Материалы в разборе
Видео вебинара
Спикер: Елена Ярушкина, кандидат экономических наук, доцент, главный бухгалтер (6 уровня квалификации), эксперт по независимой оценке квалификаций специалистов финансового рынка, продюсер-методолог «Центра обучения «Клерка».
Нормативная база
Ключевым нормативным актом по персональным данным является закон «О персональных данных» от 27.07.2006 № 152-ФЗ. Также работу с персональными данными регулирует постановление Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Начнем с рассмотрения основных понятий, которые указаны в законе, потому что некоторые пользователи трактуют их не всегда правильно.
Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или неопределяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — это любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Классически к персональным данным относят:
Фамилию, имя и отчество.
Год, месяц, дату и место рождения.
Адрес.
Номер телефона и адрес электронной почты.
Паспортные данные.
Семейное, социальное и имущественное положение.
Образование, профессия и доходы.
Сведения о геопозиции, IP-адрес и тп.
Не все из перечисленных данных прямо указывают на пользователя, но они дают возможность его идентифицировать. Т. е. с помощью этих данных можно найти конкретного человека, например, номер телефона или почта, а также так называемые cookie.

Кроме этого не стоит забывать о том, что есть биометрические персональные данные:
отпечатки пальцев;
рисунок радужной оболочки глаз;
термограмма лица;
ДНК;
слепок голоса.
До 30 мая все, кто работает с персональными данными, должны подать уведомление в Роскомнадзор. Эта обязанность касается всех компаний, ИП, самозанятых и даже физических лиц (особенно это касается тех, кто ведет свои телеграмм-каналы или ВК-группы).
Касается ли закон граждан без регистрации в РФ или иностранных граждан? Да, касается. Все кто работает на территории РФ и имеет доступ к данным физических лиц на территории России, все являются операторами персональных данных.
Действие 152-ФЗ не распространяется на отношения, возникающие при:
Обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.
Организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда и других архивных документов в соответствии с законодательством об архивном деле в РФ.
Обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Оператор персональных данных вправе осуществлять обработку ПД без уведомления Роскомнадзора, если:
Весь учет ведется на бумаге. Если хотя бы часть информации хранится и обрабатывается на компьютерах или других устройствах, то уведомление нужно подать.
Организация включена в государственные информационные системы и работает с персональными данными, размещенными в этих государственных информационных системах.
Компания работает с персональными данными в сфере транспортной безопасности. Если помимо перечисленных видов деятельности есть другие — ведение кадрового учета, работа с клиентами, заключение договоров или оказание услуг, то организация должна подать уведомление в Роскомнадзор.
Уведомление в Роскомнадзор подается один раз, вы становитесь оператором персональных данных. Если вы отказываетесь от такой обязанности, то наступает административная ответственность.

Роскомнадзор сегодня такой же цифровизованный, как и ФНС и они имеют доступ к базе налоговой, поэтому видят всю деятельность, отчетность и т. п.
Вне зависимости от формы деятельности организации необходимо назначить приказом ответственного за организацию обработки персональных данных и утвердить локальных нормативный акт по вопросам обработки персональных данных.
Политика обработки персональных данных
Согласно рекомендациям Роскомнадзора, политика в области обработки персональных данных должна включать 6 разделов:
1. Общие положения. Раскрываются основные понятия: объект ПД, субъект ПД, обработка персональных данных и другие.
2. Цели обработки персональных данных. Цели должны быть четкими, конкретными и законными.
3. Правовые основания. Перечисляются нормативные акты, которыми руководствуется оператор при работе с данными: федеральные законы, учредительные документы, договоры с субъектами ПД, согласие на обработку.
4. Объем и категории обрабатываемых сведений, категории субъектов ПД. Обозначаются группы лиц, чьи данные собираются и обрабатываются, а также категории ПД (общедоступные, специальные биометрические и другие).
5. Порядок и условия обработки ПД. Описываются конкретные действия с данными (сбор, хранение, передача и другие), способы обработки (автоматизированные и неавтоматизированные) и сроки.
6. Актуализация, изменение, удаление и уничтожение ПД, ответы на запросы субъектов на доступ к ПД.
Политика в отношении персональных данных есть на сайте Роскомнадзора.
Политика должна быть доступна всем субъектам персональных данных. Политика должна быть размещена на КАЖДОЙ странице сайта, с помощью которой осуществляется сбор персональных данных. К тому же, пользователи должны принять эту Политику. Т. е. должен высветится такой баннер и пользователю необходимо поставить галочку в знак своего согласия.

Если у вас нет сайта, но вы все равно являетесь оператором персональных данных, то рекомендуется расположить эту Политику в уголке потребителя. Это будет означать, что политика является общедоступной, как уголок потребителя.

К самой политике необходимо приложить:
форму согласия на обработку ПД;
согласия на запрос ПД у третьих лиц;
согласие на хранение и распространение ПД;
форму журнала приема-передачи ПД.
Обратите внимание, если у вас компания с бухучетом на аутсорсе, следовательно, ваши работники должны дать согласие на обработку персональных данных компании, чтобы передать их бухгалтеру, нужно получить согласие на такое действие.
ИП тоже разрабатывают Политику и локальные акты по персональным данным.
Все операторы, независимо от организационно-правовой формы, должны (ст. 18.1 закона № 152-ФЗ):
применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 закона № 152-ФЗ;
осуществлять внутренний контроль и (или) аудит соответствия обработки ПД установленным требованиям;
опубликовать или иным образом обеспечить неограниченный доступ к Политике в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите ПД;
при наличии сайта — опубликовать на сайте Политику в отношении обработки ПД посетителей сайта.
Спорить с Роскомнадзором в суде по этим пунктам бесполезно, очень большое количество выигранных дел.
Дата публикации: 05.06.2025, 15:38
Комментарии
6Здравствуйте! Абсолютно все пользователи телефонов обладают персональными данными людей. Неужели все они должны регистрироваться в Роскомнадзоре? Зачем тогда регистрировать? Ведь абсолютно все обладают какими-то персональными данными людей.
Таким образом создали лишний повод наехать на человека или организацию.
удивительно, что есть пользователи, которые проспали все обсуждение по РКМ
@Татьяна-Васильевна, нам говорят, что с заботой о нас упрощают нам работу. На самом деле нас всё больше угнетают, зажимают, придумывают кучу "необходимых" регистраций и "документов". Всё это только оправдывает раздутые штаты контролирующих организаций и даёт повод взять за жабры любого бизнесмена, закрыть любого конкурента.
@wateronly, так чего теперь то рассуждать? поздно пить боржоми когда почки отказали (с)
Не надо путать реальность и рекламу юридических услуг вкупе с некомпетентностью. Смотрю, народ уже совсем запугали. Большинство "страшных" трактовок логически приводят к абсурду. Например, к невозможности взять согласие на использование cookies, предварительно не нарушив закон. По той же логике использование гугл-шрифтов на сайте равносильно трансграничной передаче. По той же логике выдача номерков в гардеробной театра в обмен на пальто (полный аналог кук) - это тоже является обработкой персональных данных. И т.д.
Да, с помощью кук можно идентифицировать человека, но только в том случае, если на него уже собраны настоящие ПД. Т.е. например если папочка с перс.данными помечена неким номером, то этот номер является... способом обезличивания. Но сам по себе номер в отрыве от настоящих ПД ничем не может являться.