Как зарегистрироваться в Роскомнадзоре: пошаговая инструкция

Какие данные относятся к персональным

Персональные данные (ПДн) — это любая информация, прямо или косвенно относящаяся к конкретному физическому лицу — субъекту ПДн (ст.3 ФЗ от 27.07.2006 №152-ФЗ). 

Например, к такой информации закон относит:

• фамилию, имя, отчество;
• дату и место рождения;
• адрес проживания или регистрации;
• семейное или имущественное положение;
• образование и профессию;
• доходы;
• контакты — номер телефона, адрес электронной почты;
• серию и номер паспорта;
• биометрические данные (отпечатки пальцев, образец голоса и т.д.);
• сведения о здоровье, национальности, вероисповедании.

Практический пример: 

Если ваш интернет-магазин при оформлении заказа запрашивает у клиента ФИО, телефон и адрес доставки, вы осуществляете обработку персональных данных. То же самое касается сбора email для рассылки, анкетирования соискателей вакансий или ведения базы клиентов в CRM-системе.

Кто считается оператором

Оператор персональных данных — это государственный, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими определяет цели обработки ПД, состав данных и действия с ними (ст.3 ФЗ №152-ФЗ). Проще говоря, если ваша компания или ИП решает, какие данные клиентов или сотрудников собирать, зачем и как их использовать, она является оператором. Это статус порождает юридические обязанности, в том числе по регистрации в Роскомнадзоре для ИП и организаций.

Примеры, когда компания или ИП считаются операторами ПДн:

1. Прием на работу. Сбор и хранение резюме, копий паспортов, ИНН, СНИЛС и других документов сотрудников — это обработка ПДн.
2. Онлайн-торговля. Если ваш интернет-магазин принимает заказы, запрашивая у покупателя ФИО, телефон и адрес для доставки, вы организуете обработку ПДн.
3. Оказание услуг. Фотограф, сохраняющий имена и телефоны клиентов в заметках телефона; частный врач, ведущий картотеку пациентов; репетитор, рассылающий материалы на email учеников — все они операторы.
4. Работа с клиентской базой. Любая систематизация контактов клиентов (в Excel, 1С, CRM) для рассылки, обратной связи или учета заказов попадает под это определение.
5. Продажа товаров или услуг через сайт. Сбор email-адресов через форму подписки на новости, использование cookies для анализа поведения пользователей — это тоже обработка персональных данных.

Какие данные может собирать оператор

Оператор не вправе запрашивать у субъекта все подряд ПДн. Закон устанавливает принцип: сбор персональных данных оператором должен быть ограничен достижением конкретных, заранее определенных и законных целей (ч. 5 ст. 5 ФЗ №152-ФЗ). Вы можете собирать и обрабатывать только те данные, которые нужны вам для достижения цели обработки.

Практический пример:

1. Цель: оказание платных медицинских услуг.
2. Категория субъекта: пациент.
3. Данные, которые можно собирать: ФИО, дата рождения, контактный телефон, адрес, полис ОМС/ДМС, СНИЛС, подробные сведения о состоянии здоровья (диагнозы, анамнез, результаты анализов).
4. Данные, которые собирать нельзя: сведения о доходах, источнике дохода, имущественном положении, религиозных убеждениях (если это напрямую не связано с лечением). Запрос такой информации будет считаться избыточным и незаконным.

Таким образом, перед сбором данных вы должны четко определить цель обработки и перечень конкретных данных, которые вам нужны для этой цели. 

Какие действия с ПДн может совершать оператор после регистрации в Роскомнадзоре

Оператор может совершать сразу несколько действий с ПДн:

1. Получение и фиксация данных:

• сбор — получение данных от субъекта или из иного разрешенного источника;
• запись — документирование, внесение в базу или реестр;
• систематизация — приведение данных в упорядоченный вид для удобства работы.

1. Работа с данными в процессе деятельности:

• накопление и хранение — обеспечение сохранности данных в течение установленного срока;
• уточнение (обновление, изменение) — корректировка при изменении информации: например, смена телефона клиента;
• извлечение — перенос данных из места их хранения;
• использование — применение данных для достижения целей обработки;
• передача (распространение, предоставление доступа) — раскрытие данных третьим лицам, включая контрагентов или государственные органы.

1. Завершение обработки:

• обезличивание — приведение данных к виду, который не позволяет идентифицировать субъекта без использования дополнительной информации.
• блокирование — временное прекращение обработки: например, по запросу субъекта.
• уничтожение — окончательное стирание данных из информационных систем и/или физическое уничтожение их носителей без возможности восстановления.

Рассмотрим типичную ситуацию, когда клиент покупает товар с доставкой. В этом случае интернет-магазин как оператор последовательно совершает три ключевых действия:

На первом этапе происходит сбор данных. Клиент заполняет форму заказа на сайте, добровольно указывая свой номер телефона, адрес электронной почты, ФИО и адрес доставки. Магазин запрашивает именно этот минимально необходимый объем сведений, требуемый для единственной цели — исполнения договора купли-продажи.

После этого автоматически начинается этап накопления. Указанные данные систематизируются и хранятся в базе магазина, например, в CRM-системе. Информация о клиенте связывается с данными о его заказе: наименованием товара, суммой и датой покупки. Так разрозненные сведения превращаются в структурированную запись для дальнейшего использования в работе.

Наконец, наступает этап хранения. После выполнения заказа вся совокупность информации сохраняется в информационной системе магазина на установленный срок. Это необходимо для обеспечения гарантийного обслуживания, решения возможных спорных вопросов и выполнения требований законодательства. Хранение осуществляется на защищенных серверах с соблюдением всех обязательных мер безопасности.

Когда нужно согласие на обработку

По общему правилу согласие на обработку нужно получать в большинстве случаев (ст.6 ФЗ №152-ФЗ). Оно оформляется отдельно от остальных документов. Но иногда обрабатывать ПДн можно без согласия:

1. Обработка необходима для исполнения договора, стороной которого является субъект ПДн, или для заключения договора по его инициативе. Это основание — одно из самых частых для бизнеса.
2. Обработка необходима для исполнения полномочий государственных или муниципальных органов, а также для предоставления государственных или муниципальных услуг.
3. Данные обрабатываются для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.
4. Обработка данных осуществляется в общедоступных источниках (например, справочники, реестры), при условии, что субъект сам сделал эти данные общедоступными.

Важный нюанс для работодателей: ПДн сотрудников обрабатываются для исполнения обязанностей по трудовому договору, соответственно, согласие на это не нужно. Однако для любых других целей — например, создания фотоальбома на корпоративном сайте, рассылки рекламных материалов на личную почту, — вы должны получить отдельное письменное согласие работника.

Когда нужно регистрироваться в Роскомнадзоре

Регистрация оператора персональных данных в Роскомнадзоре — это требование, под которое попадает большая часть представителей бизнеса. Оно не зависит от масштаба вашей компании или количества обрабатываемых ПДн. Самый важный критерий — обработка персональных данных с использованием средств автоматизации:

1. Ведение клиентской базы в CRM-системе или электронных таблицах.
2. Обработка заказов через сайт или мобильное приложение.
3. Использование почтовых сервисов (например, Яндекс.Почта, Gmail) для рассылок, где хранятся адреса клиентов.
4. Хранение сканов документов сотрудников или контрагентов на компьютере или в облаке.
5. Ведение учета в программах типа 1С, где есть данные физлиц.

Какие документы должен оформить оператор до регистрации в Роскомнадзоре

Перед подачей уведомления в РКН у оператора уже должны быть документы по персональным данным:

1. Политика обработки ПДн. Это ключевой внутренний документ, который регламентирует всю работу оператора с данными. 
2. Положения: об обработке и защите ПДн, о работе комиссии по ПДн, об ответственности работников, об уничтожении данных, об оценке вреда субъектам ПДн при утечке, и т.д.
3. Согласия: на обработку, передачу, распространение данных; на маркетинговые рассылки. 
4. Приказы: о назначении ответственного за организацию обработки ПДн, об утверждении перечня ИСПДн, об утверждении форм документов по ПДн, об утверждении состава комиссии по уничтожению ПДн, о проведении оценка вреда субъектам; об утверждении перечня лиц, допущенных к обработке данных; об утверждении мест хранения материальных носителей ПДн, и т.д. 
5. Иные документы: журналы учета, акты, инструкции, и т.д.

Общее количество документов может достигать 60-70 наименований. Все зависит от масштабов бизнеса, а также от категорий и объемов данных, которые будет обрабатывать оператор. 

Важно! Также в компании или у ИП должна храниться копия уведомления, которое подается при регистрации оператора в Роскомнадзоре. Она может понадобиться при проверках ведомством. 

Регистрация оператора в Роскомнадзоре: пошаговая инструкция

Зарегистрироваться в качестве оператора нужно еще до того, как вы приступите к сбору ПДн:

1. Назначьте ответственного за организацию обработки ПДн. Им может быть руководитель компании, юрист, кадровик или сторонняя организация, которой поручена обработка. Если речь идет об ИП, ответственным автоматически считается сам предприниматель. 
2. Разработайте документы. Вопреки ошибочному мнению многих людей, это нужно сделать до регистрации в Роскомнадзоре, поскольку сведения из этих документов указываются в уведомлении.
3. Заполните и подайте уведомление в Роскомнадзор через Госуслуги. Это можно сделать на официальном сайте ведомства. Также подписание доступно с помощью настроенного плагина КриптоПро.
4. Проверьте регистрацию в Роскомнадзоре по ИНН или названию компании. Сведения об операторе должны внести туда в течение 30 календарных дней после получения уведомления ведомством. 

Уведомление удобнее всего подавать онлайн, но при необходимости вы можете заполнить его на сайте РКН, затем подписать, распечатать и представить в территориальное отделение РКН лично или отправить почтой. 

Когда можно не уведомлять Роскомнадзор

Регистрация оператора в Роскомнадзоре не требуется, если соблюдено хотя бы одно из трех условий (ст.22 ФЗ №152-ФЗ):

1. Данные обрабатываются исключительно в бумажном виде.
2. Ведется обработка ПДн для безопасности общества и государства.
3. ПДн обрабатываются в рамках законодательства о транспортной безопасности. 

Какие еще уведомления подавать в Роскомнадзор

Помимо уведомления для регистрации организации в Роскомнадзоре, оператор обязан подавать другие уведомления в зависимости от ситуации:

1. Изменение сведений в ранее поданном уведомлении. Повторная подача чаще всего требуется при изменении данных об операторе или целях обработки. Например, если изменился юридический адрес или название компании, добавилась новая цель обработки. 

• Срок: не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

2. Факт нарушения безопасности персональных данных (утечка). При выявлении инцидента, приводящего к несанкционированному доступу к ПДн, оператор обязан действовать незамедлительно:

• в течение 24 часов — сообщить в Роскомнадзор о самом факте инцидента, начать оценку последствий и выявление причин;
• в течение 72 часов — предоставить регулятору результаты внутреннего расследования по данному факту.

3. Передача данных в другое государство. В этом случае до отправки ПДн в Роскомнадзор подается уведомление о намерении осуществлять трансграничную передачу персональных данных: 

• если данные передаются в страну, обеспечивающую адекватную защиту (Приказ Роскомнадзора от 05.08.2022 №128) передавать их можно сразу после подачи уведомления в Роскомнадзор;
• если страна не обеспечивает адекватную защиту, нужно подождать 10 рабочих дней после подачи уведомления — Роскомнадзор может запретить трансграничную передачу. 

4. Прекращение обработки персональных данных. Если оператор полностью завершает деятельность, связанную с обработкой ПДн, он должен уведомить об этом контролирующий орган не позднее 10 рабочих дней с даты прекращения деятельности. 

• Важно: если ИП или учредитель решат открыть бизнес заново, придется повторно проходить регистрацию в Роскомнадзоре. 

Соблюдение этих требований — прямая обязанность оператора, а их игнорирование влечет административную ответственность.

Ответственность операторов персональных данных

Нарушение требований ФЗ №152-ФЗ может стать причиной штрафа по ст.13.11 КоАП РФ. С мая 2025 года штрафы за многие правонарушения серьезно повысились: 

1. Обработка данных без законного основания или не в соответствии с заявленными целями. Например, использование номера телефона клиента, полученного для доставки заказа, для маркетинговых рассылок без отдельного согласия:

• штраф для юридических лиц: от 150 000 до 300 000 рублей;
• повторное нарушение: от 300 000 до 500 000 рублей.

2. Обработка данных без необходимого письменного согласия субъекта или с нарушением требований к его содержанию:

• штраф для юридических лиц: от 300 000 до 700 000 рублей;
• повторное нарушение: от 1 млн до 1.5 млн рублей. Для ИП штраф за повторное нарушение составляет от 500 000 до 1 млн рублей.

3. Отсутствие открытого доступа к Политике обработки ПДн (например, нет документа в футере сайта):

• штраф для юридических лиц: от 30 000 до 60 000 рублей, для ИП — от 10 000 до 20 000 рублей.

4. Непредставление субъекту информации об обработке его данных или неисполнение его законного требования об уточнении, блокировке или уничтожении данных:

• штрафы для юридических лиц: от 40 000 до 90 000 рублей;
• повторное неисполнение требования субъекта — от 300 000 до 500 000 рублей.

5. Отсутствие регистрации оператора персональных данных в Роскомнадзоре:

• штраф для юридических лиц и ИП: от 100 000 до 300 000 рублей.

6. Нарушение требований к локализации баз данных на территории РФ (актуально для большинства операторов):

• штраф для юридических лиц и ИП: от 1 млн до 6 млн рублей;
• повторное нарушение: от 6 млн до 18 млн рублей.

Особо суровые санкции установлены за утечки персональных данных. Размер штрафа зависит от масштаба инцидента и категории данных:

1. За утечку данных обычных категорий штрафы для юридических лиц и ИП начинаются от 3 млн рублей и могут достигать 15 млн рублей в зависимости от количества пострадавших субъектов.
2. За утечку специальных (здоровье, биометрия и др.) или биометрических категорий данных штрафы составляют от 10 млн до 20 млн рублей.
3. Повторная утечка может привести к штрафу в размере до 3% от годовой выручки, но не менее 20-25 миллионов рублей.

Важно: согласно примечаниям к статье 13.11 КоАП РФ, за наиболее серьезные нарушения (включая утечки и нарушение правила локализации) индивидуальные предприниматели несут ответственность в том же размере, что и юридические лица.