Добавить в корзинуПозвонить
Найти в Дзене
BLS — трудовое право для бизнеса
1 подписчик

«Сделали персональные данные год назад и получили штраф»: почему документы по ПДн быстро устаревают

7 мин
Многие компании относятся к персональным данным как к разовому юридическому проекту: один раз разработали политику, собрали согласия, подали уведомление в Роскомнадзор, назначили ответственного — и решили, что вопрос закрыт. На практике такой подход становится всё более рискованным, потому что документы по персональным данным фиксируют состояние компании только на момент их подготовки. Через несколько месяцев бизнес уже может работать иначе. Появились новые сотрудники, подключили CRM, запустили форму на сайте, начали использовать чат-бот, передали данные новому подрядчику, сменился кадровик или юрист, обновились требования закона. Если документы при этом остались прежними, возникает разрыв между тем, что написано в политике и согласиях, и тем, как компания реально обрабатывает данные. Именно за этот разрыв часто штрафуют добросовестные компании. Проблема не в том, что они вообще ничего не сделали, а в том, что система персональных данных перестала соответствовать реальным процессам. Си
Оглавление

Многие компании относятся к персональным данным как к разовому юридическому проекту: один раз разработали политику, собрали согласия, подали уведомление в Роскомнадзор, назначили ответственного — и решили, что вопрос закрыт. На практике такой подход становится всё более рискованным, потому что документы по персональным данным фиксируют состояние компании только на момент их подготовки.

Через несколько месяцев бизнес уже может работать иначе. Появились новые сотрудники, подключили CRM, запустили форму на сайте, начали использовать чат-бот, передали данные новому подрядчику, сменился кадровик или юрист, обновились требования закона. Если документы при этом остались прежними, возникает разрыв между тем, что написано в политике и согласиях, и тем, как компания реально обрабатывает данные.

Именно за этот разрыв часто штрафуют добросовестные компании. Проблема не в том, что они вообще ничего не сделали, а в том, что система персональных данных перестала соответствовать реальным процессам.

Почему персональные данные нельзя «сделать один раз»

Система персональных данных зависит от ежедневной операционной жизни компании. Работодатель принимает и увольняет сотрудников, обрабатывает данные кандидатов, передаёт сведения в банк, страховую компанию, медицинскую организацию, подрядчику, аутсорсеру, использует HR-сервисы, CRM, мессенджеры, видеонаблюдение и формы обратной связи на сайте.

Каждое такое изменение может означать:

  1. новую цель обработки данных;
  2. новую категорию персональных данных;
  3. нового получателя или подрядчика;
  4. новый порядок хранения, передачи или уничтожения данных.

Если это не отражено в документах, компания постепенно теряет контроль над системой. Формально папка с документами есть, но при проверке Роскомнадзор будет оценивать не сам факт её наличия, а соответствие документов фактической обработке данных.

Обычно это несоответствие не видно изнутри. Оно проявляется, когда поступает жалоба от сотрудника или клиента, происходит инцидент с данными, Роскомнадзор проводит мониторинг сайта или запрашивает документы при проверке. К этому моменту нарушение уже накоплено, а исправить его задним числом сложно.

Почему цена ошибки стала выше

С 30 мая 2025 года ответственность за нарушения в сфере персональных данных заметно выросла. За обработку данных без надлежащего согласия штраф для юридического лица может достигать 700 000 ₽, за утечку данных — от 3 до 15 млн ₽, а за повторную утечку предусмотрен оборотный штраф от 1 до 3% годовой выручки.

Для бизнеса это уже не формальный комплаенс-риск, а возможная финансовая потеря, которую сложно заранее заложить в бюджет. При этом проверка редко ограничивается одним эпизодом. Если Роскомнадзор получает жалобу или находит нарушение на сайте, он может проверить всю систему обработки персональных данных и увидеть весь накопившийся объём несоответствий.

Например, у компании могут одновременно выявить:

  • устаревшие согласия;
  • неполное уведомление Роскомнадзора;
  • неактуальную политику обработки персональных данных;
  • неоформленную передачу данных подрядчику;
  • отсутствие порядка работы с запросами субъектов.

Каждое нарушение квалифицируется отдельно. В совокупности несколько составов по статье 13.11 КоАП РФ могут дать компании штраф до 4 140 000 ₽, а для генерального директора как должностного лица — ещё до 1 100 000 ₽ личной ответственности.

Даже если итоговая сумма окажется ниже максимальной, сам принцип остаётся тем же: один повод для проверки может вскрыть сразу несколько нарушений, которые накапливались месяцами.

Где чаще всего появляются нарушения

Чаще всего проблемы возникают не из-за сознательного игнорирования закона, а из-за обычных рабочих изменений, которые никто вовремя не отразил в документах.

  1. Устаревшие формы согласий.
    Если согласие давно не пересматривали, включили в трудовой договор или анкету, оно может больше не соответствовать требованиям закона. С 1 сентября 2025 года согласие нельзя «вшивать» в трудовой договор, пользовательское соглашение или другую форму — оно должно оформляться отдельно.
  2. Хранение данных без регулярной ревизии.
    По одним категориям данных закон требует хранения в течение установленного срока, по другим — уничтожения после достижения цели обработки. Если компания не проводит регулярную ревизию, она может продолжать хранить лишние данные без правового основания.
  3. Новые сервисы и источники данных.
    Форма на сайте, чат-бот, CRM, рекрутинговая платформа, видеонаблюдение, СКУД, рабочие чаты в мессенджерах — всё это может менять состав данных, цели обработки и круг лиц с доступом.
  4. Передача данных подрядчикам без нужного оформления.
    ДМС, зарплатный банк, медосмотры, IT-провайдеры и аутсорсеры требуют корректного оформления передачи данных. Если поручение на обработку не оформлено, сама передача может быть квалифицирована как нарушение.
  5. Смена ответственного без обновления процессов.
    Ушёл кадровик, сменился юрист, появился новый HRBP или IT-специалист с доступом к данным, но приказы, инструкции и матрицы доступа остались прежними. Формально ответственный назначен, а фактически процесс уже не управляется.

Утечка — это не только взлом базы

Многие компании связывают утечку персональных данных с крупным инцидентом: хакерской атакой, публикацией базы в открытом доступе или массовым сливом данных. На практике риск шире. Инцидентом может стать ситуация, когда данные даже одного человека получил тот, кто не должен был их получать.

Например, справку о зарплате отправили не тому адресату, по телефону сообщили информацию человеку без права доступа, сотрудник увидел данные, которые не нужны ему для работы, кто-то использовал чужую учётную запись или подрядчику передали сведения без правильно оформленных документов.

Такие случаи чаще происходят там, где персональные данные не администрируются регулярно:

  • нет актуальных инструкций;
  • не разграничены доступы;
  • не оформлены поручения подрядчикам;
  • сотрудники не понимают, как действовать при запросе или инциденте.

Поэтому защита персональных данных — это не только комплект документов. Это постоянное управление процессом: кто, какие данные, на каком основании, с какой целью, кому передаёт и как долго хранит.

Почему нельзя восстановить систему под проверку

Иногда компании рассчитывают обновить документы уже после предписания. Но это рискованный сценарий. Роскомнадзор оценивает не только то, что компания успела исправить после проверки, но и то, как она обрабатывала данные до выявления нарушения.

Кроме того, на устранение нарушений обычно даётся ограниченный срок. За месяц сложно провести инвентаризацию всех процессов, обновить политику, согласия, уведомление Роскомнадзора, поручения подрядчикам, матрицы доступа, сроки хранения и внутренние инструкции. Часть нарушений нельзя полностью исправить задним числом: если данные уже передавались без основания или согласие было оформлено неправильно, сам факт нарушения уже произошёл.

Поэтому персональные данные должны быть не разовым проектом, а управляемой системой, которую поддерживают в актуальном состоянии постоянно.

Как поддерживать документы в порядке

Компании важно регулярно проверять, совпадают ли документы с реальными процессами. Для этого нужно отслеживать:

  1. появились ли новые цели обработки, сервисы, формы и подрядчики;
  2. актуальны ли согласия, политика и уведомление Роскомнадзора;
  3. правильно ли оформлена передача данных третьим лицам;
  4. соблюдаются ли сроки хранения и уничтожения данных;
  5. кто имеет доступ к персональным данным и действительно ли этот доступ нужен;
  6. есть ли понятный порядок ответа на запросы сотрудников, кандидатов, клиентов и других субъектов.

Такой подход называется администрированием персональных данных. Его задача — не просто один раз подготовить комплект документов, а поддерживать систему так, чтобы компания была готова к проверке без авралов и восстановления задним числом.

BLS предлагает администрирование персональных данных для компаний, которым важно регулярно поддерживать документы и процессы в актуальном состоянии. Эксперты отслеживают изменения закона, проверяют, как новые процессы компании влияют на обработку данных, обновляют документы, контролируют сроки хранения, помогают оформлять передачу данных подрядчикам и закрывать зоны риска до того, как они станут предметом проверки.

С 2019 года BLS реализовал более 150 проектов по персональным данным. Мы работаем с крупным российским и международным бизнесом и выстраиваем систему так, чтобы документы не просто существовали, а действительно защищали компанию при проверке Роскомнадзора.

Если вы хотите поддерживать персональные данные в актуальном состоянии, передайте их на администрирование BLS. Мы покажем, какие участки требуют регулярного контроля, какие документы нужно обновлять при изменениях в компании и как выстроить систему, готовую к проверке без авралов.