Частые ошибки при работе с персональными данными

Частые ошибки при работе с персональными данными

Частые ошибки при работе с персональными данными
Время на чтение: 6 мин.

Разберемся, какие ошибки при работе с персональными данными операторы совершают чаще всего, что с этим делать и как их не допустить в дальнейшем.

В этой статье:

  1. Ошибка №1: не разработана Политика обработки персональных данных
  2. Ошибка №2: не ограничен доступ к персональным данным
  3. Ошибка №3: не назначен ответственный за обработку персональных данных
  4. Ошибка №4: нет регистрации в реестре операторов
  5. Ошибка №5: не проводится внутренний аудит
  6. Ошибка №6: запрос лишних документов у сотрудников
  7. Ошибка №7: нет согласия на обработку персональных данных
  8. Ошибка №8: нет согласия на передачу персональных данных
  9. Ошибка №9: нет согласия на распространение персональных данных
  10. Ошибка №10: использование данных не для заявленных целей
  11. Ошибка №11: неправильная реакция на утечки
  12. Ошибка №12: использование запрещенного ПО для обработки данных

Ошибка №1: не разработана Политика обработки персональных данных

Одна из ключевых ошибок при работе с персональными данными — отсутствие Политики обработки персональных данных. Это основной документ, регулирующий особенности обработки данных в организации. Политика должна быть опубликована на сайте, а если у компании есть офис — размещена на информационном стенде.

Важно! Штраф за необеспечение неограниченного доступа к Политике — до 60 000 рублей (ч.3 ст.13.11 КоАП РФ).

Решение

Готовые шаблоны из интернета не подойдут: Роскомнадзор требует, чтобы политика отражала специфику компании, в которой она применяется.

Вам необходимо разработать политику с учётом ваших процессов обработки данных и опубликовать её так, чтобы любой человек мог с ней ознакомиться. Также нужно следить за актуальностью документа — при изменениях в законе или бизнес‑процессах его нужно обновлять.

Ошибка №2: не ограничен доступ к персональным данным

При организации работы с персональными данными оператор обязан разграничить доступ к ним: его должны иметь только сотрудники, которым он нужен для выполнения обязанностей. Например, если у вас медицинская клиника, администратор может иметь доступ, а вот уборщица — нет.

Решение

Издайте приказ и укажите либо конкретных сотрудников (ФИО + должность), либо перечень должностей и подразделений, имеющих доступ к персональным данным. Пропишите, к каким именно данным разрешен доступ — принцип «минимума необходимой информации» должен соблюдаться.

Ошибка №3: не назначен ответственный за обработку персональных данных

В каждой компании должен быть ответственный за обработку персональных данных. Им может быть только один человек: например, юрист, HR, бухгалтер или руководитель (ст.18.1, ст.22.1 ФЗ №152-ФЗ).

Решение

Издайте приказ о назначении ответственного, чётко прописав его должностные обязанности и уровень полномочий. Важно, чтобы он мог давать указания другим сотрудникам по вопросам защиты персональных данных.

Ошибка №4: нет регистрации в реестре операторов

Каждый оператор обязан зарегистрироваться в реестре Роскомнадзора, если не входит в перечень исключений, предусмотренных ст. 22 ФЗ №152-ФЗ. Для этого подаётся уведомление об обработке персональных данных ещё до того, как компания начнет их обрабатывать.

Если не зарегистрироваться в реестре РКН, когда это обязательно по закону, организацию могут оштрафовать на сумму до 300 000 рублей (ч.10 ст.13.11 КоАП РФ)

Решение

Подайте уведомление в Роскомнадзор на официальном сайте ведомства. При заполнении указывайте только те категории персональных данных, с которыми реально собираетесь работать. Даже если вы уже приступили к обработке, всё равно зарегистрироваться нужно: от штрафа это может не спасти, но есть шанс свести его к минимуму.

Ошибка №5: не проводится внутренний аудит

Еще одна ошибка при работе с персональными данными — нерегулярный аудит документов. Законодательство постоянно меняется, поэтому нужно своевременно все актуализировать: Политику, Положение об обработке персональных данных, регламенты, инструкции и т.д.

Решение

Внедрите систему внутреннего контроля, которая будет оценивать соответствие процессов обработки данных законодательным требованиям. Для этого создайте специальную комиссию, уполномоченную проверять документы, анализировать рабочие процессы и вносить предложения по улучшению системы защиты персональных данных.

Такой аудит поможет вовремя выявить уязвимости и предотвратить возможные нарушения. Однако самостоятельная организация проверок требует глубокого знания законодательства — без помощи юристов здесь не обойтись, особенно когда речь идёт о сложных бизнес‑процессах или большом объёме обрабатываемых данных.

Ошибка №6: запрос лишних документов у сотрудников

Вы можете запрашивать у физлиц (сотрудников, клиентов) только те документы, которые нужны вам для заключения договора и исполнения обязательств. Например, если по договору ваша компания должна построить человеку дом, вы не можете требовать с него ИНН или сведения о трудовой деятельности.

Решение

Проверьте личные дела сотрудников и документы клиентов. Удалите копии ненужных документов после завершения кадровых процедур или исполнения обязательств по договору.

Важно! Простого удаления файла с ПК недостаточно: нужно создать комиссию по уничтожению персональных данных, оформить соответствующий акт и выгрузку из журнала действий в информационной системе (ИС).

Ошибка №7: нет согласия на обработку персональных данных

Такое согласие не требуется для работы с персональными данными сотрудников, поскольку обработка осуществляется в рамках исполнения трудового законодательства. Однако если вы запрашиваете ПДн соискателей, которые присылают вам анкеты, согласие должно быть.

Важно! Обработка персональных данных без согласия, когда оно обязательно = штраф до 700 000 рублей (ч.2 ст.13.11 КоАП РФ).

Решение

Еще до начала обработки персональных данных разработайте шаблон согласия. В нём должны быть:

  • полные данные субъекта: ФИО, адрес, паспортные реквизиты;
  • сведения о представителе (при наличии) с указанием полномочий;
  • наименование и адрес оператора;
  • чёткое указание цели обработки;
  • конкретный перечень обрабатываемых данных;
  • данные третьего лица, если обработка поручена ему;
  • перечень операций с данными и способы их обработки;
  • срок действия согласия и порядок его отзыва;
  • личная подпись субъекта.

Ошибка №8: нет согласия на передачу персональных данных

Если вы передаете персональные данные сотрудников или клиентов для обработки в другой организации, нужно взять согласие с каждого. Например, при поручении расчета зарплаты бухгатерской компании по договору аутсорсинга оно обязательно.

Важно! За неправомерную передачу персональных данных без согласия субъекта предусмотрен штраф до 5 млн рублей (ч.12 ст.13.11 КоАП РФ).

Решение

Разработайте шаблон согласия, указав, какие данные и кому передаются, для каких целей. Согласия должны быть подписаны каждым субъектом, чьи данные вы направляете третьему лицу.

Ошибка №9: нет согласия на распространение персональных данных

Размещение фотографии сотрудника на сайте или использование ФИО человека в рекламе — это распространение персональных данных, на которое нужно согласие. Если вы его не возьмете, Роскомнадзор может оштрафовать на сумму до 5 млн рублей, так как это считается незаконным распространением.

Решение

Разработайте шаблон согласия на распространение персональных данных. Укажите в нём, какие данные разрешены для распространения, в каких целях, срок действия согласия.

Ошибка №10: использование данных не для заявленных целей

Если вы возьмете копию сертификата о повышении квалификации, чтобы оформить трудовой договор с сотрудником, а затем разместите фотографию документа на сайте — так делать нельзя. В первом случае речь идёт об обработке с целью заключения договора, а для распространения нужно отдельное согласие. Цели использования персональных данных должны соответствовать целям, заявленным в согласии.

Решение

Учитывайте цели, указанные в договоре и Политике обработки персональных данных. Обязательно берите согласие для разных целей.

Ошибка №11: неправильная реакция на утечки

Не самая редкая ошибка при работе с персональными данными — сокрытие факта утечки от Роскомнадзора, чтобы избежать штрафа. По закону оператор обязан уведомить РКН в течение 24 часов с момента выявления утечки, а также в течение 72 часов провести расследование и отправить отчёт в ведомство.

Важно! Если вы не уведомите РКН об утечке, в дальнейшем вас могут оштрафовать не только за необеспечение защиты персональных данных (до 20 млн в зависимости от объёма и типа данных), но и за неуведомление ведомства — до 3 млн рублей (ч.11 ст.13.11 КоАП).

Решение

Разработайте инструкцию по работе с персональными данными и регламент действий при обнаружении утечки, чтобы сотрудники знали пошаговый алгоритм. Обеспечьте защиту персональных данных не только с технической, но и с юридической точки зрения.

Ошибка №12: использование запрещенного ПО для обработки данных

С 01.07.2025 года введён запрет на первичную обработку персональных данных с помощью иностранных сервисов. Например, нельзя использовать Google Analytics и зарубежные мессенджеры: WhatsApp, Telegram, Viber, Signal и т.д.

Решение

Пользуйтесь сервисами и ПО с серверами на территории РФ. Посмотреть перечень разрешенных программ можно в открытом реестре Минцифры.

Чтобы избежать штрафов за нарушение работы с персональными данными и не понести репутационные потери в случае утечки, доверьте оформление документов юристам.

В своих статьях мы используем только первоисточники: материалы и обзоры справочной правовой системы «КонсультантПлюс», информационно-правового портала«Гарант.Ру», а также материалы и обзоры сайтов ФНС России, Социальный фонд России, Банка России, официального канала Минтруда России, Федеральной службы судебных приставов, Новости с сайта kdelo.ru, Онлайн журнала «Главбух», сайта nalog-nalog.ru, сайта klerk.ru, сайта kontur.ru, сайта www.buhonline.ru, сайта самозанятые.рф, сайта mertech.ru, а также материалы и обзоры из их телеграм‑каналов.

Владельцам бизнеса

Штрафов и конфликтов с контролирующими организациями вы можете избежать полностью, если заключите с нами Договор на Аутсорсинг бухгалтерских услуг

ООО «Аврора Консалт» — команда аттестованных специалистов, которая готова взять на себя: бухгалтерский и налоговый учёт, кадровый учёт и расчёт заработной платы, воинский учёт, составление необходимых форм отчётности, ведение 1С, а также юридическую поддержку.

Мы обеспечим учёт в полном соответствии с законодательством РФ, защиту базы данных и предоставим страховку от штрафов.

В настоящее время ООО «Аврора Консалт» заключает договоры аутсорсинга бухгалтерских услуг с ООО, ИП, ТСЖ, ЖСК и СНТ зарегистрированными и ведущими свою деятельность на территории Санкт‑Петербурга и Ленинградской области.

Отзывы о нашей компании вы можете прочитать на странице Отзывы и на соответствующих сервисах Google и Яндекса по ссылкам на странице Отзывов.

Для заключения договора проводится предварительная встреча в офисе вашей или нашей компании, по договорённости достигнутой накануне.

Все возникающие вопросы вы можете задать, связавшись с нами любым удобным для вас способом: позвонить по телефону (812) 209-02-00, воспользоваться альтернативными способами связи, например, мессенджерами:

или оставить заявку в чате.

Вы можете поделиться этой новостью с друзьями
Мы используем файлы cookie для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием файлов cookie.
Принять