Компании редко думают: «давай нарушим закон». Чаще всё происходит иначе — бизнес работает, растёт, автоматизируется, и в какой-то момент оказывается, что персональные данные уже давно обрабатываются, а требования закона — не выполняются.

Самое опасное в этой сфере — незнание. Именно оно приводит к штрафам, проверкам и блокировкам, которые становятся неожиданностью для собственников и руководителей.

В этой статье разберём, где именно бизнес чаще всего нарушает законодательство о персональных данных, даже если уверен, что «у нас всё нормально».

Основная проблема — неверное представление о том, что такое персональные данные и когда они возникают.

На практике бизнес считает:

• «Мы не IT-компания — значит, это не про нас»
• «Мы работаем B2B — персональных данных нет»
• «Мы ничего не собираем специально»
• «У нас ИП, а не крупная компания»

На деле обработка персональных данных начинается гораздо раньше, чем думает большинство предпринимателей.

1. Сайт компании и формы обратной связи

Один из самых распространённых источников нарушений — обычный корпоративный сайт.

Персональные данные возникают, когда пользователь сайта:

• оставляет имя, телефон, email
• заполняет форму заявки или обратной связи
• пишет в онлайн-чат
• отправляет резюме
• оставляет заявку на консультацию

С этого момента компания становится оператором персональных данных, а значит, на неё распространяются требования законодательства.

Очень часто при этом:

• отсутствует корректная политика конфиденциальности
• нет отдельного от иных документов согласия на обработку персональных данных
• формы работают «по умолчанию», без юридической логики

2. CRM, Excel и базы клиентов

Многие уверены, что персональные данные — это только сайт. Это ошибка.

Если компания:

• ведёт клиентскую базу в CRM
• хранит контакты в Excel
• собирает данные из заявок и звонков
• фиксирует историю общения с клиентами

— она осуществляет обработку персональных данных в бизнесе.

При этом часто:

• нет внутреннего регламента работы с данными
• доступы не ограничены
• данные хранятся бессрочно
• сотрудники не понимают правил обработки
• Все это ведет не только к нарушению требований закона, но и повышает риски утечки базы данных.

3. Мессенджеры и онлайн-коммуникация

Отдельная зона риска — WhatsApp, Telegram, корпоративные чаты.

Персональные данные обрабатываются, когда:

• клиенты пишут в мессенджеры
• сотрудники пересылают контакты
• обсуждаются заявки и заказы
• сохраняются переписки

Часто бизнес не учитывает, что:

• это тоже обработка персональных данных
• ответственность остаётся на компании
• мессенджеры не освобождают от требований закона

4. Персональные данные сотрудников

Многие компании фокусируются на клиентах и забывают о сотрудниках.

На практике персональные данные работников — это:

• паспортные данные
• контакты
• данные о зарплате
• сведения о доступах
• данные при удалённой работе

Ошибки возникают, когда:

• нет документов по обработке данных сотрудников
• доступы сохраняются после увольнения
• данные используются без законных оснований

5. Передача данных подрядчикам и сервисам

Маркетологи, бухгалтерия, IT-подрядчики, облачные сервисы — всё это третьи лица, которым бизнес часто передаёт данные автоматически.

Типичная логика:

«Мы передали — значит, это уже не наша ответственность»

На практике:

• ответственность остаётся у компании
• требуется корректное юридическое оформление
• важно понимать, кто и как обрабатывает данные
• Здесь часто нарушаются требования по передаче персональных данных третьим лицам.

Одна из самых частых ошибок — использование типовых документов.

Шаблонная политика обработки персональных данных:

• не учитывает реальные процессы компании
• не соответствует фактическому сбору данных
• создаёт ложное ощущение защищённости
• часто не соответствует реальным требованиям Роскомнадзора

При проверке или споре это выявляется очень быстро.

Нарушения редко проявляются сразу. Риски накапливаются.

Последствиями этого могут быть:

• проверки и запросы Роскомнадзора
• штрафы
• блокировка сайта или сервисов
• репутационные потери
• конфликты и судебные споры с клиентами и сотрудниками

И главное — бизнес узнаёт о проблеме слишком поздно.

Работа с персональными данными — это не один документ и не формальность.
Это:

• понимание, какие данные и зачем обрабатываются
• выстроенные процессы
• корректные документы
• распределение ответственности внутри компании

Именно такой подход позволяет бизнесу:

• снизить юридические риски
• спокойно проходить проверки
• вызывать доверие клиентов и партнёров

Большинство компаний нарушают требования законодательства о персональных данных не потому, что хотят, а потому что не видят, где именно возникает обработка данных.

Сайт, CRM, мессенджеры, сотрудники, подрядчики — всё это части одной системы, которая требует осознанного и грамотного подхода.

Наведение порядка в персональных данных — это не про страх и штрафы. Это про устойчивость бизнеса, доверие клиентов и уверенность в будущем.