Разберём, какие ошибки при обработке персональных данных (ПДн) операторы совершают чаще всего, как их исправить и как не допустить в будущем.
Ошибки при работе с ПДн — это не просто формальности. За наиболее серьёзные нарушения штрафы могут достигать 20 млн рублей, а в отдельных случаях — до 500 млн. Обработка данных без согласия, использование их не в заявленных целях, неуведомление Роскомнадзора — всё это превращает вашу компанию в мишень для проверок и крупных санкций.
Ошибка №1: не разработана Политика обработки ПДн
Одна из самых распространённых ошибок — отсутствие Политики обработки персональных данных. Это базовый документ, который регулирует, как именно в вашей компании собираются, хранятся и защищаются данные. Политика должна быть опубликована на сайте — и, если у вас есть офис, размещена на информационном стенде.
Важно: штраф за отсутствие доступа к Политике — до 60 000 рублей (ч.3 ст.13.11 КоАП).
Решение
Готовые шаблоны из интернета не подойдут. Роскомнадзор требует, чтобы Политика отражала реальные процессы вашей компании (Рекомендации от 27.07.2017).
Разработайте документ с учётом ваших практик: какие данные обрабатываете, зачем, где храните, как уничтожаете.
Опубликуйте его так, чтобы любой посетитель или сотрудник мог ознакомиться.
И не забывайте обновлять её — при смене законов, технологий или бизнес-процессов.
Ошибка №2: не ограничен доступ к персональным данным
Оператор обязан строго ограничивать доступ к ПДн — только тем сотрудникам, для кого эти данные необходимы для выполнения обязанностей. Например, в медицинской клинике администратор может видеть ФИО и даты приёма, а уборщица — не должна иметь доступа к медицинским картам.
Решение
Издайте приказ, в котором укажите:
— либо конкретных сотрудников (ФИО + должность),
— либо перечень должностей и подразделений, имеющих доступ.
Пропишите, к каким именно данным разрешён доступ.
Соблюдайте принцип «минимума необходимой информации» — не больше, чем нужно для работы.
Ошибка №3: не назначен ответственный за обработку ПДн
В каждой компании должен быть один официально назначенный ответственный за обработку персональных данных — это может быть юрист, HR, бухгалтер или руководитель (ст.18.1, ст.22.1 ФЗ №152-ФЗ).
Решение
Издайте приказ о назначении. Чётко пропишите его обязанности:
— контроль за документами,
— проведение инструктажей,
— взаимодействие с Роскомнадзором,
— выдача указаний другим сотрудникам.
Это не «кто-то из отдела» — это конкретный человек с полномочиями и ответственностью.
Ошибка №4: нет регистрации в реестре операторов
Каждый оператор, не попадающий под исключения ст. 22 ФЗ №152-ФЗ, обязан зарегистрироваться в реестре Роскомнадзора. Уведомление подаётся до начала обработки ПДн.
Важно: штраф за отсутствие регистрации — до 300 000 рублей (ч.10 ст.13.11 КоАП).
Решение
Подайте уведомление на официальном сайте Роскомнадзора. Укажите только те категории данных, с которыми реально работаете.
Даже если вы уже начали обработку — зарегистрируйтесь сейчас. Штраф не отменится, но можно снизить его размер.
Ошибка №5: не проводится внутренний аудит
Законодательство меняется, процессы — тоже. Если Политика, инструкции и регламенты не обновляются, вы рискуете нарушить требования, даже не осознавая этого.
Решение
Внедрите систему внутреннего контроля. Создайте комиссию, которая раз в год проверяет:
— соответствие документов актуальным нормам,
— соответствие практики документам,
— наличие и актуальность инструкций.
Такой аудит помогает выявить уязвимости до проверки.
Но для сложных случаев — особенно при большом объёме данных — без юриста не обойтись.
Ошибка №6: запрос лишних документов у сотрудников
Вы можете запрашивать у физлиц (клиентов, сотрудников) только те документы, которые необходимы для заключения договора или исполнения обязательств. Например, если вы строите дом, вам не нужны ИНН или сведения о трудовой деятельности.
Решение
Проверьте личные дела сотрудников и документы клиентов. Удалите всё, что не относится к цели обработки.
Важно: простое удаление файла с ПК — недостаточно.
Нужно:
— создать комиссию по уничтожению,
— оформить акт,
— выгрузить запись из журнала действий в ИСПДн.
Ошибка №7: нет согласия на обработку персональных данных
Согласие не требуется при обработке данных сотрудников — это часть трудовых отношений. Но если вы получаете резюме от соискателей — согласие обязательно.
Важно: обработка ПДн без согласия, когда оно требуется, — штраф до 700 000 рублей (ч.2 ст.13.11 КоАП).
Решение
Разработайте шаблон согласия, в котором обязательно должны быть:
— ФИО, адрес, паспортные данные субъекта;
— сведения о представителе (если есть);
— наименование и адрес оператора;
— цель обработки;
— перечень обрабатываемых данных;
— данные третьего лица, если обработка поручена;
— перечень операций и способы обработки;
— срок действия и порядок отзыва;
— личная подпись субъекта.
Ошибка №8: нет согласия на передачу ПДн
Если вы передаёте данные сотрудников или клиентов бухгалтерской фирме, IT-провайдеру, колл-центру — согласие с каждого субъекта обязательно.
Важно: штраф за неправомерную передачу — до 5 млн рублей (ч.12 ст.13.11 КоАП).
Решение
Разработайте шаблон согласия, где укажите:
— какие данные передаются,
— кому,
— для каких целей.
Согласие должно быть подписано каждым человеком, чьи данные передаются.
Ошибка №9: нет согласия на распространение ПДн
Размещение фото сотрудника на сайте, использование ФИО в рекламе — это распространение ПДн. И для этого нужно отдельное согласие.
Важно: штраф за незаконное распространение — до 5 млн рублей.
Решение
Создайте шаблон согласия на распространение. Укажите:
— какие данные (ФИО, фото, должность),
— где будут использоваться (сайт, соцсети, реклама),
— срок действия.
Ошибка №10: использование данных не для заявленных целей
Если вы взяли копию диплома сотрудника для оформления трудового договора — это одна цель.
Если вы потом разместили его на сайте как «наш квалифицированный специалист» — это другая.
И для второй нужен отдельный документ.
Решение
Каждая цель обработки — отдельное согласие.
Следите за тем, чтобы использование данных соответствовало целям, указанным в Политике и согласиях.
Не смешивайте цели.
Ошибка №11: неправильная реакция на утечки
Сокрытие утечки — одна из самых опасных ошибок. По закону оператор обязан:
— уведомить Роскомнадзор в течение 24 часов,
— провести расследование и отправить отчёт — в течение 72 часов.
Важно: если вы не уведомите РКН — вас оштрафуют не только за утечку (до 20 млн), но и за неуведомление — до 3 млн рублей (ч.11 ст.13.11 КоАП).
Решение
Разработайте инструкцию по действиям при утечке:
1. Зафиксировать факт.
2. Устранить причину.
3. Уведомить Роскомнадзор — в течение 24 часов.
4. Подать отчёт — в течение 72 часов.
Обучите всех сотрудников.
Юридическая защита — не менее важна, чем техническая.
Ошибка №12: использование запрещённого ПО для обработки данных
С 1 июля 2025 года запрещена первичная обработка ПДн с помощью иностранных сервисов.
Нельзя использовать:
— Google Analytics,
— WhatsApp, Telegram, Viber, Signal и другие мессенджеры с серверами за рубежом.
Решение
Используйте только сервисы с серверами на территории РФ.
Перечень разрешённого ПО — в открытом реестре Минцифры
Замените:
— WhatsApp → СБИС, СКИФ;
— Google Analytics → Яндекс.Метрика;
— Gmail → корпоративный email с российскими серверами.
Чтобы избежать штрафов и репутационных потерь, доверьте оформление документов профессионалам. Эксперты сервиса «Роском Онлайн» обеспечивают индивидуальный подход — с учётом специфики вашей деятельности — и оформляют всё в полном соответствии с ФЗ №152-ФЗ.