menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

«Политику все равно никто не читает» — как компании теряют деньги, игнорируя базовое требование закона

лонгриды
13.01.2023
05/09/25
Б-152
Лонгриды
События /
«Политику все равно никто не читает» — как компании теряют деньги
Распространенная фраза «никто не читает политику конфиденциальности» звучит почти как оправдание. Действительно, большинство пользователей не открывают этот документ.
Но проблема не в том, читают его или нет, а в том, что его отсутствие является формальным нарушением закона, зафиксированным в КоАП РФ. Особенно часто на этом «пустом месте» теряют деньги малые и средние компании, для которых штраф может стать не просто уроком, а началом серьезных разбирательств.
Когда субъектом данных выступает не сотрудник
Что считается корректным оформлением?
Содержание
Когда передача становится нарушением?
Когда субъект — сотрудник: действуют жесткие требования
Автоматизация — не освобождение от правовой ответственности
Что необходимо сделать, чтобы исключить нарушения
Почему это важно?
Что делать, если вы не уверены в надежности своих процессов?
Когда субъектом данных выступает не сотрудник
Что считается корректным оформлением?
Содержание
Когда передача становится нарушением?
Когда субъект — сотрудник: действуют жесткие требования
Автоматизация — не освобождение от правовой ответственности
Что необходимо сделать, чтобы исключить нарушения
Почему это важно?
Что делать, если вы не уверены в надежности своих процессов?

Закон не делает исключений

Как только на сайте появляется форма, в которую можно ввести имя, адрес электронной почты или номер телефона, организация автоматически становится оператором персональных данных. Это означает, что она подпадает под действие Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ).
И одно из его базовых требований закреплено в части 2 статьи 18.1: оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, в котором изложена политика в отношении обработки персональных данных.
Это не рекомендация, не условие «при определенных обстоятельствах» и не право выбора. Закон устанавливает императивную норму, которая подлежит исполнению вне зависимости от масштаба бизнеса, структуры сайта или сферы деятельности. Наличие формы сбора данных — достаточное основание для исполнения этой обязанности.

Отсутствие политики — это правонарушение

Многие компании по-прежнему относятся к политике конфиденциальности как к необязательной формальности. Но с точки зрения закона № 152-ФЗ и практики проверок Роскомнадзора, отсутствие опубликованной политики — это прямое административное правонарушение, а не просто недоработка.
Если документ не размещен в открытом доступе, регулятор вправе квалифицировать это как нарушение установленного порядка публикации политики в отношении обработки персональных данных. Такой состав закреплен в части 3 статьи 13.11 КоАП РФ.
Размер штрафа:
  • до 60 000 рублей для юридических лиц;
  • до 20 000 рублей для индивидуальных предпринимателей.
И хотя сама сумма может показаться незначительной (особенно для крупной организации), именно с этого часто начинается более глубокая проверка.

Почему это нарушение считается важным?

Политика обработки персональных данных — один из самый важных документов оператора, который:
  • уведомляет субъектов данных о правилах и целях обработки;
  • формально исполняет требования статьи 18.1 закона № 152-ФЗ.
Если политика отсутствует, это воспринимается как признак системного несоблюдения законодательства. А значит, у регулятора появляются основания заподозрить и другие нарушения:
  • отсутствие правовых оснований на сбор данных;
  • непрозрачные цели обработки;
  • отсутствие механизмов информирования субъектов;
  • несоблюдение требований к защите данных.
Часто такая ситуация приводит к каскадным последствиям:
  • инспектор запрашивает политику, а ее нет;
  • далее требует согласия: они либо устаревшие, либо не охватывают актуальные цели и так далее.
  • потом анализирует архитектуру ИСПДн, а там не описаны процессы передачи, доступа и хранения.

На что стоит обратить внимание:

  • Политика должна быть не просто разработана, но и размещена. Закон требует, чтобы она была в публичном доступе, то есть, на сайте оператора. Недостаточно держать её на внутреннем портале или просто по запросу.
  • Текст должен быть актуальным. Если вы изменили процессы или начали собирать дополнительные данные (например, фото, биометрию, отзывы), это должно быть отражено в новой редакции политики.
  • Содержание должно быть полным. В документе должны быть:
– цели обработки;
– категории обрабатываемых данных;
– категории субъектов;
– сведения о получателях данных;
– права субъекта;
– информация о мерах защиты.

Как возникают риски

В компаниях, где нет опубликованной политики, часто отсутствуют и другие элементы комплаенс-системы. Нет корректно оформленного согласия на обработку данных;  описания целей и перечня третьих лиц, которым передаются персональные данные; договоров с подрядчиками, которые технически получают доступ к заявкам с сайта или данным клиентов. Как следствие, в случае жалобы или внеплановой проверки ситуация из простой становится критической.
Когда проверка начинается с отсутствующей политики, она может быстро перейти в анализ всех остальных аспектов обработки персональных данных: основания, объемы, безопасность, архитектура систем. Компания оказывается в положении, где необходимо срочно реагировать, предоставлять документы, доказывать добросовестность, объяснять технические детали. А если эти документы не готовы или не соответствуют требованиям, последствия могут быть гораздо серьезнее, чем формальный штраф по части 3 статьи 13.11 КоАП РФ.

Как именно Роскомнадзор выявляет нарушения

Миф о том, что Роскомнадзор приходит только по жалобам или «только к крупным игрокам», давно устарел. На практике регулятор использует многоуровневую систему контроля, которая позволяет отслеживать нарушения не только по обращениям, но и проактивно, с помощью автоматизированных инструментов.
1. Жалобы пользователей — основной и самый быстрый триггер
Любой человек может оставить жалобу в Роскомнадзор в несколько кликов: через сайт, Госуслуги или форму обратной связи. Основанием могут быть:
  • подозрение на несанкционированную передачу данных;
  • получение нежелательной рекламы или звонка;
  • отсутствие информации об обработке;
  • неисполнение требований (например, не предоставили информацию по запросу субъекта или не удалили данные после отзыва согласия).
Даже одна жалоба может запустить проверку, в рамках которой инспекторы запросят полную документацию: политику, согласия, договоры поручения, внутренние регламенты, схему ИСПДн и пр.
2. Автоматический мониторинг сайтов
Роскомнадзор активно использует автоматизированные инструменты сканирования интернет-ресурсов. Алгоритмы анализируют:
  • наличие и доступность политики конфиденциальности;
  • корректность URL, по которому размещен документ;
  • читаемость, структура и полнота текста (есть ли цели, категории данных, права субъекта и т. д.);
  • наличие форм сбора персональных данных (в том числе скрытых или автоматических);
  • наличие публичных реквизитов оператора.
Если сайт собирает данные (даже просто email и телефон), но:
3. Повышенное внимание к сайтам с интеграциями и внешними сервисами
Регулятор особенно внимательно относится к ресурсам, где используются:
Инспекторы нередко проверяют, насколько заявленное в политике соответствует:
  • фактическому сбору данных;
  • структуре форм на сайте;
  • поведению сервисов (например, куда уходит email после отправки формы);
  • используемым внешним инструментам.
Если, например, политика не содержит информации о передаче данных подрядчикам, а на сайте стоит Google Tag Manager с подключением к рекламным платформам — это повод копнуть глубже.
  • внешние формы (например, от сторонних платформ или SaaS-сервисов);
  • рекламные пиксели и скрипты (Google, Яндекс, VK Ретаргетинг, myTarget и др.);
  • аналитика и коллтрекинг (включая внешние номера, IP, аудиозаписи);
  • Telegram-боты и мини-приложения;
  • интеграции с CRM и рассылочными сервисами (UniSender, SendPulse, Bitrix24 и пр.).
Все это — индикаторы возможной передачи данных третьим лицам. Если такие действия не описаны в политике и не подкреплены соответствующими согласиями и договорами, Роскомнадзор рассматривает это как признак неправомерной обработки.
4. Мониторинг публичных реестров и уведомлений
Оператор, согласно ст. 22 закона № 152-ФЗ, обязан подать уведомление в Роскомнадзор до начала обработки. Отсутствие такой записи в реестре, при этом наличие сайта с формами или активной обработки — нестыковка, которая фиксируется автоматически и может стать основанием для внеплановой проверки.
5. Сравнение содержания политики и реальной практики
  • в футере нет ссылки на политику;
  • политика не открывается или содержит неполную информацию;
  • не указан оператор или цели обработки — это уже формально квалифицируется как повод для вмешательства и направления требования в адрес оператора.

«У нас есть текст, просто он где-то в подвале сайта…»

Такой аргумент звучит часто, особенно от компаний, которые формально разместили документ с заголовком «Политика конфиденциальности» и считают, что этим вопрос исчерпан. Но по факту наличие текста как такового не означает соблюдение требований закона № 152-ФЗ.
Роскомнадзор оценивает не просто факт публикации политики, а ее соответствие следующим критериям:
1. Полнота содержания
  • Наименование оператора, ИНН и контактные данные
  • Цели обработки персональных данных, подробно и без обтекаемых формулировок.
  • Категории обрабатываемых данных — что именно собирается: ФИО, телефон, email, IP, поведенческие данные и т. д.
  • Сведения о категориях субъектов.
  • Правовые основания обработки ПДн;
  • Способы обработки и действия с ПДн;
  • Описание прав субъекта данных и способы их реализации (отзыв согласия, доступ к данным и пр.).
  • Сведения о мерах безопасности и сроках обработки ПДн.
  • Дата актуальной редакции документа.
Отсутствие любого из этих элементов делает документ юридически уязвимым и с точки зрения закона
2. Доступность политики
Даже если текст подготовлен правильно, важно, чтобы он был реально доступен пользователям:
  • Ссылка должна быть размещена на всех страницах сайта, как правило в подвале (футере), но видимой и читаемой.
  • Документ должен открываться на всех устройствах, включая мобильные телефоны и планшеты.
  • Файл не должен требовать загрузки, авторизации, регистрации или открытия в формате, недоступном большинству пользователей.
  • Ссылка должна быть рабочей и вести на актуальную версию политики.
На практике часто встречаются ошибки:
  • неработающая ссылка;
  • документ без адаптации для различных устройств;
  • дублирование устаревших редакций;
  • политика размещена в разделе, не связанном с обработкой (например, «О компании»).
Одно из самых распространенных и опасных нарушений — расхождение между тем, что написано в политике, и тем, что происходит на практике.
Примеры:
  • В политике указано: «Мы не передаем данные третьим лицам», но на сайте подключены сторонние скрипты, сервисы коллтрекинга, формы обратного звонка и CRM-интеграции.
  • Указано, что собирается только имя и email, но форма на сайте запрашивает также номер телефона, дату рождения и пол.
  • Нет ни слова про аналитику, но стоит Google Analytics, Яндекс Метрика или рекламные пиксели.
  • Политика утверждена в 2021 году и с тех пор не обновлялась, хотя структура обработки давно изменилась.
Все это означает одно: документ не отражает действительность, а значит, не исполняет свою функцию — информировать субъектов данных. Такой подход трактуется регулятором как отсутствие надлежащей политики, даже если текст формально существует.
3. Несоответствие содержания реальности
Все эти случаи вправе квалифицироваться Роскомнадзором как нарушение требований ст. 18.1 закона № 152-ФЗ и п. 3 ст. 13.11 КоАП РФ.

Зачем нужна политика, если ее никто не читает

  • Подтверждает, что компания действует открыто и соблюдает принципы закона;
  • Доказывает, что пользователь был информирован о целях и порядке обработки данных;
  • Служит аргументом при защите интересов компании в случае претензий;
  • Повышает доверие со стороны партнёров, особенно в B2B-сегменте или в чувствительных отраслях.
Политика конфиденциальности — это часть правовой инфраструктуры, которая:
Наличие политики не отменяет необходимости в согласии, договорных условиях, внутренних регламентах и системной работе с персональными данными. Но это публичная линия обороны, доступная и понятная, которая становится ключевым элементом при любой проверке или разбирательстве.
Если вы не уверены в корректности вашей политики или не знаете, соответствует ли она действующему законодательству, лучше проверить это сейчас.
ОСТАВИТЬ ЗАЯВКУ

Что нужно проверить прямо сейчас

Иметь политику конфиденциальности — это уже шаг в нужном направлении. Но сам факт ее наличия недостаточен, если документ не соответствует требованиям закона № 152-ФЗ или не привязан к фактическим бизнес-процессам.
Вот минимальный перечень того, что нужно проверить немедленно:
1. Работает ли ссылка на сайте?
  • Ссылка должна быть размещена на всех страницах, обычно — в подвале (футере).
  • Она должна вести на актуальный, открывающийся с любого устройства документ.
  • Если политика размещена, но не открывается с мобильного или выдает 404, это расценивается как её отсутствие.
2. Указано ли в документе наименование оператора?
  • Полное юридическое название.
  • Без них пользователь не может понять, кто обрабатывает его данные.
3. Описаны ли цели обработки и категории субъектов, третьи лица?
  • Формулировки должны быть конкретными: «для регистрации на мероприятии», «для обработки заявки», а не абстрактное «для улучшения сервиса».
  • Указаны ли третьи лица, которым данные могут передаваться? Обозначены ли они поименно или через четкую категорию?
4. Есть ли описание сроков хранения данных?
  • Закон требует хранить данные не дольше, чем необходимо для достижения целей.
  • Это должно быть зафиксировано в политике с указанием сроков или критериев их определения.
5. Прописан ли порядок отзыва согласия и реализации прав субъекта?
  • Должен быть понятный механизм: куда обращаться, в какой форме, что будет после отзыва.
6. Привязана ли политика к точкам сбора данных?
  • На всех формах (обратной связи, регистрации, подписки и т. д.) должна быть ссылка на политику
7. Обновлялась ли политика в последние 12 месяцев?
  • Если за это время менялись процессы, появлялись новые подрядчики, формы или инструменты, документ должен быть актуализирован.

Один документ, который может спасти бизнес

При проверке именно политика конфиденциальности становится первым объектом внимания регулятора. Этот документ:
Рабочая, актуальная и юридически корректная политика способна:
  • предотвратить наложение штрафа по части 3 ст. 13.11 КоАП РФ;
  • подтвердить добросовестность компании в случае конфликта с субъектом данных;
  • укрепить позицию оператора.
Специалисты Б-152 готовы:
  • провести аудит размещенной политики и форм ее привязки к процессам;
  • выявить неточности и пробелы в содержании;
  • адаптировать текст под реальные процессы вашей компании;
  • привести документ в полное соответствие с законом № 152-ФЗ и практикой Роскомнадзора.
  • показывает, есть ли у оператора понимание своих обязанностей;
  • отражает структуру процессов и уровень прозрачности;
  • становится критически важным аргументом при жалобах и спорах.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме