15 октября 2025г
Неочевидные риски 152-ФЗ:
Как устроена защита персональных данных.
Разбор кейсов
«У нас нет персональных данных» — говорили они...
Пока интернет-магазины и офлайн-сервисы потихоньку начинают привыкать к 152-ФЗ, целые отрасли остаются в зоне повышенного риска, даже не подозревая об этом. Речь о компаниях, которые работают не только с телефонами клиентов, но и с особо чувствительной информацией: здоровьем, семейными тайнами, биометрией и проектной документацией.
В этой статье мы разберем сложные и неочевидные кейсы из нашей практики, где стандартный «пакет документов» не сработал бы. Вы увидите, как глубоко должен проникать аудит, чтобы по-настоящему защитить бизнес от штрафов в сотни тысяч рублей.
В этой статье мы разберем сложные и неочевидные кейсы из нашей практики, где стандартный «пакет документов» не сработал бы. Вы увидите, как глубоко должен проникать аудит, чтобы по-настоящему защитить бизнес от штрафов в сотни тысяч рублей.
Кейс 1: Строительная компания. Биометрия на проходной
Обработка биометрических персональных данных (отпечатки пальцев для проходной) без оснований и согласия. Это одна из самых строго регулируемых категорий данных.
Средняя строительная компания установила систему контроля доступа по отпечаткам пальцев на объекте для учета рабочего времени 150 сотрудников и подрядчиков. Согласия у людей не спрашивали, отпечатки хранились в локальной базе проходной без надлежащей защиты. Один из уволенных работников направил жалобу в Роскомнадзор.
Что нарушено:
Решение: Пришлось искать баланс между безопасностью объекта и законом:
1. Немедленное отключение биометрии: До решения вопроса систему перевели в режим работы по карточкам.
2. Массовый сбор согласий: Разработали исчерпывающую форму согласия на обработку биометрических данных. Каждый сотрудник и частый подрядчик был проинформирован и подписал документ.
3. Проведение ОВД: Подготовили и зарегистрировали Проведение Оценки воздействия обработки ПДн в Роскомнадзоре, где обосновали необходимость использования биометрии и принятые меры защиты.
4. Апгрейд защиты: Настроили шифрование базы отпечатков и ограничили доступ к ней.
Итог: Систему вернули в работу на законных основаниях. Компания избежала колоссального штрафа и судебных исков от сотрудников.
Кейс 2: Частный медицинский центр. Запись на онлайн-консультацию
Публикация в открытом доступе расписания врача, которое де-факто является графиком приема пациентов и нарушает врачебную тайну.
Медцентр для удобства пациентов выложил на своем сайте онлайн-расписание врачей с возможностью записи. В интерфейсе было видно: «Доктор Иванова, 10:00 – записан, 10:20 – свободно». Записаться можно было, указав только имя. После жалобы пациента, который увидел, что его визит к урологу стал достоянием общественности, Роскомнадзор инициировал проверку.
Что нарушено:
Решение:
1. Немедленно изменили логику онлайн-записи: Убрали публичное отображение занятых/свободных слотов для всех специалистов, кроме самых общих (например, косметолог).
2. Внедрили двухэтапную запись: Теперь пациент сначала выбирает желаемое время, и только после этого вводит свои данные (ФИО, телефон) в защищенную форму, которая сразу отправляет данные администратору.
3. Доработали Политику: Внесли ясное пояснение, что факт записи к врачу обрабатывается как персональные данные, и прописали меры их защиты.
Итог: Функциональность сайта сохранена, а конфиденциальность пациентов обеспечена.
Риск многомиллионных штрафов по закону о здоровье снят.
Кейс 3: Детский развивающий центр. Фотографии с праздников и данные детей
Обработка персональных данных несовершеннолетних — это зона повышенного внимания регулятора. Любая работа с данными ребенка требует не просто согласия, а согласия родителя или законного представителя. Кроме того, фото- и видеосъемка детей создает дополнительные риски, связанные с обработкой биометрических данных.
Популярный детский центр активно вел соцсети для привлечения новых клиентов: публиковал яркие фотографии с занятий и утренников, размещал на сайте и в брошюрах отзывы с именами детей и возрастом («Маша, 5 лет, обожает нашу гимнастику»). Согласия у родителей на это централизованно не запрашивали, договаривались «на словах». После того как фото одного ребенка без ведома его матери появилось в рекламном посте, последовал гневный отзыв, жалоба в Роскомнадзор и скандал в чате родителей.
Что нарушено:
Решение:
Работа велась на опережение, чтобы не просто избежать штрафа, а восстановить утраченное доверие родительского сообщества.
1. «Амнистия» контента: Все фотографии и отзывы с именами детей были немедленно удалены с сайта и из соцсетей.
2. Внедрение системы согласий: Мы разработали два вида обязательных форм:
4. Публичная оферта: Внесли соответствующие пункты в договор на оказание услуг, чтобы получение согласий было не отдельной процедурой, а частью заключения договора.
Итог:
Штраф удалось предотвратить. Центр не только привел документы в порядок, но и превратил проблему в инструмент маркетинга. Теперь в своей рекламе он делает акцент на безопасной среде и уважении к приватности детей, что стало мощным конкурентным преимуществом для сознательных родителей.
152-ФЗ — это про риск-ориентированный подход
Главный вывод из этих кейсов: не существует универсального решения. Каждая отрасль, а зачастую и каждая компания внутри отрасли, требует индивидуального аудита, который смотрит в суть бизнес-процессов.
Правильный аудит задает не вопрос «Где у вас документы?», а вопросы:
Самостоятельно разобраться во всех нюансах законодательства бывает сложно. Незнание не освобождает от ответственности. Если у вас остались вопросы после прочтения статьи, вы не уверены в своих внутренних процессах или хотите получить индивидуальный аудит для вашей сферы деятельности — обращайтесь к экспертам.
АНО ДПО «Эксперт» проводит комплексные проверки и консультации для организаций любого масштаба. Наши специалисты помогут вам:
Не ждите проверки. Наведите порядок в работе с персональными данными сегодня — обеспечьте безопасность и спокойствие вашего бизнеса на годы вперед.
Напишите нам или Закажите бесплатную консультацию — и мы поможем вам найти верное решение.
Обработка биометрических персональных данных (отпечатки пальцев для проходной) без оснований и согласия. Это одна из самых строго регулируемых категорий данных.
Средняя строительная компания установила систему контроля доступа по отпечаткам пальцев на объекте для учета рабочего времени 150 сотрудников и подрядчиков. Согласия у людей не спрашивали, отпечатки хранились в локальной базе проходной без надлежащей защиты. Один из уволенных работников направил жалобу в Роскомнадзор.
Что нарушено:
- Статья 11 152-ФЗ: Обработка биометрических данных запрещена без письменного согласия субъекта, за исключением случаев, предусмотренных законом (например, госбезопасность). Трудовой договор не является таким основанием.
- Статья 22 152-ФЗ: Компания не проводила Оценку воздействия обработки ПДн (ОВД), которая обязательна при обработке биометрии.
Решение: Пришлось искать баланс между безопасностью объекта и законом:
1. Немедленное отключение биометрии: До решения вопроса систему перевели в режим работы по карточкам.
2. Массовый сбор согласий: Разработали исчерпывающую форму согласия на обработку биометрических данных. Каждый сотрудник и частый подрядчик был проинформирован и подписал документ.
3. Проведение ОВД: Подготовили и зарегистрировали Проведение Оценки воздействия обработки ПДн в Роскомнадзоре, где обосновали необходимость использования биометрии и принятые меры защиты.
4. Апгрейд защиты: Настроили шифрование базы отпечатков и ограничили доступ к ней.
Итог: Систему вернули в работу на законных основаниях. Компания избежала колоссального штрафа и судебных исков от сотрудников.
Кейс 2: Частный медицинский центр. Запись на онлайн-консультацию
Публикация в открытом доступе расписания врача, которое де-факто является графиком приема пациентов и нарушает врачебную тайну.
Медцентр для удобства пациентов выложил на своем сайте онлайн-расписание врачей с возможностью записи. В интерфейсе было видно: «Доктор Иванова, 10:00 – записан, 10:20 – свободно». Записаться можно было, указав только имя. После жалобы пациента, который увидел, что его визит к урологу стал достоянием общественности, Роскомнадзор инициировал проверку.
Что нарушено:
- Косвенно нарушена врачебная тайна (ФЗ-323): Факт обращения за медицинской помощью является конфиденциальной информацией. Публичная запись с привязкой ко времени делает визит пациента узнаваемым для узкого круга лиц (например, для коллег, которые знают, что он в это время ушел с работы «к врачу»).
- Статья 7 152-ФЗ (Конфиденциальность): Данные о записи на прием к конкретному узкому специалисту могут относиться к специальной категории ПДн (о здоровье) и должны быть надлежащим образом защищены.
Решение:
1. Немедленно изменили логику онлайн-записи: Убрали публичное отображение занятых/свободных слотов для всех специалистов, кроме самых общих (например, косметолог).
2. Внедрили двухэтапную запись: Теперь пациент сначала выбирает желаемое время, и только после этого вводит свои данные (ФИО, телефон) в защищенную форму, которая сразу отправляет данные администратору.
3. Доработали Политику: Внесли ясное пояснение, что факт записи к врачу обрабатывается как персональные данные, и прописали меры их защиты.
Итог: Функциональность сайта сохранена, а конфиденциальность пациентов обеспечена.
Риск многомиллионных штрафов по закону о здоровье снят.
Кейс 3: Детский развивающий центр. Фотографии с праздников и данные детей
Обработка персональных данных несовершеннолетних — это зона повышенного внимания регулятора. Любая работа с данными ребенка требует не просто согласия, а согласия родителя или законного представителя. Кроме того, фото- и видеосъемка детей создает дополнительные риски, связанные с обработкой биометрических данных.
Популярный детский центр активно вел соцсети для привлечения новых клиентов: публиковал яркие фотографии с занятий и утренников, размещал на сайте и в брошюрах отзывы с именами детей и возрастом («Маша, 5 лет, обожает нашу гимнастику»). Согласия у родителей на это централизованно не запрашивали, договаривались «на словах». После того как фото одного ребенка без ведома его матери появилось в рекламном посте, последовал гневный отзыв, жалоба в Роскомнадзор и скандал в чате родителей.
Что нарушено:
- Статья 6.1 152-ФЗ: Отсутствовало письменное согласие законного представителя (родителя) на обработку персональных данных ребенка, включая сбор (имя, возраст), и особенно — на распространение (публикацию фото и отзывов).
- Статья 9 152-ФЗ: Центр не мог доказать, что полученное ранее устное согласие было действительным.
- Статья 7 152-ФЗ (Конфиденциальность): Фотографии являются биометрическими данными, позволяющими идентифицировать человека. Их обработка требует отдельного явного согласия.
Решение:
Работа велась на опережение, чтобы не просто избежать штрафа, а восстановить утраченное доверие родительского сообщества.
1. «Амнистия» контента: Все фотографии и отзывы с именами детей были немедленно удалены с сайта и из соцсетей.
2. Внедрение системы согласий: Мы разработали два вида обязательных форм:
- Согласие на обработку основных ПДн (ФИО ребенка, возраст, данные о здоровье и развитии для педагогической работы).
- Отдельное, очень подробное согласие на публикацию фото-, видео- и отзывов. Родитель мог выбрать приемлемые для него опции: «только для внутреннего архива», «можно использовать в закрытом чате для родителей», «можно публиковать в соцсетях центра».
4. Публичная оферта: Внесли соответствующие пункты в договор на оказание услуг, чтобы получение согласий было не отдельной процедурой, а частью заключения договора.
Итог:
Штраф удалось предотвратить. Центр не только привел документы в порядок, но и превратил проблему в инструмент маркетинга. Теперь в своей рекламе он делает акцент на безопасной среде и уважении к приватности детей, что стало мощным конкурентным преимуществом для сознательных родителей.
152-ФЗ — это про риск-ориентированный подход
Главный вывод из этих кейсов: не существует универсального решения. Каждая отрасль, а зачастую и каждая компания внутри отрасли, требует индивидуального аудита, который смотрит в суть бизнес-процессов.
Правильный аудит задает не вопрос «Где у вас документы?», а вопросы:
- Какую боль клиента вы лечите?
- Какую тайну он вам доверяет?
- Как эта тайна движется внутри вашей компании?
- Где ее может увидеть тот, кто не должен?
Самостоятельно разобраться во всех нюансах законодательства бывает сложно. Незнание не освобождает от ответственности. Если у вас остались вопросы после прочтения статьи, вы не уверены в своих внутренних процессах или хотите получить индивидуальный аудит для вашей сферы деятельности — обращайтесь к экспертам.
АНО ДПО «Эксперт» проводит комплексные проверки и консультации для организаций любого масштаба. Наши специалисты помогут вам:
- Провести глубокий аудит именно ваших бизнес-процессов.
- Подготовить все необходимые документы «под ключ».
- Внедрить эффективные и недорогие организационные и технические меры защиты.
- Настроить работу с персональными данными несовершеннолетних, биометрией и другими особыми категориями данных.
Не ждите проверки. Наведите порядок в работе с персональными данными сегодня — обеспечьте безопасность и спокойствие вашего бизнеса на годы вперед.
Напишите нам или Закажите бесплатную консультацию — и мы поможем вам найти верное решение.