2025-й стал годом ужесточения контроля за персональными данными. Обновленное законодательство и рост штрафов заставляют пересматривать даже казалось бы надежные процессы. Чтобы минимизировать риски, мы подготовили обзор десяти самых распространенных ошибок, которые допускают операторы.
Ошибка №1: Отсутствие внутреннего аудита работы с персональными данными
По закону оператор обязан проводить внутренний контроль. Аудит позволяет:
- Проверить, на каком основании и как обрабатываются данные.
- Оценить соответствие действий требованиям закона.
- Своевременно выявить нарушения.
Без аудита вы не увидите слабых мест в своих процессах.
Ошибка №2: Неподача уведомления в Роскомнадзор
До начала обработки нужно подать уведомление в РКН. При проверке сверяют, соответствуют ли заявленные сведения реальности. Неподача или несвоевременная подача уведомления грозит штрафом от 100 000 до 300 000 рублей. Любые изменения (в целях, в реквизитах компании) нужно сообщать в РКН не позднее 15-го числа следующего месяца.
Ошибка №3: Использование шаблонов для локальных актов
Локальные акты (политика, формы согласий) должны отражать ваши уникальные процессы. Использование чужих шаблонов без адаптации — риск. Сначала проведите аудит (см. ошибку №1), затем разрабатывайте документы.
Ошибка №4: Игнорирование обработки персональных данных на сайте
На сайте часто публикуют общее положение для всех. Это неправильно. Для пользователей сайта нужны отдельные документы — политика и форма согласия, соответствующие именно онлайн-взаимодействию.
Ошибка №5: Обработка избыточных данных
Запрещено обрабатывать данные, не соответствующие заявленной цели. Нельзя запрашивать информацию «на всякий случай». Объем данных должен быть минимально необходимым.
Ошибка №6: Обработка данных с помощью иностранных мессенджеров
Важно: Закон запрещает передачу персональных данных через базы за пределами РФ. Использование WhatsApp и подобных мессенджеров для рабочих целей недопустимо. Штраф — до 18 млн рублей. Используйте корпоративную почту или российские аналоги (VK Мессенджер, Telegram).
Ошибка №7: Отсутствие санкционированных мест хранения
Данные должны храниться только в утвержденных приказом местах: защищенные серверы, санкционированные облака. Запрещено хранить данные на личных устройствах, открытых облачных дисках (Яндекс.Диск, Google Drive) или на рабочем столе компьютера.
Ошибка №8: Ошибки в оформлении согласия на обработку
Согласие не нужно, если обработка проводится по закону или для исполнения договора. Включать пункт о согласии в сам договор — ошибка. Согласие требуется для особых случаев (специальные категории данных, передача) и должно быть отдельным документом.
Ошибка №9: Невыполнение правил информационной безопасности
Базовые правила, которые часто нарушают:
- Передача данных через личную почту или мессенджеры.
- Простые пароли и их хранение в открытом виде.
- Игнорирование правила «чистого стола».
- Открытие сомнительных ссылок.
Ошибка №10: Игнорирование утечки персональных данных
При обнаружении утечки оператор обязан:
- В течение 24 часов уведомить Роскомнадзор.
- В течение 72 часов провести внутреннее расследование.
Игнорирование влечет штрафы от 1 до 10 млн рублей. Оперативные действия могут смягчить ответственность.
Эти 10 пунктов — это не только список ошибок, но и готовый план для проверки вашей компании. Если вы обнаружили у себя несколько из этих слабых мест, стоит задуматься о срочном аудите.
Группа «Деловой Профиль» поможет вам выстроить надежную систему работы с персональными данными: проведем экспресс-проверку, разработаем документы и подготовим вашу команду.
Защитите свой бизнес от штрафов и репутационных потерь.