Типовые нарушения ФЗ-152: что выявляет Роскомнадзор при проверках

Какие нарушения встречаются чаще всего

По практике Роскомнадзора большинство нарушений связано не со сложными утечками данных, а с базовыми ошибками в документах, формах и организации обработки персональных данных.

Типовые проблемы регулярно выявляются:

• при автоматическом мониторинге сайтов;
• по жалобам пользователей;
• во время внеплановых проверок;
• при анализе трансграничной передачи данных.

Топ нарушений ФЗ-152

1. Нет политики конфиденциальности

Самое распространённое нарушение — отсутствие политики обработки персональных данных или размещение формального шаблона без актуального содержания.

Проблемы:

• политика отсутствует полностью;
• документ не соответствует фактической обработке;
• ссылка скрыта или недоступна;
• не указаны цели обработки и права субъектов.

Короткий кейс

Компания разместила форму обратной связи без политики конфиденциальности. После жалобы пользователя сайт проверили, выдали предписание и назначили штраф за нарушение обязанностей оператора.

2. Нет согласия на обработку ПД

Во многих проверках РКН фиксирует:

• отсутствие чекбокса;
• предустановленные галочки;
• слишком общие формулировки;
• объединение нескольких согласий в одно.

По оценкам практики, нарушения в согласиях встречаются примерно у 80% коммерческих сайтов.

Короткий кейс

Интернет-магазин использовал заранее отмеченный чекбокс под формой заказа. Роскомнадзор признал согласие невалидным, поскольку действие пользователя не было активным и однозначным.

3. Нет уведомления Роскомнадзора

Многие компании продолжают обрабатывать персональные данные без подачи уведомления в РКН.

Типовые ошибки:

• оператор не знает о необходимости уведомления;
• уведомление не обновлялось после изменения процессов;
• в уведомлении указаны не все категории обработки.

Штрафы по таким нарушениям могут достигать 100 000 ₽.

4. Незаконная трансграничная передача

После ужесточения регулирования особое внимание уделяется:

• Google Analytics;
• зарубежным CRM;
• сервисам email-рассылок;
• иностранным облачным платформам.

Если данные пользователей передаются за пределы РФ без соблюдения требований ФЗ-152 — это отдельный риск.

Короткий кейс

Компания продолжала использовать Google Analytics без анализа трансграничной передачи данных и без корректного уведомления пользователей. После проверки потребовалось изменить архитектуру аналитики и локализовать часть сервисов.

Как РКН выявляет нарушения

Автоматический мониторинг

РКН использует роботизированную проверку сайтов:

• наличие политики;
• формы сбора данных;
• cookie-баннеры;
• согласия;
• внешние подключения.

Жалобы пользователей

Часто проверки начинаются после:

• спама;
• отказа удалить данные;
• утечки базы;
• конфликтов с бывшими сотрудниками;
• жалоб клиентов.

Проверка подрядчиков

Если подрядчик уже попал в поле зрения РКН, могут проверяться и компании, передающие ему данные.

Что особенно проверяют у бизнеса

При анализе сайта и документов РКН обычно обращает внимание на:

• наличие политики обработки ПД;
• отдельные согласия;
• уведомление РКН;
• локализацию баз данных;
• договоры с подрядчиками;
• сроки хранения данных;
• процедуры удаления и отзыва согласий.

Как быстро провести экспресс-аудит

Проверьте базовые вещи:

| Что проверить | Почему важно | |---|---| | Есть ли политика конфиденциальности | Отсутствие — самое частое нарушение | | Есть ли отдельный чекбокс согласия | Без него согласие может быть недействительным | | Подано ли уведомление в РКН | Многие компании забывают о нём | | Используются ли зарубежные сервисы | Возможна незаконная трансграничная передача | | Есть ли порядок удаления данных | Бессрочное хранение нарушает ФЗ-152 |