Именно поэтому штрафы получают не только компании, которые полностью игнорируют требования 152-ФЗ. Риск возникает и у добросовестного бизнеса, который когда-то оформил документы, но не поддерживал их в актуальном состоянии. При проверке Роскомнадзор оценивает не сам факт наличия папки с документами, а соответствие документов реальным процессам обработки данных.
С 30 мая 2025 года цена ошибки стала значительно выше. За обработку персональных данных без надлежащего согласия штраф для юридического лица может достигать 700 000 ₽, за утечку — от 3 до 15 млн ₽, а за повторную утечку введён оборотный штраф — от 1 до 3% годовой выручки. Для бизнеса это уже не формальный комплаенс-риск, а потенциально существенная финансовая потеря.
Почему документы по персональным данным быстро теряют актуальность
Система персональных данных зависит не только от закона, но и от ежедневной операционной жизни компании. Работодатель принимает сотрудников, увольняет их, обрабатывает данные кандидатов, передаёт сведения в банк, страховую компанию, медицинскую организацию, аутсорсеру, использует HR-сервисы, CRM, мессенджеры, видеонаблюдение и формы обратной связи на сайте.
Каждое такое действие может означать новую цель обработки, новую категорию данных, нового получателя или новый порядок хранения. Если эти изменения не отражены в политике, согласиях, уведомлении Роскомнадзора, поручениях на обработку и внутренних регламентах, у компании появляется расхождение между документами и реальностью.
В обычной работе это расхождение почти незаметно. Оно проявляется, когда поступает жалоба от сотрудника или клиента, происходит инцидент с данными, Роскомнадзор проводит мониторинг сайта или запрашивает документы при проверке. К этому моменту нарушение уже накоплено, а исправить его задним числом сложно.
Что изменилось в регулировании и контроле
За последний год требования к персональным данным изменились сразу в нескольких направлениях. Компании важно учитывать не только новые штрафы, но и более формальный подход к проверке документов и процессов.
С 1 сентября 2025 года согласие на обработку персональных данных нельзя включать в трудовой договор, анкету или пользовательское соглашение. Оно должно оформляться отдельно. Это означает, что прежние формы согласий необходимо пересмотреть и привести к новому требованию.
Штрафы за утечки стали оборотными. При повторной утечке компания платит не фиксированную сумму, а процент от годовой выручки. Для крупного бизнеса это переводит риск персональных данных в категорию стратегических финансовых угроз.
Санкции выросли по большинству составов статьи 13.11 КоАП РФ. Появились новые составы нарушений, а уже существующие стали дороже для компании и должностных лиц.
Роскомнадзор активнее использует мониторинг открытых ресурсов. Публичные политики, формы сбора данных на сайте, чекбоксы согласий и пользовательские сценарии могут попасть в поле зрения регулятора ещё до прямого контакта с компанией.
При этом документы устаревают не только из-за изменений закона. Новый подрядчик, новый рекрутинговый сервис, новый порядок оформления командировок, новая форма на сайте или смена ответственного за обработку данных также требуют пересмотра документов. Если компания не ведёт персональные данные регулярно, она постепенно теряет контроль над системой.
Что грозит компании, если Роскомнадзор найдёт нарушения
Проверка редко ограничивается одним эпизодом. Жалоба бывшего сотрудника, обращение клиента или выявленное нарушение на сайте могут привести к проверке всей системы обработки персональных данных. В результате регулятор видит не одну ошибку, а весь накопившийся объём несоответствий: устаревшие согласия, неполное уведомление Роскомнадзора, неактуальную политику, неоформленную передачу данных подрядчикам и отсутствие понятного порядка работы с запросами субъектов.
Каждое такое нарушение квалифицируется отдельно. Например, если компания обрабатывает персональные данные без надлежащего согласия, штраф для юридического лица может достигать 700 000 ₽. Если Роскомнадзор установит, что компания не уведомила его о новой цели обработки данных, штраф может составить ещё до 300 000 ₽. Неактуальная политика обработки персональных данных — это отдельный состав со штрафом до 60 000 ₽. Если субъекту данных не предоставили информацию об обработке, компания рискует получить ещё до 80 000 ₽ штрафа.
Самый дорогой риск в этом наборе — несвоевременное уведомление о передаче персональных данных. За такое нарушение штраф для юридического лица может достигать 3 000 000 ₽. В совокупности несколько нарушений по статье 13.11 КоАП РФ могут дать компании сумму до 4 140 000 ₽ — и это без учёта рисков, связанных с утечкой данных.
Дополнительно ответственность может наступить для генерального директора как должностного лица. По отдельным составам штрафы для руководителя могут достигать 300 000 ₽ и 800 000 ₽. В совокупности это ещё до 1 100 000 ₽ личной ответственности.
Даже если итоговая сумма будет ниже максимальной, для компании важен сам принцип: один повод для проверки может вскрыть сразу несколько нарушений, которые накапливались месяцами. Поэтому риск в персональных данных редко ограничивается одной ошибкой. Чаще это цепочка несоответствий, которая становится видна только тогда, когда у компании уже нет времени спокойно привести систему в порядок.
Где чаще всего возникают нарушения у добросовестных компаний
Чаще всего проблемы появляются не потому, что компания сознательно нарушает закон. Они возникают из-за того, что персональные данные перестают администрировать после первичного проекта.
1. Новые сотрудники подписывают устаревшие формы согласий.
Если согласие оформлено по старому шаблону, включено в трудовой договор или не соответствует фактическим целям обработки, у компании возникает риск обработки данных без надлежащего основания.
2. Данные уволенных сотрудников и отклонённых кандидатов продолжают храниться без ревизии.
По одним категориям данных закон требует хранения в течение установленного срока, по другим — уничтожения после достижения цели обработки. Если компания не контролирует сроки, она может хранить и обрабатывать лишние данные без правового основания.
3. В компании появляются новые источники данных.
Форма на сайте, чат-бот, CRM, рекрутинговая платформа, видеонаблюдение, СКУД, рабочие чаты в мессенджерах — всё это может менять состав данных, цели обработки, круг лиц с доступом и сведения, которые должны быть отражены в уведомлении Роскомнадзора.
4. Данные передаются подрядчикам без надлежащего оформления.
ДМС, зарплатный банк, медицинские осмотры, аутсорсинг, курьерская служба, IT-провайдеры — передача данных третьему лицу требует правового основания и поручения на обработку с требованиями к защите. Если поручение не оформлено, сама передача может быть квалифицирована как нарушение.
5. Меняется ответственный за персональные данные, но документы и процессы остаются прежними.
Ушёл кадровик, сменился юрист, появился новый HRBP или IT-специалист с доступом к данным — но приказы, инструкции, матрицы доступа и порядок реагирования на запросы субъектов не обновлены. В итоге формально ответственный назначен, но фактически процесс не управляется.
6. Не выстроен порядок работы с запросами субъектов.
Сотрудник, бывший работник, кандидат или клиент может запросить информацию об обработке данных, потребовать уточнения, удаления или отзыва согласия. Закон устанавливает ограниченные сроки для реакции. Если внутри компании нет понятного маршрута таких обращений, срок легко пропустить.
Каждый из этих пунктов сам по себе может выглядеть как обычная операционная деталь. Но для проверяющего это не операционная мелочь, а признак того, что система обработки персональных данных не поддерживается в актуальном состоянии.
Утечка — это не только массовый слив базы
Многие компании связывают утечку персональных данных с крупным инцидентом: взломом, хакерской атакой или публикацией базы в открытом доступе. На практике риск шире. Инцидентом может стать и ситуация, в которой данные одного человека раскрыты тому, кто не должен был их получить.
К таким ситуациям относятся:
- справка о зарплате, отправленная не тому адресату;
- ответ по телефону лицу, которое не имеет права получать информацию;
- доступ сотрудника к данным, которые не нужны ему для работы;
- использование чужой учётной записи;
- передача данных подрядчику без оформленных документов;
- заражение системы вирусом или компрометация доступа.
Почему нельзя восстанавливать систему под проверку
На первый взгляд может показаться, что документы можно обновить после предписания. Но на практике это один из самых рискованных сценариев. При проверке Роскомнадзор оценивает, как компания обрабатывала данные до выявления нарушения, а не только то, что она успела исправить после.
Кроме того, на устранение нарушений обычно даётся ограниченный срок. За месяц сложно провести инвентаризацию всех процессов, согласовать новую политику, обновить согласия, проверить уведомление Роскомнадзора, оформить поручения подрядчикам, настроить доступы, пересмотреть сроки хранения и обучить ответственных сотрудников.
Поэтому персональные данные должны быть не разовым проектом, а управляемой системой. Чем крупнее компания и чем больше в ней сотрудников, подрядчиков, сервисов и точек сбора данных, тем выше риск, что без регулярного администрирования документы быстро перестанут соответствовать реальности.
Как работает администрирование персональных данных
Администрирование персональных данных — это ежемесячное сопровождение системы, при котором документы, процессы и фактическая обработка данных поддерживаются в актуальном состоянии. Задача такого подхода — не просто подготовить комплект документов, а обеспечить готовность компании к проверке в любой момент.
В рамках администрирования необходимо регулярно контролировать:
- соответствие политики, согласий и внутренних документов действующим требованиям закона;
- появление новых целей обработки, категорий данных и источников сбора;
- передачу данных подрядчикам и наличие поручений на обработку;
- сроки хранения и уничтожения данных сотрудников, кандидатов, клиентов и контрагентов;
- порядок доступа к данным внутри компании;
- действия при запросах субъектов персональных данных;
- изменения законодательства и практики Роскомнадзора.
Как BLS помогает поддерживать персональные данные в порядке
BLS предлагает администрирование персональных данных для компаний, которым важно не просто один раз оформить документы, а регулярно поддерживать систему в актуальном состоянии. Эксперты отслеживают изменения закона, проверяют, как новые процессы компании влияют на обработку данных, обновляют документы, контролируют сроки и помогают закрывать зоны риска до того, как они станут предметом проверки.
Подход BLS основан на юридической экспертизе и понимании реальных бизнес-процессов работодателя. Это важно, потому что документы по персональным данным должны не существовать отдельно от компании, а отражать то, как данные действительно собираются, используются, передаются, хранятся и уничтожаются.
С 2019 года BLS реализовал более 150 проектов по персональным данным. Компания работает с крупным российским и международным бизнесом, а практика в трудовом праве и сопровождении проверок позволяет выстраивать документы так, чтобы они работали не только формально, но и в ситуации реального контроля со стороны регулятора.
Если вы хотите поддерживать документы и процессы по персональным данным в актуальном состоянии, передайте их на администрирование BLS. Мы покажем, какие участки требуют регулярного контроля, какие документы нужно обновлять при изменениях в компании и как выстроить систему, которая будет готова к проверке Роскомнадзора без авралов и восстановления задним числом.
Оставить заявку на администрирование персональных данных BLS
Поделиться статьей