Неправомерная обработка: как компания нарушает закон, даже когда «все по правилам»

13.01.2023
23/07/25
Б-152
Неправомерная обработка: как компания нарушает закон, даже когда «все по правилам»
Утечки, штрафы, уголовные дела. Персональные данные всё чаще становятся не просто строками в реестрах, а источником юридических и финансовых катастроф. Но вопреки расхожему мнению, большинство нарушений совершается не злоумышленниками. Их порождает рутина: устоявшиеся процессы, типовые формы согласий, уверенность в том, что «у нас так всегда делали».
Это и есть новый ландшафт риска: даже если данные не передаются третьим лицам, не публикуются в открытом доступе и не утекли — закон всё равно может быть нарушен.

Что такое неправомерная обработка?

По статье 7 Федерального закона № 152-ФЗ, обработка персональных данных признается неправомерной, если она осуществляется с нарушением законодательства Российской Федерации.
Формулировка кажется очевидной, но за ней скрывается целая система требований: от целей обработки до сроков хранения, от корректности согласия до способов уничтожения данных. Любая неточность в деталях может обернуться серьезным риском.
Именно технические детали (не злой умысел) сегодня становятся главными причинами санкций.

Типичные нарушения, которые совершают «по привычке»

1. Нет правового основания
Компании часто думают: если человек добровольно оставил данные, значит, их можно обрабатывать. Это не так.
Пример: кандидат отправил резюме по инициативе, но если цель его обработки не определена, согласие не оформлено или отсутствует другой правовой базис (например, договор), обработка уже выходит за рамки закона. Всё это — прямое нарушение статьи 6 152-ФЗ.
Аналогично, требование справки об отсутствии судимости у всех сотрудников (при отсутствии прямого указания в законе) без согласия и правового основания нарушает режим обработки чувствительных ПДн. (Чек-лист по выявлению чувствительной обработки ПДн)
Что должно быть:
  • Добровольность — человек должен иметь выбор.
  • Конкретность — четко обозначенные цели.
  • Информированность — перечень данных и способы обработки понятны.
  • Опережение обработки — согласие дается до начала сбора.
Невозможно прикрыться согласием, если оно составлено формально. Часто используются шаблоны: два листа мелким шрифтом, всё включено одним блоком, галочка уже стоит.
2. Согласие — фикция
Если хотя бы один элемент не соблюден — согласие ничтожно. А значит, всё, что делается с этими данными, — неправомерно.
Все эти случаи — нарушение статьи 5 закона, которая запрещает избыточный сбор данных.
3. Слишком много данных
Закон требует обоснованности и минимизации: нельзя собирать то, что не нужно.
Типичные ошибки:
  • Снимают копию паспорта на ресепшене.
  • СНИЛС для оформления бонусной карты.
  • Спрашивают место рождения при записи на языковые курсы.
  • Бывшие сотрудники «живут» в CRM годами.
  • Ушедшие клиенты получают рассылки.
  • Кандидаты в базе по 5−7 лет без срока хранения.
Цель достигнута, данные подлежат уничтожению. Это правило прямо прописано в законе. Но на практике:
4. Данные хранятся вечно
Закон требует уничтожения после достижения цели. Игнорирование этого — основание для санкций.
Если компания не осознаёт наличие специальных категорий данных, она рискует попасть в зону высокой ответственности. (Чек-лист по выявлению чувствительной обработки ПДн)
5. Не замечают чувствительную обработку
Некоторые данные требуют особого режима: согласия, правовых оснований и мер безопасности.
Примеры из практики:
  • HR публикует на сайте фото детей сотрудников после конкурса. Это данные несовершеннолетних.
  • Отдел продаж размещает фото менеджеров. Это распространение персональных данных, требующее отдельного согласия
  • Сбор данных через Google Forms — нарушение требований о локализации.
Реальный кейс: страховая компания получила штраф в 10 млн рублей за обработку фото клиентов без отдельного согласия на биометрию. (Гайд по ответственности операторов за утечки персональных данных)

Санкции: что грозит за неправомерную обработку?

Даже если данные никуда не утекли, ответственность может быть серьёзной:
  • До 500 тыс. ₽ —за незаконную обработку ПДн.
  • До 300 тыс. ₽ — за неуведомление РКН.
  • До 20 млн ₽ — за утечку  биометрии.
  • До 3% годовой выручки — при повторных утечках.
  • До 5 лет лишения свободы — с 1 декабря 2024 года по ст. 272.1 УК РФБ-152

Что делать бизнесу?

1. Провести ревизию всех процессов обработки ПДн. Используйте опросники и чек-листы — например, опросный лист от Б_152 включает все ключевые категории: от HR и ИТ до маркетинга и внешних подрядчиков (Опросный лист Перечень процессов обработки ПДн)
2. Проверить согласия. Убедитесь, что согласия конкретны, информированы, добровольны и оформлены до начала обработки.
3. Назначить ответственного. И это не формальность. Ответственный должен быть официально назначен приказом и иметь полномочия. (См. пример приказа Приказ о назначении ответственного за обработку персональных данных)
4. Установить сроки хранения. В CRM, почте и архивах должны быть установлены автоматические или регулярные механизмы уничтожения данных по достижении цели.
5. Проверить чувствительность обработки. Даже один процесс, связанный с биометрией, здоровьем или детьми требует отдельного подхода.

В завершение

Нарушения закона о персональных данных сегодня совершаются не преступниками, а рутиной. И именно поэтому они так опасны: их не замечают до момента, пока не  приходит проверка или не прилетает штраф.
Хорошая новость в том, что большинство из них можно выявить и устранить заранее: через аудит, обучение сотрудников и обновление документации.
Вопрос не в том, делаете ли вы что-то «по привычке». Вопрос в том — законно ли это?
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме