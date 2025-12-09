Регистрация в Роскомнадзоре обязательна практически для всех операторов, обрабатывающих персональные данные (ПДн) физлиц. Для этого нужно подать уведомление о начале обработки ПДн еще до того, как вы приступите к их сбору. Срок регистрации в Роскомнадзоре не превышает 30 календарных дней, но зато после этого вы сможете обрабатывать данные на законных основаниях.
Кто считается оператором персональных данных
Оператором признается государственный или муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели их обработки, состав данных и действия, совершаемые с ними (ст. 3 ФЗ от 27.07.2006 №152-ФЗ).
Проще говоря, оператор — это тот, кто принимает ключевые решения: зачем, какие именно и как обрабатывать данные людей. Важно, что статус оператора определяется не типом бизнеса или его масштабом, а фактическими действиями с персональными данными.
Примеры операторов из разных сфер:
Частная медицинская клиника. Она определяет, какие данные пациентов (ФИО, паспорт, полис, диагнозы, результаты анализов) необходимы для оказания услуг, хранит эти сведения в электронной картотеке и бумажных картах, использует их для назначения лечения. Клиника сама устанавливает цели и порядок обработки.
Образовательное учреждение (вуз, школа, детский сад). Учреждение собирает и обрабатывает данные учеников и их законных представителей (ФИО, даты рождения, адреса, сведения об успеваемости, состоянии здоровья для организации питания или занятий). Оно определяет состав этих данных и цели их использования в учебном и административном процессе.
Завод по производству металлоконструкций. На заводе обрабатываются персональные данные сотрудников в рамках трудовых отношений, а также данные контрагентов: например, менеджеров компаний-партеров.
Индивидуальный предприниматель с небольшим онлайн-магазином. Если ИП собирает имена, телефоны и адреса доставки покупателей в электронную таблицу или CRM-систему для отправки заказов, он самостоятельно определяет цели и состав этих данных и считается оператором.
Важно! В большинстве случаев требуется регистрация оператора персональных данных в Роскомнадзоре. Без этого компанию, самозанятного или ИП могут оштрафовать.
Кто является субъектом ПДн
Субъект персональных данных — это физическое лицо, которому они принадлежат. Например:
Клиент или покупатель, оформивший заказ в интернет-магазине или магазине.
Сотрудник, состоящий в трудовых отношениях с организацией.
Соискатель, направивший резюме на вакансию.
Представитель или контактное лицо компании-партнера: например, директор или менеджер.
Посетитель, оставивший свои контакты на сайте или подписавшийся на рассылку.
Учащийся или студент образовательного учреждения.
Пациент медицинской организации.
Субъектом может выступать и законный представитель человека — например, родитель несовершеннолетнего ребенка, действующий от его имени и в его интересах.
Какие данные относятся к персональным
Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту ПДн (ст.3 ФЗ №152-ФЗ).
Все ПДн можно разделить на три основные категории, для которых закон устанавливает разные режимы обработки:
1. Общие персональные данные. Это основная и наиболее часто обрабатываемая категория. К ней относится информация, необходимая для идентификации и коммуникации с человеком в профессиональной или коммерческой деятельности. Например:
фамилия, имя, отчество;
дата и место рождения;
контактные данные: номер телефона, адрес проживания или регистрации;
паспортные данные (серия, номер);
сведения об образовании и профессии;
данные о трудовой деятельности (должность, место работы);
сведения об имущественном положении и доходах.
2. Специальные категории персональных данных. Это данные, касающиеся частной жизни человека (ст.10 ФЗ №152-ФЗ). К ним относятся сведения о:
расовой и национальной принадлежности;
политических взглядах;
религиозных и философских убеждениях;
состоянии здоровья, интимной жизни.
3. Биометрические персональные данные. Это физиологические и биологические особенности человека, которые используются для его уникальной идентификации. Обработка биометрических ПДн может осуществляться только при наличии письменного согласия субъекта или в случаях, предусмотренных законом (ст.11 ФЗ №152-ФЗ). К ним относятся:
изображение лица (фотография, видеозапись), когда оно используется для установления личности. Обычные групповые фото для корпоративного сайта таковыми не считаются;
отпечатки пальцев (дактилоскопия);
генетическая информация (ДНК);
образцы голоса (голосовая биометрия);
радужная оболочка глаз и другие аналогичные данные.
Как обрабатывать ПДн сотрудников
Обработка персональных данных сотрудников — это строго регламентированная область. Помимо общих норм ФЗ №152-ФЗ, здесь действуют специальные требования ст. 86 ТК. Работодатель, как оператор, обязан выстроить процесс в соответствии со следующими ключевыми принципами:
Цели обработки должны быть законными и конкретными. Обработка ПДн сотрудника допустима только для четко определенных целей, прямо связанных с трудовой деятельностью.
Данные получают непосредственно от сотрудника. Если информацию необходимо получить из стороннего источника (например, запрос характеристик), работника нужно предварительно уведомить и получить его письменное согласие.
Запрещена обработка избыточных и специальных данных. Нельзя запрашивать сведения, не относящиеся к трудовой деятельности. Обработка специальных категорий данных (о здоровье, религиозных убеждениях и т.д.) запрещена, кроме исключительных случаев, прямо предусмотренных законом. Например, если для должности нужно пройти медкомиссию.
Решения не могут быть основаны на автоматизированной обработке. Кадровые решения, затрагивающие интересы работника (прием, увольнение, перевод), не могут приниматься исключительно на основе автоматического анализа данных без человеческого участия и оценки.
Обеспечение безопасности и информирование — обязанность работодателя. Работодатель за свой счет обязан обеспечить защиту данных от утраты или неправомерного доступа. Каждый сотрудник должен быть под роспись ознакомлен с локальными актами, регулирующими обработку ПДн в компании (Политикой, Положениями и т.д.).
Стоит учитывать, что обработка ПДн сотрудников в рамках трудовых отношений чаще всего осуществляется для исполнения работодателем обязательств по трудовому договору, и отдельное согласие на это не требуется. Однако для любых иных целей (например, размещения фото в рекламе или корпоративном альбоме) требуется отдельное письменное согласие работника.
Важно! Распространено заблуждение, что, обрабатывая ПДн только сотрудников, оператор не обязан регистрироваться в Роскомнадзоре. Это не так. Ранее такая норма существовала, но с 1 сентября 2022 года она была отменена. Сейчас регистрация обязательна.
Что может делать с ПДн оператор
Закон определяет обработку персональных данных как любое действие или совокупность действий, совершаемых с данными. Полный перечень этих действий закреплен в п. 3 ст. 3 ФЗ №152-ФЗ:
Сбор — получение данных от субъекта или из иного законного источника.
Запись — фиксация, документирование данных на материальном или электронном носителе.
Систематизация — приведение данных в упорядоченный вид для работы с ними: например, внесение в картотеку или базу данных.
Накопление — увеличение объема данных путем добавления новых сведений в информационную систему.
Хранение — обеспечение сохранности данных в течение установленного срока.
Уточнение (обновление, изменение) — корректировка данных при изменении информации: например, смена фамилии или адреса.
Извлечение — перенос данных из места их хранения.
Использование — применение данных для достижения заявленной цели обработки.
Передача или предоставление доступа — раскрытие ПДн определенному кругу лиц или одному лицу.
Распространение — раскрытие ПДн неопределенному кругу лиц.
Обезличивание — действия, в результате которых становится невозможным определить принадлежность данных конкретному субъекту без использования дополнительной информации.
Блокирование — временное прекращение обработки данных: например, по требованию субъекта или на время проверки их актуальности.
Удаление — действия, в результате которых ПДн удаляются из ИСПДн, но их можно восстановить.
Уничтожение — физическое разрушение материального носителя данных: например, измельчение бумажных документов или стирание информации с диска.
Когда обязательна регистрация оператора в Роскомнадзоре
Регистрация обязательна во всех случаях, если оператор не попадает в перечень исключений, предусмотренных ст.22 ФЗ №152-ФЗ:
Обработка осуществляется без использования средств автоматизации. Это означает полное отсутствие компьютеров, баз данных, CRM-систем и любого иного программного обеспечения для работы с персональными данными. Все операции должны производиться вручную с бумажными носителями: например, картотекой в сейфе.
Обработка персональных данных, включенных в ГИС, созданные для защиты безопасности государства и общественного порядка. Данное исключение касается специальных систем, используемых государственными органами.
Обработка производится в строгом соответствии с законодательством о транспортной безопасности для защиты транспортного комплекса.
Например, должны регистрироваться в Роскомнадзоре самозанятые, ИП и юридические лица, которые обрабатывают ПДн с помощью средств автоматизации. К таким средствам относится любое программное обеспечение и информационные системы, которые выполняют операции с данными без постоянного непосредственного участия человека. Это, в частности, CRM-системы, программы бухгалтерского и кадрового учета (1С, Контур и аналоги), почтовые сервисы, облачные хранилища, а также инструменты сайта, предназначенные для автоматического сбора, обработки, хранения или передачи информации.
Как зарегистрироваться в Роскомнадзоре: пошаговая инструкция
Шаг 1: назначьте ответственного за организацию обработки ПДн
Это нужно сделать до регистрации организации в Роскомнадзоре. Ответственным может быть руководитель отдела, юрист, специалист отдела кадров или сторонняя компания, которой поручена обработка. Он назначается приказом.
Шаг 2: подготовьте пакет документов
Перед регистрацией в Роскомнадзоре нужно подготовить документы по работе с ПДн, поскольку сведения из них указываются в уведомлении.
Перечень документов зависит от категорий и объема обрабатываемых ПДн, масштабов бизнеса, но обычно требуется следующее:
Политика обработки персональных данных. Основной документ, раскрывающий цели, состав данных, сроки обработки и права субъектов. Должен быть публично доступен, обычно размещается в футере сайта.
Положение о защите персональных данных. Локальный акт, детально описывающий применяемые организационные и технические меры безопасности ПДн в компании.
Положение об ответственности работников. Закрепляет правила конфиденциальности и последствия их нарушения для сотрудников, допущенных к обработке данных.
Положение об уничтожении персональных данных. Устанавливает порядок безопасного уничтожения ПДн.
Положение об оценке вреда субъектам ПДн. Описывает методологию оценки ущерба и план действий в случае утечки данных.
Согласие на обработку персональных данных. Отдельный документ, получаемый от субъекта. С 1 сентября 2025 года его запрещено включать в состав договоров и других документов.
Согласие на рекламную рассылку. Самостоятельное разрешение на маркетинговые коммуникации, которое нельзя объединять с общим согласием на обработку ПДн.
Приказ о назначении ответственного за организацию обработки ПДн. Назначает сотрудника, контролирующего весь процесс работы с данными.
Приказ о назначении ответственного за обеспечение безопасности ПДн в ИС. Обязателен при обработке специальных или биометрических данных.
Приказ об утверждении перечня информационных систем ПДн. Содержит список всех программ и баз данных, где обрабатываются ПДн.
Приказ об утверждении перечня лиц, допущенных к обработке ПДн. Фиксирует круг сотрудников с правом доступа к данным.
Приказ об утверждении мест хранения материальных носителей ПДн. Определяет места для безопасного хранения бумажных и электронных носителей.
Приказ об утверждении состава комиссии по уничтожению носителей ПДн. Создает комиссию для уничтожения данных.
Приказ о проведении оценки вреда субъектам ПДн. Инициирует процедуру оценки последствий возможных инцидентов.
Приказ об утверждении форм документов по обработке ПДн. Утверждает шаблоны всех используемых бланков и журналов.
Инструкция ответственного за организацию обработки ПДн. Определяет его задачи и полномочия.
Инструкция по обеспечению безопасности ПДн в информационных системах. Устанавливает правила защиты в конкретных программных средах.
Регламент реагирования на обращения субъектов ПДн. Описывает процедуру работы с запросами граждан.
Журнал учета обращений субъектов ПДн. Регистрирует все входящие запросы и жалобы.
Журнал учета материальных носителей ПДн. Фиксирует движение бумажных и электронных носителей с данными.
Журнал учета паролей доступа к информационным системам ПДн. Обеспечивает контроль за учетными данными.
Шаг 3: заполните и подайте уведомление в Роскомнадзор
Это можно сделать на официальном сайте ведомства. Для регистрации в Роскомнадзоре подайте уведомление о начале обработки персональных данных. Подписать его можно с помощью настроенного плагина КриптоПро или через Госуслуги, но в последнем случае аккаунт исполнителя должен быть привязан к профилю организации на портале.
Также вы можете заполнить уведомление онлайн, распечатать, подписать его и отправить почтой или представить в территориальное подразделение РКН лично.
Шаг 4: проверьте регистрацию оператора в Роскомнадзоре
Ведомство рассмотрит уведомление в течение 30 календарных дней. Вы можете проверить регистрацию в Роскомнадзоре по ИНН, названию компании или регистрационному номеру, который вы получите после подачи уведомления.
Важно! Это открытый реестр, посмотреть информацию в нем может любой желающий, в том числе и ваши контрагенты.
Другие уведомления в Роскомнадзор
После обязательной регистрации в Роскомнадзоре оператор должен подавать другие уведомления в зависимости от ситуации:
1. Нарушение безопасности персональных данных (утечка). При выявлении любого случая неправомерного доступа к данным оператор обязан немедленно уведомить Роскомнадзор.
Сроки: в течение 24 часов — о самом факте инцидента; в течение 72 часов — о результатах внутреннего расследования и принятых мерах.
2. Намерение осуществить трансграничную передачу данных. Передача ПДн за пределы РФ требует предварительного уведомления.
Порядок: если данные передаются в страну, обеспечивающую адекватную защиту ПДн, передача возможна после уведомления. Если страна не обеспечивает адекватную защиту, необходимо подождать 10 рабочих дней с момента уведомления — за это время Роскомнадзор может вынести запрет на такую передачу.
3. Изменение сведений, указанных в уведомлении. Если меняются данные об операторе или ключевые параметры обработки (цели, категории данных, система безопасности), необходимо сообщить об этом в РКН
Срок: не позднее 15 числа месяца, следующего за месяцем, в котором произошли изменения.
4. Прекращение обработки персональных данных. При полном завершении деятельности по обработке ПДн (например, при ликвидации компании) оператор должен подать соответствующее уведомление.
Срок: не позднее чем через 10 рабочих дней с даты прекращения обработки.
Штрафы для операторов за нарушения
Чаще всего операторов штрафуют за отсутствие регистрации в Роскомнадзоре — в этом случае штраф для ИП и юрлиц составляет от 100 000 до 300 000 рублей.
Мы подготовили таблицу, в которой вы сможете изучить штрафы по ст.13.11 КоАП :
Нарушение
Штраф для ИП (руб.)
Штраф для юрлиц (руб.)
Обработка, несовместимая с целями сбора
50 000–100 000
150 000–300 000
Обработка без согласия, когда оно обязательно
100 000–300 000
300 000–700 000
Необеспечение публичного доступа к Политике обработки
10 000–20 000
30 000–60 000
Непредоставление субъекту информации, касающейся обработки его ПДн
20 000–30 000
40 000–80 000
Необеспечение мер безопасности при обработке ПДн без средств автоматизации, если это повлекло неправомерный доступ к материальным носителям ПДн
20 000–40 000
50 000–100 000
Невыполнение требования к локализации баз данных с ПДн в РФ
100 000–200 000
1–6 млн
Неуведомление РКН об утечке
400 000–800 000
1–3 млн
Утечка ПДн
До 20 млн — первично; от 1–3% годового оборота, но не более 500 млн рублей — при повторном нарушении. Размер штрафа зависит от масштаба инцидента и категорий утекших данных
Когда нужно обновлять документы по ПДн
Обязанности оператора регистрацией в Роскомнадзоре не ограничиваются. Для законной деятельности необходимо постоянно актуализировать документы и сведения в реестре. Это обусловлено двумя ключевыми факторами: возможными внутренними изменениями в компании (смена руководителя, адреса, внедрение новых IT-систем) и регулярным обновлением законодательства о персональных данных.
Вследствие этого оператор обязан:
Своевременно обновлять локальные регламенты и политики в области обработки ПДн, приводя их в соответствие с текущими бизнес-процессами и правовыми нормами.
Вносить изменения в сведения, заявленные в уведомлении Роскомнадзора, чтобы информация в государственном реестре всегда соответствовала фактическому положению дел. Несоответствие может быть расценено как нарушение.
Чтобы обезопасить себя и избежать штрафов, обратитесь к юристам сервиса Роском Онлайн. Они помогут зарегистрироваться в Роскомнадзоре и оформят пакет документов, который будет соответствовать всем требованиям ФЗ №152-ФЗ.
