Кто относится к операторам персональных данных, как заполнить цели обработки в уведомлении для РКН и другие вопросы по 152-ФЗ

На вебинаре «Работа с персональными данными с 30 мая 2025 года: регистрация в Роскомнадзоре, cookie и новые штрафы» вопросов было ОЧЕНЬ много. Но многие сводятся к тому, что сопротивляемся и не хотим быть оператором персональных данных (ПД) и подавать уведомление. Поэтому начнем с того кто является оператором и должен все таки подать уведомление в Роскомнадзор и какие есть исключения. Отвечаем на самые частые вопросы.

Вопрос: Если ИП без работников, тоже нужно подавать уведомление?

Ответ: ИП работает с другими контрагентами юридическими лицами, ИП и СМЗ, заключает с ними договоры, выставляет счета, отгружает ТМЦ по доверенности и т.д. В ходе этой деятельности идет обработка персональных данных и эта работа ведется с применением компьютера, телефона и т.д. и идет накопление данных. Если данные хранятся в электронном виде, то требования закона 152-ФЗ действуют.

Вопрос: Нужно ли подавать уведомление, если директор является единственным учредителем ООО. 

Ответ: Да, даже если директор — единственный сотрудник, его данные — персональные данные, и организация обязана подать уведомление.

Вопрос: Подскажите пожалуйста, селлеры маркетплейсов являются ли операторами?

Ответ: Да, селлеры являются оператором персональным данных. Клиенты могут работать по доверенностям, данные в доверенностях тоже ПД, селлер может получать, например полное ФИО. Даже если есть только имя и фамилия, это может расцениваться как ПД.
Оператором ПД является лицо, которое обрабатывает ПД в электронном виде, с помощью компьютера и даже смартфона. Нужно учитывать, что согласно ст. 3 ФЗ от 27.07.2006 № 152-ФЗ (в ред. от 08.08.2024) «О персональных данных» под обработкой ПД понимается даже простое хранение в памяти компьютера или на другом электронном средстве.

В соответствии с п. 2 ст.1 №152-ФЗ действие закона не распространяется на отношения, возникающие при:

• обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

• организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в РФ;

• обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

В соответствии с ч. 2 ст. 22 №152-ФЗ оператор вправе осуществлять обработку ПД без уведомления Роскомнадзора когда:

1. Весь учет ведется на бумаге. Если хотя бы часть информации хранится и обрабатывается на компьютерах или других устройствах, то уведомление необходимо подать.

2. Организация включена в государственные информационные системы и работает с персональными данными, размещенными в этих государственных информационных системах.

3. Компания работает с персональными данными в сфере транспортной безопасности. Если помимо перечисленных видов деятельности есть другие — ведение кадрового учета, работа с клиентами, заключение договоров или оказание услуг, то организация должна подать уведомление в Роскомнадзор.

Вопрос: Как часто необходимо обновлять уведомление о начале обработки персональных данных?

Ответ: Уведомление о начале обработки ПД подается 1 раз. В случае изменения сведений, необходимо подать уведомление об изменении сведений.

Вопрос: Если цели обработки персональных данных разные, нужно подавать одно уведомление или несколько. 

Ответ: Нужно подавать одно уведомление с указанием всех целей обработки персональных данных.

По кнопке Добавить цель обработки добавляем следующую цель и для нее опять заполняем поля. Например, следующая цель Подбор персонала (соискателей) на вакантные должности оператора.

Вопрос: Какую дату указать в уведомлении, если деятельность началась в прошлом году?

Ответ: Укажите дату начала обработки ПД. Дело в том, что по данном составу правонарушений согласно КоАП РФ срок давности привлечении истекает спустя 90 дней с момента его совершения. 90 дней с 2024 г. уже давно истекли, поэтому вряд ли кто-то будет привлекать к ответственности. Даже если начнут привлекать, то суд отменит, как только будет заявление об истечение срока давности, да и суд это тоже проверяет.

Сам порядок заполнения уведомления построчно показали на вебинаре.

Больше всего вопросов вызывают такие поля в уведомлении как:

• описание мер, предусмотренных статьями 18.1 и 19 152-ФЗ;

• средства обеспечения безопасности;

• использование шифровальных (криптографических) средств;

• класс СКЗИ;

• наименование, изготовители, серийные номера средств шифрования.

Вот фрагмент уведомления. Большинство операторов используют ЭЦП и в данном разделе это надо указать.

На все вопросы в одной статье не ответить, поэтому мы записали отдельный онлайн-курс «Новые правила по защите персданных - 2025», на котором разобрали все нюансы работы с персданными.

Создали онлайн-курс «Новые правила по защите персданных - 2025», на котором объясним, как безопасно работать с персданными, кто должен подавать уведомления в РКН, как их заполнять, а также как отвечать на требования Роскомнадзора.

Начните учиться на онлайн-курсе уже сегодня со скидкой 67% за 14 990 4 900 руб. и защититесь от огромных штрафов за ошибки!

Купить курс

Дадим готовые шаблоны и примеры документов, которые помогут не налететь на гигантские штрафы Роскомнадзора!