Документы-капканы: почему ваши бумажные регламенты по ПДн не пройдут проверку РКН

Рынок долго жил в иллюзии, что защита персональных данных (ПДн) — это вопрос «веса бумаги». Наняли консалтинг, получили папку с 50 регламентами, положили в сейф — и забыли. В 2024–2026 годах эта стратегия не просто перестала работать. Она стала опасной. Сегодня пакет документов, созданный без реальной связки с IT-инфраструктурой, превращается в доказательную базу против компании.

Регулятор сменил оптику. Роскомнадзор (РКН) больше не верит декларациям. Современная проверка — это не чтение ваших политик, а их сверка с реальностью: с логами серверов, с кодом на сайте и с договорами контрагентов.
Мы проанализировали типовые пакеты документов российских компаний (от SMB до энтерпрайза) и выделили 5 «документов-капканов». Это места, где бизнес сам себе роет яму, фиксируя на бумаге обязательства, которые технически не выполняет.

Капкан №1. Политика «Скачано из Интернета» и конфликт инфраструктуры

Самый частый кейс: юрист берет шаблонную Политику конфиденциальности, где прописаны стандартные фразы про «высокий уровень защиты» и «использование сертифицированных средств шифрования».
В чем ловушка? В конфликте Legal vs. Tech.
Юридический департамент пишет документ, чтобы он выглядел «солидно». IT-департамент строит инфраструктуру, чтобы она «работала быстро». В итоге в Политике написано: «Мы обрабатываем данные исключительно на серверах в РФ» (страх перед ст. 18 152-ФЗ). А по факту часть бэкапов летит в облако Amazon или используется зарубежная CRM-система.
Механика срабатывания капкана:
Инспектор РКН при проверке делает две вещи: читает вашу Политику и запрашивает схему информационных потоков с указанием IP-адресов серверов.
Документ:* «Трансграничной передачи нет».
Реальность:* IP-адрес хостинга ведет во Франкфурт.
Вы получаете штраф не только за локализацию (до 6 млн руб. на первый раз), но и за предоставление недостоверных сведений. Документ, призванный защитить, стал доказательством лжи.
Политика должна быть «беднее», но честнее. Не пишите про то, чего нет. Если у вас Open Source решения вместо сертифицированных ФСТЭК средств защиты — не указывайте обратное. Лучше получить предписание устранить нарушение, чем штраф за дезинформацию.

Капкан №2. «Согласие-Монстр» и жадность маркетинга

Бизнес хочет получить от клиента карт-бланш. Маркетинг требует: «Сделай так, чтобы он поставил одну галочку, и мы могли ему звонить, писать, передавать данные партнерам и анализировать его поведение».
Юристы «натягивают сову на глобус», вписывая в один текст согласия всё: от исполнения договора оферты до рекламной рассылки.
Почему это капкан?
Судебная практика последних лет (и позиция РКН) железобетонная: несовместимость целей.
Цель «заключение договора» и цель «рекламная рассылка» — разные.
Цель «доставка товара» и цель «передача данных партнеру для аналитики» — разные.
Если вы объединяете их в один чекбокс, согласие признается ничтожным.
Механика срабатывания капкана:
Вы показываете инспектору базу из 100 000 подписанных согласий. Инспектор признает форму согласия незаконной из-за объединения целей.
Результат: у вас на руках 100 000 фактов незаконной обработки данных. Штраф мультиплицируется. Более того, вам выдадут предписание уничтожить всю базу, собранную с этим пороком воли.
Конверсия важна, но база данных — это актив. «Грязная» база (собранная с нарушением логики согласий) — это токсичный актив, который может быть обнулен в один день. Внедряйте гранулярные согласия (несколько галочек).

Капкан №3. Договоры с подрядчиками: «Поручение» Шрёдингера

Аутсорсинг — норма бизнеса. Бухгалтерия на аутсорсе, HR-агентства, колл-центры, SaaS-сервисы. Компании передают им базы данных, но в договорах этот момент либо игнорируется, либо прописывается фразой «Стороны обязуются соблюдать конфиденциальность».

Этого недостаточно. Статья 6 ч. 3 152-ФЗ требует подписания Поручения на обработку ПДн.
Где спрятан капкан?
Если у вас нет корректного Поручения (с перечнем действий, целями и обязанностью подрядчика соблюдать безопасность), то с точки зрения закона:
1. Вы совершили незаконную передачу данных третьему лицу.
2. Вы несете полную ответственность за утечку, произошедшую на стороне подрядчика.
Реальный кейс:
Компания использует сервис email-рассылок. Происходит утечка у сервиса. Компания говорит: «Это не мы, это они». РКН открывает договор и видит, что поручения на обработку не было. Значит, де-юре данные «утекли» от вас в момент загрузки их в «нелегитимный» сервис.
Проведите ревизию всех контрагентов. Любой, кто видит данные ваших клиентов или сотрудников, должен подписать допсоглашение с формулировками из ч. 3 ст. 6 152-ФЗ. Ответственность перед субъектом всегда несет Оператор (вы), а не Обработчик (подрядчик), если иное не взыскать потом в порядке регресса (что сложно без нормального договора).

Капкан №4. Модель угроз «Для галочки» (Compliance vs Security)

Модель угроз безопасности (МУ) — это технический базис всей защиты. Часто компании заказывают этот документ у интегратора при старте бизнеса, и он годами пылится в архиве.
Капкан устаревания:
РКН и ФСТЭК проверяют актуальность угроз.
Если ваша МУ датирована 2020 годом, в ней, скорее всего, не учтены:

• Удаленный доступ (VPN, RDP), ставший нормой.

• Использование мобильных устройств сотрудников (BYOD).

• Актуальные векторы атак через цепочки поставок (Supply Chain).

Если происходит инцидент через вектор, который не описан в вашей Модели как «актуальный», вы виноваты вдвойне: за сам инцидент и за халатное проектирование системы защиты. Регулятор трактует это как нарушение требований Постановления №1119.
Модель угроз — это «живой» документ. Любое изменение IT-ландшафта (переезд в облако, новый подрядчик, удаленка) должно отражаться в ней. Инспектор будет сравнивать вашу МУ с вашей реальной сетью, а не с ГОСТом.

Капкан №5. Новые правила уничтожения: Скриншот больше не доказательство

До весны 2023 года процесс уничтожения данных был «серой зоной». Можно было составить акт, в котором комиссия из трех человек подтверждала: «Данные удалены». Как удалены? Кем? Неважно.
С вступлением в силу Приказа РКН №179 ситуация изменилась кардинально. Это технический капкан для тех, кто не обновил процессы.
Суть ловушки:
Теперь акт об уничтожении должен сопровождаться выгрузкой из журнала регистрации событий (логов) информационной системы. В логах должно быть видно: дата, время, кто удалил, какие именно записи.
Если ваша CRM или 1С не настроена на логирование событий удаления (а по умолчанию они часто этого не делают), вы технически не можете доказать факт уничтожения данных по требованию клиента или по истечении срока хранения.
Последствия:
РКН считает данные не уничтоженными. Это влечет штраф и повторное предписание. Для компаний с большими массивами данных (ecommerce, банки) это превращается в технический кошмар, если не озаботиться настройкой логов заранее.

Как не попасться?

Эпоха «бумажной безопасности» закончилась. Главный тренд проверок РКН — кросс-валидация. Документы сверяют с функционалом сайта, договоры — с фактическими потоками данных, а акты — с логами систем.
Чтобы ваши регламенты не стали капканами:
1. Проведите Data Mapping. Нарисуйте реальную карту движения данных до того, как писать политики.
2. Синхронизируйте Legal и IT. Юрист не должен писать про технологии, которых не понимает, а сисадмин не должен настраивать доступы без визы юриста.
3. Убивайте лишнее. Принцип минимизации данных — ваш главный друг. Нет данных — нет проблемы. Удаляйте все, что вышло за пределы срока хранения, и фиксируйте это логами.
Документация по ПДн должна быть скучной, сухой инструкцией к вашему бизнесу, а не красивым юридическим эссе. Только так она станет щитом, а не уликой.