Персональные данные - как дальше жить

2025-06-05 15:26 Новости

В 2023 году вступил в силу пакет законопроектов, ужесточающих ответственность за нарушения в сфере обработки персональных данных (ОПД). В частности, были введены «оборотные штрафы» и дополнены имеющиеся статьи КоАП РФ с новыми составами, например за «неуведомление Роскомнадзора (РКН) о начале обработки персональных данных», за «нарушения при трансграничной передаче персональных данных», за допущение утечки при ОПД^[1]. Новеллы вводились поэтапно, плавно и «незаметно».

Возможно, потому на прошлой неделе Роскомнадзор столкнулся с «невиданной активностью» желающих подать уведомление о начале обработки персональных данных, из-за чего сайт работал со сбоями или не работал...

Согласно данным сайта РКН, в период времени с 27.05.2025 по 04.06.2025 (шесть рабочих дней) реестр пополнился 225 749 операторами, осуществляющими обработку персональных данных. По самым скромным подсчетам, это более 4000 уведомлений в час. Приведенные данные – это, скорее всего, только о поданных в электронной форме уведомлениях, сколько документов поступило в РКН на бумажном носителе, уточнить сложно.

30 мая 2025 года – дата, когда РКН получил право применять увеличенные и дополненные штрафы, что позволяет понять случившийся ажиотаж. Говоря проще, с этого дня РКН вправе привлечь к ответственности в размере около 300 тыс. руб. (ч. 10 ст. 13.11 КоАП РФ) практически любое юрлицо, например то, которое является оператором ОПД (формально), но не подало о себе сведения в РКН и не включено в соответствующий реестр.

Вероятно, юристам не следует морализировать насчет того, что работу с персональными данными бизнесменам различных уровней следовало вести с 2006 года или с даты учреждения юридического лица (регистрации в качестве индивидуального предпринимателя, а в некоторых случаях и самозанятого), мы тоже не станем. Хотя уведомление о начале обработки персональных данных, согласно ч. 1 ст. 22 ФЗ № 152-ФЗ ОПД^[2], подается в РКН до начала обработки персональных данных, а эта норма действует с 2006 года.

Юридическое лицо (ИП, самозанятый), согласно закону, становится оператором персональных данных с даты, когда персональные данные субъекта персональных данных (физического лица) впервые попали в обработку в связи с осуществлением юридическим лицом (ИП, самозанятым) своей основной экономической деятельности.

Юридическое лицо (ИП, самозанятый), для простоты изложения ОПЕРАТОР, может осуществлять ОПД для следующих целей (список примерный и самый минимальный из возможных):

осуществление основной деятельности, заключение/исполнение договоров, оказание услуг (персональные данные привлеченных специалистов – физических лиц, персональные данные представителей контрагентов или клиентов – физических лиц);

исполнение законодательства о труде (персональные данные действующих/уволенных работников и их представителей);

исполнение законодательства о бухгалтерском/налоговом учете, законодательства о страховании;

использование собственного сайта в сети Интернет и/или переписка с помощью электронной почты, использование любых мессенджеров, в том числе для обмена сообщениями с лицами, находящимися за пределами РФ.

ПРИМЕЧАНИЕ: использование собственного сайта в сети Интернет, а также передача персональных данных с помощью любых мессенджеров или электронной почты, как правило, сопряжены с трансграничной передачей персональных данных, о чем ОПЕРАТОР, согласно ч. 3 ст. 12 ФЗ № 152-ФЗ ОПД, обязан уведомить РКН до начала осуществления трансграничной передачи.

На наш взгляд, исключительно с правовой точки зрения ОПЕРАТОР обязан уведомить^[3] РКН о начале обработки персональных данных до начала ОПД, а также о намерении начать осуществлять трансграничную передачу^[4], предварительно отключив счетчики статистики или действующий сайт, – также до начала трансграничной передачи.

В момент подачи уведомлений ОПЕРАТОРОМ должны быть разработаны и введены в действие (минимальный перечень):

положение об ОПД – «общее», это обязательный для всех ЛНА; возможно, положение об ОПД, которое публикуется на сайте (при наличии сайта публикация обязательна);

распорядительные документы о назначении ответственного за ОПД;

специальные настройки сайта, особенно в том случае, если есть т. н. обратная связь;

специальные положения договоров, в которых упоминается или регламентируется работа с персональными данными, разграничивается ответственность за их обработку.

ВАЖНО! ОПЕРАТОР должен ответственно относиться к ОПД, хранить и обрабатывать персональные данные, согласия на ОПД субъектов персональных данных, то есть ОПД должна осуществляться в соответствии с законом.

А вот подавать уведомление в РКН или не подавать – это персональное решение каждого ОПЕРАТОРА, хотя и установленное законом с 2006 года, административно-распорядительное решение, учитывающее риски и предпочтения ОПЕРАТОРА.

Наши специалисты оказывают правовую помощь клиентам в организации работы с персональными данными по широкому спектру вопросов – от правовых консультаций и разрешения нюансов взаимодействия с контролирующими органами (включая РКН), оказания комплексной услуги в виде разработки персонального пакета локальных нормативных актов, регламентирующих обработку персональных данных конкретного оператора до предоставления методических рекомендаций и услуг судебного представительства, в том числе при оспаривании постановлений о привлечении к административной ответственности.

_[1]_{Полная версия ст. 13.11 Кодекса Российской Федерации об административных правонарушениях доступна в сети Интернет.}
_[2]_{Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».}
_[3]_{С 30.05.2025 за неуведомление РКН возможна административная ответственность, предусмотренная ст. 13.11 КоАП РФ.}
_[4]_{При наличии у ОПЕРАТОРА официального сайта и/или при необходимости взаимодействия с работниками, контрагентами и иными субъектами персональных данных, находящимися за пределами России (переписка по электронной почте, в мессенджерах, обмен документами с персональными данными).}