Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Право
Карьера
Путешествия
Крипто
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Б-152

Неправомерная обработка: как компания нарушает закон, даже когда «все по правилам»

Неправомерная обработка: как компания нарушает закон, даже когда «все по правилам»

Утечки, штрафы, уголовные дела. Персональные данные всё чаще становятся не просто строками в реестрах, а источником юридических и финансовых катастроф.

Вопреки расхожему мнению, большинство нарушений совершается не злоумышленниками. Их порождает рутина: устоявшиеся процессы, типовые формы согласий, уверенность в том, что «у нас так всегда делали».

Это и есть новый ландшафт риска: даже если данные не передаются третьим лицам, не публикуются в открытом доступе и не утекли, закон всё равно может быть нарушен.

Что такое неправомерная обработка?

По статье 7 Федерального закона № 152-ФЗ, обработка персональных данных признается неправомерной, если она осуществляется с нарушением законодательства Российской Федерации.

Формулировка кажется очевидной, но за ней скрывается целая система требований: от целей обработки до сроков хранения, от корректности согласия до способов уничтожения данных. Любая неточность в деталях может обернуться серьёзным риском.

Именно технические детали (не злой умысел) сегодня становятся главными причинами санкций.

Типичные нарушения, которые совершают «по привычке»

1. Нет правового основания

Компании часто думают: если человек добровольно оставил данные, значит, их можно обрабатывать. Это не так.

Пример: кандидат отправил резюме по инициативе, но если цель его обработки не определена, согласие не оформлено или отсутствует другой правовой базис (например, договор), обработка уже выходит за рамки закона. Всё это — прямое нарушение статьи 6 152-ФЗ.

Аналогично, требование справки об отсутствии судимости у всех сотрудников (при отсутствии прямого указания в законе) без согласия и правового основания нарушает режим обработки чувствительных ПДн. (Чек-лист по выявлению чувствительной обработки ПДн)

2. Согласие — фикция

Невозможно прикрыться согласием, если оно составлено формально. Часто используются шаблоны: два листа мелким шрифтом, всё включено одним блоком, галочка уже стоит.

Что должно быть:

  • Добровольность — человек должен иметь выбор.
  • Конкретность — чётко обозначенные цели.
  • Информированность — перечень данных и способы обработки понятны.
  • Опережение обработки — согласие даётся до начала сбора.

Если хотя бы один элемент не соблюдён — согласие ничтожно. А значит, всё, что делается с этими данными, — неправомерно.

Реальный кейс: страховая компания получила штраф в 10 млн рублей за обработку фото клиентов без отдельного согласия на биометрию (Гайд по ответственности операторов за утечки персональных данных)

3. Слишком много данных

Закон требует обоснованности и минимизации: нельзя собирать то, что не нужно.

Типичные ошибки:

  • Снимают копию паспорта на ресепшене.
  • СНИЛС для оформления бонусной карты.
  • Спрашивают место рождения при записи на языковые курсы.

Все эти случаи — нарушение статьи 5 закона, которая запрещает избыточный сбор данных.

4. Данные хранятся вечно

Цель достигнута, данные подлежат уничтожению. Это правило прямо прописано в законе. Но на практике:

  • Бывшие сотрудники «живут» в CRM годами.
  • Ушедшие клиенты получают рассылки.
  • Кандидаты в базе по 5–7 лет без срока хранения.

Закон требует уничтожения после достижения цели. Игнорирование этого = основание для санкций.

5. Не замечают чувствительную обработку

Некоторые данные требуют особого режима: согласия, правовых оснований и мер безопасности.

Примеры из практики:

  • HR публикует на сайте фото детей сотрудников после конкурса. Это данные несовершеннолетних.
  • Отдел продаж размещает фото менеджеров.Это распространение персональных данных, требующее отдельного согласия
  • Сбор данных через Google Forms — нарушение требований о локализации.

Если компания не осознаёт наличие специальных категорий данных, она рискует попасть в зону высокой ответственности (Чек-лист по выявлению чувствительной обработки ПДн)

Санкции: что грозит за неправомерную обработку?

Даже если данные никуда не утекли, ответственность может быть серьёзной:

  • До 500 тыс. ₽ —за незаконную обработку ПДн.
  • До 300 тыс. ₽ — за неуведомление РКН.
  • До 20 млн ₽ — за утечку биометрии.
  • До 3% годовой выручки — при повторных утечках.
  • До 5 лет лишения свободы — с 1 декабря 2024 года по ст. 272.1 УК РФБ-152

Что делать бизнесу?

  1. Провести ревизию всех процессов обработки ПДн. Используйте опросники и чек-листы — например, опросный лист от Б_152 включает все ключевые категории: от HR и ИТ до маркетинга и внешних подрядчиков.
  2. Проверить согласия. Убедитесь, что согласия конкретны, информированы, добровольны и оформлены до начала обработки.
  3. Назначить ответственного. И это не формальность. Ответственный должен быть официально назначен приказом и иметь полномочия. (См. Приказ о назначении ответственного за обработку ПДн)
  4. Установить сроки хранения. В CRM, почте и архивах должны быть установлены автоматические или регулярные механизмы уничтожения данных по достижении цели.
  5. Проверить чувствительность обработки. Даже один процесс, связанный с биометрией, здоровьем или детьми требует отдельного подхода.

В завершение

Нарушения закона о персональных данных сегодня совершаются не преступниками, а рутиной. И именно поэтому они так опасны: их не замечают до момента, пока не приходит проверка или не прилетает штраф.

Хорошая новость в том, что большинство из них можно выявить и устранить заранее: через аудит, обучение сотрудников и обновление документации.

Вопрос не в том, делаете ли вы что-то «по привычке». Вопрос в том — законно ли это?

1
Начать дискуссию