Работа с персональными данными с 30 мая 2025 года: регистрация в Роскомнадзоре, cookie и новые штрафы. Конспект вебинара с видео

Работа с персональными данными с 30 мая 2025 года: регистрация в Роскомнадзоре, cookie и новые штрафы. Конспект вебинара с видео

Рассмотрим все нововведения, касающиеся работы с персональными данными с 30 мая 2025 года. Разберем, как правильно зарегистрироваться в Роскомнадзоре, в какие сроки нужно направлять уведомление, какая ответственность за утечку персональных данных и что нужно делать владельцам сайтов.

Материалы в разборе

Видео вебинара

Спикер: Елена Ярушкина, кандидат экономических наук, доцент, главный бухгалтер (6 уровня квалификации), эксперт по независимой оценке квалификаций специалистов финансового рынка, продюсер-методолог «Центра обучения «Клерка».

Нормативная база

Ключевым нормативным актом по персональным данным является закон «О персональных данных» от 27.07.2006 № 152-ФЗ. Также работу с персональными данными регулирует постановление Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Начнем с рассмотрения основных понятий, которые указаны в законе, потому что некоторые пользователи трактуют их не всегда правильно. 

Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или неопределяемому физическому лицу (субъекту персональных данных). 

Обработка персональных данных — это любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. 

Классически к персональным данным относят:

  • Фамилию, имя и отчество.

  • Год, месяц, дату и место рождения.

  • Адрес.

  • Номер телефона и адрес электронной почты.

  • Паспортные данные.

  • Семейное, социальное и имущественное положение.

  • Образование, профессия и доходы.

  • Сведения о геопозиции, IP-адрес и тп.

Не все из перечисленных данных прямо указывают на пользователя, но они дают возможность его идентифицировать. Т. е. с помощью этих данных можно найти конкретного человека, например, номер телефона или почта, а также так называемые cookie.

Кроме этого не стоит забывать о том, что есть биометрические персональные данные:

  • отпечатки пальцев;

  • рисунок радужной оболочки глаз;

  • термограмма лица;

  • ДНК;

  • слепок голоса.

До 30 мая все, кто работает с персональными данными, должны подать уведомление в Роскомнадзор. Эта обязанность касается всех компаний, ИП, самозанятых и даже физических лиц (особенно это касается тех, кто ведет свои телеграмм-каналы или ВК-группы).

Касается ли закон граждан без регистрации в РФ или иностранных граждан? Да, касается. Все кто работает на территории РФ и имеет доступ к данным физических лиц на территории России, все являются операторами персональных данных.

Действие 152-ФЗ не распространяется на отношения, возникающие при: 

  • Обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.

  • Организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда и других архивных документов в соответствии с законодательством об архивном деле в РФ.

  • Обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Оператор персональных данных вправе осуществлять обработку ПД без уведомления Роскомнадзора, если:

  • Весь учет ведется на бумаге. Если хотя бы часть информации хранится и обрабатывается на компьютерах или других устройствах, то уведомление нужно подать.

  • Организация включена в государственные информационные системы и работает с персональными данными, размещенными в этих государственных информационных системах.

  • Компания работает с персональными данными в сфере транспортной безопасности. Если помимо перечисленных видов деятельности есть другие — ведение кадрового учета, работа с клиентами, заключение договоров или оказание услуг, то организация должна подать уведомление в Роскомнадзор.

Уведомление в Роскомнадзор подается один раз, вы становитесь оператором персональных данных. Если вы отказываетесь от такой обязанности, то наступает административная ответственность.

Роскомнадзор сегодня такой же цифровизованный, как и ФНС и они имеют доступ к базе налоговой, поэтому видят всю деятельность, отчетность и т. п.

Вне зависимости от формы деятельности организации необходимо назначить приказом ответственного за организацию обработки персональных данных и утвердить локальных нормативный акт по вопросам обработки персональных данных.

Политика обработки персональных данных

Согласно рекомендациям Роскомнадзора, политика в области обработки персональных данных должна включать 6 разделов:

1. Общие положения. Раскрываются основные понятия: объект ПД, субъект ПД, обработка персональных данных и другие.

2. Цели обработки персональных данных. Цели должны быть четкими, конкретными и законными.

3. Правовые основания. Перечисляются нормативные акты, которыми руководствуется оператор при работе с данными: федеральные законы, учредительные документы, договоры с субъектами ПД, согласие на обработку.

4. Объем и категории обрабатываемых сведений, категории субъектов ПД. Обозначаются группы лиц, чьи данные собираются и обрабатываются, а также категории ПД (общедоступные, специальные биометрические и другие).

5. Порядок и условия обработки ПД. Описываются конкретные действия с данными (сбор, хранение, передача и другие), способы обработки (автоматизированные и неавтоматизированные) и сроки.

6. Актуализация, изменение, удаление и уничтожение ПД, ответы на запросы субъектов на доступ к ПД.

Политика в отношении персональных данных есть на сайте Роскомнадзора

Политика должна быть доступна всем субъектам персональных данных. Политика должна быть размещена на КАЖДОЙ странице сайта, с помощью которой осуществляется сбор персональных данных. К тому же, пользователи должны принять эту Политику. Т. е. должен высветится такой баннер и пользователю необходимо поставить галочку в знак своего согласия.

Если у вас нет сайта, но вы все равно являетесь оператором персональных данных, то рекомендуется расположить эту Политику в уголке потребителя. Это будет означать, что политика является общедоступной, как уголок потребителя.

К самой политике необходимо приложить:

  • форму согласия на обработку ПД;

  • согласия на запрос ПД у третьих лиц;

  • согласие на хранение и распространение ПД;

  • форму журнала приема-передачи ПД.

Обратите внимание, если у вас компания с бухучетом на аутсорсе, следовательно, ваши работники должны дать согласие на обработку персональных данных компании, чтобы передать их бухгалтеру, нужно получить согласие на такое действие. 

ИП тоже разрабатывают Политику и локальные акты по персональным данным.

Все операторы, независимо от организационно-правовой формы, должны (ст. 18.1 закона № 152-ФЗ):

  • применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 закона № 152-ФЗ;

  • осуществлять внутренний контроль и (или) аудит соответствия обработки ПД установленным требованиям;

  • опубликовать или иным образом обеспечить неограниченный доступ к Политике в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите ПД;

  • при наличии сайта — опубликовать на сайте Политику в отношении обработки ПД посетителей сайта.

Спорить с Роскомнадзором в суде по этим пунктам бесполезно, очень большое количество выигранных дел. 

Дата публикации: 05.06.2025, 15:38

Войдите в аккаунт, чтобы прочитать экспертный материал от редакции Клерка

Это займет меньше минуты

Войдите через соцсети
или

Регистрируясь, я соглашаюсь с условиями пользовательского соглашения и обработкой персональных данных

Комментарии

6
  • wateronly

    Здравствуйте! Абсолютно все пользователи телефонов обладают персональными данными людей. Неужели все они должны регистрироваться в Роскомнадзоре? Зачем тогда регистрировать? Ведь абсолютно все обладают какими-то персональными данными людей.

    • wateronly

      Таким образом создали лишний повод наехать на человека или организацию.

      • wateronly

        @Татьяна-Васильевна, нам говорят, что с заботой о нас упрощают нам работу. На самом деле нас всё больше угнетают, зажимают, придумывают кучу "необходимых" регистраций и "документов". Всё это только оправдывает раздутые штаты контролирующих организаций и даёт повод взять за жабры любого бизнесмена, закрыть любого конкурента.

    • Борис Дубровин

      Не надо путать реальность и рекламу юридических услуг вкупе с некомпетентностью. Смотрю, народ уже совсем запугали. Большинство "страшных" трактовок логически приводят к абсурду. Например, к невозможности взять согласие на использование cookies, предварительно не нарушив закон. По той же логике использование гугл-шрифтов на сайте равносильно трансграничной передаче. По той же логике выдача номерков в гардеробной театра в обмен на пальто (полный аналог кук) - это тоже является обработкой персональных данных. И т.д.

      Да, с помощью кук можно идентифицировать человека, но только в том случае, если на него уже собраны настоящие ПД. Т.е. например если папочка с перс.данными помечена неким номером, то этот номер является... способом обезличивания. Но сам по себе номер в отрыве от настоящих ПД ничем не может являться.

Другие материалы по этой теме

Смотреть все

Курсы и вебинары по этой теме

Смотреть все

Консультации по этой теме

92

Оперативные ответы практикующих экспертов по бухгалтерии, налогам, кадрам, праву, работе с 1С и другим темам, которые важны бухгалтерам, предпринимателям и кадровикам

Лист ознакомления для ИП

Часто в приказах указан пункт "ознакомить всех работников". Издает приказ индивидуальный предприниматель, должности у него нет. Надо ли его ставить в лист ознакомления, в частности, когда утверждали Политику в отношении обработки персональных данных? Предполагаю, что не нужно, он ведь сам издал приказ. Как Вы считаете?

Эксперт:

Надежда К.

Регистрация в Роскомнадзоре ИП без работников

Эксперт:

Екатерина К.

Нужно ли подавать уведомление самозанятому об обработке и хранении персональных данных

Самозанятой проводит по договорам подряда рекламные акции. В данных акциях есть розыгрыш призов, где призы отправляются самостоятельно самозанятым
Нужно ли подавать уведомление самозанятому, если для отправки по почте/сдек он просит данные ФИО, адрес, телефон

Эксперт:

Екатерина К.

Регистрация в Роскомнадзоре ИП без работников

Добрый день. Подскажите, ИП работает без сотрудников. Деятельность ведет только с юридическими лицами и другими ИП. В договоре на свои услуги, указывает ФИО директора или ИП, телефоны, эл. почты организаций.
Считается ли это обработкой перс.данных и нужно ли подавать уведомление в Роскомнадзор

Эксперт:

Екатерина К.

Уведомление в Роскомнадзор самозанятому

Добрый день! Надо ли самозанятому подавать Уведомление в РКН, если:

1. оказывает услуги составления отчетности юр лицам (возможно, будут ИП)

2.учет ведется в 1С. данные юрлиц участвуют только в составлении отчетности, которая отправляется в фонды и ФНС

3. сайта нет. Все данные занесены в 1С из документов "руками". Документы возвращены

Эксперт:

Екатерина К.

Смотреть все консультации