Топ-10 ошибок при обработке и хранении персональных данных

2025 год стал настоящим вызовом для всех, кто работает с персональными данными: обновленное законодательство, ужесточение ответственности за нарушение требований к обработке и хранению персональных данных. Череда изменений породила больше вопросов, чем ответов.

В этих условиях даже тщательно выстроенные процессы не являются гарантией защиты: операторы стали допускать ошибки, что может привести к получению штрафов и репутационным потерям.
Чтобы минимизировать эти риски, мы подготовили обзор десяти самых распространенных ошибок при работе с персональными данными.

Отсутствие внутреннего аудита работы с персональными данными (Ошибка № 1)

В соответствии со ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор обязан осуществлять внутренний контроль и аудит соответствия обработки персональных данных федеральным и локальным нормативным правовым актам.

Аудит: 1) позволяет оператору проверить, на каком основании, каким способом и в каком порядке предоставляют, обрабатывают, распространяют, хранят и защищают в компании личные данные сотрудников и третьих лиц; 2) уточняет, насколько принимаемые акты и действия соответствуют требованиям Закона о персональных данных; 3) отражает политику оператора по обработке персональных данных и способствует их реальной защите.

Такая внутренняя проверка процессов позволит выявить цели обработки персональных данных и корректно разработать свои локальные акты, которые будут соответствовать осуществляемой деятельности, а также своевременно выявить ошибки и нарушения.

Неподача уведомления в Роскомнадзор о начале обработки персональных данных либо об изменении сведений (Ошибка № 2)

Согласно ст. 22 Закона о персональных данных до начала обработки ПД оператор обязан уведомить Роскомнадзор о своем намерении. Уведомление о начале обработки персональных данных должно соответствовать положению/политике об обработке персональных данных, которое разработано оператором.

При проведении проверки одна из задач Роскомнадзора — выявление несоответствия между сведениями в уведомлении и тем, как в реальности обрабатываются персональные данные.

Неподача либо несвоевременная подача уведомления о намерении осуществлять обработку персональных данных влечет наложение штрафа на юридических лиц от 100 000 до 300 000 рублей (ч. 10 ст. 13.11 КоАП РФ).

При любом изменении сведений об обработке вы как оператор обязаны уведомить Роскомнадзор обо всех произошедших за указанный период изменениях не позднее 15-го числа месяца, следующего за месяцем, в которого возникли данные изменения.

Изменения могут касаться как сведений, связанных непосредственно с персональными данными (цели, категории обрабатываемых данных, ответственные за обработку и т. п.), так и информации о самом операторе (изменение наименования, адреса, КПП, генерального директора).

Использование шаблонов для разработки своих локальных актов (Ошибка № 3)

Каждый оператор персональных данных должен иметь определенный перечень документов (положение/ политика об обработке персональных данных; формы согласий, формы актов об уничтожении, об оценке вреда, приказы об утверждении ответственного, об утверждении мест хранения и так далее). Такие документы имею статус локального нормативного акта (ЛНА) и представляют собой внутренний документ, регулирующий отношения в пределах организации. ЛНА должны быть документальным отображением процессов организации. Поэтому очень важно соблюдать индивидуальный подход при их разработке.

Что делает неосмотрительный оператор персональных данных? Вы берете шаблон из интернета и вставляете ваши данные. Мы рекомендуем в качестве минимума прочитать его внимательно и адаптировать какие-то разделы под ваши цели.

Перед разработкой локальных документов необходимо провести аудит, чтобы определить, как устроен процесс обработки и защиты персональных данных именно у вас (см. Ошибку № 1). После проведения аудита разработать ЛНА намного легче, чем использовать непроверенный шаблон либо документы другой организации.

Игнорирование обработки персональных данных на сайте (Ошибка № 4)

Сайт — это онлайн-визитка организации, наглядно демонстрирующая спектр ваших услуг и помогающая пользователям узнать вас лучше.
Здесь пользователи могут оставлять свои запросы, заполняя соответствующие формы, откликаться на вакансии, создавать личные кабинеты.

Оператор, выполняя требования законодателя о публикации своего положения об обработке персональных данных, часто выкладывает на сайт единое положение, которое распространяется и на работников, и на третьих лиц, и на пользователей.

Наша рекомендация заключается в том, что для сайта необходимо разработать отдельные локальные акты, которые будут регулировать обработку персональных данных исключительно пользователей (политика и форма согласия). Не нагружайте ваш сайт излишней информацией, публикуя общее положение для всех.

Не стоит забывать о том, что при отметке «галочкой» пользователь мог ознакомиться как с политикой, так и с формой согласия.

Обработка избыточных данных (Ошибка № 5)

Очень часто оператор обрабатывает больше персональных данных, чем того требует заявленная вами цель.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

Запрещено обрабатывать персональные данные, которые не соответствуют заранее определенной цели либо запрашивать их «на всякий случай, а вдруг пригодится».

Обработка персональных данных с помощью иностранных мессенджеров (Ошибка № 6)

Согласно ст. 18 Закона о персональных данных обработка персональных данных с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускается. Таким образом, запрещена передача персональных данных через всем привычный мессенджер WhatsApp или иные распространенные иностранные мессенджеры.

Необходимо использовать только корпоративную почту, российские мессенджеры (VK, Telegram). Данное правило распространяется на обработку персональных данных в целях осуществления предпринимательской деятельности.

За невыполнение оператором данной обязанности он может быть привлечен к административной ответственности (штраф до 18 млн рублей при повторном нарушении — ч. 7 ст. 13.11 КоАП РФ).

Отсутствие санкционированных мест хранения персональных данных (Ошибка № 7)

Оператор обязан обеспечить защищенное хранение персональных данных, а также определить доступ к таким местам только тем лицам, которые допущены к обработке персональных данных.

Хранить персональные данные необходимо исключительно в защищенных и санкционированных оператором местах (корпоративные серверы, утвержденные облачные хранилища, зашифрованные жесткие диски). Запрещено хранить персональные данные на личных устройствах, незашифрованных флеш-накопителях или в незащищенных облачных хранилищах (например, Яндекс.Диск, Google Drive по умолчанию).

Места хранения должны быть утверждены отдельным приказом оператора. В нем должен быть определен конкретный путь к такому месту (папка на сервере, папка в шкафу и т. п.).

Запрещено хранить персональные данные в местах, не определенных соответствующим приказом (в загрузках, на рабочем столе), чтобы снизить риск утечки данных при взломе.

Согласие на обработку персональных данных (Ошибка № 8)

Согласие на обработку персональных данных является одним из основных условий обработки ПД (ст. 6 Закона о персональных данных).
Но согласие не нужно оформлять и подписывать в тех случаях, когда закон прямо указывает на отсутствие такой необходимости, например обработка персональных данных в силу закона, в целях заключения и исполнения договора.

Часто можно заметить в договоре условие «исполнитель дает согласие на обработку своих персональных данных…». Включение данного условия в договор является нарушением, так как заключение и исполнение договора является одним из условий обработки персональных данных.
В договор в таком случае стоит включить раздел про заверения и гарантии при обработке персональных данных.

При этом Закон о персональных данных четко разграничивает, в каких случаях оператор должен оформлять письменное согласие: 1) при обработке специальных и биометрических ПД; 2) при передаче ПД; 3) при распространении ПД и в иных случаях, предусмотренных законодательством.

Не стоит забывать о том, что согласие должно быть оформлено отдельно от иных документов, которые подтверждает либо подписывает лицо.

Невыполнение правил по информационной безопасности (Ошибка № 9)

Для защиты персональных данных каждый оператор должен ввести у себя базовые правила информационной безопасности, такие как:

• передавать персональные данные только через корпоративную почту с включенным шифрованием, защищенные корпоративные мессенджеры или VPN для доступа к внутренним системам. Запрещено использовать мессенджеры (WhatsApp, Telegram), личную почту, социальные сети;
• не открывать подозрительные ссылки либо уточнять у специалистов, можно ли открывать ту или иную внешнюю ссылку;
• не хранить пароли в открытом доступе. Это правило касается как личных паролей, так и паролей, которые вы можете получать от третьих лиц;
• формировать сложные пароли (никаких «день рождения», «имя котенка» и тому подобное);
• соблюдать правило чистого стола (минимум документов на вашем рабочем столе).

Игнорирование утечки персональных данных (Ошибка № 10)

Оператор, обнаруживший утечку персональных данных либо несанкционированный доступ, обязан в течение 24 часов уведомить о данном факте Роскомнадзор, а также в течение 72 часов провести внутреннее расследование.

В случае неправомерной передачи персональных данных оператор несет ответственность от 1 до 10 млн рублей в зависимости от причиненного ущерба.

После проведения внутреннего расследования и передачи соответствующей информации в Роскомнадзор (дача объяснений) штраф может быть снижен в зависимости от ущерба и предпринятых оператором мер.

Представленные в этом материале ТОП-10 ошибок фактически являются и правилами организации системы работы любого оператора с персональными данными клиентов, посетителей, пользователей и, конечно, ваших сотрудников или подрядчиков.
А какие слабые места есть в вашей компании? Задайте вопрос, и мы будем рады поделиться нашим опытом и помочь в создании индивидуальной системы обработки персональных данных.