Как бизнесу работать с персональными данными: ФЗ-152 и уведомление в Роскомнадзор

Федеральный закон № 152 «О персональных данных» обязывает бизнес, который собирает или хранит данные клиентов, соблюдать правила. Телефон в заявке на сайте, e‑mail для рассылки, анкета пациента в клинике — всё это считается обработкой персональных данных. Поэтому компания должна подать уведомление в Роскомнадзор, зарегистрироваться как оператор ПДн и подготовить пакет документов.

Эта статья объясняет предпринимателям и организациям: кому это нужно, как пройти регистрацию, какие документы понадобятся и какие риски возникают при ошибках. Мы рассмотрим примеры из практики, типичные ошибки и советы, как избежать проблем.

Кому нужно уведомление в Роскомнадзор

Закон касается всех, кто собирает и хранит персональные данные: телефоны, e‑mail, паспортные сведения, адреса доставки, результаты тестов. Исключений для малого бизнеса нет. Если вы получаете контакты клиентов — вы оператор ПДн и должны быть в реестре Роскомнадзора.

Примеры отраслей:

• Онлайн-торговля и интернет‑сервисы: интернет-магазины, маркетплейсы, сайты с формами обратной связи или подписки. Даже простая кнопка «перезвоните мне» — это уже обработка персональных данных. Поэтому владельцам интернет-магазинов важно заранее подать уведомление в Роскомнадзор и прописать политику для клиентов.
• Медицина и образование: анкеты студентов, договоры с родителями, истории болезни, результаты анализов. Эти данные относятся к специальным категориям и требуют усиленной защиты. Здесь особенно важно назначить ответственного и прописать регламенты.
• ИП и самозанятые: репетиторы, маркетологи, фотографы, мастера услуг. Если вы собираете контакты клиентов через формы или базы телефонов, нужна регистрация ИП в Роскомнадзоре. Даже фрилансеру полезно иметь простую политику конфиденциальности.
• Сфера услуг: турагентства, фитнес‑центры, клининговые компании, салоны красоты. В этих сферах фиксируются имена, телефоны, даты рождения и данные для бронирований. Для турагентств обязательны согласия на передачу паспортных данных авиакомпаниям.
• B2B‑компании: юридические фирмы, консалтинг, маркетинговые агентства. Контакты сотрудников партнёров тоже относятся к ПДн и должны учитываться в уведомлении. В договорах с контрагентами стоит прямо указывать, как обрабатываются эти данные.

Даже одна форма заявки или список подписчиков делает вас оператором. Проверка Роскомнадзора может начаться с жалобы одного клиента или в рамках плановой проверки.

Что входит в соблюдение ФЗ-152

Соблюдение закона — это комплекс мер: документы, организация процессов и техническая защита, которые проверяет Роскомнадзор при плановых и внеплановых проверках.

1. Регистрация оператора ПДн: уведомление в Роскомнадзор с указанием категорий и целей обработки, внесение записи в реестр и своевременное обновление данных при изменениях. Например, добавили новый сайт или CRM — внесите это в реестр.
2. Документы: подготовка документов по ФЗ-152 включает политику конфиденциальности для сайта, согласия для клиентов и сотрудников, регламенты по работе с базами, приказы о назначении ответственных. Обязательно составление политики конфиденциальности, которая отражает реальные процессы: какие данные собираются, для чего, как хранятся, кому передаются.
3. Организационные меры: назначение ответственного за ПДн, разработка процедур доступа и хранения, обучение сотрудников. На практике это чек-листы для работы с данными, журнал учёта согласий, правила ограничения доступа по ролям.
4. Техническая защита: настройка паролей и уровней доступа, резервное копирование, антивирусное ПО, системы мониторинга и предотвращения утечек. Важно использовать шифрование и двухфакторную аутентификацию, особенно если вы работаете с медицинскими или финансовыми данными.

Как уведомить Роскомнадзор: шаги

1. Определите, какие именно персональные данные вы собираете: телефоны, e‑mail, адреса доставки, паспортные данные для договоров. Чёткий перечень нужен, чтобы правильно указать категории в уведомлении.
2. Перейдите на портал Роскомнадзора или Госуслуги. Через них подают форму уведомления об обработке персональных данных.
3. Заполните форму: сведения о компании, цели и способы обработки, категории данных (например: общие контактные, специальные медицинские, биометрия). Важно не ограничиваться общими фразами — пропишите конкретно, зачем вы обрабатываете данные (оформление заказа, рассылка уведомлений, ведение договоров).
4. Приложите подтверждающие документы: копию устава или свидетельства, приказы о назначении ответственного, образцы согласий. Это повышает шансы, что регистрация пройдёт без вопросов.
5. Отправьте заявление. Включение в реестр занимает до 30 дней, но Роскомнадзор может запросить уточнения.

Чтобы избежать претензий, убедитесь, что данные в форме совпадают с политикой конфиденциальности и внутренними документами компании. Если вы сомневаетесь, как заполнить уведомление в Роскомнадзор или какие категории данных выбрать, лучше проконсультироваться со специалистами.

Частые ошибки

• Использование скачанных шаблонов без адаптации под бизнес. Например, компания берёт политику конфиденциальности из интернета и оставляет чужие реквизиты.
• Отсутствие обновлений документов при изменениях. Запустили новый сервис, но в уведомлении и в политике он не отражён.
• Уверенность, что малый объём данных освобождает от регистрации. Даже форма с телефоном или e-mail — это обработка персональных данных.
• Нет назначенного ответственного и регламентов доступа. В итоге сотрудники работают с базами без правил.
• Цели обработки описаны слишком общо: «для работы с клиентами». РКН требует конкретики, например «для оформления заказов на сайте и рассылки уведомлений».
• Отсутствуют доказательства согласия клиентов: нет чекбоксов, журналов учёта, архивов с согласиями.
• Игнорируются технические меры: базы хранятся без паролей, нет резервного копирования, не используется шифрование.
• Сотрудники не обучены. На практике это приводит к утечкам через почту или мессенджеры.
• Данные хранятся дольше срока. Например, компания держит копии паспортов клиентов даже после завершения договора.
• Клиентов не информируют о правах: не объясняют, как можно отозвать согласие или запросить удаление данных.

С 30 мая 2025 года действуют новые штрафы (ст. 13.11 КоАП РФ):

• Неуведомление РКН: граждане и самозанятые — 10–50 тыс. ₽; должностные лица и ИП — 50–200 тыс. ₽; юрлица — 200–400 тыс. ₽.
• Нарушения в обработке: граждане — 5–30 тыс. ₽; должностные лица и ИП — 30–100 тыс. ₽; юрлица — 100–300 тыс. ₽.
• Утечка до 10 000 субъектов: до 3 млн ₽.
• Утечка свыше 100 000 субъектов или более 1 млн идентификаторов: 10–15 млн ₽.

РКН также может ограничить обработку или выдать предписание устранить нарушения.

Минимальный набор действий, чтобы избежать штрафов

• Онлайн-торговля: уведомление в РКН, политика конфиденциальности, согласия, логирование, резервные копии. На практике это значит: добавить чекбокс согласия при заказе, прописать сроки хранения данных, настроить систему оповещения при утечках.
• Медицина: уведомление, полный пакет документов, назначение ответственного, обучение персонала. Важно оформить согласия пациентов на обработку паспортных и медицинских данных, ограничить доступ к медицинской информации и хранить её в зашифрованном виде.
• Услуги для частных клиентов: уведомление об обработке персональных данных, простая политика конфиденциальности, защищённые каналы связи. Полезно фиксировать согласия клиентов при записи на услуги или при заключении договора.
• Корпоративные услуги (B2B): указание в уведомлении данных сотрудников контрагентов, согласия, обновлённая политика, контроль доступа. В договорах стоит отдельно прописывать, как обрабатываются данные сотрудников партнёров.
• Образование и обучение: уведомление, согласия родителей или учеников, регламенты хранения, ограничение сроков. Например, успеваемость хранить только на период обучения, а после удалять.
• Туризм и путешествия: уведомление, политика конфиденциальности, согласия на паспортные данные и бронирования, безопасная передача данных партнёрам. Нужно проверять, чтобы партнёры тоже соответствовали ФЗ‑152 и использовали защищённые каналы.

  ---

Минимальный набор действий включает регистрацию, документы, назначение ответственного, обучение сотрудников и технические меры. Это помогает работать легально, снижать риски штрафов и укреплять доверие.