С 30 мая 2025 года в Роскомнадзоре обязаны зарегистрироваться и подать уведомление об обработке персональных данных следующие организации и лица:
1. Юридические лица
- Коммерческие организации (ООО, АО, ПАО и др.)
- Государственные и муниципальные предприятия и учреждения
- Некоммерческие организации (фонды, ассоциации, союзы, религиозные организации и др.)
- Образовательные учреждения (школы, колледжи, вузы, детские сады)
- Медицинские организации (клиники, больницы, стоматологии, аптеки)
- Культурные учреждения (музеи, театры, библиотеки, дома культуры)
- Транспортные предприятия (автоперевозки, авиа- и железнодорожные компании)
- Финансовые учреждения (банки, МФО, страховые компании)
- Туристические компании и агентства
- Страховые компании
- Жилищно-коммунальные хозяйства (ТСЖ, управляющие компании)
- Интернет-магазины и сервисы электронной коммерции
- Операторы связи (мобильные, интернет-провайдеры)
2. Индивидуальные предприниматели (ИП)
- Все ИП, имеющие работников, которые ведут учет клиентов (например, салоны красоты, ремонтные мастерские, репетиторы, частные медицинские кабинеты и др.)
- ИП, использующие онлайн-запись, дисконтные или бонусные программы
3. Самозанятые (при автоматизированной обработке ПД)
- Зарегистрированные самозанятые граждане, если информация о клиентах и сотрудниках хранится и обрабатывается с использованием компьютеров, онлайн-сервисов или мобильных приложений
4. Органы государственной власти и местного самоуправления
- Муниципалитеты, комитеты, департаменты, ведомства
5. Религиозные и общественные объединения
- Церкви, мечети, синагоги, общественные и волонтерские организации
Исключения:
- Физические лица, использующие данные только для личных нужд (семейных, бытовых)
- Организации, работающие только с данными в бумажном виде и не использующие автоматизированных средств
- Компании, обрабатывающие персональные данные только в государственных информационных системах, созданных для защиты безопасности государства и порядка
Обратите внимание:
Если ваша организация или ИП хотя бы раз собирает, хранит, передает или систематизирует персональные данные сотрудников, клиентов, контрагентов — вы обязаны подать уведомление в Роскомнадзор.
Это требование касается большинства компаний и предпринимателей, ведущих официальный бизнес!
Что относится к персональным данным?
К персональным данным (ПД) относится любая информация, позволяющая прямо или косвенно идентифицировать человека: ФИО, адрес, телефон, паспортные данные, e-mail, место и дата рождения, семейное и имущественное положение, фото, данные о здоровье, национальность и даже биометрические данные (п.1 ст.3, №152-ФЗ). Такие сведения мы оставляем при покупке онлайн, записи к врачу или заполнении банковских анкет.
Перед тем, как начать обработку ПД, компания обязана получить согласие человека в письменной форме.
Какие действия считаются обработкой ПД?
Обработка — любые действия с ПД, как автоматизированные, так и обычные: сбор, запись, хранение, систематизация, уточнение (обновление/изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение данных (п.3 ст.3, №152-ФЗ).
Какие сведения о сотруднике вправе собирать работодатель?
Работодатель может обрабатывать только те ПД сотрудника, которые нужны для выполнения трудовых и иных законных обязанностей (ст.86 ТК РФ). Например, отправка данных в СФР, оформление пропуска или направление на обучение. Для других целей, даже если сотрудник не возражает, использовать информацию нельзя.
Порядок регистрации в Роскомнадзоре
Каждый, кто хранит и использует ПД (например, ФИО или паспортные данные), обязан уведомить Роскомнадзор и назначить лицо, ответственное за обработку (п.1 ст.22, №152-ФЗ). Роскомнадзор ведёт открытый реестр операторов ПД.
Есть три способа подачи уведомления:
1. На бумаге — заполнить форму, распечатать, отправить по почте в территориальное отделение Роскомнадзора.
2. В электронном виде — заполнить на сайте, подписать ЭЦП (требуется КриптоПро ЭЦП Browserplug-in).
3. Через Госуслуги — при наличии подтверждённой учётной записи.
После отправки уведомления данные вносятся в реестр в течение 30 дней.
Важно!
Компания обязана убедиться, что внесена в реестр Роскомнадзора, прежде чем начать обработку персональных данных, например, даже при оформлении пропуска на вход в офис.
Как проверить регистрацию?
Через 30 дней после подачи уведомления проверьте наличие себя в реестре на сайте Роскомнадзора. Это можно сделать по ИНН компании.
На 1 мая 2025 года в реестре уже зарегистрировано более 940 000 операторов персональных данных.
Следуйте этим правилам — и защита ваших клиентов и сотрудников будет на высоком уровне, а бизнес избежит штрафов и проблем с законом!
Краткое руководство: когда и как подавать уведомление в Роскомнадзор по обработке персональных данных
1. Поиск компании в реестре Роскомнадзора
Если не помните ИНН, ищите по наименованию (без ОПФ, спецсимволов и кавычек). Можно вводить только часть названия или одно из слов.
2. Открытость реестра
Реестр доступен для всех — любой пользователь может получить информацию о компаниях-операторах ПД.
3. Нет компании в реестре?
Обязательно подайте уведомление о начале обработки персональных данных.
Как часто нужно уведомлять Роскомнадзор?
- Первое уведомление — подаётся один раз, когда компания начинает работать с ПД.
- Повторное уведомление требуется в трёх случаях:
1. Изменения в сведениях (например, название, адрес или цели обработки).
— Срок: не позднее 15 числа месяца, следующего за изменениями.
2. Утечка персональных данных
— В течение 24 часов: сообщить о факте, оценить последствия, назначить ответственного.
— В течение 72 часов: представить результаты расследования.
3. Прекращение обработки ПД
— Уведомить Роскомнадзор не позднее 10 дней после прекращения.
— Если возобновляете обработку, уведомление подаётся снова.
Когда подавать уведомление НЕ нужно?
- При обработке ПД только на бумаге без автоматизации.
- При работе с государственными системами для защиты безопасности.
Важно!!! Если учёт ведётся в «1С» или другой программе, уведомление обязательно.
- Чтобы избежать утечек ПД и штрафов, каждая компания-оператор должна быть внесена в реестр Роскомнадзора — для этого подавайте уведомление сразу при начале работы с персональными данными и при всех изменениях.