Кто должен подавать заявление в Роскомнадзор об обработке персональных данных

Подавать уведомление в Роскомнадзор об обработке персональных данных должны практически все организации и предприниматели, которые работают с любой информацией о физлицах (клиентах, сотрудниках, пользователях и т.д.). Согласно закону № 152-ФЗ, зарегистрироваться в Роскомнадзоре должен каждый оператор персональных данных — будь то юридическое лицо, индивидуальный предприниматель, самозанятый или даже физлицо без статуса – до начала обработки персональных данных. Иными словами, как только вы начали собирать или хранить любые данные, по которым можно идентифицировать человека (ФИО, телефон, email, паспортные данные и пр.), вы стали оператором и обязаны уведомить регулятора.

Кто обязан подать уведомление в РКН:

Работодатели (любой формы) — если ведете учет персонала с помощью компьютеров или информационных систем (1С, Excel и пр.). Даже просто хранение данных сотрудников в электронном виде уже считается автоматизированной обработкой ПДн.

Компании и ИП, работающие с клиентскими данными. Например, интернет-магазины, сервисы с формами обратной связи, сайты с подпиской на рассылку, кафе, собирающие телефоны гостей для дисконтных программ — все, кто запрашивает у клиентов имя, телефон, email или другие сведения.

Владельцы онлайн-сервисов и приложений , которые регистрируют пользователей. Если на сайте или в приложении пользователи вводят персональные данные (контактную информацию, адрес, платежные данные и т.п.), вы оператор ПДн.

Организации, передающие данные третьим лицам. Сюда относятся, например, компании, которые передают клиентские контакты курьерским службам, колл-центрам, банкам и т.д.

Операторы, обрабатывающие «чувствительные» данные. Если вы собираете сведения о здоровье, биометрические данные, информацию о политических взглядах, религии, судимостях — такие данные требуют особой защиты, и уведомление РКН обязательно.

✅ Пример: даже получение от клиента сообщения с личными данными в мессенджере считается обработкой ПДн. Если, скажем, вы консультируете клиентов через WhatsApp1 и они присылают вам свои паспортные данные или иную личную информацию, формально вы уже ведете обработку персональных данных — а значит, должны подать заявление на регистрацию оператора ПДн.

Исключения: закон предусматривает всего три случая, когда не требуется подавать заявление в Роскомнадзор (ч. 2 ст.22 152-ФЗ). Уведомление можно не подавать, если персональные данные обрабатываются исключительно без средств автоматизации (т.е. полностью на бумаге, вручную), если данные включены в государственные информационные системы, созданные для обеспечения безопасности государства и порядка, или если данные обрабатываются в целях транспортной безопасности (например, системы видеонаблюдения на вокзалах или пропускные системы в аэропортах). На практике эти ситуации редки — почти все компании и ИП, работающие с персональными данными, обязаны зарегистрироваться в реестре Роскомнадзора.