Один мессенджер — и штраф на миллион: как бюджетные учреждения теряют деньги из-за Telegram и WhatsApp

Политика обработки персональных данных и конфиденциальности: можно ли объединить? И почему нельзя использовать Telegram и WhatsApp для работы с ПДн?

Если вы руководитель организации, сотрудник бюджетного учреждения или просто человек, которому нужно разобраться в теме персональных данных — эта статья именно для вас. Мы простым языком расскажем:

• Чем отличаются документы «Политика обработки персональных данных» и «Политика конфиденциальности»;
• Можно ли их объединить в один файл;
• Почему нельзя использовать Telegram, WhatsApp и ВКонтакте для общения с клиентами и какая ответственность грозит за это государственным и бюджетным организациям.

📄 Политика обработки персональных данных и политика конфиденциальности: в чём разница?

Многие путают эти два термина, но на самом деле они тесно связаны между собой. Чтобы понять, чем они отличаются, давайте обратимся к закону №152-ФЗ от 27 июля 2006 года «О персональных данных».

Согласно ему, персональные данные (ПДн) — это любая информация, которая позволяет определить личность человека: имя, дата рождения, адрес, номер телефона, паспортные данные и так далее.
А обработка персональных данных — это любые действия с этими данными: сбор, хранение, изменение, передача, удаление и т.д.

Все организации, которые работают с такими данными, автоматически становятся операторами персональных данных . Это значит, что на них распространяются обязанности по обеспечению безопасности и конфиденциальности информации.

Что такое "Политика обработки персональных данных"?

Это официальный документ, который содержит описание того, как организация собирает, использует, хранит и защищает персональные данные. Он должен содержать:

• Цели сбора данных;
• Категории обрабатываемых данных;
• Сроки хранения;
• Меры по защите информации;
• Процедуры удаления данных;
• Информация о правах субъектов ПДн (людей, чьи данные обрабатываются).

Также закон требует, чтобы этот документ был доступен пользователям, например, на сайте компании или в офисе.

А что такое "Политика конфиденциальности"?

Изначально этот термин имеет более узкое значение — он подразумевает защиту данных от несанкционированного доступа, утечки, передачи третьим лицам. Однако в российском законодательстве такой термин прямо не закреплён.

Поэтому, если вы встретите на сайте надпись «Политика конфиденциальности», скорее всего, это будет тот же самый документ, что и «Политика обработки персональных данных». Главное — содержание, а не название.

Можно ли объединить эти документы?

Да, можно! Закон не обязывает разделять политику обработки и политику конфиденциальности. Организация может создать единый документ, который будет выполнять обе функции:

• Рассказывать, как собираются и используются данные;
• Объяснять, как обеспечивается их безопасность;
• Указывать права пользователей;
• Отражать меры по предотвращению утечек и нарушений.

Главное — соблюдение всех требований закона №152-ФЗ. Если в вашем документе есть все необходимые разделы, то его можно назвать как угодно: «Политика конфиденциальности», «Политика обработки ПДн», «Правила работы с персональными данными» — не принципиально.

🚫 Почему нельзя использовать Telegram, WhatsApp и ВКонтакте для общения с клиентами?

Начиная с 2023 года, вступили в силу изменения к закону №149-ФЗ, согласно которым использование некоторых иностранных сервисов стало запрещено при работе с персональными данными.

Что говорит закон?

Часть 8 статьи 10 Федерального закона №149-ФЗ устанавливает запрет на использование иностранных информационных систем и программ, предназначенных для обмена электронными сообщениями между конкретными пользователями, если через них передается:

• Персональные данные граждан РФ;
• Платежные документы;
• Сведения о банковских счетах;
• Данные о переводах денег.

К таким системам относятся:

• WhatsApp
• Telegram
• Viber
• Skype
• Messenger Facebook

Роскомнадзор включил их в специальный Перечень , который регулярно обновляется.

На кого распространяется запрет?

Под действие этого правила попадают:

• Государственные и муниципальные органы;
• Бюджетные и автономные учреждения;
• Организации с госучастием (более 50%);
• Банки и финансовые структуры;
• Субъекты национальной платежной системы.

То есть, если вы работаете в сфере образования, здравоохранения, культуры или предоставления государственных услуг — вы подпадаете под ограничения.

Но я не банк и не госорган. Мне всё равно?

Не совсем. Даже если вы — автономное бюджетное учреждение, которое формально не входит в список субъектов, указанных в законе, вы всё равно обязаны соблюдать требования, если:

• Выполняете государственное задание;
• Предоставляете муниципальные услуги;
• Обрабатываете персональные данные граждан.

Например, если школа или больница передаёт данные пациентов через WhatsApp, это может быть расценено как нарушение.

⚖️ Какая ответственность грозит за нарушение?

За использование иностранных мессенджеров для передачи персональных данных предусмотрена административная ответственность по статье 13.11.2 КоАП РФ .

Санкции:

• Для должностных лиц — штраф от 30 000 до 70 000 рублей ;
• Для юридических лиц — штраф от 70 000 до 100 000 рублей ;
• Возможны также предупреждения, внеплановые проверки, приостановление деятельности.

Также Роскомнадзор может потребовать прекратить использование запрещённых мессенджеров и перейти на отечественные аналоги.

✅ Что делать? Рекомендации организациям

1. Обновите политику обработки персональных данных. Убедитесь, что она соответствует новым требованиям.
2. Уберите ссылки на Telegram, WhatsApp и ВКонтакте с сайта , если через них передаются персональные данные.
3. Перейдите на российские мессенджеры (например, Mail.Ru Agent, Яндекс.Мессенджер, Ростелеком Мессенджер).
4. Обучите сотрудников. Они должны знать, какие каналы связи допустимы, а какие нет.
5. Внедрите внутренние регламенты. Пропишите, как принимать и отправлять данные, где их хранить и как удалять.
6. Проведите аудит. Проверьте, где и как собираются, обрабатываются и передаются персональные данные.

🔍 Примеры из практики

📌 Школа использовала WhatsApp для связи с родителями.
В ходе проверки Роскомнадзор выявил, что через мессенджер передавались данные детей: ФИО, класс, результаты тестирования. Школе был выписан штраф в размере 50 000 рублей.

📌 Больница применяла Telegram для обмена медицинскими картами.
После жалобы пациента была проведена проверка. Организацию обязали перейти на защищённый корпоративный мессенджер и уплатить штраф.

📌 Учебный центр убрал ссылки на Telegram с сайта.
Вместо них были добавлены формы обратной связи и номера телефонов. Это помогло избежать претензий со стороны контролирующих органов.

📌 Вывод

• Политика обработки персональных данных и политика конфиденциальности — это фактически один документ, который можно объединить.
• Название не главное — важнее содержание и соответствие требованиям закона.
• Использование иностранных мессенджеров для передачи персональных данных запрещено, особенно для организаций, связанных с выполнением государственного задания.
• За нарушение грозит штраф от 30 000 до 100 000 рублей.
• Лучший выход — перейти на российские решения и обновить внутреннюю документацию.

Если вам понравилась статья — ставьте лайк и подписывайтесь на канал. Больше полезной информации — в наших следующих материалах.