В статье эксперты Точки разбирают, кто считается оператором персональных данных и обязан уведомлять РКН, а кто освобождается от такой обязанности. Подробно расскажем, как отправить уведомление, чтобы не получить большой штраф.
Что такое персональные данные
Персональные данные — любая информация, которая относится прямо или косвенно к физическому лицу. Физлицо считается субъектом персональных данных.
Что относится к персональным данным? Многие думают, что это только данные, которые помогают идентифицировать человека, например:
- ФИО;
- паспортные данные;
- номер телефона;
- электронная почта.
Это не совсем так. Любая информация, указанная в совокупности с ФИО, тоже относится к персональным данным.
Иван заказывает товар на маркетплейсе.
Оператор персональных данных
Оператор персональных данных — этот тот, кто использует данные других людей в своих целях, интересах бизнеса или государства. Он решает, зачем ему нужны персональные данные клиентов, занимается сбором и обработкой данных. Обычно ОПД — индивидуальные предприниматели, компании и государственные организации.
Анна — бизнес-консультант. Она создала сайт, на котором клиенты могут записаться на консультацию. Это просто — достаточно ввести в онлайн-форму имя, фамилию и контактный номер телефона.
Оператор должен получить от человека согласие на обработку персональных данных.
Как понять, считаетесь ли вы оператором персональных данных? Давайте разберёмся.
| Оператор | Есть конкретная цель для обработки данных. | Пример: компания запросила ФИО, телефон и адрес, чтобы позвонить клиенту и отправить на его адрес доставку. |
| Не оператор | Нет конкретной цели для обработки данных, данные запрашиваются в личных интересах. | Пример: мужчина знакомится с коллегой на мастер-классе и спрашивает у неё номер телефона. |
Что такое обработка персональных данных
Обработка — любые действия с персональными данными. Среди них:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение, обновление, изменение;
- извлечение;
- использование;
- передача, распространение, предоставление доступа.
Даже операции, направленные на обезличивание, блокирование, удаление и уничтожение персональных данных, относятся к обработке. А значит — на них распространяется № 152-ФЗ.
Есть два способа обработки: с автоматизацией и вручную.
- Автоматизация при обработке данных — использование программного обеспечения, excel-таблицы, CRM-системы, системы учёта сотрудников, облачные хранилища, колл-трекинг, платформы для онлайн-оплаты и т.д. Если заключаете договоры и храните их в бумажном виде, но данные по клиентам записываете в excel-таблицу, это уже считается автоматизацией.
- Обработка данных вручную — работа с бумажными документами, без внесения данных в программы, сервисы и системы.
Кому необходимо подавать уведомления в РКН по № 152-ФЗ
Закон № 152-ФЗ регулирует операции с персональными данными. По закону операторы обязаны заранее подать в Роскомнадзор уведомление о том, что будут обрабатывать персональные данные. Сделать это надо до начала сбора, хранения и других действий с личной информацией.
Но есть три исключения, когда можно обрабатывать данные без уведомления:
- Обработка персональных данных, включённых в государственные информационные системы безопасности.
- Обработка персональных данных в рамках транспортной безопасности.
- Обработка вручную — без автоматизации.
Как подать уведомление в РКН по № 152-ФЗ
Есть несколько способов подать уведомление об обработке персональных данных.
- Уведомление на бумаге. Заполните форму на сайте Роскомнадзора, распечатайте, подпишите у руководителя. Оформите заказное письмо с описью вложения и отправьте в Роскомнадзор по месту регистрации физлица, ИП или юрлица.
- Уведомление онлайн. Авторизуйтесь через Госуслуги или заполните форму на сайте Роскомнадзора. Затем подпишите усиленной квалифицированной электронной подписью (УКЭП) и отправьте.
Проверить статус уведомления можно на сайте Роскомнадзора, в разделе «Реестр операторов» → «Проверка состояния уведомления».
Информация по оператору
| Регион регистрации | Где зарегистрированы ИП/юр.лицо/физ.лицо |
| Статус оператора | Из списка на выбор (юридическое лицо, индивидуальный предприниматель, государственная организация, муниципальная организация, физическое лицо, иностранный гражданин) |
| Наименование оператора | Полное наименование лица — как в ЕГРИП/ЕГРЮЛ |
| Сокращённое наименование | Такое же, как в ЕГРИП/ЕГРЮЛ |
| Адрес | Адрес местонахождения (может отличаться от документов) |
| Почтовый адрес | Адрес для корреспонденции |
| Телефон | Общий номер ИП |
| Регионы обработки | Регионы, где фактически находятся офисы, представительства, филиалы. Если есть веб-сайт или какие-то ИТ-сервисы, указываем «все субъекты Российской Федерации» |
Цели обработки ПДн
1 цель = 1 процесс обработки
| Цель обработки ПДн | Укажите цель из списка на сайте Роскомнадзора. |
| Категории ПДн | Выберите категории ПДн, которые будете обрабатывать |
| Категории субъектов, ПДн которых обрабатываются | Выберите категории субъектов, чьи персональные данные будете обрабатывать |
| Правовое основание обработки ПДн | Выберите все правовые основания, которые подходят для цели |
| Перечень действий | Выберите, что конкретно будете делать в рамках цели |
| Способы обработки | По способу обработки: - Автоматизированная — только на компьютере - Неавтоматизированная — только на бумаге - Смешанная — на бумаге и на компьютере По способу передачи данных: - С передачей по интернету — e-mail, мессенджеры, другие онлайн-сервисы - Без передачи по интернету - С передачей по внутренней сети ИП/юр. лица - Без передачи по внутренней сети ИП/юр. лица |
Общая информация об обработке
| Описание мер, предусмотренных 18.1 и 19 № 152-ФЗ | В статьях 18.1 и 19 № 152-ФЗ зафиксированы меры, которые должен применять оператор персональных данных. Пропишите, какие меры применяли вы. |
| Средства обеспечения безопасности | Пропишите, как будут защищены данные. Обычно используют средства антивирусной защиты, межсетевого экранирования и резервного копирования. Эта информация будет доступна только РКН. |
| Использование шифровальных (криптографических) средств | Если используете УКЭП, в которую встроено средство криптографической защиты информации, укажите класс СКЗИ. Данные находятся в сертификате УКЭП. Также можно запросить их у организации, которая выдавала УКЭП. |
| Ответственный за организацию обработки ПДн | Если вы ИП или физическое лицо, укажите себя. Если вы юрлицо, укажите физическое лицо, назначенное в компании. |
| Дата начала обработки ПДн | Укажите дату открытия самозанятости, ИП или юрлица. |
Сведения о местонахождении базы данных информации (ЦОД), содержащей персональные данные граждан РФ:
- Если у вас есть собственный ЦОД, укажите сведения по собственному ЦОДу.
- Если арендуете ЦОД или поручаете обработку и хранение другой компании (в соответствии с п. 3 ст. 6 152-ФЗ), запросите данные по ЦОДу этой компании.
- Если обрабатываете данные в excel-таблице или любой другой программе, которая установлена на ваш компьютер, укажите адрес нахождения вашего ПК.
Что будет, если не отправить уведомление по № 152-ФЗ в РКН? Изменения с 30 мая 2025 года
С 30 мая вступает в силу новая ответственность по части 10 статьи 13.11 КОАП РФ. Теперь каждый, кто не сообщил в Роскомнадзор о намерении обрабатывать персональные данные, должен заплатить штраф.
Штраф за неуведомление РКН об обработке персональных данных:
- Физические лица — от 5 000 до 10 000 рублей.
- Должностные лица — от 30 000 до 50 000 рублей.
- Юридические лица — от 100 000 до 300 000 рублей.
За данное нарушение ИП штрафуют как юридических лиц. Штраф — от 100 000 до 300 000 рублей.
Требование закона распространяется на тех, кто не уведомил РКН о намерении обрабатывать данные после 30 мая 2025 года. Он касается и новых ОПД, и тех, кто начал обрабатывать данные до 30 мая, но не уведомил об этом.
Важно: существуют отдельные штрафы за обработку персональных данных без согласия, за отсутствие политики обработки персональных данных, за утечку данных.
Что делать, если не подал уведомление об обработке персональных данных в РКН?
Если пропустили срок подачи уведомления, всё равно отправьте его. После этого РКН поставит вас на учёт в реестр операторов по обработке персональных данных.