Узнайте больше о
152-ФЗ

Все компании, ИП и даже самозанятые, которые занимаются сбором персональных данных, должны пройти регистрацию в РКН. Но раньше уведомление о начале обработки персональных данных можно было подать после начала работы с ними, а теперь уведомить Роскомнадзор нужно до.
Нужно подавать уведомления и об изменениях,например, если изменились данные организации или вы начали работать с новым видом данных (допустим раньше собирали только телефоны клиентов, а теперь стали собирать еще электронную почту).
Если не подать уведомление в Роскомнадзор, то оператор персональных данных получит штрафы. Размеры штрафов по ч. 10 ст. 13.11. КоАП:

• для граждан — от 5 000 до 10 000 руб.;
• для должностных лиц — от 30 000 до 50 000 руб.;
• для организаций — от 100 000 до 300 000 руб.

Самозанятые тоже должны подавать уведомление в РКН, если они обрабатывают персональные данные не вручную. Например, парикмахеры, массажисты, косметологи, бухгалтеры-аутсорсеры, да и любые другие самозанятые могут вести базу клиентов с номерами телефонов, ФИО, электронными почтами и другими сведениями на компьютере. Это значит они тоже являются операторами персданных.

• При заполнении уведомления можно в качестве цели сбора и хранения данных указать «Выполнение обязательств и работ в соответствии с заключенными договорами гражданско-правового характера» или «Оказание услуг».

Штрафы грозят тем, кто занимается сбором и обработкой личной информации людей — это так называемые операторы персональных данных. Под этим понятием закон понимает как организации (компании, госструктуры), так и обычных людей (например, ИП или владельцев сайтов), если они собирают данные пользователей — например, e-mail для рассылок.
По закону 152-ФЗ «О персональных данных», оператор — это тот, кто сам или с кем-то ещё:

• организует процесс сбора и использования персональных данных;
• решает, зачем они нужны и какие именно данные собираются;
• определяет, что с ними будет происходить (сохраняться, передаваться, удаляться и т. д.).

Это любая информация, которая позволяет узнать, кто именно перед вами. В законе нет строгого списка, но есть общее определение: персональные данные — это всё, что относится к конкретному человеку и позволяет его идентифицировать прямо или косвенно.

• Пример: музыкальные вкусы — не персональные данные, если они никак не связаны с личностью. А вот адрес электронной почты — это уже персональные данные.

Такие данные вы получаете либо напрямую (через формы на сайте), либо автоматически. Когда человек сам что-то вводит — это, например:

• имя, фамилия;
• номер телефона (если собирать только номер телефона, то он не является персональными данными!!! Он будет считаться персональными данными только в связке с другими полями, такими как Имя, e-mail и т. д.);
• e-mail;
• адрес проживания;
• дата рождения;
• фото;
• ссылки на соцсети или личный сайт.

Автоматически информация может собираться с помощью cookie-файлов — это маленькие файлы, которые сохраняются на компьютере пользователя при посещении сайта. В них может храниться:

• местоположение;
• IP-адрес;
• поведение на сайте;
• содержимое корзины и прочее.

Куки помогают, например, показывать рекламу по интересам или напоминать о забытых товарах. Хотя в законе нет прямого указания, что куки — это персональные данные, на практике Роскомнадзор и суды считают, что это тоже подпадает под их обработку. Поэтому с куки нужно быть осторожными и соблюдать закон.

1. Разместите политику обработки персональных данных на отдельной странице сайта
Если вы собираете данные пользователей, на сайте обязательно должна быть опубликована политика обработки персональных данных. В этом документе указывается, какие данные вы получаете, с какой целью, как и сколько времени они обрабатываются, а также кому могут передаваться. Также должна быть информация о сайте, к которому применяется политика, и о лице, ответственном за обработку данных.
2. Добавьте ссылку на политику в подвал сайта
Ссылка на политику обработки персональных данных должна быть доступна на всех страницах сайта, особенно там, где пользователи передают свои данные. Удобнее всего размещать её в футере сайта.
3. Разместите текст о сборе персональных данных под каждой формой
Возле всех форм, где запрашиваются персональные данные, должно быть уведомление с возможностью дать согласие на их обработку. Необходимо указать цель, перечень собираемых данных, способы обработки и информацию об операторах и сроке действия согласия. При наличии пользовательского соглашения или отдельной страницы с текстом согласия, нужно добавить соответствующую ссылку.
4. Уведомляйте пользователей о сборе cookie
Файлы cookie также относятся к персональным данным. Поэтому новым посетителям сайта необходимо показывать предупреждение о сборе cookie и получить согласие на обработку. Текст должен содержать упоминание об аналитических сервисах и ссылку на политику обработки персональных данных.
5. Уведомите Роскомнадзор о том, что обрабатываете персональные данные
Перед началом обработки персональных данных необходимо подать уведомление в Роскомнадзор. Это обязательное требование закона, за исключением некоторых случаев, предусмотренных законодательством. Подавать уведомление нужно по утверждённой форме.
6. Подготовьте регламент на ответы по запросам пользователей
Пользователи имеют право узнать, как и для чего вы обрабатываете их персональные данные. Ответ нужно предоставить в течение 10 рабочих дней. Также пользователь может потребовать прекратить обработку или отказаться от передачи лишних данных, если они не нужны для выполнения договора. Все эти процессы должны быть формализованы во внутренних документах.
7. Подайте уведомление в Роскомнадзор о трансграничной передаче данных
Если персональные данные передаются в другие страны или обрабатываются на серверах за пределами страны, нужно уведомить об этом Роскомнадзор. Передача может быть осуществлена только при отсутствии запрета со стороны ведомства. Также необходимо учитывать, обеспечивает ли страна, в которую передаются данные, надлежащий уровень защиты.
8. Заключите договор поручения при передаче обработки третьим лицам
Если обработку данных вы передаёте подрядчику, это должно быть закреплено в договоре. В нем необходимо указать цели, перечень передаваемых данных, действия с ними, меры защиты и ответственность сторон. Это требование обязательно к соблюдению, иначе возможно наложение штрафа.

Ранее мы перечислили базовые обязательства, которые Роскомнадзор предъявляет всем владельцам сайтов — как физическим, так и юридическим лицам. Однако для компаний список требований шире. Ниже — ключевые действия, которые необходимо выполнить юридическим лицам:
1. Назначьте ответственных и подготовьте документацию
Определите сотрудников, отвечающих за обработку и защиту персональных данных, и разработайте комплект внутренних нормативных документов, регламентирующих эти процессы.
Сюда входит список обязательных локальных актов по защите персональных данных.
2. Получите согласие сотрудников
Каждому сотруднику необходимо:
— предоставить форму согласия на обработку его персональных данных,
— ознакомить под подпись с внутренними документами, касающимися работы с персональными данными.
3. Обеспечьте техническую и организационную защиту
Примите меры по защите персональных данных с использованием:
— антивирусного ПО,
— межсетевых экранов,
— разграничения прав доступа.
Эти требования установлены Приказом № 21 Федеральной службы по техническому и экспортному контролю (ФСТЭК).
4. Действуйте при утечке данных
С 30 мая 2025 года вступают в силу новые штрафы за утечку персональных данных:
— до 15 млн рублей за первый инцидент,
— до 3% от годовой выручки (но не менее 20 млн рублей) при повторной утечке.
Если произошла утечка:
— в течение 24 часов необходимо уведомить Роскомнадзор о предполагаемой причине и потенциальном ущербе,
— в течение 72 часов — провести расследование и сообщить о его итогах.
За несвоевременное уведомление — штраф от 1 до 3 млн рублей.