2722
9 мин
5 июля 2025
Кто является оператором персональных данных в 2025 году
Многие бизнесмены считают, что новые требования закона затрагивают исключительно большие компании. Это заблуждение. Операторами персональных данных становятся все, кто работает с личной информацией клиентов, независимо от масштабов деятельности.
Статус оператора получают организации любых форм, предприниматели, самозанятые и даже незарегистрированные лица, ведущие коммерческую деятельность. Количество клиентов, размер выручки или штат сотрудников не имеют значения.
Как только вы начинаете собирать персональные данные клиентов: ФИО, телефоны, электронную почту или другие сведения для определения личности, вы становитесь оператором персональных данных. Это происходит автоматически, без каких-либо дополнительных процедур.
Ключевой момент — применение технических средств. Сохранение контактов клиентов в мессенджерах, ведение списков в Excel или любое использование компьютера для работы с клиентской информацией квалифицируется как автоматизированная обработка персональных данных.
Кто может не подавать уведомление в Роскомнадзор
Закон устанавливает всего несколько ситуаций, освобождающих от обязанности подавать уведомления в Роскомнадзор (ч. 2 ст. 22 Закона о персональных данных). Главное освобождение действует при работе исключительно с бумажными документами — без компьютеров, планшетов и другой техники.
Второе исключение распространяется на государственные системы силовых ведомств и спецслужб. Третий случай связан с транспортной безопасностью, что редко касается обычного бизнеса.
На практике почти все предприниматели должны регистрироваться как операторы персональных данных, поскольку так или иначе используют технические средства в работе с клиентской информацией.
Подготовка документов: персональные данные под контролем
До начала оформления уведомления в Роскомнадзор важно подготовить документооборот по персональным данным. Отправка уведомления без готовой базы документов может обернуться проблемами во время проверок.
Начните с политики, регламентирующей обработку персональных данных и создание форм согласий для разных целей использования информации. Политика описывает цели, виды данных и юридические основания, публикуется на сайте для всеобщего доступа. Принципиально важно: каждая цель обработки требует индивидуального согласия.
Обратите внимание: данные должны быть размещены на серверах в России. Применение зарубежных сервисов вроде Google Forms грозит санкциями до шести миллионов рублей. Также требуется установка лицензионного антивируса и настройка парольной защиты.
Полная защита может включать до двух десятков различных документов — от распоряжений о назначении ответственных сотрудников до форм актов уничтожения информации. Создание и ведение такого количества документов вручную — серьезная нагрузка для бизнеса.
Многие ошибки происходят не по вине сотрудников, а из-за отсутствия удобных инструментов. Когда работники создают документы в разных программах, а потом пересылают по почте, теряется не только время, но и контроль над процессами. О том, как системно подойти к автоматизации документооборота, читайте в статье «Цифровая трансформация: как выбрать правильные инструменты для автоматизации».
Детальная инструкция по заполнению уведомления
Процедура подачи уведомления начинается с посещения официального сайта Роскомнадзора. Обязательно убедитесь, что заходите именно на официальный сайт. В 2025 году участились случаи создания поддельных сайтов государственных органов, через которые мошенники воруют персональные данные и документы предпринимателей.
Всегда проверяйте адрес сайта в браузере. Если хотите узнать больше о том, как распознать фальшивые сайты госорганов и защитить свои данные, рекомендуем изучить нашу статью «Фальшивый сайт ФНС ворует декларации: как работают клоны и как не стать жертвой».
Разберем способ наиболее удобного способа подачи уведомления — через электронную форму с авторизацией через портал Госуслуги. Альтернативные варианты включают подачу документов в бумажном виде или в формате PDF, подписанные квалифицированной электронной подписью.
Заполнение сведений об операторе
После авторизации через Госуслуги основная информация о вас будет заполнена автоматически.
Внимательно заполните поле «Регионы обработки». При работе в границах одного субъекта федерации (физический магазин, офис или салон в конкретном городе) выбирайте соответствующий регион. Компаниям, ведущим онлайн-деятельность по всей стране, нужно поставить отметку «Все субъекты Российской Федерации». Это корректно отражает географический охват вашего бизнеса и не накладывает дополнительных ограничений.
Подробное описание целей обработки
Блок целей обработки персональных данных считается самым развернутым и значимым разделом уведомления. Персональные данные каждой категории требуют отдельного описания в блоке целей.
Стандартная цель для коммерческих структур — «Подготовка, заключение и исполнение гражданско-правовых договоров с контрагентами». В рамках этой цели обычно используются ФИО покупателя, электронная почта, контактный телефон, иногда адресные данные.
При указании категорий персональных данных важна предельная точность. Отмечайте только те сведения, которые реально используете в работе. Если для оформления сделок не нужна информация о семейном статусе или профессии клиентов, исключайте эти пункты. Лишние данные в обработке могут вызвать вопросы у контролирующих органов.
В подразделе «Категории субъектов» отметьте «Клиенты», если речь идет о обработке данных покупателей или заказчиков услуг. Для организаций, имеющих сотрудников, потребуется добавить отдельную цель с категорией «Работники».
Правовое основание — это причина, по которой компания может использовать личные данные. Если компания хочет отправлять рекламу или маркетинговые письма, она должна получить разрешение. В таком случае нужно поставить галочку в первом пункте. Если бизнес работает с контрагентами, то необходимо поставить галочку в шестом пункте.
Список операций с данными содержит сбор, систематизацию, накопление, хранение, уточнение, использование, передачу и уничтожение. Отмечайте исключительно те действия, которые фактически выполняете. К примеру, при отсутствии передачи клиентской информации сторонним организациям уберите галочку с пункта «передача».
Метод обработки в современных условиях почти всегда определяется как смешанный, поскольку объединяет цифровые технологии (работа с компьютерами, специальными программами) и традиционные методы (оформление бумажной документации).
Описание мер защиты информации
Данный раздел требует максимальной точности, так как вся заявленная информация должна отражать реальную ситуацию в вашей компании. Во время проверок Роскомнадзор вправе потребовать документальные подтверждения каждого указанного пункта.
1С: Зарплата и управление персоналом
Арендуйте без покупки лицензий
Обновления включены в стоимость
Стандартные меры, применимые для большинства операторов: выявление потенциальных угроз безопасности персональных данных, создание внутренних документов по вопросам обработки, определение ответственного за персональные данные, организация внутреннего мониторинга процессов обработки.
При наличии персонала обязательно отмечайте «обучение сотрудников нормативным требованиям». Технические аспекты защиты охватывают использование специализированного программного обеспечения, ограничение несанкционированного проникновения в рабочие помещения, защиту носителей данных.
В блоке «Средства обеспечения безопасности» укажите реальные технические инструменты защиты персональных данных. Пароли, ключи доступа, антивирусные программы и разграничение прав пользователей — обязательный минимум для любой информационной системы. При работе с персоналом отметьте проведение инструктажей по информационной безопасности. Электронную подпись указывайте только при ее фактическом использовании.
Указание сроков обработки
Дата начала обработки персональных данных для большинства предпринимателей совпадает с датой государственной регистрации или стартом фактической деятельности. Если вы собираете данные клиентов значительно позже регистрации бизнеса, укажите фактическую дату начала.
Условия прекращения обработки рекомендуется формулировать через достижение целей обработки или отзыв согласия субъектом данных. Указание конкретных сроков хранения может создать дополнительные обязательства по мониторингу и своевременному удалению информации.
Трансграничная передача персональных данных актуальна для организаций, использующих зарубежные сервисы или имеющих партнеров в других странах. Если вся ваша деятельность осуществляется в России с использованием российских сервисов, отметьте «не осуществляется».
Сведения о местонахождении баз данных
Это самый сложный раздел для заполнения. Главное правило: все персональные данные российских граждан должны храниться в России.
Если вы работаете дома и храните данные на своем компьютере, просто укажите свой домашний адрес и выберите «собственный ЦОД». Звучит серьезно, но с юридической точки зрения это правильно.
При использовании облачных сервисов российских компаний (Яндекс.Диск, Mail.ru Облако, сервисы Сбера и подобные) нужно указать адреса их серверов. Эту информацию можно запросить в службе поддержки или найти в официальных документах компании.
Если вы используете несколько систем для хранения, каждую указывайте отдельно. Например, одни данные могут быть на вашем компьютере, другие в облаке, третьи в CRM-системе — все системы нужно перечислить.
Работа с разрозненными системами не только усложняет соблюдение требований по персональным данным, но и увеличивает риски утечек. Если вы устали жонглировать между Excel-таблицами, отдельной CRM и бухгалтерской программой, рассмотрите комплексное решение.
Например, решение «1С:Управление нашей фирмой» объединяет все бизнес-процессы в одной системе: CRM с базой клиентов, складской учет, зарплату и регламентированную отчетность. При этом все данные надежно защищены, провайдер выполняет ежедневное резервное копирование, а серверы расположены в России, что соответствует требованиям закона о персональных данных.
Обеспечение безопасности персональных данных
В последнем разделе уведомления нужно рассказать, как именно вы защищаете информацию клиентов. Важно писать честно о том, что делаете на самом деле, а не копировать стандартные фразы.
Если ваши работники имеют дело с данными клиентов без использования компьютерных программ, они должны знать правила работы с такой информацией. В небольших компаниях достаточно провести беседу с сотрудниками и получить от них расписку о том, что они поняли требования.
Вы обязаны точно знать, где лежат данные клиентов и кто к ним имеет доступ. Даже если работаете один, нужно письменно зафиксировать, где и каким образом вы храните клиентскую информацию.
Сведения, которые вы используете для разных целей, нужно хранить раздельно. Это можно сделать организационно или технически. Например, сведения о клиентах не должны смешиваться с данными о сотрудниках.
Внутренние документы по защите информации могут быть разными: инструкции, правила или положения. Индивидуальные предприниматели могут ограничиться простыми письменными правилами работы с данными.
Процедура подачи и рассмотрения уведомления
Когда заполните все разделы уведомления, тщательно все перепроверьте. Убедитесь, что описанные меры защиты действительно соответствуют тому, как вы работаете в реальности.
В конце нужно поставить две обязательные галочки: что вы изучили правила подачи уведомления и согласны получать документы в электронном виде. После этого отправляйте уведомление в Роскомнадзор.
Система присвоит вашему документу номер и ключ — их обязательно сохраните для будущих обращений. У Роскомнадзора есть 30 дней на рассмотрение вашего уведомления.
Когда вас внесут в реестр операторов персональных данных, на указанную почту придет соответствующее сообщение. Информацию о вашей компании можно будет найти в открытом реестре на сайте Роскомнадзора.
Практические рекомендации по соблюдению требований
Подача уведомления — это только начало работы по защите персональных данных. Чтобы снизить риски, нужно выстроить полноценную систему работы с информацией клиентов.
Ведите учет всех разрешений на использование данных, которые дали вам клиенты. Создайте порядок действий для случаев, когда клиент захочет отозвать свое согласие или потребует удалить свои данные. Периодически проверяйте свои системы хранения информации — действительно ли защита соответствует тому, что вы указали в уведомлении.
Если вы изменили цели использования данных, внедрили новые программы или поменяли способы защиты информации, нужно подать дополнительное уведомление в Роскомнадзор. Своевременное информирование поможет избежать проблем при возможных проверках.
Обучение сотрудников правилам работы с персональными данными должно стать постоянной комплаенс-практикой. Даже если у вас нет отдела информационной безопасности, базовые знания законов должны быть у всех, кто работает с клиентской информацией.
Своевременная подача уведомления и создание надежной системы защиты информации — это вложение в стабильность и безопасность вашего бизнеса в условиях все более строгого контроля.
