Когда вы уже оператор ПД, даже если вы об этом не думали
Вы считаетесь оператором персональных данных, как только начинаете системно собирать и хранить сведения о конкретных людях для бизнеса. Типичные бытовые ситуации:
- На сайте есть форма заявки, заказа, обратного звонка, регистрации, подписки на рассылку, где человек оставляет имя, телефон, e-mail или адрес.
- Вы ведёте базу клиентов в CRM, Excel, Google-таблицах, мессенджерах, через кассу, приложение или сервис онлайн-записи.
- Храните контакты сотрудников, кандидатов, контрагентов (ФИО директора, телефон, рабочий e-mail и т. п.) в электронном виде.
Персональные данные — любая информация, по которой человека можно прямо или косвенно идентифицировать: ФИО, дата рождения, адрес, телефон, email, паспортные данные, СНИЛС, ИНН, фото, ссылки на соцсети, биометрия и т. д. Даже если есть только телефон или e-mail, но по ним реально «достучаться» до конкретного человека, надзорные органы часто считают это персональными данными, и суды нередко поддерживают такой подход. К обработке относятся любые действия с этими данными: сбор, запись, хранение, систематизация, передача подрядчикам и сервисам, рассылки, изменения, удаление.
Когда уведомление в Роскомнадзор обязательно
Базовое правило 152-ФЗ: до начала обработки персональных данных оператор обязан подать уведомление в Роскомнадзор. Это касается:
- ИП и компаний, у которых есть сайт, лендинг, онлайн-запись, интернет-магазин, приложение, чат-бот, рассылка, CRM, касса с клиентской базой, база сотрудников или контрагентов.
- Самозанятых и физлиц, если они системно собирают данные клиентов и используют их в предпринимательской деятельности (например, база клиентов в мессенджере или в таблице).
Уведомление подаётся один раз до начала обработки ПД, а затем обновляется только при существенных изменениях: смена адреса, целей, состава данных, места хранения и т. п.
Подать уведомление можно:
- онлайн на портале Роскомнадзора (через Госуслуги, с ЭП);
- на бумаге в территориальное управление по месту регистрации.
В уведомлении вы кратко описываете: кто вы, какие данные и зачем собираете, где и как храните, кому передаёте и как защищаете.
Когда уведомление можно не подавать
Исключения есть, но они довольно узкие.
Уведомление не подают, если:
- Данные используются только для личных/семейных целей (контакты родственников, гостей на свадьбу и т. п.).
- Все операции ведутся строго на бумаге, без Excel, CRM, почты, мессенджеров и прочих электронных средств (например, салон записывает клиентов только в бумажную тетрадь).
- Вы продаёте только через маркетплейс и вообще не получаете данных покупателей, а оператором ПД выступает сам маркетплейс.
- Данные обрабатываются в рамках специальных государственных и транспортных систем безопасности, что для обычного малого бизнеса практически не встречается.
Как только вы заносите хоть одно поле с данными клиента или директора контрагента в электронный формат, защищаться от Роскомнадзора формулировкой «мы маленькие, у нас почти нет данных» уже нельзя — вы оператор.
Нужна консультация? Свяжитесь с нами +7 938 146 41 01
Какие штрафы грозят за отсутствие уведомления и другие нарушения
С 30 мая 2025 года штрафы за отсутствие уведомления заметно выросли. За неподачу уведомления или подачу после начала обработки:
- самозанятый / физлицо: 5 000–10 000 руб.;
- должностное лицо (директор, ответственный): 30 000–50 000 руб.;
- ИП и юрлица: от 100 000 до 300 000 руб.
Это только один состав из статьи 13.11 КоАП. За другие нарушения (нет согласия, избыточный сбор, утечка, неисполнение требований субъекта, повторные нарушения) штрафы могут доходить до миллионов рублей и процентов от годовой выручки. В тяжёлых случаях, когда нарушение связано с неправомерным доступом к компьютерной информации и последствиями, возможна и уголовная ответственность по статье 272.1 УК РФ — вплоть до лишения свободы.
Практика Роскомнадзора сейчас такая: сначала часто выдают предписание, дают срок на исправление (до 6 месяцев), и если вы всё поправили, штрафа может не быть; но при игнорировании предписания санкции быстро растут.
Что минимально нужно сделать предпринимателю без юриста
Чтобы «закрыть вопрос по-минимуму», но по закону, предпринимателю без штатного юриста разумно сделать четыре шага.
1. Понять, где именно вы собираете данные.
Составьте список точек сбора: сайт, формы, касса, мессенджеры, CRM, e-mail-рассылки, сервисы онлайн-записи, кадровый учёт, контрагенты
2. Оформить простой комплект документов.
Взять проверенные шаблоны и адаптировать под себя: политику обработки ПД (на сайт), внутреннее положение и регламенты, согласия, назначение ответственного, обязательства о неразглашении. Главное — не просто переписать закон, а описать свои реальные процессы.
3. Подать уведомление в Роскомнадзор.
Через портал Роскомнадзора заполнить 5 разделов формы: оператор, цели, категории данных и субъектов, место хранения, меры защиты. Подать до начала обработки; при изменениях — направлять обновление.
4. Настроить порядок работы с данными.
Ограничить доступ внутри компании, не собирать лишнего, регулярно актуализировать политику, предусмотреть план действий на случай утечки и помнить про обязанность уведомлять РКН о серьёзных инцидентах в течение 24–72 часов.
Нужна консультация? Свяжитесь с нами +7 938 146 41 01
