Реестр операторов персональных данных ведет Роскомнадзор. Запись в нем нужна не для красоты и не только крупным компаниям с большими базами. Если организация, ИП или человек не для личных нужд решает, зачем собирать персональные данные, какие сведения брать и что потом с ними делать, он становится оператором. По общему правилу уведомление в РКН подают до начала обработки.
Под это правило попадает почти любой бизнес, который работает с людьми: принимает заявки на сайте, нанимает сотрудников, ведет клиентскую базу, оформляет договоры, хранит обращения в поддержку, запускает рассылку, подключает личный кабинет или использует CRM. Персональные данные - это не только паспорт, СНИЛС и адрес регистрации. Имя, телефон, электронная почта, адрес доставки, номер заказа, IP-адрес, cookie и идентификатор пользователя тоже могут указывать на конкретного человека.
Запись в реестре не заменяет остальные обязанности по 152-ФЗ О персональных данных. Оператору все равно нужны правовые основания обработки, понятная политика на сайте, согласия там, где они требуются, договоры с подрядчиками, локальные документы и меры защиты. Реестр показывает только одно: Роскомнадзор получил сведения о том, кто и для каких целей обрабатывает персональные данные.
Кто считается оператором персональных данных
Оператором считается тот, кто организует обработку персональных данных и определяет ее цель, состав сведений и действия с ними. База может лежать на своем сервере, в облаке, в CRM поставщика, в сервисе рассылок или в обычной таблице. Место хранения не меняет роль: если компания решает, какие данные клиентов или сотрудников нужны для работы, именно она отвечает за обработку.
Примеры обычные. Интернет-магазин получает имя, телефон, адрес доставки и историю заказов. Клиника хранит анкеты пациентов и записи на прием. Онлайн-школа ведет списки учеников, платежи и переписку. Работодатель собирает кадровые документы, контакты и банковские реквизиты сотрудников. Сайт с формой обратной связи тоже обрабатывает персональные данные, если посетитель оставляет имя, телефон или почту.
Подрядчик не всегда становится самостоятельным оператором. Сервис рассылок, облачная CRM, хостинг или бухгалтерская компания часто работают с данными по поручению клиента. Но основной оператор из-за этого не исчезает. В договоре с исполнителем нужно закрепить цель обработки, разрешенные действия, требования к защите, срок работы с данными и порядок их возврата или уничтожения.
Когда нужно уведомлять Роскомнадзор
Статья 22 152-ФЗ устанавливает общее правило: оператор до начала обработки персональных данных уведомляет уполномоченный орган. После изменений, вступивших в силу 1 сентября 2022 года, старые массовые исключения сильно сократились. Обработка данных сотрудников или клиентов по договору сама по себе уже не освобождает от уведомления.
Без уведомления можно обрабатывать персональные данные только в нескольких случаях:
- данные включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка;
- оператор обрабатывает сведения исключительно без средств автоматизации;
- обработка идет в случаях, предусмотренных законодательством о транспортной безопасности.
Большинство коммерческих сайтов, магазинов, работодателей, медицинских центров, онлайн-сервисов, образовательных проектов и сервисных компаний под эти исключения не попадают. Если обработка идет в электронной базе, CRM, личном кабинете, почтовом сервисе, системе аналитики или таблице с доступом через компьютер, рассчитывать на исключение без проверки не стоит.
| Ситуация | Уведомление | Причина |
|---|---|---|
| Сайт принимает заявки с именем и телефоном | Нужно | Данные собираются через интернет для связи с клиентом |
| Компания хранит кадровые документы сотрудников | Нужно | Исключение для работников больше не действует |
| ИП ведет клиентскую базу в CRM | Нужно | Предприниматель определяет цели и состав обработки |
| Сведения ведутся только в бумажной картотеке без автоматизации | Обычно не нужно | Закон оставил отдельное исключение для такого режима |
Что указывают в уведомлении
Уведомление подают через портал персональных данных Роскомнадзора или на бумаге в территориальный орган РКН. Электронную форму можно отправить с усиленной квалифицированной электронной подписью или через ЕСИА. Плату за внесение сведений в реестр закон не предусматривает.
Перед заполнением формы лучше описать обработку по целям, иначе уведомление быстро превращается в набор общих фраз. Кадровый учет, обработка заказов, рассылка, личный кабинет и техподдержка отличаются по составу сведений, правовым основаниям, срокам хранения и кругу лиц, которые получают доступ.
- данные оператора и ответственного за организацию обработки персональных данных;
- цели обработки и категории субъектов: клиенты, сотрудники, соискатели, пользователи сайта, представители контрагентов;
- категории персональных данных и действия с ними: сбор, запись, хранение, уточнение, передача, удаление;
- правовые основания обработки, способы обработки и меры защиты;
- дата начала обработки, срок или условие ее прекращения;
- сведения о трансграничной передаче и месте нахождения базы данных граждан России.
Роскомнадзор вправе запросить уточнение, если сведения неполные или недостоверные. Поэтому формулировки вроде любые данные для любых целей лучше не использовать. Уведомление должно совпадать с реальной работой сайта, отдела кадров, отдела продаж, CRM, подрядчиков и внутренних систем.
Что происходит после подачи
РКН вносит сведения в реестр в течение 30 дней с даты поступления уведомления. Большая часть записи становится общедоступной, кроме сведений о средствах защиты. Проверить компанию можно в официальном реестре операторов по названию или ИНН.
Если у оператора меняются сведения из уведомления, нужно подать обновление не позднее 15-го числа месяца, следующего за месяцем изменения. Это касается адреса, ответственного лица, целей обработки, категорий данных, способов обработки, трансграничной передачи, места нахождения базы и других заявленных пунктов. При полном прекращении обработки уведомление направляют в течение 10 рабочих дней.
Реестр не доказывает, что у оператора все в порядке с персональными данными. На проверке отдельно смотрят политику обработки, тексты согласий, правовые основания, договоры поручения, доступы к системам, сроки хранения, локализацию баз, реагирование на обращения людей и действия при утечке.
Чем грозит отсутствие уведомления
С 30 мая 2025 года неподача или несвоевременная подача уведомления выделена в часть 10 статьи 13.11 КоАП РФ. Штраф для граждан составляет от пяти тысяч до 10 тысяч рублей, для должностных лиц и ИП - от 30 тысяч до 50 тысяч рублей, для юридических лиц - от 100 тысяч до 300 тысяч рублей.
Если оператор не сообщает об утечке персональных данных, санкции выше: часть 11 статьи 13.11 КоАП РФ предусматривает штраф для граждан от 50 тысяч до 100 тысяч рублей, для должностных лиц - от 400 тысяч до 800 тысяч рублей, для юридических лиц - от одного миллиона до трех миллионов рублей. За крупные утечки, специальные категории данных и биометрию в этой же статье предусмотрены отдельные составы с более жесткими штрафами.
Отсутствие уведомления редко бывает единственной проблемой. Вместе с ним обычно всплывают старая политика на сайте, лишние поля в формах, доступ подрядчика без договора, хранение резюме без срока удаления, рассылка без понятного основания или база российских пользователей за пределами России. Эти вещи лучше проверять до подачи формы, а не после запроса регулятора.
FAQ: частые вопросы
Нужно ли уведомлять РКН, если есть только сотрудники?
Да, в большинстве случаев уведомление нужно. Старое исключение для обработки данных работников утратило силу с 1 сентября 2022 года.
Форма обратной связи на сайте тоже считается обработкой?
Да, если посетитель оставляет имя, телефон, адрес электронной почты или другие сведения, по которым можно определить человека.
Запись в реестре заменяет согласие и политику?
Нет. Реестр подтверждает уведомление Роскомнадзора, но не заменяет правовые основания обработки, политику, согласия, договоры с подрядчиками и меры защиты.
Можно ли подать уведомление после начала обработки?
Закон требует уведомлять до начала обработки. Если данные уже обрабатываются, уведомление все равно стоит подать, но задержка может стать основанием для штрафа.
