10 ошибок при работе с персональными данными

 

Правильная работа с персональными данными участников — базовое требование для современных организаторов мероприятий. Ошибки в этой сфере могут привести не только к штрафам, но и к серьёзным репутационным и юридическим последствиям. Особенно актуальны эти вопросы в 2025 году: вступили в силу крупные изменения федерального закона №152-ФЗ «О персональных данных» и поправки в КоАП РФ, привнёсшие новые правила и ужесточение штрафов. А также, буквально на днях, 23 октября 2025 г. Президент РФ распорядился подписать Конвенцию ООН против киберпреступности, задающую новые международные ориентиры. И, скорее всего, в ближайшее время стоит ожидать новых изменений законодательства, особенно в части трансграничной передачи персональных данных.

 

1. Отсутствие актуализированной политики обработки персональных данных

Нормативно правовое регулирование в сфере персональных данных (ПДн) за последние годы пережило три крупных пакета изменений (а всего за последние 5 лет было уже 10 поправок только к 152-ФЗ):

 

• 2023 г. — стало необходимо уведомлять Роскомнадзор о начале работы с ПДн почти всем, кто с ними работал, появились обязательство уведомлять Роскомнадзор об утечках ПДн и новые правила трансграничной передачи, повышены штрафы
• 2024 г. — усиление контроля за оборотом обезличенных данных, введена уголовная ответственность за умышленное нарушение режима защиты ПДн
• 2025 г. — запрещён первичный сбор и хранение ПДн граждан РФ на иностранных серверах, введены новые правила работы с согласиями на обработку ПДн и новые штрафы, включая оборотные

 

Одна из ключевых проблем организаторов конгрессно-выставочных мероприятий в том, что они забывают не только разработать политику обработки ПДн, но и опубликовать её на сайте или в другом месте, обеспечив свободный доступ для всех участников мероприятия. Часто допускают копирование шаблонов, не учитывающих специфику работы event-команды, и не обновляют её при изменении законодательства. За такое нарушение предусмотрены штрафы до 60 000 руб., а при повторных выявлениях — выше.​

 

2. Использование устаревших или формальных согласий на обработку персональных данных

С 1 сентября 2025 года согласие на обработку персональных данных должно быть строго отдельным документом, не совмещённым с договорами, пользовательскими соглашениями или иными текстами. В нём обязательно должно быть раскрыто, какие именно категории данных обрабатываются, сроки, цели, перечислены все лица-операторы и цепочка передачи данных, включая подрядчиков. Ошибочными являются ситуации, когда на сайте стоит заранее проставленная галочка напротив формального согласия, когда согласие заполняется «по умолчанию» при регистрации — такой подход признан недопустимым и влечёт штрафы до 700 тыс. руб., а при повторном нарушении — до 1,5 млн. руб.​

 

3. Нет ответственного лица за обработку персональных данных и описанных процедур по работе с ними

Фактическое отсутствие назначенного сотрудника, который отвечает за обработку ПДн, — распространённая проблема, особенно в небольших командах event-агентств. Закон требует не только назначения такого лица, но и оформления соответствующего приказа, делегирования ему полномочий и подчинения в части работы с персональными данными напрямую первому лицу организации.​ Роскомнадзор проверяет не только наличие такого ответственного, но и действительность соблюдения всех описанных сценариев и процедур работы с ПДн.

 

Отсутствие перечня мест хранения, неведение журналов, неразграничение доступа сотрудников, отсутствие локальных актов по организации обработки персональных данных — также одни из самых частых ошибок. Особо строго теперь проверяют ведение отдельных журналов, определение условий хранения и порядок доступа.​

 

 

4. Нарушения при уведомлении Роскомнадзора

Организаторы нередко не уведомляют Роскомнадзор о начале обработки ПДн или делают это некорректно: ошибки в документах, неверное указание категории данных, субъектов, меры защиты оформлены шаблонно или формально. Особое внимание обращается на правильность выбора всех категорий данных (например, посетители, волонтёры, сотрудники подрядчиков), исчерпывающее заполнение всех полей и своевременное направление уведомлений об изменениях в структуре обработки.​ За отсутствие уведомления Роскомнадзора предусмотрены штрафы до 300 тыс. руб.

 

5. Использование иностранных сервисов и размещение данных вне РФ

С 1 июля 2025 года категорически запрещён первичный сбор и хранение персональных данных граждан РФ на иностранных серверах (включая формы, CRM, мессенджеры, систему онлайн-регистрации участников, сервисы рассылок). Это значит, что больше нельзя для первичной регистрации участников события (регистрации ПДн) использовать, например, формы Google или ссылку-приглашение на вебинар в Zoom. Исключения возможны только с официальным разрешением Роскомнадзора. За нарушение — отдельные крупные штрафы (до 18 млн. руб.) и блокировка сайтов с такими формами сбора.​

 

6. Недостаточная детализация технических и организационных мер защиты

Требования к мерам защиты персональных данных должны учитываться всеми организаторами мероприятий — даже теми, кто делает небольшие локальные события.

 

Для небольших мероприятий допустимо использовать стандартизированные решения: хранение информации на защищённых локальных носителях, ограничение доступа паролями, применение облачных сервисов только с российской регистрацией, настройка двухфакторной аутентификации для аккаунтов сотрудников. Важно документировать все действия: кто и когда работал с данными, вносил корректировки и имел доступ к личной информации участников. Проверки Роскомнадзора на таких событиях обычно фокусируются на наличии уполномоченного лица, политике обработки ПДн и базовых технических мерах.

 

Для крупных выставок и конгрессов необходимо внедрять расширенные системы защиты с регулярным аудитом ИТ-инфраструктуры и пересмотром и описанием сценариев и процедур работы с ПДн. А для проектов с международным участием наверняка стоит ожидать усиления контроля в рамках выполнения положений Конвенции ООН против киберпреступности, которая фиксирует международные стандарты хранения и защиты электронных данных.​

 

7. Работа с ненадёжными ИТ-сервисами и отсутствие контроля и договоров с подрядчиками и поставщиками

Многие организаторы активно используют внешних подрядчиков — от разработчиков регистрационных систем и мобильных приложений до агентств по email-рассылкам и SMM-команд. Однако передача персональных данных участников третьим лицам без должного юридического оформления и технического контроля — одна из критических ошибок, которая может привести к утечкам, штрафам и даже уголовной ответственности.​

 

Прежде чем передать базу участников или интегрировать сторонний сервис в процесс регистрации на мероприятие, организатор обязан убедиться, что подрядчик официально зарегистрирован как оператор ПДн в реестре Роскомнадзора. Если это не так, то любая передача такому подрядчику персональных данных станет нарушением со стороны организатора и может быть классифицирована как утечка ПДн со штрафом до 15 млн. руб., а за повторные утечки — в размере 1‑3% от годовой выручки, но не менее 20 000 000 и не более 500 000 000 рублей.

 

Отдельное внимание, если по поручению организатора занимается процессом регистрации внешний контрагент, — следует уделить веб-формам сбора ПДн и наличию в них всех необходимых согласий и политик обработки персональных данных.

 

8. Нарушение правил работы с биометрическими данными и массовым сбором данных

В 2025 году введены особые условия для сбора и хранения биометрических данных (фото- и видеоматериалов с мероприятий, записи голоса и регистрация через биометрические сервисы). Без отдельного, оформленного согласия на обработку биометрии и прозрачного информирования участников, такие действия запрещены. Итог — штрафы до 25 млн. руб. и уголовная ответственность в случае утечки.​

 

Следует отметить, что аудиовизуальные материалы с изображением участников не являются биометрическими данными, если они не используются для целей аналитики и идентификации, но согласие на их обработку также должно быть.

 

9. Несвоевременное удаление и избыточный сбор персональных данных

Если раньше в первичных формах регистрации можно было встретить запрос практически любой информации (вплоть до уровня «на каком боку вам удобнее спать?»), то сейчас для сбора каждого параметра ПДн необходимо чётко указывать в том числе цель их сбора, правовое основание, перечень действий и срок обработки. Сбор и хранение данных, которые не используются и не относятся к целям мероприятия, а также неограниченное по времени держание копий документов участников — прямое нарушение. Чтобы не попасть под санкции, важно проводить регулярные внутренние аудиты, уничтожать неактуальные данные и минимизировать собираемый объем информации.​

 

10. Отсутствие прозрачности обработки данных, либо игнорирование международных требований безопасности

Проведение мероприятий онлайн и офлайн требует разъяснения участникам, какая часть данных и для чего собирается (в том числе для рассылок, сертификатов, интеграций с сервисами сторонних подрядчиков). Неинформирование участников или гостей о нюансах использования их данных (например, пересылке зарубежным подрядчикам, интеграции сторонних решений и обработки в целях аналитики) становится основанием для дополнительных расследований и штрафов, особенно в связи с новыми международными соглашениями в кибербезопасности, к которым присоединилась Россия. Важным элементом теперь стала техническая возможность сбора, хранения и передачи электронных доказательств в случае киберинцидентов — этот стандарт зафиксирован Конвенцией ООН.​ Это особенно важно учитывать при проведении международных мероприятий, особенно за пределами РФ.

 

Вывод

В 2025 году административные и уголовные последствия для организаторов мероприятий за нарушения в области персональных данных существенно ужесточились. Абсолютное большинство штрафов и санкций — следствие формального отношения к базовым юридическим положениям: бездумному копированию документов и использованию шаблонов, отсутствию внутреннего контроля, выборами «удобных» — но опасных с точки зрения законодательства — контрагентов, сервисов и подходов.​

Современная event-индустрия требует системной интеграции юридических стандартов обработки ПДн на всех этапах работы с участниками, партнёрами и подрядчиками.