Требования Роскомнадзора к сбору и обработке персональных данных: что нужно знать организациям и предпринимателям (самое интересное в конце статьи, п.6 😉)
 
Роскомнадзор, как уполномоченный орган по надзору за соблюдением законодательства о персональных данных, регулярно ужесточает контроль за деятельностью организаций, работающих с личной информацией граждан. В условиях роста киберугроз и усиления правовой грамотности населения соблюдение требований Федерального закона № 152-ФЗ «О персональных данных» (далее — Закон) становится критически важным для бизнеса. Рассмотрим ключевые обязательства, которые должны выполнять все операторы ПДн.
 
1. Законные основания для обработки данных
Первое и главное требование — наличие правового основания для работы с персональными данными. Согласно ст. 6 Закона, обработка допустима только в следующих случаях:
 
Согласие субъекта ПДн — письменное (включая электронную форму), конкретное и информированное. Для сотрудников согласие не требуется, если обработка связана с трудовыми отношениями (ч. 1 ст. 86 ТК РФ).
 
Исполнение договора (например, оказание услуг клиенту).
 
Выполнение обязанностей, предусмотренных законом (например, передача данных в ФНС).
 
Важно: сбор данных «на будущее» без четкой цели запрещен. Цели обработки должны быть зафиксированы в Политике конфиденциальности или аналогичном документе.
 
2. Обеспечение безопасности данных
Роскомнадзор требует от операторов внедрения технических и организационных мер защиты, соответствующих уровню угроз (ст. 19 Закона). К ним относятся:
 
Классификация данных (например, биометрия требует усиленной защиты).
 
Использование шифрования, антивирусных программ, систем обнаружения вторжений.
 
Регулярный аудит ИТ-инфраструктуры.
 
Назначение ответственного за обработку ПДн (для организаций с численностью сотрудников более 100 — обязательно).
 
Для некоторых категорий данных (например, специальных или биометрических) необходимо соблюдение дополнительных требований Постановления Правительства № 1119.
 
3. Соблюдение прав субъектов ПДн
Каждый гражданин вправе:
 
Запрашивать информацию об обработке своих данных (ст. 14 Закона).
 
Требовать уточнения, блокировки или удаления данных (ст. 14, 21 Закона).
 
Отозвать согласие на обработку (если оно не связано с исполнением договора).
 
Организация обязана реагировать на такие запросы в течение 30 дней. Игнорирование может привести к жалобам в Роскомнадзор.
 
4. Уведомление Роскомнадзора
До начала обработки оператор обязан направить уведомление в Роскомнадзор через личный кабинет на портале pd.rkn.gov.ru. Исключения:
 
Обработка данных сотрудников;
 
Данные, полученные для однократного договора с субъектом;
 
Данные, обезличенные или публично доступные.
 
В уведомлении указываются цели обработки, категории данных, меры защиты и иные сведения (ст. 22 Закона).
 
5. Документооборот и прозрачность
Политика конфиденциальности — должна быть опубликована на сайте и доступна субъектам ПДн.
 
Соглашения с третьими лицами — если данные передаются подрядчикам, требуется договор, обязывающий их соблюдать Закон (ст. 6.1).
 
Локальные акты — приказ о назначении ответственного, реестр обработки ПДн.
 
6. Ответственность за нарушения
Несоблюдение требований влечет:
 
Административные штрафы по ст. 13.11 КоАП РФ:
 
Для юрлиц: до 300 тыс. руб. (при повторном нарушении — до 500 тыс.).
 
Для должностных лиц: до 100 тыс. руб.
 
Блокировку сайта при отсутствии Политики конфиденциальности.
 
Уголовную ответственность (ст. 137 УК РФ) за незаконный сбор данных.
 
Рекомендации для организаций
Проведите аудит процессов обработки ПДн.
 
Обучите сотрудников, работающих с данными.
 
Обновите документы (согласия, политики, договоры).
 
Используйте типовые формы Роскомнадзора для уведомлений.
 
Заключение
Требования Роскомнадзора направлены на минимизацию рисков утечек и злоупотреблений данными. Организациям важно не только формально соблюдать закон, но и внедрять культуру ответственного отношения к персональной информации. Регулярный мониторинг изменений законодательства и судебной практики поможет избежать претензий регулятора и сохранить репутацию.
 
 

👉 Запишитесь на бесплатную консультацию — мы обсудим все условия для составления или проверки вашей документации на соответствие требованиям Роскомнадзора, учтём все риски и сделаем ваш бизнес защищённым.