Роскомнадзор ежеквартально отчитывается по проведённым проверкам. За 2025 год ведомством выявлено 16 750 нарушений у операторов персональных данных. Некоторые предприниматели даже не догадываются, что нарушают закон. А штрафы за эти нарушения исчисляются сотнями тысяч рублей.
В статье собрали самые распространенные ошибки, которые допускают предприниматели из-за незнания закона о персональных данных. Прочитайте и проверьте — не грозит ли вам штраф.
Не берут согласие на передачу персональных данных третьим лицам
Пример 1. ИП торгует через свой интернет-магазин. Для доставки товаров он заключил договор с курьерской службой и передаёт ей Ф.И.О., адрес проживания покупателей. Предприниматель не проверяет правовое основание передачи и не оформляет поручение обработки персональных данных с курьерской службой, думая, что личная информация нужна для исполнения договора купли-продажи.
Пример 2. ИП-работодатель сдаёт отчётность в Социальный фонд через СБИС. Для этого он передаёт в СБИС персональные данные сотрудников: Ф.И.О., СНИЛС. Он не проверяет, на каком основании сервис обрабатывает данные работников, и не закрепляет условия поручения обработки. Он думает, что раз сдавать отчётность он обязан по закону, об этом не нужно предупреждать сотрудников.
Пример 3. Владелец интернет-магазина делает email-рассылки своим клиентам с новостями по акциям, скидкам, поступлению новых товаров. Для этого он использует почтовый сервис UniSender или аналогичную программу и туда загружает базу контактов. Он не проверяет согласия клиентов, правовое основание рассылки и условия передачи данных сервису рассылок.
В этих ситуациях риск нарушения возникает, если оператор передаёт персональные данные подрядчику без согласия субъекта, когда оно требуется, без иного законного основания или без условий поручения обработки по ч. 3 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных». Передавать личную информацию третьим лицам можно при наличии согласия гражданина или другого законного основания обработки. Предпринимателя могут оштрафовать как должностное лицо на сумму от 50 000 до 100 000 рублей по ч. 1 ст. 13.11 КоАП РФ.
Роскомнадзор узнаёт о нарушениях операторов персональных данных в ходе проверок: плановых и внеплановых. Если он получит жалобу от граждан или информацию о возможной утечке личной информации, то может провести внеплановую проверку при наличии оснований. Пожаловаться в Роскомнадзор могут работники, клиенты, сотрудники подрядчиков.
Ответственность за конфиденциальность персональных данных несёт оператор — тот, кто определяет цели и способы обработки персональных данных. Он должен обеспечить законность обработки, защиту личной информации и предотвратить её утечки.
Чтобы оформить поручение обработки и закрепить обязанности подрядчика при возможных «сливах данных», надо включить в договор с ним дополнительные условия:
- перечень персональных данных (ПД) и цели их обработки;
- список действий с ПД;
- обязанности обеспечить конфиденциальность личной информации граждан, принять меры по предотвращению утечек, хранить базы данных на территории России и другое по ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Третья сторона не обязана самостоятельно получать согласия с клиентов ИП, если обрабатывает ПД по поручению оператора. При этом она обязана соблюдать конфиденциальность, принимать меры защиты ПД и отвечает перед оператором за нарушение условий поручения.
Что делать
Проверьте все свои действующие договоры с третьими лицами. Составьте список контрагентов, которым отправляете личные данные своих работников или клиентов.
Получайте согласие на передачу ПД третьим лицам при заключении договоров с гражданами в случаях, когда согласие действительно требуется, либо определите другое законное основание обработки. В законе нет требования об обязательной письменной форме для обычного согласия на обработку ПД. Можно выбрать любой способ, который подтвердит, что гражданин не против передачи его данных третьей стороне. Например, на сайте интернет-магазина можно после формы с заполнением личных данных вставить фразу «Даю своё согласие на обработку персональных данных, в том числе передачу их службе курьерской доставки ООО «Ромашка» для доставки посылки», чтобы покупатель поставил там галочку.
Если не уверены, нужно получать согласие на обработку ПД или нет, сначала проверьте правовое основание обработки: согласие, исполнение договора, требование закона, законный интерес или поручение обработки. Получать согласие «на всякий случай» не всегда корректно, если обработка должна идти по другому основанию.
Берут одно согласие на все случаи обработки
Пример. Владелец сервиса «Муж на час» публикует на своём сайте данные своих работников с фото, номерами мобильных телефонов, а также отзывы клиентов с указанием их e-mail, ссылок на профиль в соцсетях. Отдельного согласия на распространение персональных данных он не получает. У него есть одно согласие на обработку ПД, которое подписывают работники у кадровика, и одно общее согласие от клиентов на обработку ПД при входе на сайт.
Публикация телефонов, e-mail и имён своих сотрудников или клиентов в интернете, в рекламных буклетах либо на корпоративной доске при входе в офис — это распространение персональных данных. В этом случае доступ к ним получает любой желающий, то есть «неопределённый круг лиц».
На распространение ПД нужно получать отдельное согласие по требованиям ст. 10.1 закона от 27.07.2006 № 152-ФЗ «О персональных данных». Иначе предприниматель может заплатить штраф по ч. 2 ст. 13.11 КоАП РФ:
- от 100 000 до 300 000 рублей — при первом нарушении;
- от 500 000 до 1 000 000 рублей — при повторном.
Если оператор нарушает требование о локализации баз данных граждан РФ на территории России, то наказание будет ещё строже — по ч. 8 и 9 ст. 13.11 КоАП РФ. Это штраф для ИП от 100 000 до 200 000 рублей при первом нарушении и от 500 000 до 800 000 рублей при повторном.
Что делать
Проверьте, где вы размещаете в открытом доступе данные работников и клиентов. На все эти случаи получите согласие на распространение ПД. Для формы этого документа есть свои требования.
Так, гражданин должен по каждому виду ПД указать, что он разрешает с ними делать. Например, он согласен дать свой e-mail оператору ПД, но против его публикации на сайте.
На сайте Роскомнадзора есть специальный сервис для подготовки шаблона согласия на распространение ПД. Для авторизации нужна подтверждённая учётная запись на Госуслугах. Вы можете составить шаблон согласия и при желании направить его в Роскомнадзор на проверку.
С 1 сентября 2022 года согласие на обработку персональных данных должно быть «конкретным, предметным, информированным, сознательным и однозначным». Согласие нужно оформлять отдельно от иных документов и пользовательских соглашений, чтобы человек понимал, на что именно соглашается. В идеале на одну цель обработки нужно одно согласие. Например, для интернет-магазина могут потребоваться:
- согласие на обработку для продажи товара;
- согласие на передачу данных службе доставки;
- согласие на распространение при публикации отзывов на сайте с личными данными клиентов.
Собирают излишнюю личную информацию
Пример. Клиент интернет-магазина покупает товар с самовывозом из пункта выдачи заказов. Владелец магазина при оформлении заказа запрашивает с него: Ф.И.О., мобильный телефон, дату рождения, домашний адрес, паспортные данные, адрес электронной почты.
Предприниматель может собирать только те персональные данные, которые совместимы с целями их обработки. Запрашивая избыточную личную информацию с граждан, он нарушает ст. 5 закона о персональных данных. В примере c доставкой самовывозом домашний адрес клиента, дата рождения и паспортные данные могут быть лишними, если они не нужны для выдачи заказа, оплаты, доставки, гарантии или исполнения требований закона. E-mail может понадобиться для электронного чека, уведомления о заказе или сервисных сообщений, если такая цель обработки указана заранее.
За такое нарушение оператор ПД получит штраф по ч. 1 ст. 13.11 КоАП РФ. Для индивидуального предпринимателя он составит:
- от 50 000 до 100 000 рублей — при первом нарушении;
- от 100 000 до 200 000 рублей — за повторное.
Что делать
Проведите инвентаризацию всех бизнес-процессов: от заказа товара до его доставки клиентам и получения отзывов. Запишите, какую личную информацию граждан вы получаете и обрабатываете на всех этапах.
Оцените, какие персональные данные вам нужны для работы, а какие — нет. После этого уничтожьте или передайте в архив лишние ПД. Если необходимо, исправьте согласия на обработку ПД, убрав оттуда избыточные запросы.
С 1 марта 2023 года оператор ПД должен иметь Акт оценки вреда, который может быть причинён субъекту ПД при утечке его персональных данных. Документ составляют в соответствии с приказом Роскомнадзора от 27.10.2022 № 178, который действует до 1 марта 2029 года. Оператор делает список всех видов ПД, которые он обрабатывает, и по каждому из них оценивает степень вреда: высокую, среднюю, низкую.
По возможности, минимизируйте обработку персональных данных с высокой степенью вреда: высокая степень вреда сама по себе не означает автоматическое увеличение штрафа, но такие данные требуют повышенных мер защиты.
Не уведомляют Роскомнадзор о трансграничной передаче
Пример. Маркетологи интернет-магазина используют в работе для анализа поведения посетителей сайта Google Analytics. Если через сервис передаются идентификаторы пользователей, контактные данные или иная информация, по которой можно определить человека, это может быть трансграничной передачей ПД. Но владелец интернет-магазина этого не делает. Он думает, что это обязательно только для тех, у кого есть зарубежные партнёры.
С 1 марта 2023 года передавать иностранцам и иностранным организациям в другой стране личные данные россиян можно только после уведомления Роскомнадзора. Уведомление о намерении осуществлять трансграничную передачу ПД подают до начала такой передачи и отдельно от общего уведомления об обработке персональных данных. Это обязательно по ч. 3 ст. 12 закона о персональных данных.
Как уведомить Роскомнадзор:
- Получить от иностранной организации или гражданина другой страны, которым будут направляться ПД, сведения по ч. 5 ст. 12 закона персональных данных. Это информация о том, насколько защищена личная информация граждан у этого контрагента. Её может запросить Роскомнадзор при проверке уведомления о намерении осуществлять ТППД.
- Заполнить форму на сайте Роскомнадзора. Для авторизации понадобится подтверждённая учётная запись на Госуслугах. Если её нет, то можно заполнить бумажное уведомление в соответствии с ч. 4 ст. 12 закона о персональных данных и отправить его Почтой России.
- Если персональные данные передают в государство с адекватной защитой ПД, можно после уведомления не дожидаться ответа от Роскомнадзора. Список таких стран утверждён приказом Роскомнадзора от 05.08.2022 № 128.
- Если личная информация попадает в страну, которой нет в списке, нужно подождать 10 рабочих дней. За это время Роскомнадзор рассмотрит уведомление и примет решение, можно передавать ПД иностранцу или нет. Если ведомство откажет в ТППД, то никакую информацию этому контрагенту отправлять нельзя.
- Если Роскомнадзор запретил ТППД, а личные данные россиян к иностранцу уже попали, нужно обеспечить уничтожение ПД. Как это делать, в законе не сказано. Часто ИП может только направить письмо своему партнёру с просьбой уничтожить ПД, и на этом легальные способы заканчиваются.
Что делать
Если вы используете Google Analytics, проверьте, передаются ли через сервис персональные данные или идентификаторы пользователей. Если да, направьте уведомление в Роскомнадзор о ТППД либо выберите для анализа сайта сервисы и настройки, при которых трансграничной передачи ПД не происходит.
Не уничтожают персональные данные
Пример. Компания искала бухгалтера через интернет и собирала резюме кандидатов. Кадровик получал от соискателей согласие на обработку персональных данных в целях выбора работника для закрытия вакансии. Бухгалтера нашли и приняли на работу. Но кадровик продолжает хранить «на всякий случай» резюме других кандидатов.
Все персональные данные после достижения целей обработки надо уничтожить или сдать в архив. Архивное хранение допускается только при наличии законных оснований и соблюдении установленных сроков хранения.
Если этого не сделать, то будет нарушение требований ч. 4 и ч. 6 ст. 21 закона о персональных данных. ИП может заплатить штраф по ч. 5 ст. 13.11 КоАП РФ: от 20 000 до 40 000 рублей при первом нарушении и от 50 000 до 100 000 рублей при повторном.
Что делать
Проверьте, не храните ли вы лишнюю информацию. Например, данные бывших клиентов или уволенных работников. Посмотрите, что нужно сдать в архив, а что — уничтожить.
Обучите своих работников правилам обработки ПД. Объясните им, что не стоит копить личные данные граждан, если это не нужно по закону.
Полезные советы от Роскомнадзора
- Роскомнадзор опубликовал в августе 2023 года Рекомендации операторам персональных данных. Вот что он советует:
- Уменьшите перечень личной информации граждан, которую собираете и обрабатываете.
- Обеспечьте раздельное хранение ПД работников, клиентов, представителей подрядчика. Не объединяйте в одни базы персональные данные с несовместимыми целями обработки. Например, не размещайте список для служебной рассылки в одной программе с маркетинговой рассылкой.
- Храните раздельно личные данные клиентов и историю работы с ними: договоры, платежи и другое.
- Не копите персональные данные «на всякий случай». Используйте и храните только ту информацию, которая нужна вам для деятельности. Своевременно уничтожайте ПД.
- Используйте различные технические средства и программы защиты информации. Помните, что передача ПД третьим лицам увеличивает риски доступа к персональным данным и не снимает с оператора ответственности перед субъектом ПД.
- Своевременно сообщайте в Роскомнадзор об утечках личной информации граждан.
- Защищайте ПД не только от внешних злоумышленников, но и от внутренних нарушителей.
- Назначьте ответственного в вашей организации за защиту персональных данных, дайте ему полномочия и проведите обучение.
