Новости в сфере сертификации и декларирования

Уведомление об обработке персональных данных: что важно знать?

2025-05-16 12:29

Что относится к персональным данным?

- под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- По сути, это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных.

  • Суды к персональным данным относят:
- фамилию, имя, отчество;
- год, месяц, дату и место рождения;
- адрес;
- семейное, социальное, имущественное положение;
- образование;
- профессию;
- доходы;

Полный список тех, кто обязан зарегистрироваться в реестре РКН с 30.05.2025

1. Все операторы, обрабатывающие персональные данные (ПДн) с использованием автоматизированных систем

  • Юридические лица и ИП, которые:
  • Ведут базы клиентов, сотрудников, пользователей.
  • Используют CRM, ERP, бухгалтерские программы (1С и аналоги).
  • Собирают данные через сайты, мобильные приложения, онлайн-формы.
  • Работают с облачными сервисами (Google Workspace, Яндекс 360, Microsoft 365 и др.).

2. Конкретные категории операторов (даже без автоматизации)

  • IT-компании (разработчики ПО, SaaS-сервисы, хостинг-провайдеры).
  • Интернет-магазины (любые сайты с регистрацией, заказами, подписками).
  • Социальные сети, форумы, блоги с регистрацией пользователей.
  • Маркетинговые и аналитические агентства (если работают с клиентскими данными).
  • Банки, МФО, страховые компании, коллекторы.
  • Медицинские учреждения (клиники, лаборатории, онлайн-сервисы записи).
  • Образовательные организации (школы, вузы, онлайн-курсы).
  • HR-агентства и кадровые сервисы.
  • Операторы фискальных данных (например, онлайн-кассы с передачей данных в ОФД).
  • Госорганы и бюджетные учреждения (если не под исключениями).

Кто НЕ обязан регистрироваться?

  • Физлица, обрабатывающие данные в личных или семейных целях (например, телефонная книга).
  • Организации, обрабатывающие данные только в бумажном виде (без компьютеров).
  • Работодатели, если данные сотрудников используются только для трудовых отношений.
  • Журналисты и СМИ, если данные обрабатываются для творческой или профессиональной деятельности.

Почему это важно Сейчас?

- В 2023 году приняты новые правила по обработке персональных данных. Общий тренд состоит в усилении государственного контроля за деятельностью бизнеса.
- 12 декабря 2023 законом № 589-ФЗ увеличены штрафы за нарушения законодательства о персональных данных (внесены изменения в КоАП РФ).

❗️До 30 мая 2025 года, Все операторы, которые обрабатывают персональные данные своих сотрудников и клиентов, обязаны подать Уведомление в Роскомнадзор в части намерения обработки персональных данных в качестве - Оператора.
Уведомление в Роскомнадзор — это документ, подтверждающий намерение ИП или юрлица обрабатывать, накапливать, хранить и использовать персональные данные граждан (ст. 22 закона от 27.07.2006 № 152-ФЗ).

Операторы персональных данных — это все компании и предприниматели, которые собирают информацию о своих клиентах, покупателях, сотрудниках, пациентах. Например, интернет-магазины, банки, больницы, госучреждения — операторы ПД.

Что будет если этого не сделать?

- В случае отсутствия уведомления и регистрации обработки личных данных в Роскомнадзоре до 30 мая 2025 года, предусмотрено наказание в виде штрафа до 5 000 рублей, либо Роскомнадзор ограничится предупреждением.

- Если же не выполнить требования по уведомлению и регистрации после 30 мая 2025 года, штрафные санкции значительно возрастут: должностным лицам грозит штраф в размере 50 000 рублей, а Индивидуальным Предпринимателям и Обществам с Ограниченной Ответственностью – от 100 000 рублей.

"Блогерские" Коды деятельности ОКВЭД:

В Случае ведения "Блогерской" и информационной деятельсти так же необходимо наличие дополнительных кодов ОКВЭД деятельности компании:

распространение информации в социальных сетях – код 70.21.1;

связи с общественностью – код 70.21.9;

распространение рекламы в социальных сетях – код 73.11.1;

для рекламных агентств – 73.11.9.

Подведем Итоги:

  • 1) Уведомление в Роскомнадзор (РКН) является обязательным к подаче.
  • 2) Пользовательское соглашение об обработке персональных данных должно быть общедоступно для ознакомления.
  • 3) В договор с клиентом необходимо включить пункт, регламентирующий политику обработки персональных данных (ПДн) в соответствии с требованиями 152-ФЗ.
  • 4) Рекомендуется добавить соответствующие коды ОКВЭД, отражающие деятельность в качестве блогера.
  • 5) При обращении необходимо получить от клиента письменное согласие на обработку его персональных данных.
  • 6) Необходимо иметь форму для отзыва согласия на обработку персональных данных.
6.1. Следует составлять акт об уничтожении персональных данных.
  • 7) Необходимо обеспечить технические условия для безопасного хранения данных.
7.1. Данные должны храниться на серверах, расположенных на территории Российской Федерации.
7.2. Для хранения данных необходимо создать отдельную папку.
7.3. Доступ к данным должен быть ограничен (предоставлен конкретному сотруднику).
7.4. Доступ к данным должен быть защищен паролем.
  • 8) Предоставление отчетности не требуется.
  • 9) Представители РКН могут проводить профилактические мероприятия (беседы) по вопросам хранения персональных данных.
  • 10) Применяемые меры ответственности зависят от даты подачи уведомления в РКН: при подаче до 30-го числа предусмотрен штраф в размере 5000 рублей или предупреждение, а при подаче после 30-го числа - штраф в размере 50 000 рублей для должностных лиц и от 100 000 рублей для индивидуальных предпринимателей (ИП) или обществ с ограниченной ответственностью (ООО).

{$te}

Уведомление в Роскомнадзор 2025: какие документы нужны для регистрации?

{$te}

После получения уведомления Роскомнадзор в течение 30 дней вносит сведения об операторе ПД в реестр. Организация может опубликовать на своем сайте плашку о том, что имеет статус оператора персональных данных. Это делается для повышения лояльности клиентов и партнеров, а также подтверждения, что компания соблюдает законодательство и обеспечивает безопасность чужих данных
Уведомление в Роскомнадзор — это основной документ, без которого организация не вправе собирать и использовать данные граждан. Кроме этого, оператору необходимо подготовить целый комплект документов — внутренних регламентов, приказов, инструкций и локальных актов. У каждой организации он свой, зависит от вида деятельности и категории ПД (ст. 18.1 закона № 152-ФЗ).

Политика обработки персональных данных

Политика — это внутренний документ, который объясняет, как компания собирает, хранит и использует персональные данные (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Она должна быть понятной как для сотрудников, так и для клиентов.
Что нужно указать в политике:
  • цели обработки данных — например, для выполнения договора или предоставления услуг;
  • перечень данных, которые обрабатываются — ФИО, телефон, email и т.д.;
  • порядок защиты данных и ответственность компании за их сохранность.
Например, интернет-магазин может прописать в политике, что данные клиента (ФИО, адрес доставки, номер телефона) используются для оформления заказа и обратной связи.

Согласие на обработку персональных данных

Документ позволяет компании законно собирать и использовать данные. Согласие должно быть получено у каждого человека, чьи данные вы обрабатываете, если иное не предусмотрено законом (ст. 9 закона № 152-ФЗ).
Что важно в согласии:
  • конкретная формулировка, какие данные собираются и с какой целью;
  • подтверждение, что человек не против использования своих данных (подпись на бумажном документе или проставление«галочки» на сайте оператора).
Например, когда вы нанимаете нового сотрудника, он подписывает согласие, позволяя компании хранить его паспортные данные, СНИЛС и информацию о месте жительства.

Согласие на распространение персональных данных

Если организация планирует передавать персональные данные третьим лицам, необходимо получить на это отдельное согласие (ч. 9 ст. 9 закона № 152-ФЗ). Важно понимать, что обработка и распространение данныхэто разные процессы, и для каждого требуется четкое разрешение.
Что должно быть в согласии:

  • четкое указание категорий данных, которые будут передаваться;
  • перечень лиц или организаций, которым могут быть переданы данные — например, партнеры компании, государственные органы;
  • цели передачи данных — например, для исполнения договора или предоставления услуг.

Допустим, интернет-магазин сотрудничает с курьерской службой. Чтобы передать курьерам адреса клиентов для доставки заказов, необходимо получить у клиентов согласие на распространение их данных.

Приказ о назначении ответственного сотрудника

Каждая организация обязана назначить сотрудника, который будет отвечать за соблюдение правил работы с персональными данными. Этот приказ фиксирует, кто именно несет ответственность (ст. 22.1 закона № 152-ФЗ).
Что включает приказ:
  • ФИО сотрудника и его должность;
  • обязанности сотрудника — например, контроль за безопасностью данных и своевременным обновлением документов;
  • дату вступления приказа в силу.
В небольшой компании эту роль часто выполняет руководитель отдела кадров. В приказе указывается, что он следит за правильностью хранения трудовых книжек, согласий сотрудников и других документов.

Соглашение о неразглашении информации

Документ защищает персональные данные от утечек внутри компании. Соглашение подписывается с сотрудниками и подрядчиками, которые имеют доступ к конфиденциальной информации.
Что включает соглашение:
  • перечень данных, которые считаются конфиденциальными;
  • обязанности сотрудника по защите данных — например, запрет передавать их третьим лицам;
  • ответственность за нарушение соглашения — штрафы, увольнение, возмещение ущерба.
Менеджер по персоналу имеет доступ к личным делам сотрудников, где содержатся их паспортные данные. Подписав соглашение о неразглашении, он обязуется не разглашать эту информацию даже после увольнения.

Правила осуществления внутреннего контроля

Операторы персональных данных должны обеспечивать безопасность чужих данных и проводить мероприятия, направленные на устранение угроз, взломов баз, утечек ПД (п. 4 ч. 1 ст. 18.1, ст. 19 закона № 152-ФЗ).
Что должно быть в правилах:
  • регулярность проверки соблюдения правил — например, ежеквартальный аудит;
  • порядок действий при обнаружении нарушений — например, составление акта и привлечение ответственного сотрудника;
  • меры для предотвращения утечек данных — шифрование, обучение сотрудников.
Например, в компании раз в полгода проводится внутренний аудит, в ходе которого проверяется, как хранятся согласия сотрудников, настроены ли пароли на рабочих компьютерах и соблюдаются ли сроки уничтожения устаревших данных.

Приказ о допуске

Приказ о допуске оформляется для того, чтобы определить сотрудников, которые имеют право работать с персональными данными. Это важный документ, который фиксирует зону ответственности и предотвращает доступ к данным посторонних лиц.
Что указывается в приказе:
  • список сотрудников, которые получают доступ к персональным данным;
  • категории данных, с которыми разрешено работать;
  • уровень доступа — например, просмотр, редактирование, передача третьим лицам;
  • меры ответственности за нарушение порядка работы с данными.
Допустим, в компании вводится приказ, согласно которому доступ к данным клиентов имеют только менеджеры отдела продаж. Этот доступ ограничивается только информацией, необходимой для заключения и сопровождения сделок. Сотрудники других отделов, например бухгалтерия или склад, не имеют права работать с данными клиентов.

Акт об уничтожении персональных данных

Документ фиксирует процесс удаления персональных данных, которые больше не нужны компании, или их уничтожение в случае окончания срока хранения. Акт необходим для подтверждения того, что данные были уничтожены корректно и не могут быть восстановлены.
Что включает акт:
  • дату и место уничтожения данных;
  • описание уничтоженных данных — например, копии паспортов, резюме, анкеты;
  • способ уничтожения — сжигание, уничтожение на шредере, удаление с электронных носителей;
  • подписи ответственных лиц, участвовавших в процессе.
Компания завершила проект, в рамках которого обрабатывались данные покупателей: копии паспортов и банковских реквизитов. После завершения всех расчетов и аудита формируется акт, где указывается, что данные удалены с серверов и бумажные копии уничтожены с помощью шредера.