Как подать уведомление об обработке персональных данных по новым правилам

Как в России защищают персональные данные

Вся работа с персональными данными регулируется законом №152‑ФЗ «О персональных данных». В нем прописано, кто может собирать данные, зачем это делать, как защищать информацию и передавать ее другим. Закон также требует защищать данные от утечек, ограничивать доступ и использовать только то, что действительно нужно для работы.

По закону персональные данные — это любая информация, которая относится к конкретному человеку и позволяет его идентифицировать. Причем это не обязательно фамилия, имя и отчество — иногда достаточно косвенных сведений, чтобы понять, о ком идет речь. Вот примеры того, что в законодательстве называется персональными данными:

• имя и фамилия;
• дата рождения;
• номер и серия паспорта;
• номер телефона;
• адрес электронной почты;
• адрес регистрации и места жительства;
• номер СНИЛС;
• ИНН;
• IP-адрес, если он привязан к конкретному пользователю;
• история заказов, где указаны имя, телефон и адрес клиента.

Есть и отдельные категории персональных данных, которые считаются чувствительными, — это специальные и биометрические данные. К специальным относятся информация о здоровье человека, его расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, а также информация об интимной жизни. В список биометрических попадают изображение лица на фото или видео, образец голоса и отпечатки пальцев.

Если компания или физическое лицо получают доступ к этой информации, они должны уведомлять Роскомнадзор, что работают с персональными данными. А также:

1. Получать согласие человека на обработку его данных.
2. Хранить и защищать эти данные от утечек.
3. Использовать их только для тех целей, о которых заранее сообщили клиенту.
4. Рассказывать человеку, какие его данные собирают и как используют.
5. Давать возможность отозвать согласие.

Именно поэтому компании публикуют политику конфиденциальности, просят согласие на обработку персданных, подписывают дополнительные соглашения об ответственности за хранение данных с сотрудниками и подрядчиками. Все это помогает понять, кто имеет доступ к информации и как ей можно пользоваться.

Если же компания нарушает правила и халатно относится к данным, это может привести к двум серьезным проблемам. Первая — утечка информации. Тут пострадают все: данные клиентов уйдут к мошенникам, а компания понесет сильные репутационные потери. Вторая — штраф. В случае утечки персональных данных он может доходить до 15 миллионов рублей.

Что изменилось в законе о защите персональных данных

С 30 мая 2025 года все компании, ИП и самозанятые должны отправлять уведомление о намерении обработки персональных данных в Роскомнадзор. При этом неважно, сколько у вас клиентов. Если вы храните или используете данные — вы оператор и отвечаете за их безопасность. Уведомление нужно, чтобы зафиксировать это официально, снизить риск утечек и быстро понять, кто допустил ошибку.

Сведения, которые вы подаете, попадают в созданный Роскомнадзором открытый реестр операторов персональных данных. Если компания не подала уведомление и ее нет в списке, хотя она собирает данные, — это уже нарушение.

Подать уведомление можно онлайн через сайт Роскомнадзора. В форме нужно указать:

• название и реквизиты организации или предпринимателя;
• контактные данные;
• цели обработки данных;
• какие именно персональные данные собираете;
• кто из сотрудников или подрядчиков имеет доступ к данным;
• как защищаете данные;
• передаются ли данные третьим лицам.

Есть исключения, но их всего три:

• Данные записывают и хранят на бумаге.
• Данные обрабатывают государственные органы — у них особый порядок.
• Данные нужны, чтобы обеспечить безопасность в транспортной сфере, например при досмотре пассажиров в аэропорту или на вокзале.

Кто должен подавать уведомление

Теперь закон требует подавать уведомление почти от всех, кто работает с персональными данными: не только от компаний и ИП, но и от самозанятых, блогеров, владельцев сайтов, организаторов мероприятий и даже физических лиц. Разберем подробнее каждую группу на примерах.

Юридические лица

Если у компании есть клиенты, сотрудники или подрядчики, она почти всегда собирает их личную информацию: имена, телефоны или паспортные данные. Неважно, крупный это бизнес или совсем маленький. Закон смотрит не на масштаб, а на сам факт: есть ли у вас доступ к информации о людях.

• Интернет-магазин запрашивает имя, фамилию, номер телефона, адрес доставки и электронную почту клиента, чтобы оформить заказ и отправить покупку.
• Сервис онлайн-записи хранит имя пользователя, номер телефона и e-mail, чтобы напомнить о встрече и связаться при необходимости.
• Турагентство обрабатывает паспортные данные, дату рождения, место проживания, визовую информацию и контактные данные, чтобы оформить поездку.
• Бухгалтерская компания получает доступ к персональным данным сотрудников своих клиентов: фамилии, паспортные данные, ИНН, СНИЛС, сведения о зарплате для расчета налогов и взносов.

Если компания работает в B2B-сегменте, к примеру производит товары или оказывает услуги для другой компании, она все равно обрабатывает данные. Это могут быть имена, почты и номера телефонов менеджеров — по ним можно идентифицировать человека.

Индивидуальные предприниматели

Многие ИП тоже собирают персональные данные клиентов.

• Аниматор организует детские праздники и собирает анкеты родителей с именами детей, телефонами, адресами.
• Кондитер собирает имена, телефоны и адреса, сведения об аллергии на продукты, чтобы готовить и доставлять торты.

Даже если предприниматель работает один и хранит все в простой таблице Excel — это тоже обработка данных.

Самозанятые

Для самозанятых действуют те же правила — если вы собираете и храните контакты клиентов, вы обрабатываете данные:

• Фотограф записывает данные моделей для фотосессии.
• Репетитор ведет список учеников.
• Мастер маникюра записывает в базу постоянных клиентов и их предпочтения.

То, что вы общаетесь в мессенджерах или только начинаете и покупателей немного, не имеет никакого значения — уведомление в Роскомнадзор нужно подать.

Блогеры, владельцы сайтов и администраторы сообществ

Отдельная категория — те, кто ведет блоги в социальных сетях или Telegram-каналы, владеет сайтами и собирает контакты аудитории. Обратите внимание на закон при следующих условиях:

• Вы собираете адреса электронной почты для рассылки новостей.
• На сайте есть форма обратной связи.
• Вы проводите опросы или конкурсы, собираете анкеты.
• Вы продаете товары или курсы через блог.

Простая подписка на рассылку — уже сбор персональных данных. Адрес электронной почты привязан к конкретному человеку, а значит — их нужно защищать.

Организаторы мероприятий, вебинаров, курсов

Если вы проводите курсы, вебинары или другие мероприятия, где собираете данные участников, — вы тоже оператор персональных данных. Это касается:

• онлайн-школ;
• организаторов семинаров и конференций;
• частных образовательных центров;
• репетиторов и тренеров, которые собирают анкеты, ведут учет, получают оплату онлайн.

Сайты и интернет-сервисы

Здесь требования особенно жесткие. Если на сайте можно запросить обратный звонок, подписаться на рассылку или зарегистрироваться, значит, его владелец собирает персональные данные.

Как подать уведомление

Подать заявление об обработке персональных данных можно на официальном сайте Роскомнадзора.

Шаг 1. Подготовьте информацию о своей деятельности

Перед тем как заходить на сайт Роскомнадзора, соберите всю информацию, которую нужно указать в уведомлении:

1. Полное наименование вашей компании или ваши Ф. И. О. как ИП или самозанятого.
2. Юридический адрес для юрлиц, для ИП и самозанятых — фактический адрес регистрации.
3. ИНН и ОГРН. Для индивидуального предпринимателя — ОГРИП.
4. Контактный телефон, e-mail.
5. Цели, для которых вы собираете персональные данные.
6. Список категорий персональных данных, которые вы собираете.
7. Перечень технических мер защиты.
8. Информация о передаче данных третьим лицам.

Шаг 2. Зарегистрируйтесь на сайте Роскомнадзора

Для этого вам нужна подтвержденная учетная запись на «Госуслугах». Юрлицам еще нужна электронная подпись — ИП и самозанятые могут обойтись без нее.

После входа через «Госуслуги» откроется личный кабинет оператора персональных данных.

Шаг 3. Заполните уведомление

В форме анкеты восемь блоков. Разберём, что нужно писать в каждом из них.

Блок 1. Сведения об операторе

Оператор — тот, кто собирает и использует персональные данные. То есть в этом случае вы сами: как самозанятый, ИП или компания.

Если вы самозанятый, впишите свои фамилию, имя и отчество. Если вы ИП — напишите: «Индивидуальный предприниматель + Ф. И. О.». Если компания — укажите полное название, как в документах.

Также потребуется внести ИНН, ОГРН для юрлиц, контактные данные и адрес. Самозанятые пишут фактический адрес, по которому работают. ИП — указанный при регистрации. Компании — юридический адрес. Обязательно отметьте регион, в котором вы обрабатываете персональные данные.

Блок 2. Цели обработки и категории персональных данных

Опишите все цели, ради которых вы собираете данные. В списке есть более 30 вариантов, но вы можете прописать свой, например:

1. Оформлять заказы и доставлять товары клиентам.
2. Заключать договоры и выставлять счета.
3. Отправлять рекламные рассылки и уведомления о новых услугах.
4. Записывать клиентов на консультации, приемы или обучение.
5. Учитывать заказы, обращения и историю обслуживания.
6. Регистрировать участников мероприятий и собирать анкеты.

Затем отметьте, какие именно данные клиентов вы собираете. Важно перечислить все цели и категории, даже если они кажутся простыми и очевидными.

Блок 3. Категории субъектов, чьи персональные данные собираете

Укажите, кто ваши пользователи — в списке 13 вариантов и есть пункт «Иные категории». В нем можно указать, что это, например, подписчики, волонтеры или жильцы дома.

Блок 4. Специальные и биометрические категории персональных данных

Если вы работаете со специальными или биометрическими данными, укажите, какими именно, и опишите, для чего их используете.

Блок 5. Правовое основание обработки данных

Здесь нужно выбрать из 12 вариантов или написать свой. Форма предлагает такие основания:

Блок 6. Меры безопасности, ответственный и сроки обработки

Опишите, как вы защищаете данные: где они хранятся, кто имеет доступ, как организовано шифрование, резервное копирование, доступ по паролю, разграничение прав доступа в CRM-системах.

Укажите, кто отвечает за безопасность и как вы соблюдаете правила защиты. Это может быть ваш сотрудник или вы сами, если работаете как ИП или самозанятый.

Кроме этого, нужно прописать, в какой период вы будете обрабатывать данные и планируете ли вы передавать их за границу.

Чтобы контролировать, кто работает с персональными данными, важно ограничить доступ и выстроить понятные процессы. В Битрикс24 можно ставить задачи, указывать, какие данные нужны, кому и зачем. А еще настраивать уровни доступа. Так менеджер видит только контакты клиента, бухгалтер — платежные данные, маркетолог — e-mail. Это поможет защитить персональные данные и всегда знать, кто с чем работает.

Блок 7. Информация о том, где находится база данных с персональными данными

Укажите, в какой стране храните персональные данные — для российских клиентов это всегда Россия. Если база на компьютере или в офисе, то пишите свой адрес, если в облаке — указывайте адрес дата-центра провайдера.

Блок 8. Машиночитаемая доверенность

Если уведомление передаете лично вы как ИП или руководитель компании, то доверенность не нужна и блок можно пропустить. Во всех остальных случаях ее придется создать — заполнить форму на «Госуслугах» и подписать ее квалифицированной электронной подписью. Подробнее об МЧД рассказывали в этой статье.

Шаг 4. Отправьте уведомление

После того как вы заполнили все разделы, перепроверьте данные. Если все в порядке, то отправляйте на проверку. Обычно его принимают сразу, если нет ошибок или пропусков.

В течение 30 дней данные попадут в открытый реестр Роскомнадзора. Вы сможете сами проверить, что данные опубликованы, — нужно просто ввести ИНН на сайте.

Шаг 5. Храните копию уведомления

После того как вы отправите уведомление, его копия придет на ту почту, которую указали в анкете. Ее лучше сохранить на случай проверки.

Что будет, если не подать уведомление в РКН

Если компания нарушает закон, то ее наказывают по статье 13.11 КоАП РФ. Вот что ждет тех, кто халатно относится к работе с личной информацией:

1. Компания не сообщила в РКН, что начала работать с персональными данными, — штраф для физлиц и ИП от 5 до 10 тысяч рублей, для юрлиц — от 100 до 300 тысяч.
2. Нарушен порядок обработки данных, например, собирают данные без согласия или используют их не по назначению — штраф для физлиц и ИП от 10 до 15 тысяч рублей, для юрлиц — от 150 до 300 тысяч.
3. При повторном нарушении в течение года штраф увеличивается: для физлиц и ИП — до 15-30 тысяч, а для юрлиц — до 300-500 тысяч.

Сайт также могут заблокировать по решению суда, а ответственным запретят работать с данными, пока они не устранят нарушения.

Как и когда Роскомнадзор проверяет компании:

• Через реестр. РКН сравнивает сайты и открытые источники с данными из своего реестра. Если на сайте есть формы сбора данных, но компания не зарегистрирована в реестре операторов — это повод для проверки.
• Вручную. Инспекторы заходят на сайты, проверяют, есть ли формы обратной связи, подписок, анкет. Смотрят, есть ли политика конфиденциальности, корректно ли оформлены согласия, куда отправляются данные.
• По жалобам граждан. Любой пользователь может пожаловаться в Роскомнадзор, если считает, что его персональные данные используют неправомерно. После этого компанию ждет внеплановая проверка.
• При утечках данных. РКН рассматривает случаи, если в открытом доступе появляются данные пользователей.
• Совместно с другими органами. Если налоговая или прокуратура заинтересовалась бизнесом, то они могут подключить РКН к расследованию.

FAQ