menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Когда обработка персональных данных становится неправомерной: десять типовых сценариев

лонгриды
13.01.2023
04/09/25
Б-152
Лонгриды
События /
Когда обработка персональных данных становится неправомерной
Наличие на сайте политики конфиденциальности, формальное назначение ответственного лица, получение согласий от субъектов персональных данных — всё это зачастую воспринимается как достаточное условие для соответствия требованиям законодательства о персональных данных. Однако, на практике именно за внешне «корректными» контурами часто скрываются нарушения: согласия не соответствуют формальным критериям или отсутствуют правовые основы для обработки, цели не зафиксированы, уведомление в Роскомнадзор не направлено, а сбор данных осуществляется на иностранной инфраструктуре.
Такие случаи квалифицируются как неправомерная обработка персональных данных, а последствия могут быть значительными: от штрафов до блокировки информационных ресурсов.
В материале рассматриваются десять типичных сценариев, при которых обработка ПДн выходит за рамки закона, с акцентом на ключевые ошибки, правовые положения и последствия для оператора.
Что считается неправомерной обработкой?
1. Отсутствие правового основания для обработки
Содержание
2. Неопределенность цели обработки или несоответствие цели
3. Отсутствие уведомления в Роскомнадзор
4. Нарушение требований безопасности и прав субъектов
5. Неправомерная обработка специальных и биометрических ПДн
6. Передача данных без оформления поручения
7. Отсутствие внутренней документации
8. Применение автоматизированных решений без соблюдения требований
9. Нарушения при трансграничной передаче
10. Нарушения в работе с персональными данными сотрудников
Ответственность
Что необходимо сделать, чтобы избежать нарушений?
Заключение
Что считается неправомерной обработкой?
1. Отсутствие правового основания для обработки
Содержание
2. Неопределенность цели обработки или несоответствие цели
3. Отсутствие уведомления в Роскомнадзор
4. Нарушение требований безопасности и прав субъектов
5. Неправомерная обработка специальных и биометрических ПДн
6. Передача данных без оформления поручения
7. Отсутствие внутренней документации
8. Применение автоматизированных решений без соблюдения требований
9. Нарушения при трансграничной передаче
10. Нарушения в работе с персональными данными сотрудников
Ответственность
Что необходимо сделать, чтобы избежать нарушений?
Заключение

Что считается неправомерной обработкой?

Обработка персональных данных признаётся неправомерной, если она осуществляется с нарушением положений законодательства Российской Федерации в области персональных данных, в первую очередь Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).
Нарушением считается как совершение неправомерных действий (например, передача базы данных подрядчику без оформления соответствующего поручения, так и бездействие, или несоблюдение требований об уничтожении персональных данных после достижения цели обработки или отзыва согласия).

1. Отсутствие правового основания для обработки

Одной из наиболее распространённых ситуаций является обработка персональных данных при отсутствии правового основания. В соответствии с частью 1 статьи 6 Закона № 152-ФЗ, допустимыми основаниями являются:
  • достижение целей, предусмотренных законом;
  • необходимость обработки ПДн для исполнения договора, а также для заключения договора по инициативе субъекта ПДн;
  • обработка необходима для осуществление прав и законных интересов оператора и третьих лиц;
  • осуществление правосудия и исполнения судебных актов;
  • иные основания.
Ошибки в этой области встречаются как из-за недостатка понимания операторами юридических требований, так и из-за пренебрежения ими. Среди типичных ошибок:
  • отсутствие согласия либо его ненадлежащая форма или способ получения (отсутствие цели, предустановленная «галочка»);
  • отсутствие альтернативного основания, при этом обработка уже осуществляется;
  • отсутствие отдельного согласия на распространение персональных данных, предусмотренного ст. 10.1 Закона № 152-ФЗ.
Пример из практики: HR-специалист публикует ФИО и фотографию нового сотрудника на сайте компании. Согласие на обработку получено, но отдельного согласия на распространение нет. Это квалифицируется как нарушение.

2. Неопределенность цели обработки или несоответствие цели

Ключевым принципом является четкое определение и документирование целей обработки персональных данных. Обработка не может быть обоснована общими или неопределёнными целями. Часто встречается ситуация, когда собираются избыточные данные, например, при входе в офис или коворкинг требуют копию паспорта, хотя для доступа это необязательно.
Еще одна распространенная проблема — продолжение обработки после того, как цель достигнута, например, когда данные уволившегося сотрудника остаются в системах без законных оснований годами.
Нарушением является также использование одних и тех же данных для целей, на которые субъект не давал согласия, например, использование данных, собранных для кадрового резерва, для рассылки маркетинговых материалов.
Такие действия не только противоречат требованиям закона, но и подрывают доверие субъектов данных.

3. Отсутствие уведомления в Роскомнадзор

Один из самых распространенных, но при этом критичных с точки зрения закона промахов — это игнорирование обязанности уведомлять Роскомнадзор до начала обработки персональных данных. Согласно части 1 статьи 22 Федерального закона № 152-ФЗ, оператор обязан:
Типовые ошибки, которые допускают операторы:
  • до начала обработки персональных данных — направить в Роскомнадзор уведомление о своем намерении их обрабатывать;
Это требование распространяется на всех операторов без исключения, будь то коммерческая организация, бюджетное учреждение или индивидуальный предприниматель, если они планируют обрабатывать персональные данные.
При этом сама отправка уведомления не является автоматическим разрешением, т.к. речь идет именно о факте официального уведомления надзорного органа, который должен быть зафиксирован до старта обработки, а не постфактум.
С 30 мая 2025 года невыполнение обязанности по уведомлению Роскомнадзора о своем намерении осуществлять обработку персональных данных влечет административную ответственность по отдельному составу, предусмотренному ч. 10 ст. 13.11 КоАП РФ.
  • обработка начинается до направления уведомления. Компания начинает собирать данные (например, через сайт, форму анкеты, при приеме на работу) без того, чтобы заранее уведомить об этом Роскомнадзор. В этом случае формально любая обработка признается незаконной, даже если в остальном документы оформлены корректно. (ч. 1 ст. 22);
Эта мера устраняет прежнюю правовую неопределенность, при которой факт неподачи уведомления не имел самостоятельной квалификации. Теперь нарушение фиксируется отдельно, и санкции применяются независимо от наличия других нарушений в сфере обработки данных.
  • не обновляется уведомление при изменениях. Если оператор начал собирать новые категории данных, изменил цели, основания — сведения в уведомлении нужно актуализировать. Но на практике многие этого не делают, что также расценивается как нарушение.

4. Нарушение требований безопасности и прав субъектов

Согласно статьям 18.1 и 19 Закона № 152-ФЗ, оператор обязан обеспечить безопасность обработки персональных данных и реализацию прав субъектов. Это означает, что компания должна не только защищать данные технически и организационно, но и соблюдать процедуры, которые гарантируют права каждого субъекта чьи данные обрабатываются.
К наиболее распространённым нарушениям относятся:
  • Отсутствие мер защиты от несанкционированного доступа. Если персональные данные хранятся в общих папках, без ограничений по доступу или журналирования действий, то это прямое нарушение закона. Нельзя допускать, чтобы доступ к ПДн получали лица, не уполномоченные на это.
  • Непредоставление информации субъекту по его запросу. Любой человек вправе знать, кто и зачем обрабатывает его данные. Если компания не отвечает на запросы субъектов или делает это формально, не предоставляя исчерпывающей информации, это уже нарушение их прав.
  • Непрекращение обработки данных после отзыва согласия. Если человек отозвал свое согласие, компания обязана прекратить обработку, иначе она становится незаконной. Продолжение использования данных (например, для рассылок, хранения резюме или доступа к системам) после отзыва квалифицируется как неправомерная обработка.
  • Нарушение сроков хранения данных. Закон требует хранить персональные данные не дольше, чем это необходимо для целей их обработки. Однако компании часто не фиксируют сроки или продолжают хранить данные «на всякий случай». Это создаёт риск претензий со стороны Роскомнадзора,  особенно если речь идет о бывших клиентах, сотрудниках или участниках акций.

5. Неправомерная обработка специальных и биометрических ПДн

Биометрические данные — это, например, отпечатки пальцев, изображение лица, образцы голоса. Их объединяет одно: обработка таких данных требует не только повышенного уровня защиты, но и строго определённых законных оснований.
К специальным относятся сведения о здоровье, расовой или национальной принадлежности, религиозных или философских убеждениях, а также данные о судимости.
Типовые ошибки:
  • Использование биометрии без правовой базы. Установка систем контроля доступа с распознаванием лиц или отпечатками пальцев (без получения надлежащего согласия и без подтверждения необходимости такой меры) считается неправомерной обработкой. Биометрия не может использоваться «для удобства», она требует отдельного, обоснованного подхода.
На практике многие компании нарушают эти требования — часто из-за отсутствия понимания, что данные попадают в особую категорию, или потому, что используются «удобные» технические решения без должного юридического оформления.
  • Сбор справок о судимости без нормативного основания. Часто работодатели требуют такие справки «на всякий случай», даже если закон этого не требует. Однако сведения о судимости — это специальная категория персональных данных, и их обработка допустима только в строго определенных законом случаях, например, при приеме на работу в образовательные учреждения.
  • Отсутствие согласия там, где оно необходимо. Если оператор не может подтвердить наличие надлежащего согласия на обработку специальных или биометрических ПДн, это считается нарушением. Причем, согласие должно быть оформлено корректно: отдельно, в письменной форме, с указанием целей, состава данных и возможных действий с ними.
Даже формальное наличие документа «согласие на обработку» не всегда защищает: если оно составлено с нарушением требований или не охватывает весь объём обработки, оно может быть признано недействительным.

6. Передача данных без оформления поручения

Передача персональных данных третьим лицам, включая подрядчиков и сервисные организации, без оформления договора о поручении на обработку (в соответствии с ч. 3 ст. 6) является нарушением. Поручение обязательно должно включать:
Отсутствие такого соглашения может быть квалифицировано как неправомерная передача, а в ряде случаев как утечка.
  • перечень обрабатываемых персональных данных;
  • конкретные действия с данными (сбор, хранение, использование и т. д.);
  • цели обработки;
  • обязанность соблюдать конфиденциальность;
  • поименованные требования к защите данных (в соответствии со ст. 18, 18.1, 19 152-ФЗ);
  • обязанность уведомлять оператора о нарушениях (инцидентах);
  • право оператора запрашивать подтверждение соблюдения мер защиты.

7. Отсутствие внутренней документации

1. Организационные документы:
Для надлежащего выполнения требований закона оператор обязан иметь следующие документы:
2. Регламенты обработки:
— Правила обработки ПДн без средств автоматизации.
— Регламент приема и рассмотрения обращений субъектов ПДн.
— Приказ о назначении ответственного за обработку ПДн.
— Политика обработки ПДн (с публикацией в открытом доступе — ч. 2 ст. 18.1).
— Документ о мерах защиты ПДн (организационных, технических, правовых).
— Документ о классификации информационных систем.
3. Учет и контроль доступа:
— Список лиц с доступом к ПДн в ИС.
— Правила хранения материальных носителей с ПДн.
— Шаблоны согласий, поручений, актов уничтожения и иных документов.
4. Типовые формы:

8. Применение автоматизированных решений без соблюдения требований

Закон допускает такие сценарии, но при соблюдении трех условий:
Когда решения, затрагивающие права и законные интересы человека, принимаются автоматически, без участия человека, такая обработка регулируется особыми правилами, установленными статьей 16 Закона № 152-ФЗ. К таким ситуациям относится, например, автоматический отказ в приеме на работу или в предоставлении кредита если это сделано исключительно на основе алгоритма.
  • Должна быть предусмотрена возможность обжалования. Человек имеет право потребовать пересмотра автоматического решения с участием человека. Оператор должен не просто заявить об этом праве, но и реально организовать такую процедуру.
  • Субъект должен быть уведомлен, что в отношении него будет использоваться автоматизированная обработка, последствия которой затронут его права. Это нельзя скрывать в общей массе условий или прятать в глубине политики конфиденциальности. Информация должна быть прозрачной и доступной.
  • Требуется письменное согласие субъекта. Причем, именно письменное, предусмотренное частью 4 статьи 9 Закона № 152-ФЗ, а не просто «галочка в форме». Это означает оформление документа, содержащего конкретное указание на использование автоматизированных решений, их цели и последствия.
Что считается нарушением?
Простой пример: использование алгоритмов ранжирования резюме без предварительного уведомления кандидатов и без согласия на такую обработку. Если на основе автоматизированной системы кандидат исключается из процесса подбора персонала, а сам не знает, что его профиль отфильтрован без участия человека, — это нарушение законодательства. Особенно, если согласие на такую обработку не оформлено, а в политике компании об этом ничего не сказано.
Важно помнить: даже при наличии автоматизации, ответственность за соблюдение прав субъекта несет оператор, а не платформа или провайдер технологии. Использование внешнего сервиса не освобождает от соблюдения требований статьи 16.

9. Нарушения при трансграничной передаче

Передача персональных данных за пределы Российской Федерации требует соблюдения статьи 12 Закона № 152-ФЗ. Оператор обязан:
Использование иностранных сервисов (CRM, облачные хранилища) без соблюдения этих условий может быть квалифицировано как нарушение.
  • убедиться, что страна-получатель обеспечивает адекватную защиту прав субъектов;
  • направить уведомление о трансграничной передаче в Роскомнадзор;

10. Нарушения в работе с персональными данными сотрудников

Ключевые требования ТК РФ:
Обработка персональных данных работников регулируется не только Законом № 152-ФЗ, но и Трудовым кодексом РФ, в частности статьями 86−88. Именно эта категория данных становится причиной большинства жалоб и проверок, поскольку работодатели часто действуют по инерции: копируют формулировки из интернета, не адаптируют документы под реальные процессы и забывают про системный подход к управлению ПДн.
  • Порядок хранения должен быть определен в локальных нормативных актах (ст. 87 ТК РФ).
  • Передача данных третьим лицам только на основании письменного согласия работника (ст. 88 ТК РФ).
Это особенно актуально при передаче информации кадровым агентствам, страховщикам, операторам электронного документооборота, подрядчикам по охране труда и т. д. Даже если такие взаимодействия предусмотрены договором, работник должен дать отдельное и осознанное согласие, в письменной форме.
Работодатель обязан документально закрепить, как, где и сколько времени хранятся личные дела, справки, копии документов, анкеты и иные данные работников. Отсутствие четких внутренних регламентов по срокам и условиям хранения — это нарушение.
При этом само по себе согласие (даже подписанное) не освобождает от выполнения других требований. Если нарушены сроки хранения, отсутствует документальное оформление передачи данных или нет актуального перечня процессов, согласие теряет юридическую силу, а вся обработка считается неправомерной.

Ответственность

Нарушения могут повлечь:
  • административные штрафы до 15 миллионов рублей (в отдельных случаях — до 3% от оборота при повторных нарушениях);
  • персональную ответственность должностных лиц — до 2 млн рублей;
  • уголовную ответственность по статье 272.1 УК РФ;
  • репутационные потери, особенно при публичном огласке инцидента.

Что необходимо сделать, чтобы избежать нарушений?

  • Проанализировать цели, объем обрабатываемых данных, категории субъектов, сроки хранения. Часто персональные данные работников хранятся дольше, чем это необходимо. Например, копии паспортов после прекращения трудовых отношений или справки о доходах без оправданной цели.
  • Провести проверку правовых оснований по каждому кадровому процессу. Для чего именно вы обрабатываете паспорт, ИНН, СНИЛС, медицинские справки, фото, сведения о близких родственниках? Каждая цель должна иметь законное основание — согласие, договор, требование закона и т. д.
  • Актуализировать сведения о трансграничной передаче. Если персональные данные субъектов передаются в иностранные сервисы, необходимо не только получить согласие, но и уведомить Роскомнадзор, если это ещё не сделано.
  • Обновить документацию (политики, приказы, договоры);
  • Провести инструктаж сотрудников. Все, кто работает с ПДн, должны понимать, как именно обращаться с такими данными, какие ограничения действуют и что запрещено.

Заключение

Нарушения в сфере персональных данных в большинстве случаев возникают не вследствие злого умысла, а из-за недостаточной внимательности или отсутствия актуальных знаний. Однако правовая квалификация таких действий (или бездействия) не меняется: неправомерная обработка данных — это нарушение закона.
Задача юриста, DPO, HR или compliance-специалиста видеть не только формальные признаки соответствия, но и системно оценивать риски, уметь идентифицировать слабые места в процессах и устранять их до наступления последствий.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме