Эксперт:

Кто считается оператором персональных данных

В России все, что касается персональных данных, регулируется Федеральным законом от 27 июля 2006 г. № 152-ФЗ (закон о персональных данных). Он определяет правила работы с личными данными граждан и защищает право на частную жизнь, личную и семейную тайну.

Персональные данные (ПД) — любая информация, которая прямо или косвенно относится к определенному физическому лицу (субъекту ПД). Это могут быть Ф. И. О., паспортные данные, адрес проживания, номер телефона, электронная почта, сведения о здоровье, финансовом положении и другие данные, с помощью которых можно идентифицировать человека. Например, если предприниматель просто собирает городские номера телефонов компаний — это не считается персональными данными, а сочетание имени представителя и номера телефона уже считается.

Оператор персональных данных (ОПД) — любой государственный или муниципальный орган, а также любое физическое или юридическое лицо, осуществляющее или организующее обработку ПД.

Основные признаки оператора персональных данных (закон № 152-ФЗ):

• он сам определяет порядок действий с персональными данными, решает, каким образом обрабатывать и защищать информацию;
• устанавливает конкретные цели сбора и обработки персональных данных;
• определяет состав персональных данных, подлежащих обработке;
• обрабатывает данные человека (субъекта ПД).

По сути, это признаки почти любого бизнеса. Если организация, ИП или самозанятый собирает личные данные сотрудников, клиентов, контрагентов, а также посетителей сайта или соцсети, то становится оператором персональных данных.

Все операторы персональных данных обязаны:

• подавать уведомление в Роскомнадзор для регистрации в реестре операторов персональных данных;
• составлять и обновлять политику обработки данных;
• обеспечивать законное основание обработки ПД субъектов, предусмотренное ст. 6 закона о персональных данных;
• информировать субъектов ПД о целях, условиях и способах обработки;
• своевременно реагировать на запросы субъектов об их ПД;
• защищать данные от утечки, а если она произошла, оперативно о ней информировать;
• хранить ПД на российских серверах;
• уничтожать или обезличивать ПД после завершения обработки.

Когда уведомлять Роскомнадзор об обработке персональных данных

По закону операторы обязаны уведомить Роскомнадзор (РКН) об обработке персональных данных до того, как она началась.

Согласно ч. 2 ст. 22 закона о персональных данных, уведомление РКН не требуется, только если:

• персональные данные обрабатываются в государственных автоматизированных системах, предназначенных для обеспечения безопасности страны и общественного порядка;
• обработка происходит вручную, без использования компьютеров и других автоматизированных средств;
• работа с данными ведется в рамках законодательства о транспортной безопасности (например, для обеспечения бесперебойной работы транспортной инфраструктуры и предотвращения угроз);
• частные лица используют персональные данные исключительно для собственных бытовых нужд (например, личные контакты в адресной книге смартфона или записной книжке).

Таким образом, регистрироваться в Роскомнадзоре обязаны все, кто систематически работает с персональными данными при профессиональной или коммерческой деятельности, а именно:

• юридические лица;
• ИП, включая тех, кто нанимает персонал или собирает контактные данные клиентов и контрагентов;
• самозанятые, если они ведут учет клиентской базы или подрядчиков в коммерческих целях.

Ответственность за неуведомление Роскомнадзора

С 30 мая 2025 года действуют новые правила, которые повышают ответственность операторов персональных данных за нарушение порядка уведомления РКН. До того применялась общая норма административной ответственности по ст. 19.7 КоАП РФ. Теперь же введены специальные нормы, непосредственно регулирующие случаи отсутствия или задержки уведомления РКН:

• за неуведомление или несвоевременное уведомление о намерении вести обработку персональных данных штраф для малых и микропредприятий — от 50 тыс. до 150 тыс. руб., для иных юрлиц (коммерческих организаций) и ИП — от 100 тыс. до 300 тыс. руб.;
• за неуведомление или несвоевременное уведомление о фактах неправомерной или случайной передачи персональных данных штраф для малых и микропредприятий — от 500 тыс. до 1,5 млн руб., для иных юрлиц (коммерческих организаций) и ИП — от 1 млн до 3 млн руб.

Также возможна приостановка деятельности компании и блокировка сайта.

Как подать уведомление в Роскомнадзор: инструкция

Регистрация оператора персональных данных подразумевает заполнение уведомительного бланка по форме, приведенной в приложении № 1 к приказу Роскомнадзора от 28 октября 2022 г. № 180.

Рассмотрим процесс пошагово.

Шаг 1. Выбор формы уведомления

1. Зайти на официальный сайт Роскомнадзора. На главной странице в «Направлениях деятельности» выбрать «Для операторов персональных данных».
2. В «Электронных формах заявлений» выбрать:
3. • если подается впервые — «Уведомление о намерении осуществлять обработку персональных данных»;
   • если нужно внести изменения — «Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных».
3. Выбрать форму подачи уведомления (размещена на сайте):
4. • в электронном виде, если есть усиленная квалифицированная электронная подпись (УКЭП);
   • с использованием средств аутентификации ЕСИА при наличии подтвержденной учетной записи на «Госуслугах»;
   • в бумажном виде — после заполнения форма распечатывается и направляется в территориальный орган Роскомнадзора.

Шаг 2. Заполнение формы уведомления

1. Выбрать регион регистрации, на территории которого зарегистрированы юрлицо, ИП или самозанятый.
2. Раздел «Сведения об операторе»:
3. • выбрать тип оператора персональных данных в выпадающем списке (юрлицо, ИП, физлицо);
   • заполнить все реквизиты по форме РКН (могут различаться в зависимости от типа оператора);
   • указать регион (или регионы), в котором осуществляется деятельность;
   • при наличии филиалов добавить информацию и о них.
3. «Цели обработки персональных данных» — указываются те, которые соответствуют деятельности компании.
   
   Например, если компания занимается бухучетом, то целью будет «Ведение бухгалтерского и кадрового учета». Если обрабатываются данные клиентов, с которыми компания планирует заключить или уже исполняет договор, необходимо выбрать цель «Подготовка, заключение и исполнение гражданско-правового договора». А если предприниматель рассылает письма с рекламой своих услуг по электронной почте, можно указать цель «Продвижение товаров, работ, услуг». Важно убедиться, что цели обработки персональных данных, указанные в уведомлении, совпадают с теми, что указаны в документах компании (например, в политике обработки персональных данных, пользовательском соглашении, политике конфиденциальности).
   
   Дальнейшая информация заполняется для каждой цели обработки персональных данных:
4. • категории персональных данных;
   • категории субъектов ПД;
   • правовое основание обработки персональных данных;
   • перечень действий;
   • способы обработки.
4. «Категории персональных данных» — указывается, какие именно персональные данные обрабатываются для каждой заявленной цели.
   
   Соответствующая категория данных отмечается галочкой. Если необходимые пункты в представленном списке отсутствуют, галочку надо поставить в строке «Иные персональные данные», после чего дополнительно указать недостающие категории вручную.
5. «Категории субъектов, персональные данные которых обрабатываются» — можно указать следующие категории, в зависимости от деятельности:
6. • клиенты;
   • посетители сайта;
   • контрагенты;
   • работники;
   • соискатели и другие.
6. «Правовое основание» — внести законное основание обработки ПД, проставив галочки у подходящих оснований из списка.
7. «Перечень действий» — указать конкретные операции по работе с данными: сбор, запись, блокировку, систематизацию, накопление, хранение, передачу, уточнение, использование, извлечение, удаление, уничтожение.
8. «Способы обработки» — выбрать свой вариант. Многие организации применяют не только автоматические методы обработки данных, поэтому оптимальным решением станет указание смешанного подхода для всех целей.
9. «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона „О персональных данных“» — указываются сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных. Это могут быть:
10. • локальные нормативные акты, регламентирующие работу с ПД внутри компании;
    • проведение инструктажей и тренингов среди сотрудников;
    • установка современных антивирусных решений и систем обнаружения вторжений для предотвращения кибератак;
    • использование сертифицированных средств криптографической защиты данных, рекомендованных государственными органами;
    • ограниченный доступ к помещениям хранения ПД;
    • периодическое тестирование эффективности защитных механизмов и совершенствование инфраструктуры безопасности.
10. «Средства обеспечения безопасности» — указать наименования средств защиты информации, которые используются (например, название антивируса).
11. «Использование криптографических средств» — указать применяемое шифрование для обеспечения конфиденциальности и защиты данных. Например, средства криптографической защиты используются, когда применяются программы вроде «КриптоПро» для подтверждения подлинности электронных документов посредством электронной подписи.
    
    Важно зафиксировать такие характеристики криптографического средства, как его класс защиты, название продукта, серийные номера. Все сведения можно найти в технической документации средства шифрования.
12. «Ответственный за организацию обработки персональных данных» — указать его Ф. И. О., почтовый адрес, номер контактного телефона, адрес электронной почты.
13. «Дата начала обработки персональных данных» — указать дату регистрации ИП, юридического лица или получения статуса самозанятого.
14. «Срок или условие прекращения обработки персональных данных» — вносятся сведения о том, когда и при каких обстоятельствах прекращается обработка данных. Рекомендуем выбрать «Прекращение деятельности организации».
15. «Осуществление трансграничной передачи персональных данных» — указать, производится ли передача персональных данных за границу (например, использование систем и сервисов, расположенных на зарубежных серверах).
    
    Если трансграничная передача данных осуществляется, нужно подать отдельное уведомление о таком действии в РКН.
16. «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ» — отметить, где территориально хранятся персональные данные.
17. «Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах» — бизнесу заполнять нет необходимости, так как он заполняется только операторами государственных или муниципальных информационных систем.
18. «Сведения об обеспечении безопасности персональных данных» — внести меры, предпринятые для защиты ПД. Требования установлены постановлением Правительства РФ. В соответствии с ним можно указать следующие меры:
19. • организован режим обеспечения безопасности помещений, предназначенных для обработки персональных данных;
    • утвержден перечень лиц, которым требуется доступ к персональным данным для выполнения их обязанностей;
    • обеспечена сохранность носителей персональных данных;
    • назначено лицо, ответственное за обеспечение безопасности персональных данных;
    • используются средства защиты информации, прошедшие оценку соответствия требованиям законодательства.
19. Нужно указать контактные данные исполнителя, который занимался оформлением и подачей уведомления. Исполнителем может выступать любой сотрудник, которому поручено заполнить и направить уведомление.
20. После заполнения разделов нужно подписать уведомление и направить в Роскомнадзор. Важно сохранить присвоенный номер и ключ — они пригодятся для отслеживания статуса.

Шаг 3. Проверка статуса оператора персональных данных

Если уведомление подано в электронном виде, то есть возможность отслеживать его статус. Номер уведомления и ключ появятся автоматически после заполнения формы на сайте РКН (они потребуются для входа).

Обычно подтверждение о том, что уведомление принято, поступает в течение нескольких рабочих дней. Проверить можно в реестре операторов персональных данных на официальном сайте РКН.

Сроки подачи уведомления

При уведомлении РКН важно соблюдать сроки:

• до начала обработки — если подается впервые;
• до 15 числа следующего месяца — если изменились сведения (например, сменился ответственный);
• в течение 10 рабочих дней — если обработка прекращается;
• в течение 24 часов — если произошла утечка данных;
• в течение 72 часов — чтобы передать результаты внутренней проверки после утечки.

Какие документы нужны

Оператору персональных данных нужно не только направить уведомление в РКН, но и разработать внутренний комплект документов (ст. 18.1 закона № 152-ФЗ), в которых будут описаны все процессы работы с ПД (регламенты, положения, инструкции).

В законе нет исчерпывающего перечня документации. Оператор персональных данных составляет его исходя из своих потребностей и специфики работы.

Основные документы, которые должны быть:

• политика обработки персональных данных, которая содержит цели обработки ПД, а также (для каждой цели): категории и перечень ПД, категории субъектов ПД, способы обработки ПД, сроки обработки и порядок уничтожения ПД;
• положение об обработке ПД, которое детально описывает процесс организации работы с ПД в компании;
• приказ о назначении лица, ответственного за организацию обработки ПД;
• методики, памятки, инструкции, которые более детально описывают конкретные процессы и требования к ним;
• типовые формы документов — например, согласия на обработку ПД.

РКН вынес предупреждение: что делать

Если до 30 мая 2025 года юрлицо, ИП или самозанятый не успели уведомить Роскомнадзор о начале обработки персональных данных, первое нарушение не предусматривает крупных денежных взысканий. Согласно ч. 1 ст. 4.1.1 КоАП РФ, нарушителю грозит предупреждение. А вот при повторном нарушении санкции уже будут применяться в полном объеме.

Получив предупреждение от Роскомнадзора за нарушение порядка уведомления о начале обработки персональных данных, важно сразу принять меры, чтобы избежать привлечения к ответственности и назначения штрафа.

Пошаговая инструкция на основе закона № 152-ФЗ:

1. Ознакомиться с текстом предупреждения (обратить особое внимание на формулировки нарушения).
2. Установить причины предупреждения:

• • если причина в отсутствии уведомления, незамедлительно подготовить его, заполнив соответствующую форму;
  • если нарушена процедура внесения изменений в существующий реестр, воспользоваться формой отзыва уведомления и заново представить правильное.

3. Представить в РКН доказательство устранения нарушения (подготовить и отправить официальное обращение с описанием принятых мер и фактов устранения нарушения).
4. Получить подтверждение от РКН по итогам рассмотрения представленных материалов об успешном устранении нарушения и внесении в реестр операторов персональных данных.

РКН вынес решение о штрафе: как действовать

Роскомнадзор самостоятельно не налагает штрафы по делам об административных правонарушениях. Его полномочия ограничиваются выявлением правонарушений, проведением проверок и формированием материалов дела.

Решение о штрафе само по себе не является документом, обязывающим его уплатить. Оно лишь отражает зафиксированный факт административного правонарушения и предложение передать дело в суд для принятия решения о наказании.

Суд изучает представленные материалы и выносит постановление о наложении штрафа или иного вида наказания.

Если у оператора есть сомнения относительно справедливости и законности решения РКН, то он имеет право на обжалование.

Но если оператор понимает, что принятое решение РКН обоснованно и оснований для обжалования нет, лучше не откладывая уплатить штраф, чтобы избежать начисления исполнительских сборов.

Судебная практика: частные случаи

Поводом для привлечения к ответственности может послужить:

• непредставление уведомления;
• представление с опозданием;
• представление в неполном объеме или искаженном виде.

Рассмотрим пример из судебной практики.

Постановлением мирового судьи работодатель был привлечен к административной ответственности по ст. 19.7 КоАП РФ в виде предупреждения.

Основанием послужило то, что он не представил на запрос Роскомнадзора ни уведомления об обработке персональных данных, ни информационного письма с указанием законных оснований, в соответствии с которыми он вправе осуществлять обработку без уведомления.

Суд постановил, что любое использование адресов, паспортных данных, банковских реквизитов и прочих личных данных сотрудников, кандидатов на работу, заказчиков и партнеров считается обработкой персональных данных. Следовательно, работодатель обязан уведомить Роскомнадзор о начале такой обработки.

(Постановление Первого кассационного суда общей юрисдикции от 14 марта 2022 г. по делу № 16-1309/2022.)

Главное о регистрации операторов персональных данных в РКН

• Оператор персональных данных (ОПД) — это любой государственный или муниципальный орган, а также любое физическое или юридическое лицо, включая организации, ИП и самозанятых, осуществляющее или организующее обработку ПД.
• Все ОПД должны уведомлять Роскомнадзор (РКН) об обработке персональных данных сотрудников, клиентов, посетителей сайтов, контрагентов и других лиц до того, как эта обработка начнется.
• Уведомление об обработке персональных данных подается на официальном сайте РКН в удобной форме (бумажной или электронной).
• Помимо уведомления РКН, ИП и компаниям нужно подготовить внутреннюю документацию, связанную с обработкой персональных данных.
• За отсутствие уведомления РКН, а также его несвоевременную подачу или ошибки в нем налагаются штрафы, которые с 30 мая 2025 года многократно возросли.