Разбор конкретных ситуаций нарушений требований к обработке персональных данных и реакция

Роскомнадзора

Сопровождаю  проверку нарушение требований к обработке персональных данных и реакция Роскомнадзора

Исходная ситуация:

В Роскомнадзор поступила жалоба от гражданина (далее — субъекта персональных данных) на деятельность 

коммерческой организации (далее — Оператор). В жалобе указывались следующие нарушения:

1.Отсутствие Политики обработки персональных данных на официальном сайте Оператора.

2.Отсутствие ссылок на Политику:

• в подвале сайта (footer);
• рядом с формами сбора персональных данных (формами обратной связи).

Субъект указал, что из за отсутствия Политики он не может узнать:

• цели обработки его персональных данных;
• свои права как субъекта данных (в т. ч. право на доступ, исправление, удаление, ограничение обработки, перенос 

данных, возражение);

• порядок отзыва согласия на обработку;
• сведения о лице, ответственном за организацию обработки персональных данных;
• сроки хранения данных и механизмы их уничтожения;
• иные обязательные сведения, предусмотренные ст. 18.1 Федерального закона от 27.07.2006 № 152 ФЗ «О 

персональных данных».

Действия Роскомнадзора

На основании жалобы Роскомнадзор инициировал внеплановую проверку Оператора. В ходе проверки выявлены 

дополнительные нарушения:

1.На сайте:

• отсутствие согласия пользователя на обработку персональных данных при заполнении форм (нет чекбокса с 

явным согласием);

• некорректная формулировка целей обработки в имеющихся фрагментарных уведомлениях;
• отсутствие информации о сроках хранения данных и механизмах их удаления.

2.В организации:

• не назначен ответственный за организацию обработки персональных данных (либо документы о назначении не 

представлены);

• отсутствуют локальные акты, регламентирующие порядок обработки и защиты персональных данных (например, 

приказ о назначении ответственного, регламент взаимодействия с субъектами данных);

• не проведена оценка воздействия на защиту персональных данных (Data Protection Impact Assessment, DPIAs) 

для процессов, требующих такой оценки;

• недостаточные меры технической защиты данных (например, отсутствие шифрования при передаче, 

некорректная настройка прав доступа).

Результаты проверки и меры реагирования

По итогам проверки Роскомнадзор:

1.Составил акт о выявленных нарушениях.

2.Выдал Оператору предписание об устранении нарушений со сроком исполнения — 10 календарных дней.

3.Предупредил о возможности привлечения к административной ответственности по ст. 13.11 КоАП РФ (штрафы 

для юрлиц — от 30 000 до 60 000 руб. за каждое нарушение).

Действия Оператора в рамках исполнения предписания

Оператор приступил к устранению нарушений:

1.Разработка и публикация Политики обработки персональных данных:

• составлен документ, включающий все обязательные элементы (цели, права субъекта, порядок отзыва согласия, сроки хранения, меры защиты и т. д.);
• Политика размещена в открытом доступе на сайте (отдельная страница, ссылка в подвале сайта).

2.Доработка форм сбора данных:

• добавлены чекбоксы с явным согласием на обработку персональных данных;
• рядом с формами размещены ссылки на Политику;
• уточнены формулировки целей обработки.

3.Организационные меры:

• назначен ответственный за обработку персональных данных (приказ, должностная инструкция);
• разработаны локальные акты (регламент обработки данных, порядок реагирования на запросы субъектов);
• проведён внутренний аудит технических мер защиты (настройка шифрования, контроль доступа).

4.Уведомление Роскомнадзора:

• по истечении 10 дней Оператор направит в Роскомнадзор отчёт об исполнении предписания с приложением 

подтверждающих документов (скриншоты сайта, копии локальных актов, приказ о назначении ответственного).

Прогноз и рекомендации

При условии полного и своевременного устранения нарушений в указанный срок:

• Роскомнадзор может ограничиться предписанием без наложения штрафа;
• Оператор избежит публичных санкций и репутационных рисков.

Рекомендации для предотвращения подобных ситуаций:

• регулярно проводить аудит соответствия сайта и внутренних процессов требованиям 152 ФЗ;
• обучать сотрудников основам защиты персональных данных;
• внедрить систему мониторинга изменений в законодательстве (например, через сервисы Роскомнадзора или 

профильных юристов).

Вывод: данный кейс иллюстрирует важность соблюдения требований к прозрачности обработки персональных 

данных. Отсутствие базовых документов (Политики) и технических мер может привести к проверкам, 

предписаниям и штрафам. Оперативное реагирование и системная работа по соответствию нормам 152 ФЗ 

позволяют минимизировать риски.