СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Б-152
13 октября
#Статьи #ИБ#ИИ#Инфра#Облака

Когда обработка персональных данных становится неправомерной: десять типовых сценариев

Когда обработка персональных данных становится неправомерной: десять типовых сценариев

Наличие на сайте политики конфиденциальности, формальное назначение ответственного лица, получение согласий от субъектов персональных данных — всё это зачастую воспринимается как достаточное условие для соответствия требованиям законодательства о персональных данных. Однако, на практике именно за внешне «корректными» контурами часто скрываются нарушения: согласия не соответствуют формальным критериям или отсутствуют правовые основы для обработки, цели не зафиксированы, уведомление в Роскомнадзор не направлено, а сбор данных осуществляется на иностранной инфраструктуре.

Такие случаи квалифицируются как неправомерная обработка персональных данных, а последствия могут быть значительными: от штрафов до блокировки информационных ресурсов. В материале рассматриваются десять типичных сценариев, при которых обработка ПДн выходит за рамки закона, с акцентом на ключевые ошибки, правовые положения и последствия для оператора.

Что считается неправомерной обработкой?

Обработка персональных данных признаётся неправомерной, если она осуществляется с нарушением положений законодательства Российской Федерации в области персональных данных, в первую очередь Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

Нарушением считается как совершение неправомерных действий (например, передача базы данных подрядчику без оформления соответствующего поручения), так и бездействие или несоблюдение требований об уничтожении персональных данных после достижения цели обработки или отзыва согласия.

1. Отсутствие правового основания для обработки

Одной из наиболее распространённых ситуаций является обработка персональных данных при отсутствии правового основания. В соответствии с частью 1 статьи 6 Закона № 152-ФЗ, допустимыми основаниями являются:

  • достижение целей, предусмотренных законом;
  • необходимость обработки ПДн для исполнения договора, а также для заключения договора по инициативе субъекта ПДн;
  • обработка необходима для осуществления прав и законных интересов оператора и третьих лиц;
  • осуществление правосудия и исполнения судебных актов;
  • иные основания.

Ошибки в этой области встречаются как из-за недостатка понимания операторами юридических требований, так и из-за пренебрежения ими. Среди типичных ошибок:

  • отсутствие согласия либо его ненадлежащая форма или способ получения (отсутствие цели, предустановленная «галочка»);
  • отсутствие альтернативного основания, при этом обработка уже осуществляется;
  • отсутствие отдельного согласия на распространение персональных данных, предусмотренного ст. 10.1 Закона № 152-ФЗ.

Пример из практики: HR-специалист публикует ФИО и фотографию нового сотрудника на сайте компании. Согласие на обработку получено, но отдельного согласия на распространение нет. Это квалифицируется как нарушение.

2. Неопределенность цели обработки или несоответствие цели

Ключевым принципом является чёткое определение и документирование целей обработки персональных данных. Обработка не может быть обоснована общими или неопределёнными целями. Часто встречается ситуация, когда собираются избыточные данные, например, при входе в офис или коворкинг требуют копию паспорта, хотя для доступа это необязательно.

Ещё одна распространённая проблема — продолжение обработки после того, как цель достигнута, например, когда данные уволившегося сотрудника остаются в системах без законных оснований годами.

Нарушением является также использование одних и тех же данных для целей, на которые субъект не давал согласия, например, использование данных, собранных для кадрового резерва, для рассылки маркетинговых материалов.

Такие действия не только противоречат требованиям закона, но и подрывают доверие субъектов данных.

3. Отсутствие уведомления в Роскомнадзор

Один из самых распространённых, но при этом критичных с точки зрения закона промахов — это игнорирование обязанности уведомлять Роскомнадзор до начала обработки персональных данных. Согласно части 1 статьи 22 Федерального закона № 152-ФЗ, оператор обязан:

  • до начала обработки персональных данных — направить в Роскомнадзор уведомление о своем намерении их обрабатывать;

Это требование распространяется на всех операторов без исключения, будь то коммерческая организация, бюджетное учреждение или индивидуальный предприниматель, если они планируют обрабатывать персональные данные.

При этом сама отправка уведомления не является автоматическим разрешением, т.к. речь идёт именно о факте официального уведомления надзорного органа, который должен быть зафиксирован до старта обработки, а не постфактум.

Типовые ошибки, которые допускают операторы:

  • обработка начинается до направления уведомления. Компания начинает собирать данные (например, через сайт, форму анкеты, при приеме на работу) без того, чтобы заранее уведомить об этом Роскомнадзор. В этом случае формально любая обработка признается незаконной, даже если в остальном документы оформлены корректно. (ч. 1 ст. 22);
  • не обновляется уведомление при изменениях. Если оператор начал собирать новые категории данных, изменил цели, основания — сведения в уведомлении нужно актуализировать. Но на практике многие этого не делают, что также расценивается как нарушение.

С 30 мая 2025 года невыполнение обязанности по уведомлению Роскомнадзора о своем намерении осуществлять обработку персональных данных влечёт административную ответственность по отдельному составу, предусмотренному ч. 10 ст. 13.11 КоАП РФ.

Эта мера устраняет прежнюю правовую неопределённость, при которой факт неподачи уведомления не имел самостоятельной квалификации. Теперь нарушение фиксируется отдельно, и санкции применяются независимо от наличия других нарушений в сфере обработки данных.

4. Нарушение требований безопасности и прав субъектов

Согласно статьям 18.1 и 19 Закона № 152-ФЗ, оператор обязан обеспечить безопасность обработки персональных данных и реализацию прав субъектов. Это означает, что компания должна не только защищать данные технически и организационно, но и соблюдать процедуры, которые гарантируют права каждого субъекта, чьи данные обрабатываются.

К наиболее распространённым нарушениям относятся:

  • Отсутствие мер защиты от несанкционированного доступа. Если персональные данные хранятся в общих папках, без ограничений по доступу или журналирования действий, то это прямое нарушение закона. Нельзя допускать, чтобы доступ к ПДн получали лица, не уполномоченные на это.
  • Непредоставление информации субъекту по его запросу. Любой человек вправе знать, кто и зачем обрабатывает его данные. Если компания не отвечает на запросы субъектов или делает это формально, не предоставляя исчерпывающей информации, это уже нарушение их прав.
  • Непрекращение обработки данных после отзыва согласия. Если человек отозвал своё согласие, компания обязана прекратить обработку, иначе она становится незаконной. Продолжение использования данных (например, для рассылок, хранения резюме или доступа к системам) после отзыва квалифицируется как неправомерная обработка.
  • Нарушение сроков хранения данных. Закон требует хранить персональные данные не дольше, чем это необходимо для целей их обработки. Однако компании часто не фиксируют сроки или продолжают хранить данные «на всякий случай». Это создаёт риск претензий со стороны Роскомнадзора, особенно если речь идёт о бывших клиентах, сотрудниках или участниках акций.

5. Неправомерная обработка специальных и биометрических ПДн

К специальным относятся сведения о здоровье, расовой или национальной принадлежности, религиозных или философских убеждениях, а также данные о судимости. Биометрические данные — это, например, отпечатки пальцев, изображение лица, образцы голоса. Их объединяет одно: обработка таких данных требует не только повышенного уровня защиты, но и строго определённых законных оснований.

На практике многие компании нарушают эти требования — часто из-за отсутствия понимания, что данные попадают в особую категорию, или потому, что используются «удобные» технические решения без должного юридического оформления.

Типовые ошибки:

  • Использование биометрии без правовой базы. Установка систем контроля доступа с распознаванием лиц или отпечатками пальцев (без получения надлежащего согласия и без подтверждения необходимости такой меры) считается неправомерной обработкой. Биометрия не может использоваться «для удобства», она требует отдельного, обоснованного подхода.
  • Сбор справок о судимости без нормативного основания. Часто работодатели требуют такие справки «на всякий случай», даже если закон этого не требует. Однако сведения о судимости — это специальная категория персональных данных, и их обработка допустима только в строго определённых законом случаях, например, при приёме на работу в образовательные учреждения.
  • Отсутствие согласия там, где оно необходимо. Если оператор не может подтвердить наличие надлежащего согласия на обработку специальных или биометрических ПДн, это считается нарушением. Причём, согласие должно быть оформлено корректно: отдельно, в письменной форме, с указанием целей, состава данных и возможных действий с ними.

Даже формальное наличие документа «согласие на обработку» не всегда защищает: если оно составлено с нарушением требований или не охватывает весь объём обработки, оно может быть признано недействительным.

6. Передача данных без оформления поручения

Передача персональных данных третьим лицам, включая подрядчиков и сервисные организации, без оформления договора о поручении на обработку (в соответствии с ч. 3 ст. 6) является нарушением. Поручение обязательно должно включать:

  • перечень обрабатываемых персональных данных;
  • конкретные действия с данными (сбор, хранение, использование и т. д.);
  • цели обработки;
  • обязанность соблюдать конфиденциальность;
  • поименованные требования к защите данных (в соответствии со ст. 18, 18.1, 19 Закона № 152‑ФЗ);
  • обязанность уведомлять оператора о нарушениях (инцидентах);
  • право оператора запрашивать подтверждение соблюдения мер защиты.

Отсутствие такого соглашения может быть квалифицировано как неправомерная передача, а в ряде случаев как утечка.

7. Отсутствие внутренней документации

Для надлежащего выполнения требований закона оператор обязан иметь следующие документы:

1. Организационные документы:

— Приказ о назначении ответственного за обработку ПДн.

— Политика обработки ПДн (с публикацией в открытом доступе – ч. 2 ст. 18.1).

— Документ о мерах защиты ПДн (организационных, технических, правовых).

— Документ о классификации информационных систем.

2. Регламенты обработки:

— Правила обработки ПДн без средств автоматизации.

— Регламент приема и рассмотрения обращений субъектов ПДн.

3. Учет и контроль доступа:

— Список лиц с доступом к ПДн в ИС.

— Правила хранения материальных носителей с ПДн.

4. Типовые формы:

— Шаблоны согласий, поручений, актов уничтожения и иных документов.

8. Применение автоматизированных решений без соблюдения требований

Когда решения, затрагивающие права и законные интересы человека, принимаются автоматически, без участия человека, такая обработка регулируется особыми правилами, установленными статьёй 16 Закона № 152-ФЗ. К таким ситуациям относится, например, автоматический отказ в приёме на работу или в предоставлении кредита, если это сделано исключительно на основе алгоритма.

Закон допускает такие сценарии, но при соблюдении трёх условий:

  • Субъект должен быть уведомлён, что в отношении него будет использоваться автоматизированная обработка, последствия которой затронут его права. Это нельзя скрывать в общей массе условий или прятать в глубине политики конфиденциальности. Информация должна быть прозрачной и доступной.
  • Должна быть предусмотрена возможность обжалования. Человек имеет право потребовать пересмотра автоматического решения с участием человека. Оператор должен не просто заявить об этом праве, но и реально организовать такую процедуру.
  • Требуется письменное согласие субъекта. Причём, именно письменное, предусмотренное частью 4 статьи 9 Закона № 152-ФЗ, а не просто «галочка в форме». Это означает оформление документа, содержащего конкретное указание на использование автоматизированных решений, их цели и последствия.

Что считается нарушением?

Простой пример: использование алгоритмов ранжирования резюме без предварительного уведомления кандидатов и без согласия на такую обработку. Если на основе автоматизированной системы кандидат исключается из процесса подбора персонала, а сам не знает, что его профиль отфильтрован без участия человека, — это нарушение законодательства. Особенно, если согласие на такую обработку не оформлено, а в политике компании об этом ничего не сказано.

Важно помнить: даже при наличии автоматизации, ответственность за соблюдение прав субъекта несёт оператор, а не платформа или провайдер технологии. Использование внешнего сервиса не освобождает от соблюдения требований статьи 16.

9. Нарушения при трансграничной передаче

Передача персональных данных за пределы Российской Федерации требует соблюдения статьи 12 Закона № 152-ФЗ. Оператор обязан:

  • убедиться, что страна-получатель обеспечивает адекватную защиту прав субъектов;
  • направить уведомление о трансграничной передаче в Роскомнадзор;

Использование иностранных сервисов (CRM, облачные хранилища) без соблюдения этих условий может быть квалифицировано как нарушение.

10. Нарушения в работе с персональными данными сотрудников

Обработка персональных данных работников регулируется не только Законом № 152-ФЗ, но и Трудовым кодексом РФ, в частности статьями 86–88. Именно эта категория данных становится причиной большинства жалоб и проверок, поскольку работодатели часто действуют по инерции: копируют формулировки из интернета, не адаптируют документы под реальные процессы и забывают про системный подход к управлению ПДн.

Ключевые требования ТК РФ:

  • Передача данных третьим лицам только на основании письменного согласия работника (ст. 88 ТК РФ). Это особенно актуально при передаче информации кадровым агентствам, страховщикам, операторам электронного документооборота, подрядчикам по охране труда и т.д. Даже если такие взаимодействия предусмотрены договором, работник должен дать отдельное и осознанное согласие, в письменной форме.
  • Порядок хранения должен быть определён в локальных нормативных актах (ст. 87 ТК РФ). Работодатель обязан документально закрепить, как, где и сколько времени хранятся личные дела, справки, копии документов, анкеты и иные данные работников. Отсутствие чётких внутренних регламентов по срокам и условиям хранения — это нарушение.

При этом само по себе согласие (даже подписанное) не освобождает от выполнения других требований. Если нарушены сроки хранения, отсутствует документальное оформление передачи данных или нет актуального перечня процессов, согласие теряет юридическую силу, а вся обработка считается неправомерной.

Ответственность

Нарушения могут повлечь:

  • административные штрафы до 15 миллионов рублей (в отдельных случаях — до 3% от оборота при повторных нарушениях);
  • персональную ответственность должностных лиц — до 2 млн рублей;
  • уголовную ответственность по статье 272.1 УК РФ;
  • репутационные потери, особенно при публичном огласке инцидента.

Что необходимо сделать, чтобы избежать нарушений?

  • Провести проверку правовых оснований по каждому кадровому процессу. Для чего именно вы обрабатываете паспорт, ИНН, СНИЛС, медицинские справки, фото, сведения о близких родственниках? Каждая цель должна иметь законное основание — согласие, договор, требование закона и т.д.
  • Проанализировать цели, объём обрабатываемых данных, категории субъектов, сроки хранения. Часто персональные данные работников хранятся дольше, чем это необходимо. Например, копии паспортов после прекращения трудовых отношений или справки о доходах без оправданной цели.
  • Обновить документацию (политики, приказы, договоры);
  • Актуализировать сведения о трансграничной передаче. Если персональные данные субъектов передаются в иностранные сервисы, необходимо не только получить согласие, но и уведомить Роскомнадзор, если это ещё не сделано.
  • Провести инструктаж сотрудников. Все, кто работает с ПДн, должны понимать, как именно обращаться с такими данными, какие ограничения действуют и что запрещено.

Заключение

Нарушения в сфере персональных данных в большинстве случаев возникают не вследствие злого умысла, а из-за недостаточной внимательности или отсутствия актуальных знаний. Однако правовая квалификация таких действий (или бездействия) не меняется: неправомерная обработка данных — это нарушение закона.

Задача юриста, DPO, HR или compliance-специалиста видеть не только формальные признаки соответствия, но и системно оценивать риски, уметь идентифицировать слабые места в процессах и устранять их до наступления последствий.

Б-152
Автор: Б-152
Б-152 — консалтинговая компания. Более 14 лет помогаем бизнесу соответствовать требованиям в сфере персональных данных и информационной безопасности. Мы работаем в области privacy, входим в рабочую группу Роскомнадзора, разрабатываем собственные продукты и сопровождаем клиентов на всех этапах — от аудита до прохождения проверок. Б-152 — команда, которая говорит с ИБ на одном языке. Мы поможем не только формально соблюсти 152-ФЗ, но и выстроить настоящую защиту данных: модели угроз, ТЗ на СЗИ, аудит и тестирование.
Комментарии: