Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.
Главное заблуждение про уведомление в Роскомнадзор звучит так: «это для крупных компаний, нас не касается». На деле оператор персональных данных это почти любой, кто собирает чужие данные для своей работы, и с 1 сентября 2022 года обязанность уведомлять распространилась почти на всех. Сюда попадают ИП, юрлица, самозанятые и даже физлица в ряде ситуаций. Разберём по типам, кто именно обязан подать уведомление, кто пока освобождён и что грозит за молчание.
Если коротко, главное удержать три мысли. Первая: оператор — это тот, кто сам определяет, зачем и как обрабатывать данные, а не обязательно большая организация. Вторая: прежних поблажек (для работодателей, для обработки по договору) больше нет, их отменили с осени 2022 года. Третья: уведомление подаётся до начала обработки, а не после жалобы.
Кто такой оператор
Оператор персональных данных это лицо, которое самостоятельно или совместно с другими организует и определяет цели и способы обработки данных. Ключевое слово здесь «определяет цели»: если вы решаете, какие данные собирать и зачем, вы оператор, независимо от размера бизнеса и формы. Оператором может быть и организация, и индивидуальный предприниматель, и физическое лицо. А раз вы оператор — на вас распространяется обязанность уведомить Роскомнадзор до начала обработки.
Индивидуальные предприниматели
ИП почти всегда оказываются операторами. Достаточно вести клиентскую базу, принимать заявки через сайт или мессенджеры, заключать договоры с клиентами или нанимать сотрудников. Репетитор, юрист, мастер по ремонту, логист, онлайн-консультант: все они собирают как минимум имена и телефоны, а значит, обрабатывают персональные данные. Раньше ИП часто полагались на освобождение «обработка по договору с клиентом», но именно это основание отменено, поэтому сегодня подавляющему большинству ИП уведомление подавать нужно.
Юридические лица
Организации любой формы — ООО, АО, ТСЖ, НКО — операторы практически по умолчанию. Они хранят данные работников, ведут CRM, имеют сайт с формами заявок и записи, работают с клиентами и подрядчиками. Прежнее освобождение для обработки данных работников отменено, поэтому даже компания без единого клиента, но со штатом сотрудников, обязана уведомить Роскомнадзор. Это касается и некоммерческих организаций, которые ведут базу членов или жертвователей.
Самозанятые
Самозанятые — категория, которая чаще всего удивляется этой обязанности. Но если самозанятый напрямую работает с клиентами, ведёт переписку, хранит контакты и реквизиты, он тоже определяет цели обработки и является оператором. Налоговый режим тут роли не играет: освобождение от уведомления зависит не от того, как вы платите налоги, а от того, обрабатываете ли вы персональные данные и подпадаете ли под узкие исключения.
Кто обязан: коротко по типам
Сведём картину в таблицу. Принцип один: если данные хранятся в электронном виде и вы определяете, зачем их собирать, вы оператор и обязаны уведомить.
| Кто | Типичная ситуация | Уведомление |
|---|---|---|
| ИП | клиентская база, заявки с сайта, договоры, сотрудники | да |
| Юрлицо (ООО, АО, ТСЖ, НКО) | данные работников, CRM, сайт с формами | да |
| Самозанятый | контакты и реквизиты клиентов в электронном виде | да |
| Любой оператор | обработка только на бумаге, без компьютеров и баз | нет |
Когда уведомление не нужно
После изменений 2022 года перечень исключений резко сократился. Сейчас не уведомлять вправе лишь те, кто:
- обрабатывает данные исключительно без средств автоматизации — то есть только на бумаге, без компьютеров и баз;
- обрабатывает данные в государственных системах, созданных для защиты безопасности государства и общественного порядка;
- действует по законодательству о транспортной безопасности.
Для обычного бизнеса это означает простое правило: если вы храните данные хоть в какой-то электронной форме — в Excel, CRM, на сайте, в почте, — освобождение к вам не применяется. Подробно о том, кто формально остаётся вне обязанности и почему таких почти нет, мы писали в разборе обработки, учёта и доступа к персональным данным.
На практике самые частые «жертвы» этого правила — небольшие ИП и самозанятые, которые искренне считают, что уведомление их не касается. Приходит клиент с анкетой контрагента или маркетплейс запрашивает подтверждение регистрации оператора, и выясняется, что компания несколько лет работала без уведомления. Хорошая новость в том, что подать его несложно и быстро; плохая — что отсутствие записи в реестре всплывает в самый неподходящий момент, когда от неё зависит сделка или допуск к закупке.
Как подать и что за нарушение
Уведомление подаётся до начала обработки — через портал Роскомнадзора или Госуслуги, с подписанием уполномоченным лицом. После подачи оператора вносят в реестр в срок до 30 дней. Сам порядок подачи мы подробно разбирали в материале об уведомлении оператора в Роскомнадзор.
За неподачу или несвоевременную подачу уведомления отвечают по части 10 статьи 13.11 КоАП: для граждан это 5 000–10 000 рублей, для должностных лиц и НКО — 30 000–50 000, для ИП и юрлиц — 100 000–300 000 рублей. С учётом общего ужесточения санкций отсутствие уведомления перестало быть «технической мелочью». Полный разбор составов и сумм — в обзоре штрафов и ответственности за персональные данные.
Мы советуем не привязывать решение к размеру бизнеса. Вопрос не в том, крупная вы компания или самозанятый, а в том, обрабатываете ли вы чужие данные в электронном виде. Если да — почти наверняка вы оператор и обязаны уведомить. Это пятиминутная проверка, которая снимает риск, всплывающий ровно тогда, когда он мешает больше всего: при проверке контрагента, выходе на маркетплейс или участии в закупке.
Вопросы и ответы
Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.
Должен ли ИП подавать уведомление в Роскомнадзор?
В большинстве случаев да. Если ИП ведёт клиентскую базу, принимает заявки, заключает договоры или нанимает сотрудников, он оператор и обязан уведомить до начала обработки. Прежнее освобождение «по договору» отменено.
Нужно ли уведомление самозанятому?
Да, если он напрямую работает с клиентами и хранит их данные в электронном виде. Налоговый режим самозанятого от обязанности не освобождает.
Обязаны ли уведомлять, если есть только сотрудники, но нет клиентов?
Да. Освобождение для обработки данных работников отменено с 1 сентября 2022 года, поэтому работодатель обязан уведомить даже без единого клиента.
Кто реально освобождён от уведомления?
Только узкие случаи: обработка исключительно на бумаге без автоматизации, в государственных системах безопасности и по законодательству о транспортной безопасности.
Когда нужно подать уведомление?
До начала обработки персональных данных. Внесение в реестр занимает до 30 дней с даты поступления уведомления.
Какой штраф за отсутствие уведомления?
По части 10 статьи 13.11 КоАП: граждане 5–10 тыс, должностные лица и НКО 30–50 тыс, ИП и юрлица 100–300 тыс рублей.
Источники
- Статья 22 ФЗ №152-ФЗ (КонсультантПлюс) — уведомление об обработке и исключения (с учётом изменений 2022 года).
- Статья 3 ФЗ №152-ФЗ (КонсультантПлюс) — определение оператора персональных данных.
- Статья 13.11 КоАП РФ (КонсультантПлюс) — ответственность за нарушения в области персональных данных.