Штраф за нарушение 152-ФЗ зависит не только от текста закона, но и от конкретной ситуации: какие данные обрабатывались, было ли согласие, подано ли уведомление, произошла ли утечка, сколько субъектов затронуто, были ли повторные нарушения и какие меры предпринимала компания. Поэтому оценивать риск нужно не по одному признаку «есть политика или нет», а по всей схеме обработки персональных данных.
С 2025 года штрафные риски стали заметно серьезнее. Усилена ответственность за отсутствие уведомления об обработке персональных данных, за неуведомление об утечке и за сами утечки. Для бизнеса это означает: раньше многие относились к документам по 152-ФЗ как к формальности, теперь отсутствие системы может обойтись существенно дороже.
Политика — важный документ, но она не закрывает все обязанности. Если форма заявки не содержит отдельного согласия, уведомление в Роскомнадзор не подано, заявки уходят в зарубежный сервис, а договор с подрядчиком не содержит поручения обработки, политика сама по себе не устраняет нарушения. Более того, если политика противоречит фактической обработке, она может стать дополнительным доказательством небрежного подхода.
Для первичной оценки нужно ответить на несколько вопросов. Какие категории данных обрабатываются? Есть ли специальные категории: здоровье, биометрия, сведения о несовершеннолетних? Сколько субъектов затронуто? Была ли утечка или только формальное нарушение? Есть ли повторность? Может ли компания доказать согласие? Подано ли уведомление? Есть ли локальные акты и ответственный? Были ли меры защиты до инцидента, а не только после него?
Если речь о сайте с несколькими формами, риск может быть умеренным при быстром исправлении. Если речь об утечке базы клиентов, медицинских сведений или системном отсутствии уведомлений, риск уже существенно выше.
Первое — зафиксировать факты: какие документы есть, какие формы работают, какие данные собраны, кто имел доступ, какие сервисы подключены. Второе — прекратить очевидное нарушение: лишний сбор данных, некорректную форму, рассылку без согласия, передачу неподготовленному подрядчику. Третье — подготовить корректные документы и, если требуется, уведомить Роскомнадзор. Четвертое — сохранить доказательства исправления.
Да, но это зависит от ситуации. Важно показать, что нарушение не носило злонамеренный характер, компания приняла меры, ограничила распространение данных, уведомила орган при инциденте, провела внутреннюю проверку, обновила документы и обучила сотрудников. При этом нельзя писать в ответе в Роскомнадзор лишние признания, если фактическая сторона еще не установлена.
Для большинства компаний дешевле один раз провести аудит сайта, документов, CRM и подрядчиков, чем реагировать на запрос после жалобы или утечки. Минимальный аудит должен включать проверку политики, согласий, уведомления, форм сайта, подрядчиков, кадровых документов и каналов передачи данных.
Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.
"