Главная страница категории

Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.

Перейти на страницу

Главное заблуждение про уведомление в Роскомнадзор звучит так: «это для крупных компаний, нас не касается». На деле оператор персональных данных это почти любой, кто собирает чужие данные для своей работы, и с 1 сентября 2022 года обязанность уведомлять распространилась почти на всех. Сюда попадают ИП, юрлица, самозанятые и даже физлица в ряде ситуаций. Разберём по типам, кто именно обязан подать уведомление, кто пока освобождён и что грозит за молчание.

Если коротко, главное удержать три мысли. Первая: оператор — это тот, кто сам определяет, зачем и как обрабатывать данные, а не обязательно большая организация. Вторая: прежних поблажек (для работодателей, для обработки по договору) больше нет, их отменили с осени 2022 года. Третья: уведомление подаётся до начала обработки, а не после жалобы.

Кто такой оператор

Оператор персональных данных это лицо, которое самостоятельно или совместно с другими организует и определяет цели и способы обработки данных. Ключевое слово здесь «определяет цели»: если вы решаете, какие данные собирать и зачем, вы оператор, независимо от размера бизнеса и формы. Оператором может быть и организация, и индивидуальный предприниматель, и физическое лицо. А раз вы оператор — на вас распространяется обязанность уведомить Роскомнадзор до начала обработки.

Индивидуальные предприниматели

ИП почти всегда оказываются операторами. Достаточно вести клиентскую базу, принимать заявки через сайт или мессенджеры, заключать договоры с клиентами или нанимать сотрудников. Репетитор, юрист, мастер по ремонту, логист, онлайн-консультант: все они собирают как минимум имена и телефоны, а значит, обрабатывают персональные данные. Раньше ИП часто полагались на освобождение «обработка по договору с клиентом», но именно это основание отменено, поэтому сегодня подавляющему большинству ИП уведомление подавать нужно.

Юридические лица

Организации любой формы — ООО, АО, ТСЖ, НКО — операторы практически по умолчанию. Они хранят данные работников, ведут CRM, имеют сайт с формами заявок и записи, работают с клиентами и подрядчиками. Прежнее освобождение для обработки данных работников отменено, поэтому даже компания без единого клиента, но со штатом сотрудников, обязана уведомить Роскомнадзор. Это касается и некоммерческих организаций, которые ведут базу членов или жертвователей.

Самозанятые

Самозанятые — категория, которая чаще всего удивляется этой обязанности. Но если самозанятый напрямую работает с клиентами, ведёт переписку, хранит контакты и реквизиты, он тоже определяет цели обработки и является оператором. Налоговый режим тут роли не играет: освобождение от уведомления зависит не от того, как вы платите налоги, а от того, обрабатываете ли вы персональные данные и подпадаете ли под узкие исключения.

Кто обязан: коротко по типам

Сведём картину в таблицу. Принцип один: если данные хранятся в электронном виде и вы определяете, зачем их собирать, вы оператор и обязаны уведомить.

КтоТипичная ситуацияУведомление
ИПклиентская база, заявки с сайта, договоры, сотрудникида
Юрлицо (ООО, АО, ТСЖ, НКО)данные работников, CRM, сайт с формамида
Самозанятыйконтакты и реквизиты клиентов в электронном видеда
Любой операторобработка только на бумаге, без компьютеров и базнет

Когда уведомление не нужно

После изменений 2022 года перечень исключений резко сократился. Сейчас не уведомлять вправе лишь те, кто:

Для обычного бизнеса это означает простое правило: если вы храните данные хоть в какой-то электронной форме — в Excel, CRM, на сайте, в почте, — освобождение к вам не применяется. Подробно о том, кто формально остаётся вне обязанности и почему таких почти нет, мы писали в разборе обработки, учёта и доступа к персональным данным.

На практике самые частые «жертвы» этого правила — небольшие ИП и самозанятые, которые искренне считают, что уведомление их не касается. Приходит клиент с анкетой контрагента или маркетплейс запрашивает подтверждение регистрации оператора, и выясняется, что компания несколько лет работала без уведомления. Хорошая новость в том, что подать его несложно и быстро; плохая — что отсутствие записи в реестре всплывает в самый неподходящий момент, когда от неё зависит сделка или допуск к закупке.

Как подать и что за нарушение

Уведомление подаётся до начала обработки — через портал Роскомнадзора или Госуслуги, с подписанием уполномоченным лицом. После подачи оператора вносят в реестр в срок до 30 дней. Сам порядок подачи мы подробно разбирали в материале об уведомлении оператора в Роскомнадзор.

За неподачу или несвоевременную подачу уведомления отвечают по части 10 статьи 13.11 КоАП: для граждан это 5 000–10 000 рублей, для должностных лиц и НКО — 30 000–50 000, для ИП и юрлиц — 100 000–300 000 рублей. С учётом общего ужесточения санкций отсутствие уведомления перестало быть «технической мелочью». Полный разбор составов и сумм — в обзоре штрафов и ответственности за персональные данные.

Мы советуем не привязывать решение к размеру бизнеса. Вопрос не в том, крупная вы компания или самозанятый, а в том, обрабатываете ли вы чужие данные в электронном виде. Если да — почти наверняка вы оператор и обязаны уведомить. Это пятиминутная проверка, которая снимает риск, всплывающий ровно тогда, когда он мешает больше всего: при проверке контрагента, выходе на маркетплейс или участии в закупке.

Вопросы и ответы

Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.

Должен ли ИП подавать уведомление в Роскомнадзор?

В большинстве случаев да. Если ИП ведёт клиентскую базу, принимает заявки, заключает договоры или нанимает сотрудников, он оператор и обязан уведомить до начала обработки. Прежнее освобождение «по договору» отменено.

Нужно ли уведомление самозанятому?

Да, если он напрямую работает с клиентами и хранит их данные в электронном виде. Налоговый режим самозанятого от обязанности не освобождает.

Обязаны ли уведомлять, если есть только сотрудники, но нет клиентов?

Да. Освобождение для обработки данных работников отменено с 1 сентября 2022 года, поэтому работодатель обязан уведомить даже без единого клиента.

Кто реально освобождён от уведомления?

Только узкие случаи: обработка исключительно на бумаге без автоматизации, в государственных системах безопасности и по законодательству о транспортной безопасности.

Когда нужно подать уведомление?

До начала обработки персональных данных. Внесение в реестр занимает до 30 дней с даты поступления уведомления.

Какой штраф за отсутствие уведомления?

По части 10 статьи 13.11 КоАП: граждане 5–10 тыс, должностные лица и НКО 30–50 тыс, ИП и юрлица 100–300 тыс рублей.

Источники