисов.
Согласие на обработку персональных данных разрабатывается конкретно, предметно, информировано и привязывается к цели. Такая бумага для исполнения договора не заменяет отдельное разрешение на рекламные сообщения. Маркетинговая рассылка требует отдельного подтверждения, где указаны каналы связи и возможность отказа. Общие формулировки создают риск претензий. Потому что субъект не видит, какие действия разрешает оператору.
Меры безопасности строятся на статье 19 ФЗ № 152. Для ИТ подразделения это означает настройку прав доступа, учет действий пользователей, резервное копирование, антивирусную защиту. Осуществляется контроль носителей, журналирование событий и классификация информационных систем. Постановление Правительства РФ № 1119 и Приказ ФСТЭК № 21 помогают определить уровень защищенности и набор мер для информационных систем персональных данных.
Анализ ситуации и оценка рисков за 15 минут
Сопровождение от переговоров до результата в суде
Фиксированная стоимость по договору без доплат
Уведомление Роскомнадзора и реестр операторов
До начала обработки оператор обязан направить уведомление в Роскомнадзор, если не действует узкое исключение из закона (ст. 22 ФЗ № 152). Для бизнеса с сайтом, CRM, личным кабинетом, онлайн-записью, маркетинговыми сервисами, колл-центром или внешней аналитикой исключения не подходят.
Уведомление содержит сведения об:
- операторе;
- целях обработки;
- категориях субъектов;
- перечне ПДн;
- мерах защиты;
- трансграничной передаче;
- сроках обработки.
После включения в реестр РКН сведения поддерживаются в актуальном состоянии. Изменение CRM, появление новой категории клиентов, запуск рассылки, подключение зарубежного сервиса требуют проверки уведомления.
Неподача уведомления или устаревшие сведения в реестре формируют самостоятельный состав нарушения (ст. 13.11 КоАП РФ). Риск не зависит от утечки. Контролирующий орган выявляет нарушение при плановом анализе.
Сайт, CRM и трансграничная передача данных
Как правило, с создает больше рисков, чем внутренняя база. Форма заявки, обратный звонок, чат, cookie, аналитика и иные инструменты запускают обработку персональных данных. Если рядом с формой нет понятной цели сбора и ссылки на политику, доказать прозрачность обработки сложнее.
CRM-система требует отдельной проверки. Важно установить, где хранятся серверы, какие сотрудники имеют доступ, какие подрядчики видят клиентскую базу. Также следует проанализировать передаются ли сведения в рассылочные сервисы, мессенджеры, телефонию или аналитику. Если сервис размещает данные за пределами России, появляется вопрос трансграничной передачи (ст. 12 ФЗ № 152).
Локализация баз данных требует, чтобы при первичном сборе сведений граждан России обработка выполнялась с использованием баз данных на территории РФ (ст. 18 ФЗ № 152). Нарушение локализации влечет крупный штраф в размере от 1 млн до 6 млн рублей и ограничение доступа к ресурсу (ст. 13.11 КоАП РФ).
При жалобе клиента Роскомнадзор проверит не текст политики, а путь данных от формы до CRM. Риск усиливают отсутствие уведомления о трансграничной передаче, общий доступ сотрудников к таблице и отсутствие срока хранения заявок. Один лид с сайта способен раскрыть нарушение локализации, трансграничной передачи и контроля доступа.
Утечки персональных данных и сроки реакции
Утечка персональных данных фиксирует неправомерную передачу, раскрытие или доступ к информации. Инцидентом становится публикация клиентской базы в сети, отправка файла не тому адресату, взлом CRM, открытый доступ к таблице, компрометация личного кабинета.
После выявления инцидента оператор обязан направить первичное сообщение в Роскомнадзор в течение 24 часов. В сообщении отражаются характер нарушения, возможные причины, предполагаемый вред, меры реагирования и контактное лицо. В течение 72 часов предоставляются результаты внутреннего расследования, сведения о причинах, виновниках и мерах по предотвращению повторения (ст. 21 ФЗ № 152).
Сильная позиция строится на доказательствах реакции. Учитываются записки, логи доступа, акты ИБ подразделения, переписка с подрядчиком, данные SOC. Дополнительно представляются доказательства фиксации блокировки учетных записей, смены паролей, отключения уязвимого сервиса и обновления модели угроз. Если оператор не показывает действия по локализации, штрафной риск увеличивается.
Штрафы и помощь юриста при проверке
Ответственность за нарушения в сфере ПДн установлена статьей 13.11 КоАП РФ. Штрафы применяются за отсутствие правового основания, неподачу уведомления, нарушение локализации. Для бизнеса критичны повторные нарушения и инциденты с большим объемом данных.
С 30 мая 2025 года усилена ответственность за утечки и уведомления. За нарушение обязанности сообщить об утечке предусмотрен штраф до 3 млн рублей. Утечка данных наказывается штрафом до 15 млн рублей при крупной базе. При повторной утечке применяется оборотный штраф в размере от 1% до 3% совокупной выручки за год с установленными минимальными и максимальными пределами (ст. 13.11 КоАП РФ).
Помощь юриста важна до проверки и после получения требования Роскомнадзора. Юрист сопоставляет политику с процессами, проверяет согласия, уведомление в реестр, трансграничную передачу. Дополнительно оценивает договоры с подрядчиками, локальные акты, документы ИБ и порядок уничтожения ПДн. Такая работа выявляет разрывы между юридическими текстами, системами и действиями сотрудников.
В конкретном кейсе специалист выстраивает позицию по фактам. При оспаривании постановления значение имеют сроки, подсудность, состав доказательств, объяснения ответственного лица и технические материалы. Ошибка в процедуре приводит к проигрышу, даже при наличии содержательных аргументов.
Задайте вопрос юристу