SEO-корпус
Частые ошибки операторов персональных данных · и как их избежать
Самый дорогой штраф по новой редакции ст. 13.11 КоАП измеряется не в тысячах рублей, а в процентах от выручки компании за год. До пятнадцати миллионов за утечку крупного массива и до трёх процентов оборота при повторе. Эти цифры появились в Кодексе с поправками от 30.11.2024 N 420-ФЗ и изменили цену вопроса. Раньше нарушение закона о персональных данных стоило десятки тысяч и воспринималось как фоновый риск. Теперь это статья расходов, ради которой имеет смысл переделать всю систему обработки данных. Разберём ошибки, которые повторяются у операторов чаще всего, и сопоставим каждую с конкретной частью ст. 13.11 КоАП и с обязанностью по 152-ФЗ, из которой она вырастает.
Ошибка первая · нет внутренних документов и ответственного
Закон требует не просто «обрабатывать данные аккуратно», а принять набор конкретных мер. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, и закон прямо перечисляет, что к ним относится (ч. 1 ст. 18.1 152-ФЗ). Это назначение ответственного за организацию обработки персональных данных у юридического лица, издание политики и локальных актов, применение правовых, организационных и технических мер по ст. 19, внутренний контроль или аудит, оценка возможного вреда субъектам и ознакомление либо обучение сотрудников, которые работают с данными.
Типичная картина проверки. Компания обрабатывает данные тысяч клиентов, но ответственный не назначен, политика скачана из интернета и не отражает реальные процессы, а сотрудники колл-центра впервые слышат слово «согласие». Каждый из этих пунктов это самостоятельный пробел по ч. 1 ст. 18.1. Закрывается он не покупкой шаблона, а описанием того, что реально происходит с данными, кто и зачем их трогает, как долго хранит и как уничтожает по достижении цели.
Ошибка вторая · политика спрятана или отсутствует на сайте
Если вы собираете данные через сайт, политику нужно опубликовать именно там. Оператор, осуществляющий сбор персональных данных с использованием сети, обязан опубликовать на страницах своего сайта документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите, а также обеспечить доступ к этому документу (ч. 2 ст. 18.1 152-ФЗ).
Нарушение этой обязанности это отдельный состав. Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике влечёт штраф, для юридических лиц от тридцати тысяч до шестидесяти тысяч рублей (ч. 3 ст. 13.11 КоАП). Сумма скромная на фоне «утечечных» частей, но это самое лёгкое нарушение для проверяющего, потому что фиксируется одним открытием сайта. Если на странице сбора нет работающей ссылки на актуальную политику, состав готов.
Ошибка третья · обработка без основания или не под ту цель
Сердце закона это основания обработки из ст. 6. Самая частая ошибка собрать данные под одну цель, а использовать под другую. Классический пример. Телефон клиента взят для доставки заказа, договорное основание по п. 5 ч. 1 ст. 6 работает, а дальше этот же телефон уходит в рекламную рассылку, для которой нужно отдельное согласие по п. 1 ч. 1 ст. 6. Обработка стала несовместимой с целью сбора.
Цена прямая. Обработка персональных данных в случаях, не предусмотренных законодательством, либо несовместимая с целями сбора, влечёт штраф для юридических лиц от ста пятидесяти тысяч до трёхсот тысяч рублей (ч. 1 ст. 13.11 КоАП), а при повторе от трёхсот тысяч до пятисот тысяч рублей (ч. 1.1 ст. 13.11 КоАП). Если нарушено именно требование о письменном согласии там, где оно обязательно, или нарушен состав сведений в согласии, диапазон ещё выше, для юридических лиц от трёхсот тысяч до семисот тысяч рублей (ч. 2 ст. 13.11 КоАП).
Ошибка четвёртая · игнор запросов субъекта
Человек написал «удалите мои данные», а письмо ушло в общий ящик и умерло там. Невыполнение в установленный срок требования субъекта или уполномоченного органа об уточнении, блокировании или уничтожении данных, когда они неполны, устарели, неточны, незаконно получены или не нужны для цели, влечёт штраф для юридических лиц от пятидесяти тысяч до девяноста тысяч рублей (ч. 5 ст. 13.11 КоАП), при повторе от трёхсот тысяч до пятисот тысяч рублей (ч. 5.1 ст. 13.11 КоАП). Отдельно наказуемо непредоставление субъекту информации об обработке его данных, для юридических лиц от сорока тысяч до восьмидесяти тысяч рублей (ч. 4 ст. 13.11 КоАП). Решается это регламентом обработки обращений с понятным сроком и ответственным.
Ошибка пятая · слабая безопасность и утечка
Здесь после 420-ФЗ цена выросла кардинально. Оператор обязан принимать правовые, организационные и технические меры для защиты данных от неправомерного или случайного доступа, уничтожения, изменения, копирования, распространения и иных неправомерных действий (ч. 1 ст. 19 152-ФЗ). Если меры формальны и происходит утечка, штраф зависит от объёма. Передача данных от одной тысячи до десяти тысяч субъектов влечёт для юридических лиц от трёх до пяти миллионов рублей (ч. 12 ст. 13.11 КоАП). От десяти тысяч до ста тысяч субъектов это от пяти до десяти миллионов рублей (ч. 13 ст. 13.11 КоАП). Более ста тысяч субъектов это от десяти до пятнадцати миллионов рублей (ч. 14 ст. 13.11 КоАП). Утечка специальной категории данных это от десяти до пятнадцати миллионов (ч. 16 ст. 13.11 КоАП), биометрии от пятнадцати до двадцати миллионов (ч. 17 ст. 13.11 КоАП). А при повторе по этим частям санкция уходит в оборотный штраф, от одного до трёх процентов годовой выручки, но не менее двадцати миллионов и не более пятисот миллионов рублей (ч. 15 ст. 13.11 КоАП).
Ошибка шестая · забыли уведомить Роскомнадзор
Поправки 420-ФЗ добавили санкции за пробелы в уведомлениях. Невыполнение обязанности уведомить уполномоченный орган о намерении обрабатывать персональные данные влечёт для юридических лиц от ста тысяч до трёхсот тысяч рублей (ч. 10 ст. 13.11 КоАП). Неуведомление об установленном факте неправомерной передачи данных, нарушившей права субъектов, стоит дороже, для юридических лиц от одного до трёх миллионов рублей (ч. 11 ст. 13.11 КоАП). Это значит, что после инцидента молчание само по себе образует отдельный состав поверх штрафа за утечку.
На что смотрит проверяющий
Порядок проверки идёт от лёгкого к тяжёлому. Сначала открывают сайт и ищут политику, это мгновенная фиксация по ч. 3. Затем запрашивают документы и локальные акты, которые оператор обязан представить по ч. 4 ст. 18.1. Дальше проверяют согласия и соответствие обработки заявленным целям. И только потом, если был инцидент, считают объём утёкших данных и применяют тяжёлые части. Вывод тактический. Дешёвые нарушения закрываются за дни и снимают самые очевидные риски, а защита от оборотных штрафов строится месяцами и начинается с честной инвентаризации данных.
Частые вопросы
Что проверяют чаще всего. Наличие и публикацию политики и наличие правовых оснований обработки под каждую цель. Это самые простые для фиксации составы, по ч. 3 и ч. 1 ст. 13.11 КоАП соответственно.
Реально ли получить оборотный штраф малому бизнесу. Оборотные части ст. 13.11 КоАП включаются при повторе по утечечным составам. Базовый штраф за первую крупную утечку и так измеряется миллионами по ч. 12 · 14, а повтор переводит расчёт на процент от выручки по ч. 15. Малому бизнесу выгоднее вкладываться в безопасность по ст. 19, чем проверять эти диапазоны на себе.
С чего начать приведение в порядок. С инвентаризации, какие данные, под какую цель и на каком основании из ст. 6 обрабатываются, есть ли согласия и опубликована ли политика. Дальше закрываются меры по ч. 1 ст. 18.1 и безопасность по ст. 19. Разложим ваши процессы по нормам и закроем риски от лёгких до оборотных, свяжитесь с нами.