Здравствуйте. Здравствуйте. Юридические лица, индивидуальные предприниматели и самозанятые, взаимодействующие с физлицами, обязательно должны быть зарегистрированы в Едином реестре операторов персональных данных. Я являюсь ИП. И хочу понять что это означает? Какие штрафы? Для чего нужна эта регистрация?
Здравствуйте! Согласно ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», операторы персональных данных обязаны уведомить Роскомнадзор о начале обработки данных до её начала. Под оператором понимается лицо, определяющее цели и содержание обработки персональных данных (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ). К ним относятся ИП, собирающие данные клиентов, сотрудников, контрагентов или иных субъектов (ФИО, контакты, платежные реквизиты и т.д.).
Исключения из обязанности уведомления перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ:
Если ИП применяет электронные системы (CRM-системы, облачные хранилища, сайты с формами обратной связи), исключения не действуют, и регистрация обязательна.
За неподачу уведомления в Роскомнадзор предусмотрена административная ответственность по ст. 19.7 КоАП РФ
влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.
Дополнительные штрафы могут быть наложены за иные нарушения, например за отсутствие согласия субъекта на обработку персональных данных, необеспечение безопасности данных, трансграничная передача без уведомления (ст. 13.11 КоАП РФ).
Регистрация в Реестре нужна для подтверждения соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 №152-ФЗ.
Уведомление подаётся через Портал персональных данных Роскомнадзора, портал Госуслуг или в бумажном виде. Срок внесения в Реестр — до 30 дней с момента подачи.
Портал персональных данных https://pd.rkn.gov.ru/operators-registry/notification/form/.
Таким образом, как ИП, обрабатывающий персональные данные клиентов или сотрудников, Вы обязаны зарегистрироваться в Реестре операторов персональных данных Роскомнадзора.
Айсу, добрый день.
Согласно ст. 3 ФЗ-152 «О персональных данных»
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Таким образом персональные данные — это любая информация, позволяющая прямо или косвенно идентифицировать человека. К ним к примеру относятся:
• ФИО,
• номер телефона,
• паспортные данные,
• адрес проживания,
• электронная почта,
Согласно все той же статьи 3, обработкой персональных данных является:
3) обработка персональных данных — любое действие… с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
То есть если Вы получаете персональные данные напрямую от клиентов через личную переписку или по телефону, либо через форму на сайте (и обработку ведете самостоятельно) ведете учет этих данных и обработку, то Вы становитесь оператором в соответствии с ФЗ О персональных данных, так согласно ст. 3 ФЗ О персональных данных:
2) оператор — … юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных…
В этом случае Вам требуется подать в РКН уведомление о начале обработки ПД это следует из ч. 1 ст. 22 ФЗ О персональных данных.
Случаи, когда оператор может осуществлять обработку ПД без уведомления содержаться в части 2 указанной статьи, в частности к ним относятся:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
— учет персональных данных ведется на бумаге;
— организация включена в государственные информационные системы и работает с персональными данными, размещенными в этих государственных информационных системах;
— компания работает с персональными данными в сфере транспортной безопасности.
Таким образом к Вам указанное исключением может применяться только в случае если учет персональных данных ведется без средств автоматизации.
В своем вопросе Вы этот момент не раскрыли.
Уточните пожалуйста сферу Вашей деятельности и занимаетесь ли Вы обработкой персональных данных своих клиентов? (определение привел выше что считается обработкой ПДн)
Здравствуйте!
Вы, как ИП, обязаны уведомить Роскомнадзор о начале обработки персональных данных (ПДн), если собираете данные физлиц (клиентов, сотрудников, контрагентов) – например, ФИО, телефоны, email, адреса, паспортные данные, платежные реквизиты и обрабатываете их в электронном виде (через CRM, сайт, мессенджеры, облачные сервисы, email, Excel и т. д.).
Если вы ведёте клиентскую базу в Excel, Google Sheets, CRM или принимаете заказы через сайт – регистрация обязательна.
Что касается штрафов, то они предусмотрены за отсутствие регистрации и за неподачу уведомления – штраф по ст. 19.7 КоАП РФ 300–500 руб. для ИП (как должностного лица).
За другие нарушения (например, обработка без согласия, утечка данных) – штрафы по ст. 13.11 КоАП РФ (до 500 000 руб. для ИП).
Роскомнадзор активно проверяет малый бизнес, особенно после жалоб клиентов или утечек данных
Регистрация нужна для соблюдения вами законности и исключения оплаты вами штрафов.
Если вам нужна помощь в подготовке уведомления в Роскомнадзор, обратитесь ко мне в чат.
Данная услуга вам может быть оказана за отдельную плату.
Основные аспекты осветил выше.
Если говорить о неподаче уведомления, то ответственность предусмотрена п. 10 ст 13.11 КоАП РФ (начнет действовать с 30 мая 2025 г.)
Но здесь следует понимать, что штрафы за нарушения в области ПДн предусмотрены не только за не подачу самого уведомления (регистрации), но и за иные нарушения согласно ст. 13.11 КоАП РФ.
Для того чтобы у регулятора была информация об лицах осуществляющих обработку ПДн (операторы).
Роскомнадзор (РКН) контролером закона и защищает права субъектов ПД.
Для этих целей и было создан реестр в котором ведется учет Операторов которые осуществляют обработку ПДн. Реестр как раз таки формируется на основе поданных уведомлений.