Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.
Репетитор, психолог, юрист, селлер на маркетплейсе — специалисты, работающие в одиночку, почти всегда уверены, что Роскомнадзор «про большие компании, а не про меня». Это опасное заблуждение: как только вы ведёте список клиентов, записываете контакты и принимаете заявки, вы обрабатываете персональные данные и становитесь их оператором — со всеми обязанностями, включая уведомление в Роскомнадзор. Размер бизнеса и наличие юрлица тут роли не играют. Разберём по профессиям, кто именно обязан подать уведомление, когда закон вас всё-таки не касается и как это оформляется на самом деле.
Сразу уточним терминологию, потому что её часто путают. Никакой «регистрации» с пакетом бумаг и копией паспорта не существует. Оператор подаёт в Роскомнадзор уведомление — электронно, по утверждённой форме, после чего его вносят в реестр операторов. Это бесплатно и не требует личного визита.
Если коротко, главное удержать три мысли. Первая: оператор — это любой, кто собирает чужие данные в работе, а не только компания. Вторая: освобождение «по договору с клиентом» отменено с осени 2022 года, поэтому уведомление нужно почти всем специалистам. Третья: закон не касается вас, только если данные обрабатываются для личных нужд или полностью на бумаге.
Почему специалист-одиночка — это оператор
Оператор персональных данных — это тот, кто сам определяет, зачем и как обрабатывать данные. Закон не делает скидку на размер: если вы фрилансер или самозанятый и решаете, чьи телефоны и имена собирать и зачем, вы оператор наравне с крупной компанией. А раз так, на вас распространяется обязанность уведомить Роскомнадзор до начала обработки. Раньше многие специалисты опирались на освобождение «обработка по договору с клиентом», но это основание отменено с 1 сентября 2022 года, и теперь уведомление подаёт почти каждый, кто работает с чужими данными.
Кого это касается: по профессиям
Чтобы было предметно, вот типичные специалисты и то, какие данные они обрабатывают. Объединяет их одно: в работе появляются чужие персональные данные.
| Специалист | Какие данные обрабатывает | Уведомление |
|---|---|---|
| Репетитор | контакты учеников и родителей, расписание | да |
| Психолог, коуч | контакты и записи о клиентах (часто чувствительные) | да |
| Юрист, адвокат | данные доверителей и участников дел | да |
| Арбитражный управляющий | сведения об участниках процедур | да |
| Селлер на маркетплейсе | имена, адреса, телефоны покупателей | да |
| Мастер, фрилансер, ИП услуг | клиентская база, заявки, договоры | да |
Психологи и юристы здесь в особой зоне риска: они часто обрабатывают чувствительные сведения (о здоровье, о личной жизни), а это специальные категории данных с более строгим режимом. Подробнее о том, кто из операторов по форме обязан уведомлять, мы разбирали в материале о том, кто должен подавать уведомление в Роскомнадзор.
Чаще всего специалисты узнают о своей обязанности в самый неподходящий момент. Селлер выходит на маркетплейс, а площадка запрашивает подтверждение, что он оператор персональных данных. Юрист участвует в тендере, и в анкете комплаенса есть пункт про реестр Роскомнадзора. Психолог открывает онлайн-запись, и выясняется, что данные клиентов уже несколько месяцев собираются без уведомления. Само уведомление подаётся за вечер, но его отсутствие всплывает ровно тогда, когда от него зависит доход.
Когда уведомление действительно не нужно
Есть ситуации, когда закон вас не касается. Главная — обработка данных исключительно для личных и семейных нужд: личная записная книжка, контакты друзей, семейный архив. Это прямо выведено из-под действия закона статьёй 1. Но граница проходит по слову «деятельность»: как только данные собираются в работе — для клиентов, заказов, услуг, — это уже не личные нужды, и исключение не действует.
Освобождает от уведомления и обработка исключительно без средств автоматизации, то есть полностью на бумаге, без компьютера, таблиц и мессенджеров. На практике таких специалистов почти нет: любая запись клиента в телефон или Excel — это уже автоматизированная обработка. Поэтому для большинства работающих специалистов уведомление обязательно.
Как подать уведомление
Уведомление подаётся до начала обработки данных — через портал Роскомнадзора или Госуслуги, с электронной подписью уполномоченного лица. Бумажные копии паспорта и прочие документы для этого не нужны: в уведомлении указываются цели обработки, категории данных и субъектов, меры защиты и сведения об операторе. После подачи оператора вносят в реестр в срок до 30 дней. Пошаговый порядок мы описывали в материале об уведомлении оператора в Роскомнадзор.
Совет из практики: не привязывайте решение к тому, есть ли у вас юрлицо или вы «просто самозанятый». Вопрос только один: появляются ли в вашей работе чужие данные в электронном виде. Появились — значит, вы почти наверняка оператор. Это пятиминутная проверка, которая снимает риск, способный сорвать выход на площадку, тендер или сделку именно в тот момент, когда вам это нужнее всего.
Чем грозит отсутствие уведомления
Неподача или несвоевременная подача уведомления наказывается по части 10 статьи 13.11 КоАП: для граждан это 5 000–10 000 рублей, для должностных лиц и НКО — 30 000–50 000, для ИП и юрлиц — 100 000–300 000 рублей. С учётом общего ужесточения санкций за персональные данные это уже не символическая сумма. Полный разбор составов — в обзоре штрафов и ответственности за персональные данные.
Частые заблуждения специалистов
Вокруг этой обязанности сложилось несколько устойчивых мифов, из-за которых специалисты годами работают без уведомления.
«Я не юрлицо, значит меня это не касается». Статус оператора не зависит от организационной формы. Самозанятый и физлицо, оказывающее услуги, — такой же оператор, как ООО, если обрабатывает данные клиентов.
«У меня мало клиентов». Закон не устанавливает порога по числу субъектов для обязанности уведомить. Даже десять клиентов в записной книжке телефона — это уже автоматизированная обработка персональных данных.
«Я беру данные по договору, согласие и уведомление не нужны». Договор действительно может быть основанием обработки, но он не отменяет уведомление: освобождение для обработки по договору с клиентом убрали в 2022 году.
«Это дорого и сложно». Подача уведомления бесплатна и делается онлайн. Сложность только в том, чтобы корректно описать цели и категории данных, и здесь как раз помогает специалист.
Вопросы и ответы
Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.
Нужно ли репетитору или психологу подавать уведомление?
Да, если он ведёт контакты и записи клиентов в электронном виде. Психологам стоит учитывать, что данные о клиентах часто относятся к специальным категориям с более строгим режимом.
Должен ли селлер на маркетплейсе быть в реестре операторов?
Да. Селлер обрабатывает имена, адреса и телефоны покупателей, поэтому он оператор и обязан подать уведомление. Площадки нередко запрашивают подтверждение записи в реестре.
Я физлицо без ИП — меня это касается?
Когда вы обрабатываете данные клиентов в рамках деятельности (услуги, заказы) — да. Исключение для личных и семейных нужд на профессиональную работу не распространяется.
Это правда регистрация с подачей документов?
Нет. Это подача электронного уведомления по форме через портал Роскомнадзора или Госуслуги. Копии паспорта и бумажные документы не требуются.
Когда уведомление точно не нужно?
Только когда данные обрабатываются для личных и семейных нужд либо исключительно на бумаге без автоматизации. Для большинства работающих специалистов это неприменимо.
Сколько стоит подать уведомление?
Подача уведомления бесплатна. Затраты возможны только если вы привлекаете специалистов для подготовки документов и проверки соответствия.
Источники
- Статья 22 ФЗ №152-ФЗ (КонсультантПлюс) — уведомление об обработке персональных данных.
- Статья 1 ФЗ №152-ФЗ (КонсультантПлюс) — сфера действия закона и исключения (личные и семейные нужды).
- Статья 13.11 КоАП РФ (КонсультантПлюс) — ответственность за нарушения в области персональных данных.