Почему-то все уверены, что на любые проверки бизнеса сейчас наложен мораторий. Это не так. Регуляторы, включая Роскомнадзор, активно используют риск-ориентированный подход. Это значит: чем выше уровень риска, к которому отнесена ваша компания, тем чаще будут проверки.
Как Роскомнадзор оценивает риск
Риск-ориентированный подход предполагает, что в той сфере, по которой проводится контроль, выделяются какие-то значимые факторы, наличие или отсутствие которых у компаний относит их к высокому или низкому риску в этой сфере.
В сфере персональных данных к таким определяющим факторам относятся:
-
количество субъектов персональных данных, чьи данные обрабатываются;
-
наличие или отсутствие обработки специальных категорий данных или биометрии;
-
трансграничная передача;
-
использование зарубежных сервисов и т.д.
Что это значит на практике
Для каждого критерия определена его тяжесть, т.е. насколько этот критерий влияет на обработку в целом, насколько создает рискованность обработки. И определена вероятность срабатывания этого фактора как некоей опасности для персональных данных.
Четыре группы тяжести, четыре группы вероятности. На их комбинации и строится группа риска, к которой отнесут компанию.
Самая рисковая группа А1. Тут компанию ждет проверка раз в два года либо ежегодный обязательный профвизит.
Самая «легкая» группа риска Г4, на которой ни проверок, ни профвизитов не предусмотрено, пока что-то не случилось.
Новый «красный флаг»: согласие без оснований
В прошедшем 2025 году в Положение были внесены изменения и теперь к факторам высокой тяжести отнесен факт обработки персональных данных на основе согласий в тех случаях, когда в законе нет прямого требования на такое согласие.
Почему это так серьезно?
Потому что такие согласия есть у всех. Даже тогда, когда есть другое основание для обработки персональных данных, в компании обычно решают: «давайте брать согласие на всякий случай». А чаще всего, вообще не заморачиваются и просто на все берут согласия. Даже можно найти вакансии, когда ищут человека, который будет собирать все эти согласия, их оформлять, хранить и т.д. И в этом заключается вся работа специалиста по персональным данным.
Последствия для бизнеса
Штраф. За лишние согласия, т.е. в тех случаях, когда есть другое основание обработки и согласия быть не должно, сейчас можно получить штраф до 700 000 рублей на компанию. Такой же, как в случае, когда согласие быть должно, но его нет.
Высокая категория риска. В соответствии с новыми правилами риск-ориентированного подхода к проверкам, можно еще и получить самый высокий уровень риска. Вот так, просто за согласия «на всякий случай».
Что делать? Практический план
1. Остановить сбор «лишних» согласий. Прекратите брать согласия везде, где это не продиктовано прямым требованием закона (например, для рассылки рекламы).
2. Определить законные основания. Для каждого процесса обработки данных (прием на работу, обслуживание клиентов, рассылка новостей) найдите подходящее основание из ст. 6 152-ФЗ: договор, закон, законные интересы.
3. Провести аудит. Без профессионального взгляда со стороны легко упустить важные детали.
Никто не спорит, что есть ситуации, когда только согласие и может быть основанием для обработки. Ряд таких ситуаций напрямую указан в различных законах и подзаконных актах. Есть ситуации, когда специфика процессов предполагает только согласие. Но также очень большое количество процессов обработки не предполагает согласия, потому что там другие основания.
У многих компаний вызывает шок сообщение, что в трудовых отношениях в целом согласия вообще быть не должно. Ну, только если на передачу, в редких случаях – на распространение. А простого согласия, того самого, которое при приеме на работу у всех берут, быть не должно.
Следующий шаг:
Если вы по-прежнему берете кучу согласий и не понимаете, как иначе. Если вам сложно понять, какие вообще могут быть другие основания для обработки, приходите к нам на услугу аудит документов и процессов по персональным данным. Мы проверим ваши процессы и предоставим пошаговый план, как привести документы в соответствие с законом и снизить рисковую категорию.