Работа с персональными данными с 30 мая 2025 года: регистрация в Роскомнадзоре, cookie и новые штрафы. Конспект вебинара с видео

Спикер: Елена Ярушкина, кандидат экономических наук, доцент, главный бухгалтер (6 уровня квалификации), эксперт по независимой оценке квалификаций специалистов финансового рынка, продюсер-методолог «Центра обучения «Клерка».

Ключевым нормативным актом по персональным данным является закон «О персональных данных» от 27.07.2006 № 152-ФЗ. Также работу с персональными данными регулирует постановление Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Начнем с рассмотрения основных понятий, которые указаны в законе, потому что некоторые пользователи трактуют их не всегда правильно. 

Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или неопределяемому физическому лицу (субъекту персональных данных). 

Обработка персональных данных — это любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. 

Классически к персональным данным относят:

• Фамилию, имя и отчество.

• Год, месяц, дату и место рождения.

• Адрес.

• Номер телефона и адрес электронной почты.

• Паспортные данные.

• Семейное, социальное и имущественное положение.

• Образование, профессия и доходы.

• Сведения о геопозиции, IP-адрес и тп.

Не все из перечисленных данных прямо указывают на пользователя, но они дают возможность его идентифицировать. Т. е. с помощью этих данных можно найти конкретного человека, например, номер телефона или почта, а также так называемые cookie.

Кроме этого не стоит забывать о том, что есть биометрические персональные данные:

• отпечатки пальцев;

• рисунок радужной оболочки глаз;

• термограмма лица;

• ДНК;

• слепок голоса.

До 30 мая все, кто работает с персональными данными, должны подать уведомление в Роскомнадзор. Эта обязанность касается всех компаний, ИП, самозанятых и даже физических лиц (особенно это касается тех, кто ведет свои телеграмм-каналы или ВК-группы).

Касается ли закон граждан без регистрации в РФ или иностранных граждан? Да, касается. Все кто работает на территории РФ и имеет доступ к данным физических лиц на территории России, все являются операторами персональных данных.

Действие 152-ФЗ не распространяется на отношения, возникающие при: 

• Обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.

• Организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда и других архивных документов в соответствии с законодательством об архивном деле в РФ.

• Обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Оператор персональных данных вправе осуществлять обработку ПД без уведомления Роскомнадзора, если:

• Весь учет ведется на бумаге. Если хотя бы часть информации хранится и обрабатывается на компьютерах или других устройствах, то уведомление нужно подать.

• Организация включена в государственные информационные системы и работает с персональными данными, размещенными в этих государственных информационных системах.

• Компания работает с персональными данными в сфере транспортной безопасности. Если помимо перечисленных видов деятельности есть другие — ведение кадрового учета, работа с клиентами, заключение договоров или оказание услуг, то организация должна подать уведомление в Роскомнадзор.

Уведомление в Роскомнадзор подается один раз, вы становитесь оператором персональных данных. Если вы отказываетесь от такой обязанности, то наступает административная ответственность.

Роскомнадзор сегодня такой же цифровизованный, как и ФНС и они имеют доступ к базе налоговой, поэтому видят всю деятельность, отчетность и т. п.

Вне зависимости от формы деятельности организации необходимо назначить приказом ответственного за организацию обработки персональных данных и утвердить локальных нормативный акт по вопросам обработки персональных данных.

Согласно рекомендациям Роскомнадзора, политика в области обработки персональных данных должна включать 6 разделов:

1. Общие положения. Раскрываются основные понятия: объект ПД, субъект ПД, обработка персональных данных и другие.

2. Цели обработки персональных данных. Цели должны быть четкими, конкретными и законными.

3. Правовые основания. Перечисляются нормативные акты, которыми руководствуется оператор при работе с данными: федеральные законы, учредительные документы, договоры с субъектами ПД, согласие на обработку.

4. Объем и категории обрабатываемых сведений, категории субъектов ПД. Обозначаются группы лиц, чьи данные собираются и обрабатываются, а также категории ПД (общедоступные, специальные биометрические и другие).

5. Порядок и условия обработки ПД. Описываются конкретные действия с данными (сбор, хранение, передача и другие), способы обработки (автоматизированные и неавтоматизированные) и сроки.

6. Актуализация, изменение, удаление и уничтожение ПД, ответы на запросы субъектов на доступ к ПД.

Политика в отношении персональных данных есть на сайте Роскомнадзора. 

Политика должна быть доступна всем субъектам персональных данных. Политика должна быть размещена на КАЖДОЙ странице сайта, с помощью которой осуществляется сбор персональных данных. К тому же, пользователи должны принять эту Политику. Т. е. должен высветится такой баннер и пользователю необходимо поставить галочку в знак своего согласия.

Если у вас нет сайта, но вы все равно являетесь оператором персональных данных, то рекомендуется расположить эту Политику в уголке потребителя. Это будет означать, что политика является общедоступной, как уголок потребителя.

К самой политике необходимо приложить:

• форму согласия на обработку ПД;

• согласия на запрос ПД у третьих лиц;

• согласие на хранение и распространение ПД;

• форму журнала приема-передачи ПД.

ИП тоже разрабатывают Политику и локальные акты по персональным данным.

Все операторы, независимо от организационно-правовой формы, должны (ст. 18.1 закона № 152-ФЗ):

• применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 закона № 152-ФЗ;

• осуществлять внутренний контроль и (или) аудит соответствия обработки ПД установленным требованиям;

• опубликовать или иным образом обеспечить неограниченный доступ к Политике в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите ПД;

• при наличии сайта — опубликовать на сайте Политику в отношении обработки ПД посетителей сайта.