Если статья описывает вашу ситуацию, мы можем взять на себя проверку документов, подготовку комплекта, подачу и ответы на замечания экспертизы.
Работа с персональными данными не ограничивается только уведомлением Роскомнадзора и публикацией политики. Существуют нюансы и исключения, которые часто вызывают затруднения у предпринимателей, специалистов и IT-организаций. В этом материале мы разберём, когда возможна обработка персональных данных без уведомления, какие требования предъявляют Роспотребнадзор и Роскомнадзор, и что такое намерение обработки данных.
Обработка персональных данных без уведомления Роскомнадзора
Да, в исключительных случаях возможна обработка персональных данных без подачи уведомления в Роскомнадзор. Такие случаи перечислены в ч.2 ст.22 Федерального закона № 152-ФЗ.
Когда не требуется уведомление:
Обработка осуществляется исключительно для заключения и исполнения договора, стороной которого является субъект персональных данных
Обработка необходима для однократного пропуска на территорию организации
Персональные данные обрабатываются в целях трудового законодательства (внутри коллектива)
Оператор обрабатывает только данные родственников/друзей в личных целях
Персональные данные получены от субъекта в открытом доступе и используются без коммерческой выгоды
Обработка осуществляется в информационных системах, не подключённых к интернету, и данные не передаются третьим лицам
Но:
Эти исключения не освобождают от соблюдения закона в целом
Нужно всё равно соблюдать принципы обработки, защищать данные и иметь политику
Намерение об обработке персональных данных: нужно ли уведомление?
Согласно практике Роскомнадзора, подача уведомления обязательна не только при начале обработки, но и при намерении её осуществлять. То есть, даже если данные ещё не собираются, но предусмотрены будущей IT-системой или сайтом, нужно заранее:
Подать уведомление
Назначить ответственного
Описать цели, категории, системы
Уведомление о начале обработки персональных данных
Такое уведомление подаётся через официальный портал pd.rkn.gov.ru или через СБИС/Контур с ЭЦП.
Необходимые сведения:
Название оператора и его адрес
Контактное лицо
Цели и правовые основания обработки
Категории субъектов
Источники получения данных
Используемые ИСПДн
Факт трансграничной передачи
Обработка данных: Роскомнадзор vs Роспотребнадзор
| Параметр | Роскомнадзор | Роспотребнадзор |
|---|---|---|
| Курирует 152-ФЗ | ✔ | ❌ |
| Принимает уведомления | ✔ | ❌ |
| Контролирует онлайн-сервисы, CRM, SaaS | ✔ | ❌ |
| Проверяет магазины, общепит, услуги | ❌ | ✔ (в части прав потребителей) |
| Может накладывать штрафы за ИСПДн | ✔ | ❌ |
| Публикует разъяснения по защите ПДн | ✔ | ❌ |
Важно: Роспотребнадзор занимается персональными данными только в контексте нарушения прав потребителей (например, если магазин требует лишнюю информацию при покупке). За регистрацию, политику и безопасность отвечает Роскомнадзор.
Учет и доступ к персональным данным
Организация обязана вести учет операций с ПДн:
Кто обрабатывает
К каким данным имеет доступ
Когда и где обработка осуществляется
Кто получает данные извне
Для этого заводятся:
Журнал учета доступа
Журнал нарушений
Перечень пользователей ИСПДн
Акт разграничения доступа
Получение и внесение персональных данных
Получать персональные данные можно только:
С согласия субъекта
По требованию закона (например, трудовой кодекс)
Из открытых источников — с ограничениями
Вносить персональные данные (например, при приёме сотрудника, регистрации пользователя, заказе товара) нужно только с указанием цели и сроков хранения.
Угрозы и уровни персональных данных
Возможные угрозы:
Несанкционированный доступ (взлом)
Потеря устройства с ПДн
Перехват данных в сети
Утечка через сотрудников
Программные сбои
Уровни защищённости ИСПДн (по приказу ФСТЭК №21):
| Уровень | Применяется при |
|---|---|
| 1 уровень | Обработка специальных категорий данных (медицина, безопасность) |
| 2 уровень | Обработка ПДн большого объема, в автоматизированных системах |
| 3 уровень | Обычные данные, например в CRM, рассылках, кадровых системах |
Способы обработки персональных данных
Автоматизированная (с помощью ПО, скриптов, сервисов)
Неавтоматизированная (бумажные документы, анкеты)
Смешанная
С передачей третьим лицам (аутсорсинг, курьерские службы и т.п.)
Трансграничная (сервер за границей)
Соблюдение законодательства и работа с ПДн
В 2025 году организация должна:
Зарегистрироваться в Роскомнадзоре
Назначить ответственное лицо
Обеспечить защиту ИСПДн
Иметь все локальные документы (политика, положения, приказы)
Своевременно обновлять сведения
Принимать жалобы субъектов
Поддержка от МинпромХелп
Если вы не уверены, подпадаете ли под требования закона, или не знаете, как правильно подготовить документы и подать уведомление, команда МинпромХелп готова:
Провести аудит
Подать уведомление
Подготовить все документы
Настроить техническую защиту
Сопровождать в случае проверок
Даже частичная работа с персональными данными требует внимания. Законодательство 2025 года становится всё строже, и защита данных — это уже вопрос не только комплаенса, но и репутации.
Нужно применить это к вашей продукции?
Разберем изделие, код ОКПД2/ТН ВЭД, требования реестра, доказательную базу и подготовим понятный план действий.