Обработка персональных данных: соблюдение требований и риски нарушений

Содержание:

Что считается обработкой персональных данных — и почему это важно

Согласно статье 3 Федерального закона №152-ФЗ «О персональных данных», обработка — это любое действие или совокупность действий с персональными данными. В это понятие входят сбор, запись, систематизация, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение сведений, относящихся к конкретному субъекту данных.

Персональные данные — это любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу. Это не только ФИО, дата рождения, паспортные данные, но и номер телефона, адрес электронной почты, IP-адрес, поведенческие данные на сайте, а в некоторых случаях — cookie-файлы.

Типичные ситуации, когда происходит обработка персональных данных, но компании не всегда это осознают:

1. Заполнение форм обратной связи или заявки на сайте (e-mail + телефон = ПДн);
2. Использование CRM-систем (оклады, дни рождения сотрудников, сделки с клиентами);
3. Видеонаблюдение в офисе — если камера фиксирует лицо конкретного человека;
4. Сбор аналитических данных с сайта через cookies и иные трекеры.

Проверьте у себя: есть ли у вас база с именами сотрудников, клиентов, пользователей? Получаете ли вы электронные обращения через сайт? Работает ли у вас отдел кадров с трудовыми договорами? Почти наверняка вы уже являетесь оператором персональных данных по определению закона, а значит — обязаны соблюдать требования к обработке и защите.

Почему важно правильно зафиксировать факт обработки? Во-первых, за нарушения предусмотрены серьёзные штрафы (до 1,5 млн рублей по статье 13.11 КоАП РФ). Во-вторых, утечки или неправомерная передача сведений приводят к репутационным и финансовым потерям. В-третьих, Роскомнадзор активно проводит проверки — по обращениям или планово — и блокирует ресурсы при выявлении нарушений.

Законные основания для обработки: когда можно, а когда — нельзя

Обработка персональных данных разрешена только при наличии законного основания. Основные перечислены в статье 6 закона №152-ФЗ:

1. Согласие субъекта — письменное или электронное разрешение на обработку;
2. Исполнение договора — заключение и реализация контрактов и сделок;
3. Законодательное требование — например, ведение бухгалтерского или кадрового учёта;
4. Защита жизни, здоровья или иных жизненно важных интересов субъекта;
5. Осуществление правосудия и исполнения решений суда;
6. Обработка в общественных целях, например, журналистами, при соблюдении баланса интересов.

Важно: если основание не подтверждено документально — обработка считается незаконной. Распространённый кейс нарушения: компания на сайте собирает телефоны под предлогом “мы свяжемся для уточнения” — но не предоставляет сведений о целях, сроках, условиях хранения и не запрашивает согласие. Такая ситуация уже формально подпадает под признаки неправомерной обработки.

Когда согласие обязательно?

1. При сборе данных через интернет (формы регистрации, cookies);
2. Для обработки специальных категорий данных — например, сведений о здоровье (медицинские анкеты, санаторные справки и т.д.);
3. Для распространения данных (размещение отзывов с ФИО, публикация кейсов с клиентами);
4. Для передачи ПДн третьим лицам (например, маркетинговому агентству);
5. При использовании биометрических данных (вход по отпечатку пальца, Face ID и пр.).

Что касается данных сотрудников: в рамках трудовой деятельности работодатель имеет право обрабатывать их без дополнительного согласия — на основании Трудового кодекса РФ. Однако любые действия вне этих рамок (размещение фото на сайте, передача резюме в стороннюю службу подбора) требуют отдельного согласия.

То же касается клиентов и пользователей: если вы оформляете заказ — можно собирать данные для оформления. Но если потом вы хотите отправлять им новости и предложения, вам требуется отдельное согласие на обработку в этой новой цели.

Подсказка: возьмите несколько пунктов, по которым вы собираете информацию (адрес доставки, рост для примерки, комментарий к заказу) — и укажите у себя: зачем, на каких основаниях, сколько храните, можно ли удалить. Если цель расплывчатая или срок не определён — согласие обязательно.

Регистрация и обязанности оператора ПДн: что нужно делать на старте

Оператор персональных данных — лицо, которое самостоятельно или совместно с другими лицами организует и/или осуществляет обработку таких данных. Это может быть индивидуальный предприниматель, ООО, государственный орган, даже физическое лицо при использовании данных в профессиональных целях.

Если вы начали обрабатывать ПДн — у вас возникают обязательства:

1. Уведомить Роскомнадзор о начале обработки. Подать можно через портал «Госуслуги Бизнес» или в бумажной форме. Исключения есть, но их немного — например, если данные обрабатываются только в рамках трудовых отношений и не передаются третьим лицам.
2. Назначить ответственного за организацию обработки ПДн. Этот сотрудник следит за соблюдением законодательства, ведёт внутренние учёты, взаимодействует с Роскомнадзором.
3. Разработать и утвердить Политику конфиденциальности — открытый документ, размещаемый на сайте, где раскрыты ключевые действия и цели обработки.
4. Подготовить внутренние документы: положение о защите ПДн, регламент доступа сотрудников, инструкции для ИТ и кадрового персонала.
5. Организовать технические и организационные меры защиты — об этом подробнее ниже.

Частые ошибки на старте:

1. Оператор не уведомил Роскомнадзор — это нарушение даже при полном соблюдении остального;
2. Политика есть, но ее содержание не соответствует реальным действиям (например — указана передача, которой в реальности нет, или наоборот);
3. Нет назначенного ответственного, сотрудники не обучены, формы согласия не оформлены или оформлены неправильно (подпись есть, а цели не указаны);
4. CRM содержит архивы с устаревшими или лишними сведениями, которые давно нужно было удалить.

Рекомендованный порядок:

1. Соберите список всех мест, где вы получаете и обрабатываете ПДн (сайт, CRM, Excel, видеонаблюдение, документы);
2. Определите цели обработки и законные основания (договор, согласие, закон);
3. Оформите уведомление в Роскомнадзор;
4. Разработайте Политику конфиденциальности и разместите её на сайте;
5. Издайте приказ о назначении ответственного и разработайте базовый комплект внутренней документации;
6. Проведите инструктаж и оформление согласий у сотрудников, где это необходимо.

Замечание: начать можно с простых шагов — даже один ответственный и текстовый файл с описанием процессов уже лучше, чем полное отсутствие контроля. Далее систему можно поэтапно усложнять и автоматизировать.

Минимизация и актуализация: зачем хранить меньше и не навсегда

Закон требует обрабатывать только те персональные данные, которые необходимы для достижения конкретной цели. Это называется принципом минимизации и он зафиксирован в статье 5 закона №152-ФЗ. Также важно не просто «не собирать лишнего», но и своевременно удалять устаревшие или более не нужные сведения.

Собираете email-рассылку? Достаточно email-адреса. Добавили туда ФИО, дату рождения, должность — если не можете объяснить зачем, вы нарушаете принцип минимизации.

Регистрируете пользователей на сайте? Поля формы должны быть обоснованы задачей. Индекс — только если отправляете почту. Город — возможно, но если он нужен лишь для статистики, используйте обезличенный сбор.

Нужно — храните. Не нужно — не собирайте или удаляйте.

Что точно не стоит делать «на всякий случай»:

1. Запрашивать избыточные данные в формах регистрации (например, фото паспорта для оформления скидки);
2. Хранить “архивные” клиентские базы, с которыми не взаимодействуете годами;
3. Сохранять данные работников после завершения трудовых отношений дольше социальных или налоговых сроков;
4. Держать неиспользуемые cookie-механизмы и не уведомлять об их использовании.

Чек-лист для минимизации:

1. Проверьте, что все поля форм на сайте реально используются и обоснованы целями и законом;
2. Ревизуйте архивы CRM — используйте фильтры по дате последнего контакта;
3. Настройте автоматическую очистку или ручную проверку неактивных записей раз в квартал;
4. Обяжите сотрудников не собирать произвольные данные при общении с клиентами (например, о членах семьи без должного согласия);
5. Разграничьте доступ: не все сотрудники должны видеть все сведения.

Правильное соблюдение принципов минимизации упрощает обеспечение безопасности данных, снижает риски при утечках и увеличивает лояльность клиентов. В условиях растущего внимания к конфиденциальности, это становится важным конкурентным преимуществом.

Организация защиты: технические и организационные меры

Обеспечение безопасности персональных данных предполагает внедрение комплекса технических и организационных мер, соответствующих объёму, категории и способам обработки данных. В соответствии с положениями статьи 19 закона №152-ФЗ, оператор обязан обеспечить защиту сведений от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также других неправомерных действий. При этом меры должны быть адекватны реальным рискам и угрозам.

Технические меры — это не обязательно дорогостоящие системы защиты уровня банков. Для малого бизнеса достаточно базовых решений, если они внедрены осознанно и поддерживаются в актуальном состоянии:

1. Контроль доступа — разграничение прав доступа к ПДн по ролям, защита паролями, использование двухфакторной аутентификации для администраторов;
2. Шифрование и защита каналов — передача данных через HTTPS, шифрование хранилищ или баз данных там, где это требуется;
3. Антивирусная защита и регулярное обновление ПО — обязательны для всех рабочих машин;
4. Резервное копирование — настройка автоматического бэкапа, особенно для критичных систем и баз, с хранением копий в отдельных изолированных местах;
5. Журналирование — логирование действий пользователей с доступом к ПДн (например, кто и когда экспортировал клиентскую базу);
6. Политика хранения паролей — запрет хранения их в открытом виде, регулярная смена, невозможность повторного использования.

Организационные меры — это то, что устраняет риск на уровне человеческого фактора:

1. Инструкции и регламенты для сотрудников — кто имеет право работать с ПДн, в каком объёме, как оформляются допуски и выход из системы при увольнении;
2. Подписи под обязательствами о неразглашении — особенно у лиц с постоянным доступом к ПДн, включая бухгалтерию, HR, IT;
3. Обучение сотрудников — хотя бы базовые вводные по темам хранения данных, недопустимых действий, обращения с электронными файлами;
4. Регулярные проверки и аудиты — например, раз в квартал проверять доступы, обновлять инструкции, организовывать внутренние ревизии.

Как определить нужный уровень защиты? Степень сложности защиты зависит от:

1. Категории обрабатываемых данных (простые, специальные, биометрические);
2. Количество субъектов (10 сотрудников или несколько тысяч клиентов);
3. Характер обработки (локально в офисе, передаётся третьим лицам, размещена в «облаке»);
4. Реальных угроз — случаи ранее произошедших утечек, повторяющихся жалоб, география деятельности.

Например, для ИП с интернет-магазином, собирающим e-mail и телефоны, разумный минимум может включать: SSL-сертификат, двухфакторную авторизацию в админке, резервные копии базы и подписанное согласие на обработку с формулировкой целей.

Частая ошибка: считать, что «у нас всё в Google Диске — это безопасно». Даже если вы используете известные облачные сервисы, вы остаетесь оператором ПДн и несёте ответственность за их защиту. Доступы, пароли и структура хранения — ваша зона контроля.

Практикуйте принцип достаточной защиты: не переплачивать там, где можно организовать всё надёжно малыми средствами, но и не игнорировать элементарные меры — особенно если у вас есть доступные базы клиентов с телефонами, адресами или паспортами.

Взаимодействие с третьими лицами: передача и поручение обработки

Очень многие бизнесы не ограничиваются внутренними действиями и делегируют часть процессов внешним подрядчикам. Это могут быть бухгалтеры, call-центры, IT-разработчики, маркетологи, службы доставки, облачные CRM. И здесь крайне важно понимать разницу между передачей и поручением обработки.

Поручение обработки означает, что внешнее лицо (обработчик) занимается технической или вспомогательной обработкой данных по чётким инструкциям оператора — и не определяет цели сбора данных. В таком случае между сторонами заключается договор на поручение, в котором:

1. Указано, какие конкретно действия совершает обработчик;
2. Закреплена обязанность соблюдать конфиденциальность и защищать данные;
3. Ограничена возможность передачи данных третьим лицам без согласия оператора;
4. Предусмотрен контроль и ответственность за нарушения.

Хороший пример — вы поручаете колл-центру принимать заявки по телефону, где сотрудники вводят ФИО, телефон и товар в систему. Колл-центр не владеет базой, он лишь вводит информацию в вашу систему — значит это поручение.

Передача персональных данных — это предоставление данных другому лицу, которое самостоятельно действует с ними, определяет цели или методы использования. Такой случай требует наличия отдельного согласия субъекта на передачу или специального основания по закону.

Пример: вы передаёте базу клиентов в маркетинговое агентство, которое делает обзвоны или email-рассылки от своего имени — это передача. Без согласия клиента это — нарушение.

На что обратить внимание при работе с подрядчиками:

1. Заключайте отдельные соглашения о защите ПДн, даже если основной договор — о бухучёте или хостинге;
2. Проверьте, чтобы у подрядчика были минимальные меры безопасности: защищённые каналы связи, контролируемый доступ, обученные сотрудники;
3. Включите в договор фразу о невозможности хранения данных за пределами РФ, если вы работаете с гражданами России — это обязательное требование закона;
4. Убедитесь, что подрядчик понимает свою зону ответственности и в случае утечки не уйдёт от ответственности простой формулой: «Мы не знали, что это важно».

Типовая проблема: фрилансеру вы передали Excel-файл с менеджерской базой, чтобы он доработал веб-форму. Не оформили никаких документов. Через месяц выяснилось, что эти данные «утекли» — кто отвечает? Вы, как оператор. Подрядчик несёт гражданскую, а вы — административную ответственность, потому что нарушили правила передачи данных.

Вывод: не ведите неформальные отношения с подрядчиками, если в них участвуют персональные данные. Даже простой одностраничный договор с приложением — лучше, чем отсутствие документов при реальной проверке.

Нарушения и ответственность: что реально грозит и как избежать

За нарушение требований законодательства в области обработки и защиты персональных данных предусмотрены административные, гражданские и репутационные последствия. Их инициатором может выступить не только Роскомнадзор, но и сам субъект персональных данных — например, бывший сотрудник, недовольный клиент или случайный пользователь.

Наиболее распространённые нарушения:

1. Отсутствие уведомления Роскомнадзору о начале обработки;
2. Отсутствие согласия субъекта при его обязательности;
3. Неразмещение политики конфиденциальности на сайте или противоречие её реальным действиям;
4. Утечка базы данных (например, через незащищённый файловый обменник);
5. Необоснованное хранение ПДн — дольше срока, без цели, без актуализации;
6. Отказ в предоставлении доступа субъекту к своим данным — нарушение прав;
7. Отсутствие внутренних документов: приказов, журналов доступа, инструкций;
8. Необеспечение достаточного уровня защиты информации (например, общий доступ ко всем папкам в Dropbox для всех сотрудников).

Размеры штрафов определяются по статье 13.11 КоАП РФ и могут варьироваться от 6 000 до 1 500 000 рублей в зависимости от тяжести нарушения, размаха обработки и категории ПДн. Для юридических лиц минимальные суммы начинаются с 30 000–75 000 руб. за первое нарушение, а при повторных нарушениях могут достигать 500 000 руб. и выше.

Примеры из новостей и практики:

1. Онлайн-магазин без политики конфиденциальности и без согласия на обработку — штраф 60 000 руб. по решению суда;
2. Утечка клиентской базы турфирмы — Роскомнадзор инициировал блокировку ресурса до устранения нарушений; ущерб репутации и потеря клиентов;
3. Оператор массово рассылал e-mail по базе из подаренной CRM — штраф и предписание удалить базу из-за отсутствия согласий.

Что помогает избежать нарушений:

1. Поддержка внутренней документации в актуальном виде;
2. Наличие понятной и доступной политики обработки персональных данных на сайте;
3. Фиксация факта получения согласия — через сайт, расписки, галочки и аудиозаписи;
4. Оперативная реакция на запросы и обращения субъектов: доступ, исправление, удаление;
5. Регулярная проверка подрядчиков и условий передачи данных;
6. Создание и внедрение проверочных чек-листов для запуска новых проектов;
7. Аудит систем хранения данных — вплоть до отключения usb-флешек на рабочих компьютерах, если это позволяет реализация.

Важно понимать: большинство выявленных нарушений — результат бездействия, а не злого умысла. Нет «программы и бюджета» на соответствие — появляется риск. Правильнее — устранять слабые места точечно, но последовательно. Даже простое внедрение базовой структуры (согласие + уведомление + меры защиты + регламенты) уменьшает риски кратно.

Как контролировать соблюдение правил: начинаем вести обработку осознанно

Закрепить единообразные правила обработки персональных данных — важно не на старте, а всегда. Многоразовое выполнение одних и тех же процедур уменьшает хаос, минимизирует ошибки и снижает внутрикомандные конфликты по вопросу: «А можно ли хранить эту таблицу?»

Что помогает удерживать контроль над ситуацией:

1. Ведение реестра обработок — список информационных систем, целей, сроков и категорий собираемых данных. В удобной форме — таблица в Excel или Google Таблицах;
2. Папка «Персональные данные» с шаблонами согласий, инструкциями, копией политики, журналом обращений и поручений. Лучше — в облаке, с доступом у ответственного и юриста;
3. Проверки — раз в квартал, короткие: какие формы появились, какие базы добавлены, кто имеет новый доступ. Просто выделяется сотрудник на час времени — и делает чек последнего месяца;
4. Актуализация: удаляйте неиспользуемые CRM-поля, пересматривайте политику на сайте, отключайте заброшенные автоматизации рассылок.

Полезные привычки для команды:

1. Хранить только то, что реально нужно — принцип минимизации каждый может применять у себя;
2. Подписывать сотрудников при входе в должность не только под NDA, но и под регламент работы с ПДн;
3. Проверять подрядчиков через простой опросник: «где хранят? кто имеет доступ? как защищают?»;
4. Знать конкретного ответственного за ПДн. Если такого нет — начинается зона размытых решений.

Запомните: даже если вы делали «всё правильно» изначально — ситуация со временем меняется: вы внедряете новые сервисы, нанимаете людей, запускаете кампании. Контроль — это не разовая процедура, а регулярная работа. Раз в полгода — пересматривайте список целей, сфер обработки, подрядчиков и формы согласий. Это проще, чем устранять последствия плохой привычки «забыть проверить» спустя год.

Обратитесь в German Web, чтобы получить качественный продающий сайт для вашего бизнеса. Опишите нам, каким вы видите свой будущий проект, а все остальные задачи мы возьмем на себя. Связаться