Организации, ИП и самозанятые обязаны подавать уведомление в Роскомнадзор как операторы персональных данных (ПДн)?

Федеральный закон № 152 «О персональных данных», принятый еще в далеком 2006 году стал важной основой для регулирования получения, хранения, защиты и обработки персональных данных (ПДн). Большинство участников рынка уже адаптировались к его требованиям, внедрив на своих сайтах политику обработки персональных данных, добавив чекбоксы согласия в формы заявок, подав при необходимости заявления в Роскомнадзор о трансграничной передаче данных и разместив всплывающие предупреждения о сборе cookies, а также защиту персональных данных (ПД).

Однако, несмотря на это, практика подачи уведомлений в Роскомнадзор об обработке персональных данных (ПДн) в качестве оператора прошли далеко не все. По сути, большинство субъектов рынка игнорируют обязательность этого шага, что в условиях ужесточения законодательства становится рискованным.

Как говорится, строгость законов у нас зачастую компенсируется необязательностью их строгого исполнения. Но ситуация меняется: государство напомнило о необходимости соблюдения требований, повысив штрафы за нарушения.

Итак, разберемся по порядку, что такое персональные данные и кто является оператором персональных данных для исполнения федерального закона № 152 «О персональных данных»

Что такое персональные данные?

В соответствии с пунктом 1 статьи 3 федерального закона № 152 от 27.07.2006:

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Стоит подчеркнуть, что персональные данные относятся к физлицам как субъекту персональных данных в любом налоговом статусе. Если вы заносите в свою электронную таблицу учета клиентов ООО "Ромашка" с телефоном, адресом и емейл, тот это не персональные данные. Но как только появится поле Генеральный директор с ФИО, то это это уже будет считаться как факт сбора, учета и обработки персональных данных

Персональные данные это не только паспортные данные, но и номер телефона, адрес электронной почты, IP-адрес, фотографии, пол, национальность, место проживания, места пребывания, должность, место работы, предпочтения, интересы, хобби и прочие данные, которые могут быть соотнесены в той или иной мере к конкретному физлицу. Кроме того, сюда могут относится данные, фиксируемые на сайте с помощью cookies, которые могут быть соотнесены с помощью метрических программ (Яндекс Метрика, Гугл Аналитик и прочие) с конкретным посетителем как физлицом

Кто обязан соблюдать закон №152-ФЗ?

Согласно пункту 2 статьи 3 закона № 152:

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных

Это означает, что любое лицо, которое собирает, хранит или использует персональные данные физических лиц в своей деятельности на компьютере и/или в сети Интернет обязан соблюдать требования закона.

Причем операторами персональных данных (ПДн) могут быть также любые частные специалисты встатусе самозанятыx, например визажисты, репетиторы, фотографы, массажисты, дизайнеры и прочие. Все они могут выступать в роли операторов персональных данных. При своей хозяйственной деятельности, в том числе при заключении гражданско-правовых договоров, такие субъекты получают либо могут получать доступ к персональной информации клиентов либо подрядчиков, а именно ФИО, контакты и другие дополнительные сведения. В этом случае они обязаны подать уведомление в Роскомнадзор о своей деятельности как оператора персональных данных.

Таким образом, любое лицо — организация, ИП или самозанятый — в ходе своей хозяйственной деятельности может стать Оператором персональных данных (ОПД). Это происходит, если оно каким-либо образом получает, сохраняет и использует персональные данные других физических лиц. Например, такие данные могут храниться в CRM-системах или электронных таблицах, таких как Google Таблицы, Excel и прочие.

Стоит заметить, что именно организация должна отправить уведомление в Росконадзор как Оператор ПД, но внутренним регламентом может назначить ответственного сотрудника за организацию процесса обработки данныx. Таким образом буxгалтера, кадровики, делопроизводители, юристы и прочие сотрудники в штате не должны подавать уведомление как ОПД

Однако, если организация привлекает буxгалтера через аутсорс по договору ГПХ, то буxгалтер также должен подавать уведомление как ОПД, так как участвует как третье лицо в обрабоке ПД

О какиx данныx может идти речь? Например:

- контрагентаx по договору либо иному возможному документу, оформляемому при сотрудничестве

- посетителях интернет-страниц, которые заполняют свои персональные данные в формах при регистрации либо отправке заявок либо иным способом, например, сообщенные вам по телефону, емейл либо месенджеру

- сотрудниках и кандидатов на работу в организации

- посетителях для пропуска в офис компании, общественного заведения либо мероприятий

Обязанности оператора персональных данных (ПДн)

Согласно статье 3 закона № 152:

Обработка персональных данных (ПДн) - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Закон четко регламентирует обязанности тех, кто занимается обработкой персональной информации. Вот ключевые из них:

1. Уведомление Роскомнадзора

Перед началом обработки персональных данных оператор обязан уведомить Роскомнадзор. Это базовое требование, независимо от размера бизнеса. Уведомление подается через официальный сайт Роскомнадзора или через портал «Госуслуги».

После рассмотрения уведомления Роскомнадзор вносит оператора в реестр операторов персональных данных, как правило, в течение 30 календарных дней. Если изменились цели обработки, состав данных или контактная информация - сведения нужно обновить в рамках вашей текущей регистрации в реестре, т.е. заново не требуется подавать уведомление на включение в реестр Роскомнадзора как Оператор

2. Получение согласия на обработку персональных данных

Персональные данные нельзя обрабатывать без добровольного и информированного согласия субъекта данных (то есть человека, чьи данные вы используете). Согласие должно быть:

- конкретным (на определенную цель)

- осознанным (с возможностью ознакомиться с политикой обработки и конфиденциальности)

- письменным или электронным (например, проставленная галочка под формой сбора данных на сайте при наличии оферты и политики конфиденциальности - допустимый формат).

3. Обеспечить безопасность, конфиденциальность и надежное хранение собранныx персональных данных

Ответственность за нарушение закона

За несоблюдение требований Федерального закона № 152 предусмотрены административные штрафы по статье 13.11 КоАП РФ.

С 30 мая 2025 года, согласно части 10 статьи 13.11 КоАП РФ неуведомление или несвоевременное уведомление Роскомнадзора о намерении начать обработку персональных данных будет грозить следующими штрафами:

• от 5 000 до 10 000 рублей – для физлиц
• от 30 000 до 50 000 рублей – для должностных лиц организаций;
• от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
• от 100 000 до 300 000 рублей – для организаций.
  
  Более подробно о штрафах с 30 мая 2025 года в сводной таблице

Когда можно не подавать уведомление?

Закон предусматривает исключения по части 2 статьи 22 закона № 152, когда уведомление в Роскомнадзор подавать не требуется:

• если учет персональных данных ведется исключительно на бумаге
• если компания включена в государственные информационные системы и работает с данными, которые размещенны там
• при обработке данных в сфере транспортной безопасности.

Как правильно подать уведомление?

Пошаговая инструкция:

1. Перейдите на сайт Роскомнадзора.
2. Авторизуйтесь через портал «Госуслуги».
3. Аккуратно и взвешенно заполните форму уведомления, указав цели обработки, категории данных, меры защиты и т.д, используя подсказки полей
4. После проверки в течение 30 дней вас внесут в реестр. В случае изменений - обновляйте информацию в течение 10 рабочих дней.

Пошаговая инструкция как заполнять уведомление в Роскомнадзор для оператора персональных данных

В том числе об использовании метрических програм надо обязательно прописать (указать названия используемых счетчиков) в Политике обработки данных сайта, например:

Заключение

Закон № 152 требует внимательного отношения и строгого соблюдения всех его требований. Особенно стоит иметь ввиду, что кроме административной ответственности возможна и уголовная ответственность за нарушения при работе с персональными данными (ПДн). 

Изначально каждый, кто собирает и обрабатывает персональные данные, должен помнить о необходимости отправки уведомления в Роскомнадзор в качестве Оператора персональных данных. В противном случае возможны серьезные штрафы и правовые последствия. 

Также стоит заметить, что для исполнения закона в любые документы, где имеет место персональные данные всегда нужно подписывать отдельный документ о взаимном согласии на обработку персональных данных

Соблюдение федерального закона № 152 "О персональных данных" - это залог доверия клиентов и безопасной работы в цифровой среде.

***

В моем Телеграм-канале вы всегда сможете получить ответы по вашим кейсам, найти свежую информацию и экспертизу по рекламному сбору 3%, маркировке рекламы, отправке уведомления в Роскомнадзор от оператора персональных данных, а также научиться оформлению отчетности в ОРД, чтобы избежать штрафов от ФАС и Роскомнадзора