Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
Деньги
Личный опыт
AI
Крипто
Право
Маркетплейсы
Образование
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Юрист Снежана Чепа
Право

Ошибки ценою в миллионы: как не попасть под штраф за некорректную работу с персональными данными

Поскольку с 30 мая 2025 г. начнут действовать новые штрафы в области защиты персональных данных (об этом я писала здесь), то хотела бы под конец года обратить внимание предпринимателей, что и иные нарушения могут повлечь за собой миллионные штрафы. Поэтому в этой статье расскажу о часто встречаемых мной нарушениях и дам рекомендации, как их устранить и сохранить свою прибыль в 2025 г.

Снежана Чепа
Юрист для бизнеса, специалист по защите персональных данных

Нарушение № 1. Использование сервисов Google Analytics, Google Формы

Хоть уже на каждых конференциях, вебинарах говорят, что использовать сервис Google Analytics в России запрещено, в т.ч. Роскомнадзор, но я вижу все равно, как на сайтах он активно используется. Этот же запрет установлен и в отношении Google Формы.

Почему это нарушение?

Все персональные данные изначально должны попадать в базы данных, которые находятся на территории РФ.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

ч. 5 ст. 18 Закона «О персональных данных»

Базы данных сервисов Google находятся за пределами территории РФ, что нарушает требование о локализации персональных данных.

Как устранить нарушение?

Полностью исключить использование сервисов Google Analytics и Google Формы. В качестве сбора аналитических данных можно использовать иные отечественные аналоги, например, Яндекс.Метрика, а в качестве форм сбора - Яндекс.Формы.

Какой штраф за нарушение?

  • для граждан (самозанятых) от 30 000 до 50 000 рублей;
  • для ИП и юр. лиц от 1 000 000 до 6 000 000 рублей (ч. 8 ст. 13.11 КоАП РФ).
Кстати, такое нарушение очень легко обнаружить в 1 клик: на самом сайте через специальный функционал отображаются различные сторонние сервисы, с помощью которой собираются персональные данные.
Кстати, такое нарушение очень легко обнаружить в 1 клик: на самом сайте через специальный функционал отображаются различные сторонние сервисы, с помощью которой собираются персональные данные.

Нарушение № 2. Отсутствует cookie–баннер на сайте

Чтобы проверить простыми действиями сайт на наличие cookie-файлов можете прочитать здесь пост в моём Telegram-канале. Если обнаружили у себя, что на сайте используются cookie-файлы, но нет у вас вот такого, например, cookie–баннера, то это нарушение.

Ошибки ценою в миллионы: как не попасть под штраф за некорректную работу с персональными данными

Почему это нарушение?

Файлы cookie относятся к персональным данным исходя из толкования ч. 1 ст. 3 Закона «О персональных данных», а также упоминаются в качестве персональных данных в судебных решениях и в разъяснения Роскомнадзора.

Как устранить нарушение?

Разместить на сайте cookie–баннер со следующей формулировкой:

На нашем сайте используются cookie–файлы, в том числе сервисов веб–аналитики. Используя сайт, вы соглашаетесь на обработку персональных данных при помощи cookie–файлов. Подробнее об обработке персональных данных вы можете узнать в Политике конфиденциальности.

Какой штраф за нарушение?

В настоящее время штрафы следующие (ч. 1 ст. 13.11 КоАП РФ):

  • для граждан (самозанятых) от 2 000 до 6 000 рублей;

  • для ИП - от 10 000 до 20 000 рублей;

  • для юридических лиц - от 60 000 до 100 000 рублей.

НО с 30 мая 2025 г. штрафы будут увеличены:

  • для граждан (самозанятых) от 10 000 до 15 000 рублей;

  • для ИП - от 50 000 до 100 000 рублей;

  • для юридических лиц - от 150 000 до 300 000 рублей.

Нарушение № 3. Под формами сбора отсутствует согласие на обработку персональных данных

Этот пункт сразу включает себя разные вариации нарушений: когда совсем нет ссылки на согласие (а оно нужно); когда согласие есть, но оно не соответствует требованиям закона; когда есть ссылка на якобы согласие, но когда нажимаешь на гиперссылку, то открывается иной документ - политика конфиденциальности.

Почему все это нарушение?

Для обработки персональных данных, в т.ч. когда к вам попадают данные с любых форм сбора на сайте, нужны правовые основания. Они перечислены в ч. 1 ст. 6 Закона «О персональных данных». Чаще всего на практике (именно на сайте) такими основания являются - договор или согласие на обработку персональных данных.

И поэтому, когда под формами сбора нет согласия на обработку персональных данных, то считайте, что вами не соблюдено требование закона по наличию правовых оснований получения таких данных с сайта.

Например, если на сайте у вас есть формы сбора для кандидатов на вакантные должности, но нет ссылки именно на согласие (а не на политику), которое бы соответствовало требования закона, то это нарушение
Например, если на сайте у вас есть формы сбора для кандидатов на вакантные должности, но нет ссылки именно на согласие (а не на политику), которое бы соответствовало требования закона, то это нарушение

Как устранить нарушение?

Для начала нужно провести аудит сайта и выяснить

  • для каких форм сбора необходимо согласия
  • если под формами сбора есть согласия, то проверить их актуальность требования закона
  • если под формами сбора есть ссылка только на политику конфиденциальности, то заменить на согласие

Далее - разработать согласия и разместить их под каждой формой сбора, где это требуется. При этом помните, что согласия должны отвечать требования ст. 9 Закона «О персональных данных», в т.ч. содержать корректную и конкретную цель обработки персональных данных; исчерпывающий перечень персональных данных; срок, в течение которого действует согласие субъекта персональных данных и т.д.

Конечно же, не забываем поставить чек-бокс с фразой: «Я согласен на обработку персональных данных. Подробнее в Политике конфиденциальности». В слово «согласен» сделать гиперссылку на текст согласия, в слово «Политике конфиденциальности» - гиперссылку на политику.

Какой штраф за нарушение?

В настоящее время штрафы следующие (ч. 1 ст. 13.11 КоАП РФ):

  • для граждан (самозанятых) от 2 000 до 6 000 рублей;
  • для ИП - от 10 000 до 20 000 рублей;
  • для юридических лиц - от 60 000 до 100 000 рублей.

НО с 30 мая 2025 г. штрафы будут увеличены:

  • для граждан (самозанятых) от 10 000 до 15 000 рублей;
  • для ИП - от 50 000 до 100 000 рублей;
  • для юридических лиц - от 150 000 до 300 000 рублей.

Нарушение № 4. Размещение отзывов без получения согласия на распространение персональных данных

Почему это нарушение?

Здесь же, как и в нарушении № 3, если вы не собираете согласие на распространение персональных данных, то у вас нет правовых оснований для их распространения, следовательно, нарушаете закон.

Как устранить нарушение?

Рекомендуется получать у субъектов, чьи персональные данные публикуются в открытом доступе, отдельное согласие на распространение данных по форме, утвержденной в Приказе №18 и в соответствии со ст. 10.1 Закона «О персональных данных». Помимо этого, согласно ч. 10 ст. 10.1 Закона «О персональных данных» вы обязаны опубликовать информацию об условиях обработки и о наличии запретов и условий, установленных субъектом в согласии, в своей политике конфиденциальности.

Какой штраф за нарушение?

В настоящее время штрафы следующие (ч. 1 ст. 13.11 КоАП РФ):

  • для граждан (самозанятых) от 2 000 до 6 000 рублей;
  • для ИП - от 10 000 до 20 000 рублей;
  • для юридических лиц - от 60 000 до 100 000 рублей.

НО с 30 мая 2025 г. штрафы будут увеличены:

  • для граждан (самозанятых) от 10 000 до 15 000 рублей;
  • для ИП - от 50 000 до 100 000 рублей;
  • для юридических лиц - от 150 000 до 300 000 рублей.

Нарушение № 5. Отсутствие на сайте Политики конфиденциальности или ее несоответствие требованиям закона

Почему это нарушение?

У каждого оператора (владельца сайта) должна быть размещена Политика в подвале сайта, а также доступна при оставлении данных в формах сбора.

Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

ч. 2 ст. 18.1 Закона «О персональных данных»

При этом Политика должна соответствовать определенным требованиям, которые указаны в п. 2 ч. 1 ст. 18.1 Закона «О персональных данных».

Как устранить нарушение?

1. Разработать верную Политику, в которой должны быть отображены сведения для каждой цели обработки персональных данных:

  • категории и перечень обрабатываемых персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • способы, сроки их обработки и хранения;
  • порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
  • порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
  • третьи лица, кому могут быть переданы персональные данные или поручена их обработка;

а также процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

2. Разместить на сайте и под формами сбора Политику конфиденциальности.

Какой штраф за нарушение?

  • для граждан (самозанятых) от 1 500 до 3 000 рублей;
  • для ИП от 10 000 до 20 000 рублей;
  • для юр.лиц от 30 000 до 60 000 рублей (по ч. 3 ст. 13.11 КоАП РФ).

Нарушение № 6. Не подано в Роскомнадзор уведомление об обработке персональных данных или данное уведомление неактуально действительным сведениям

Почему это нарушение?

По закону каждый оператор персональных данных должен подать в Роскомнадзор такое уведомление. Кто такой оператор и когда вы им становитесь можете почитать в моей другой статье.

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

ч. 1 ст. 22 Закона «О персональных данных»

Как устранить нарушение?

Необходимо подать в Роскомнадзор уведомление о начале обработки персональных данных. А если вы подавали ранее и оно уже неактуально или подавали до декабря 2022 г. и сведения не поменялись, то необходимо обновить по форме, которая была утверждена Приказом Роскомнадзора от 28.10.2022 № 180.

Какой штраф за нарушение?

В настоящее время штрафы следующие (ст. 19.7 КоАП РФ):

  • для граждан (самозанятых) от 100 до 300 рублей;
  • для ИП от 300 до 500 рублей;
  • для юр. лиц от 3 000 до 5 000 рублей.

НО с 30 мая 2025 г. штрафы будут увеличены (по ч. 10 ст. 13.11 КоАП РФ)

  • для граждан (самозанятых) от 5 000 до 10 000 рублей;
  • для ИП и юр. лиц от 100 000 до 300 000 рублей.

Нарушение № 7. Персональные данные работников передаются или поручаются третьим лицам без отдельного письменного согласия

Почему это нарушение?

По законодательству работодатель не имеет право сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами (ст. 88 ТК РФ).

Иногда, конечно, я вижу такое согласие, но в этом согласии указаны сразу множества третьих лиц и множества целей, однако это тоже неверно, т.к. для 1 цели должно быть 1 согласие.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

4) цель обработки персональных данных

п. 4 ч. 4 ст. 9 Закона «О персональных данных»

Слово «цель» указан в единственном числе, поэтому для каждой цели отдельное письменное согласие для работников. Например, если у вас есть ДМС для работников и вы передаете их данные в страховые организации - это одно согласие; при передачи персональных данных банковским организациям для начисления заработной платы - другое согласие.

Как устранить нарушение?

Рекомендую разработать форму согласия, соответствующее требованиям ч. 4 ст. 9 Закона «О персональных данных». Их количество должно соответствовать количеству целей, для которых передаются персональные данные третьим лицам.

Какой штраф за нарушение?

  • для ИП от 100 000 до 300 000 рублей;
  • для юр.лиц от 300 000 до 700 000 рублей (по ч. 2 ст. 13.11 КоАП РФ).

Нарушение № 8. Персональные данные поручаются третьим лицам в отсутствие соглашения о поручении

Почему это нарушение?

По законодательству оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Когда вы, например, используете различные сервисы для рассылок, то вы поручаете обработку персональных данных. И такое поручение в отсутствие соглашения, которое соответствует требованиям ч. 3 ст. 6 Закона «О персональных данных», будет являться нарушением.

Как устранить нарушение?

При заключении договора необходимо предусмотреть отдельный раздел о поручении персональных данных. Если договор уже действующий, то можно заключить отдельное соглашение о поручении в дополнение к договора. Главное, чтобы в поручении были отображены требования ч. 3 ст. 6 Закона «О персональных данных»:

  • перечень персональных данных;
  • перечень действий (операций) с персональными данными, которые будут совершаться;
  • цели обработки;
  • обязанность соблюдать конфиденциальность персональных данных и др.

Какой штраф за нарушение?

В настоящее время штрафы следующие (ч. 1 ст. 13.11 КоАП РФ):

  • для граждан (самозанятых) от 2 000 до 6 000 рублей;
  • для ИП - от 10 000 до 20 000 рублей;
  • для юридических лиц - от 60 000 до 100 000 рублей.

НО с 30 мая 2025 г. штрафы будут увеличены:

  • для граждан (самозанятых) от 10 000 до 15 000 рублей;
  • для ИП - от 50 000 до 100 000 рублей;
  • для юридических лиц - от 150 000 до 300 000 рублей.

Нарушение № 9. Отсутствует единый документ, в котором зафиксированы места хранения бумажных носителей, на которых содержатся персональные данные

Почему это нарушение?

Опять же об этом напрямую у нас написано в законодательных актах:

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

п. 13 Постановления Правительства РФ от 15.09.2008 № 687

Как устранить нарушение?

Необходимо разработать документ, содержащий сведения о местах хранения бумажных носителей персональных данных. Поэтому, если у вас персональные данные есть на бумагах, то 100% такой документ нужен.

Какой штраф за нарушение?

  • для граждан (самозанятых) от 1 500 до 4 000 рублей;
  • для ИП от 20 000 до 40 000 рублей;
  • для юр. лиц от 50 000 до 100 000 рублей (по ч. 6 ст. 13.11 КоАП РФ).

Нарушение № 10. Отсутствие реагирования на запросы субъектов персональных данных или Роскомнадзора в установленные сроки

Почему это нарушение?

В ст. 21 Закона «О персональных данных» установлена очередная обязанность оператора: в какие сроки должен быть предоставлен ответ субъекту персональных данных или Роскомнадзору. Например, любой субъект может направить вам запрос, на каком основании вы делаете ему рассылки? Или попросит удалить свои персональные данные со всех ваших баз. Если ответа не будет от вас, то это нарушение.

Как устранить нарушение?

1. Необходимо назначить лицо, ответственное за организацию обработки персональных данных.

2. Разработать для такого лица инструкцию.

3. При каждом поступившем запросе руководствоваться данной инструкцией.

Какой штраф за нарушение?

  • для граждан от 2 000 до 4 000 рублей;
  • для ИП от 20 000 до 40 000 рублей;
  • для юр. лиц от 50 000 до 90 000 рублей (по ч. 5 ст. 13.11 КоАП РФ).

Конечно, список нарушений можно еще продолжать и продолжать. Все недочеты можно выявить при помощи качественно проведенного аудита, а устранить - при помощи разработки и внедрения всех необходимых документов.

Контакты для юридической помощи в проведении аудита и разработки документов в области защиты персональных данных:

Эл.почта: kurowa.snezhana@yandex.ru

Telegram-канал: Чепа | Заметки юриста

С заботой и любовью о вашем бизнесе!

#персональныеданные #защитаперсональныхданных #роскомнадзор #утечкаданных #штрафы #юристдлябизнеса #юристонлайн #юристдляонлайншкол

2
Начать дискуссию