Вход в сервисы
  • Товарный учет для Эвотор ЛК Эвотор
    Управление ассортиментом - популярный сервис товарного учета для Эвотор
  • Товарный учет для AQSI
    Сервис аналитики и товарного учета для касс AQSI
  • Обмен Эвотор с 1С
    Двусторонний обмен данными между Эвотор и популярными конфигурациями 1С (Бухгалтерия, УНФ, Торг, Розница, Fresh облачные 1С)
  • Печать ценников и этикеток
    Удобный сервис поможет вам распечатать красивые ценники и этикетки
  • Касса для Атол и Штрих в Эвотор Установить в ЛК Эвотор
    Кассовый интерфейс для подключения фискальных регистраторов АТОЛ и ШТРИХ к личному кабинету Эвотор
+7 499 647-77-78 Перезвоните мне

Правила работы с персональными данными

В конце мая 2025 года произошло серьезное ужесточение ответственности за нарушение требований законодательства в области работы с конфиденциальной информацией. В частности, кратно увеличились штрафы за неподачу оператором персональных данных уведомления в Роскомнадзор. В статье рассказываем, какие сведения о человеке являются персональными данными, что признается их обработкой и когда необходимо уведомлять Роскомнадзор о своем статусе.

Что по закону признается персональными данными

Согласно ст. 3 Федерального закона № 152-ФЗ к персональным данным (ПД) относится любая информация, которая затрагивает конкретного человека и дает возможность определить, о ком именно идет речь.

Поскольку в законе представлена крайне размытая формулировка, единого перечня сведений, признаваемых ПД, не существует. На практике к ним, как правило, относят:

  • фамилию, имя и отчество;
  • число и город рождения;
  • ИНН, паспортные данные;
  • адрес регистрации и проживания;
  • семейное, социальное и материальное положение;
  • образование, специальность, уровень дохода и т.д.

В целом персональными данными может быть признана практически любая информация, характеризующая конкретного человека. Из-за этого порой довольно сложно понять, относятся ли те или иные сведения к ПД или нет.

Например, если клиент, заходя на сайт, заполняет анкету, в которой указывает свои ФИО, номер телефона, электронную почту и, тем более, дату рождения, то это определенно следует считать персональными данными. Если же из всей информации есть только имя «Иван» и почта «12345@mail.ru», то это не будет являться ПД, поскольку указанных сведений недостаточно для идентификации конкретного человека.

Отдельно скажем, что даже Telegram ID (уникальный идентификатор пользователя в мессенджере) может быть отнесен к персональным данным при наличии дополнительной информации, характеризующей то или иное лицо (письмо Роскомнадзора № 75084-02-11/77 от 24.09.2024г.).

В качестве небольшого итога отметим, что решая вопрос о том, является ли та или иная информация ПД, нужно смотреть на обстоятельства конкретного случая. В судебной практике есть позиция, согласно которой фамилия и инициалы (равно как и имя с отчеством) сами по себе не являются персональными данными, поскольку не указывают на определенного человека и не позволяют его идентифицировать (определение Приморского краевого суда от 09.09.2013 по делу № 33-7063). Но если к ФИО добавить номер телефона либо адрес и, тем более, ИНН или паспортные данные, то такую связку определенно следует считать персональными данными.

Оператор персональных данных и его обязанность по уведомлению Роскомнадзора

Из упомянутой выше ст. 3 Федерального закона № 152-ФЗ следует, что оператором персональных данных (ОПД) признается государственный орган, компания или физлицо (в том числе самозанятые и ИП), которые занимаются обработкой ПД.

Фактически речь идет обо всех, кто собирает и в том или ином виде работает с чужими персональными данными, в частности, сведениями:

  • о сотрудниках;
  • контрагентах;
  • клиентах;
  • посетителях сайта.

Соответственно, практически все предприниматели, независимо от организационно-правовой формы, признаются операторами персональных данных.

Отметим, что статус ОПД никак не зависит от государственной регистрации и наличия каких-либо подтверждающих документов - важен сам факт осуществления деятельности по обработке ПД.

Вместе с тем, Роскомнадзор ведет специальный реестр операторов персональных данных. Чтобы попасть в него, субъект, занимающийся соответствующей деятельностью, должен самостоятельно подать заявку.

Как было отмечено ранее, отсутствие записи в реестре не означает, что субъект не является оператором персональных данных и освобожден от исполнения возложенных на него обязанностей. Однако подавать заявление нужно в любом случае - это требование закона, за несоблюдение которого предусмотрена административная ответственность.

Кто вправе не подавать уведомление в Роскомнадзор

По общему правилу регистрация в реестр обязательна для всех субъектов, работающих с персональными данными. Есть всего три исключения:

  • Обработка осуществляется без автоматизации - все сведения записываются вручную на бумаге.
  • Обрабатываются сведения из защищенных государственных систем - речь идет о «ЕГАИС», «Меркурий», «Работа в России».
  • Обработка осуществляется в соответствии с требованиями законодательства о транспортной безопасности.

Исключения являются довольно специфическими и не относятся к подавляющей части субъектов. Следовательно, практически все организации, индивидуальные предприниматели и физлица, собирающие ПД, обязаны подать заявление в Роскомнадзор.

Как оператору персональных данных зарегистрироваться в реестре Роскомнадзора

Зарегистрироваться в Роскомнадзоре несложно. Для этого нужно подать заявление по форме, утвержденной Приказом Роскомнадзора от 28.10.2022 № 180. Сделать это можно одним из трех способов:

  • Распечатать на бумаге и подать в территориальное подразделение ведомства.
  • Через официальный сайт Роскомнадзора в виде электронного документа, подписанного усиленной квалифицированной электронной подписью (УКЭП).
  • Через портал Госуслуги, используя верифицированную учетную запись. Если заявление подается за организацию, то профиль на Госуслугах должен быть привязан к конкретной компании.

В самом уведомлении помимо основной информации об операторе (наименование/ФИО, регион регистрации, ИНН и т.д.) указываются данные о сведениях, подлежащих обработке:

  • их перечень и категория;
  • цель сбора;
  • дата начала и срок окончания обработки.

Если все указано корректно, то в течение 30 дней с момента поступления уведомления Роскомнадзор внесет сведения в реестр.

Заявление подается один раз. Однако в дальнейшем нужно сообщать ведомству следующую информацию:

  • об изменении ранее переданных данных, например, о расширении либо сокращении перечня собираемых сведений;
  • о прекращении сбора персональных данных, например, в случае ликвидации компании.

Письмо о произошедших изменениях подается тем же путем, что и первоначальное уведомление. Сделать это необходимо до 15 числа месяца, следующего за месяцем изменений.

Отметим, что проверить наличие записи в реестре можно с помощью специального сервиса на сайте Роскомнадзора - для этого достаточно ввести ИНН или наименование организации. Если по результатам проверки вы обнаружили, что информация в реестре отсутствует, как можно быстрее подавайте уведомление. Иначе есть реальный риск привлечения к административной ответственности.

Ответственность за неподачу уведомления в Роскомнадзор

В конце мая 2025 года вступил в силу закону, который значительно ужесточил ответственность за неподачу уведомления в Роскомнадзор. Если ранее максимальная сумма штрафа составляла 5000 рублей, то сейчас речь идет о следующих суммах (ст. 13.11 КоАП РФ):

  • от 5 до 10 тыс. рублей - для физических лиц;
  • от 30 до 50 тыс. рублей - для должностных лиц;
  • от 100 до 300 тыс. рублей - для организаций и индивидуальных предпринимателей.

На первый взгляд может показаться, что штрафы все еще не особо большие. Однако не стоит забывать, что привлечь к ответственности могут по каждому факту нарушения и в совокупности может образоваться более чем внушительная сумма.

Главное о персональных данных и обязанности по уведомлению Роскомнадзора

  1. К персональным данным относится любая информация, позволяющая идентифицировать конкретного человека.
  2. Практически все предприниматели и организации, осуществляющие обработку ПД, признаются операторами персональных данных.
  3. Оператор персональных данных обязан уведомить Роскомнадзор об осуществляемой деятельности. Для этого необходимо подать соответствующее заявление. Также необходимо уведомлять ведомство об изменениях, связанных с обработкой ПД.
  4. За неподачу уведомления в Роскомнадзор предусмотрена административная ответственность. Оштрафовать могут за каждый факт нарушения.