Обработка персональных данных — неотъемлемая часть работы практически  любого бизнеса. Сохраняете ФИО и контакты своих клиентов — значит вы осуществляете обработку ПДн, и вы должны уведомить Роскомнадзор об этом.

Разберем подробнее.

Почему это нужно?

Закон № 152-ФЗ регулирует операции с персональными данными. 

С 2006 года Роскомнадзор требует от компаний сообщать, если они намерены осуществлять обработку персональных данных.

С 30 мая 2025 года за неуведомление об обработке данных вводится ответственность, и увеличены суммы штрафов. 

Что такое персональные данные 

Персональные данные — любая информация, которая относится прямо или косвенно к физическому лицу. Физлицо считается субъектом персональных данных.

Что относится к персональным данным? 

Многие думают, что это только данные, которые помогают идентифицировать человека, например: 

• ФИО
• паспортные данные
• номер телефона
• электронная почта и т.д

Это не совсем так. Любая информация, указанная в совокупности с ФИО, тоже относится к персональным данным. 

Например номер телефона сам по себе не является персональные данные. Но вот если вы храните номер телефона вместе с ФИО — это уже данные.

Оператор персональных данных

Оператор персональных данных (ОПД)  — этот тот, кто использует данные других людей в своих целях, интересах бизнеса или государства. Он занимается сбором и обработкой данных. 

Согласие на обработку персональных данных

Согласие на обработку персональных данных  — это документ описывающий механизм сбора, обработки, и хранения персональных данных. Подписывая данный документ субъект персональных данных юридически разрешает работу с ними оператору.

Оператор обязан получить от человека согласие на обработку его  персональных данных. 

Что такое обработка персональных данных 

Обработка ПДн — это любые действия с персональными данными. Среди них: 

• сбор;
• запись; 
• систематизация; 
• накопление; 
• хранение; 
• уточнение, обновление, изменение; 
• извлечение;
• использование; 
• передача, распространение, предоставление доступа
• обезличивание
• блокирование
• удаление и  уничтожение персональных данных.

Способы обработки ПДн

Есть два способа обработки: с автоматизацией и вручную.  

• Автоматизация при обработке данных — это использование любого  программного обеспечения (excel-таблицы, CRM-системы, системы учёта сотрудников, облачные хранилища, колл-трекинг, платформы для онлайн-оплаты и т.д. Если заключаете договоры и храните их в бумажном виде, но данные по клиентам записываете в excel-таблицу, это тоже считается автоматизацией.
• Обработка данных вручную — работа с бумажными документами, без внесения данных в программы, сервисы и системы. 

Кому необходимо подавать уведомления в РКН

По закону операторы обязаны заранее подать в Роскомнадзор уведомление о том, что будут обрабатывать персональные данные. Сделать это надо до начала сбора, хранения и других действий с личной информацией. 

Но есть три исключения, когда можно обрабатывать данные без уведомления: 

• Обработка персональных данных, включённых в государственные информационные системы безопасности. 
• Обработка персональных данных в рамках транспортной безопасности. 
• Обработка вручную — без автоматизации. 

Как подать уведомление в РКН

В первую очередь нужно подготовить ряд документов регламентирующих обработку ПДн в вашей компании.

Мы подготовили для вас шаблонизатор этих документов в Evolutrix в разделе Настройки > Обработка ПДн.

Минимальный пакет подготовленных документов:

1. Политика обработки ПДн
2. Приказ о назначении ответственного за обработку ПДн
3. Поручения на обработку ПДн на всех ваших сотрудников, принимающих участие в обработке

Когда документы подготовлены вы можете приступить к подаче уведомления.

Есть несколько способов подать уведомление об обработке персональных данных.

• Уведомление на бумаге. Заполните форму на сайте Роскомнадзора, распечатайте, подпишите у руководителя. Оформите заказное письмо с описью вложения и отправьте в Роскомнадзор по месту регистрации физлица, ИП или юрлица. 
• Уведомление онлайн. Авторизуйтесь через Госуслуги или заполните форму на сайте Роскомнадзора. Затем подпишите усиленной квалифицированной электронной подписью (УКЭП) и отправьте. 

Найти форму вы можете на сайте Роскомнадзора:

https://pd.rkn.gov.ru/operators-registry/notification/form

Проверить статус уведомления можно на сайте Роскомнадзора, в разделе «Реестр операторов» → «Проверка состояния уведомления».

Что будет, если не отправить уведомление по № 152-ФЗ в РКН? 

С 30 мая вступает в силу новая ответственность по части 10 статьи 13.11 КОАП РФ. Теперь каждый, кто не сообщил в Роскомнадзор о намерении обрабатывать персональные данные, должен заплатить штраф.  

Штраф за неуведомление РКН об обработке персональных данных: 

• Физические лица — от 5 000 до 10 000 рублей.
• Должностные лица — от 30 000 до 50 000 рублей.
• Юридические лица — от 100  000 до 300 000 рублей.

За данное нарушение ИП штрафуют как юридических лиц. Штраф — от 100 000 до 300 000 рублей.

Требование закона распространяется на тех, кто не уведомил РКН о намерении обрабатывать данные после 30 мая 2025 года. Он касается и новых ОПД, и тех, кто начал обрабатывать данные до 30 мая, но не уведомил об этом.

Важно: существуют отдельные штрафы за обработку персональных данных без согласия, за отсутствие политики обработки персональных данных, за утечку данных. 

Что делать, если не подал уведомление об обработке персональных данных в РКН?

Если пропустили срок подачи уведомления, всё равно отправьте его. После этого РКН поставит вас на учёт в реестр операторов по обработке персональных данных.