Типичные нарушения, которые совершают «по привычке»
1. Нет правового основания
Компании часто думают: если человек добровольно оставил данные, значит, их можно обрабатывать. Это не так.
Пример: кандидат отправил резюме по инициативе, но если цель его обработки не определена, согласие не оформлено или отсутствует другой правовой базис (например, договор), обработка уже выходит за рамки закона. Всё это — прямое нарушение статьи 6 152-ФЗ.
Что должно быть:- Добровольность — человек должен иметь выбор.
- Конкретность — четко обозначенные цели.
- Информированность — перечень данных и способы обработки понятны.
- Опережение обработки — согласие дается до начала сбора.
Невозможно прикрыться согласием, если оно составлено формально. Часто используются шаблоны: два листа мелким шрифтом, всё включено одним блоком, галочка уже стоит.
Если хотя бы один элемент не соблюден — согласие ничтожно. А значит, всё, что делается с этими данными, — неправомерно.
Все эти случаи — нарушение статьи 5 закона, которая запрещает избыточный сбор данных.
Закон требует обоснованности и минимизации: нельзя собирать то, что не нужно.
Типичные ошибки:- Снимают копию паспорта на ресепшене.
- СНИЛС для оформления бонусной карты.
- Спрашивают место рождения при записи на языковые курсы.
- Бывшие сотрудники «живут» в CRM годами.
- Ушедшие клиенты получают рассылки.
- Кандидаты в базе по 5−7 лет без срока хранения.
Цель достигнута, данные подлежат уничтожению. Это правило прямо прописано в законе. Но на практике:
Закон требует уничтожения после достижения цели. Игнорирование этого — основание для санкций.
5. Не замечают чувствительную обработку
Некоторые данные требуют особого режима: согласия, правовых оснований и мер безопасности.
Примеры из практики:- HR публикует на сайте фото детей сотрудников после конкурса. Это данные несовершеннолетних.
- Отдел продаж размещает фото менеджеров. Это распространение персональных данных, требующее отдельного согласия
- Сбор данных через Google Forms — нарушение требований о локализации.