16 ответов на частые вопросы по персональным данным

Напомню, персональные данные — это любая информация, которая прямо или косвенно относится к определенному физическому лицу — субъекту персональных данных. Это, например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, телефон, фотография (все виды персданных смотрите в таблице).

Вопрос 1. Как компании или ИП организовать обработку персональных данных, если раньше никаких документов для этого не оформляли?

Сначала подготовьте документы, в которых установить порядок обработки. В трудовом договоре пропишите формулировки, которые обеспечат защиту как работника, так и работодателя. Уведомьте Роскомнадзор о начале обработки данных и назначьте ответственного. После этого можно работать с персональными данными — получать, передавать, хранить и уничтожать.

Роскомнадзор будет штрафовать 99 % компаний, ИП и даже физлиц!

Ваша компания, ИП или даже физлицо нанимает сотрудников, хранит контакты клиентов, собирает данные через сайт или соцсети? Значит, вы — оператор персональных данных и обязаны уведомить Роскомнадзор. Не сдадите, будет штраф 300 000 руб. для компании + 50 000 руб. для руководителя. Не указали в уведомлении все цели обработки – штраф!

Без уведомления работа с данными незаконна, а Роскомнадзор уже начал массовые проверки.

Как избежать штрафов?

Главбух Ассистент возьмёт всю работу с персональным данными на себя:

✅ Подадим уведомление в Роскомнадзор — правильно заполним и отправим.

✅ Подготовим все документы: согласия, регламенты, политику обработки.

✅ Проверим ваш сайт на соответствие 152-ФЗ.

✅ Обучим сотрудников и поможем с защитой данных.

Всё уже включено в тариф — никаких доплат! Оставьте заявку — подготовим индивидуальное коммерческое предложение для вашей компании.

Вопрос 2. В небольших компаниях чаще всего бухгалтер, кадровик являются ответственными за работу с персональными данными. В таком случае в трудовом договоре с сотрудников должно быть какое-то положение об обработке персональных данных?

Да, в трудовом договоре должна быть прописана обязанность обеспечивать безопасность персональных данных при их обработке (п. 3 Требований, утв. постановлением Правительства от 01.11.2012 № 1119).

Вопрос 3. Можно назначить ответственным за работу с персданными другого сотрудника или стороннее лицо?

Да, ответственным может быть как другой работник, так и стороннее лицо. Ответственность за действия стороннего лица будет нести работодатель (ч. 3 и 5 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Вопрос 4. С 30 мая компании, исключённые из реестра МСП, которые с опозданием уведомят Роскомнадзор об обработке персональных данных, будут подвергаться штрафу до 300 тыс. руб. (ч. 10 ст. 13.11 КоАП). Как можно убедиться, что наша компания ранее уже подавала соответствующее уведомление?

Для того чтобы выяснить, направляла ли компания уведомление об обработке персональных данных в Роскомнадзор, рекомендую следующий алгоритм:

1. Проверьте внутренние документы: обратитесь к ответственным сотрудникам или в отдел кадров/юридический отдел, которые могли заниматься подачей уведомления. Возможно, сохранились копии уведомлений, регистрационные письма или подтверждения из Роскомнадзора.
2. Поиск в реестре Роскомнадзора: самый надёжный способ — проверить наличие вашей компании в открытом реестре операторов персональных данных на сайте pd.rkn.gov.ru. Для поиска достаточно ввести ИНН организации. Если компания есть в списке, значит, уведомление уже подавалось. Можно также ознакомиться с деталями обработки данных, нажав на наименование компании.
3. Если вашей компании нет в реестре, это означает, что уведомление не отправлялось. В таком случае рекомендую как можно скорее подготовить и направить уведомление через портал pd.rkn.gov.ru, чтобы избежать штрафа до 300 тыс. руб. согласно ч. 10 ст. 13.11 КоАП.

Вопрос 5. Такая ситуация: компанию открыли в 2021–2024 годах, но уведомление в Роскомнадзор не подавали. Если сейчас уведомить, оштрафуют?

Штрафы возможны. Но уведомление все равно нужно подать скорее, чтобы снизить риски штрафных санкций.

Вопрос 6. При заполнении уведомления об обработке персональных данных можно ли в графе «Категории субъектов» и «Категории персданных» проставить все галочки по целям обработки, даже если на данный момент такую обработку компания не осуществляет?

Нет, все галочки автоматом проставлять не стоит. Иначе заполнение уведомления могут посчитать ошибочным, а за это возможен штраф. Убедитесь, что вы указали только тех субъектов, данные которых вы обрабатываете. Например, если вы не планируете обрабатывать данные клиентов, не следует их включать в уведомление. Категории данных также укажите только те, которые вы собираетесь обрабатывать. К примеру, если вы не собираете данные о здоровье, не стоит отмечать соответствующую категорию.

Если нет времени разбираться в законодательстве и в оформлении документов на обработку персональных данных, передайте эту работу на аутсорсинг в Главбух Ассистент. Эксперты подготовят для вашей компании политику оператора по обработке персональных данных, другие положения, необходимые приказы, бланки согласий, так чтобы не было претензий от Роскомнадзора. Стоимость обслуживания в Главбух Ассистент — от 27 480 рублей. За эти деньги вы получите не только персональные решения по сбору, обработке и хранению персональных данных, но и полноценное ведение бухгалтерского, кадрового учета и налогов. Закажите бесплатный звонок, и мы расскажем, что конкретно входит в каждый пакет услуг.

Вопрос 7. ИП работает без сотрудников, например торгует на маркетплейсе или оказывает услуги, — уведомление тоже нужно подавать?

Да, все организации и ИП, которые работают с персональными данными физических лиц, обязаны в 2025 году подавать уведомление в Роскомнадзор.

Вопрос 8. Компанию планируют закрыть. Уведомлять ли об этом Роскомнадзор?

В Роскомнадзор необходимо подавать уведомление не только о том, что компания начала обрабатывать персональные данные, но и о прекращении обработки таких данных (ч. 7 ст. 22 Закона № 152-ФЗ). Срок, в который необходимо направить уведомление, — 10 рабочих дней с момента, как компания прекратит обрабатывать персональные данные. Например, 27 июня 2025 года продавец интернет-магазина закрывает ИП и прекращает работать с персданными покупателей. Крайний срок для уведомления Роскомнадзора —  10 июля. Срок оповещения нужно считать с даты, как прекратили работать с персданными. Учитывать нужно только рабочие дни.

Поговорим теперь о согласиях на обработку. Обрабатывать персональные данные физлиц можно только с их согласия. 

Вопрос 9. Если компания предоставляет работникам вычеты на детей, берет свидетельства о рождении, установлении отцовства и прочие документы? С кого нужно получить согласие на обработку персональных данных?

Если вы собираете данные о детях работников, например их фамилии, имена, даты рождения, нужно взять согласие родителей или законных представителей этих детей. То есть работник должен дать свое согласие и согласие на обработку данных о своих детях.

Вопрос 10. Стоит ли брать согласие на обработку персданных с новым контрагентом-арендатором — физлицом?

Отдельное согласие не нужно, если договор аренды предусматривает обработку данных. Если пункта об обработке данных в договоре нет, согласие следует получить.

А от клиентов тоже нужно согласие, например от посетителей салона красоты?

Согласие необходимо, если записываете клиентов онлайн или по телефону. Так вы собираете персональные данные посетителей.

Вопрос 11. Как получить согласие на обработку персональных данных?

Согласие можно получить в письменной или электронной форме. Например, при онлайн-записи вы можете использовать соответствующий чекбокс на форме, где пользователь подтверждает согласие на обработку своих данных: «Я согласен(на) на обработку моих персональных данных в соответствии с Федеральным законом „О персональных данных“».

Вопрос 12. Нужно ли компании брать согласие у партнеров-ИП и самозанятых на обработку персональных данных?

Не нужно, если вы используете сведения об ИП или самозанятом исключительно для заключения и исполнения договора (п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ). Но для дополнительных целей обработки персональных данных контрагента-физлица, например для рассылки рекламных материалов, согласие потребуется.

Отмечу, что в данном случае компания еще обязана уведомить Роскомнадзор об обработке персональных данных контрагента-ИП или самозанятого. Причем уведомление следует подать еще до начала обработки. Такая обязанность касается всех компаний и ИП и не зависит от того, что получать само согласие на обработку персданных контрагентов в общем случае не требуется.

Вопрос 13. Что делать если в компании произошла утечка данных, компьютерные атаки или несанкционированный доступ к базе данных?

Отреагируйте в сжатые сроки и оповестите о происшествии Роскомнадзор. Порядок следующий. В течение 24 часов сообщите о происшествии, вреде, мерах и ответственном. Далее в течение 72 часов информируйте о последствиях и нарушителях по итогам проверки. Уведомить РКН можно тремя способами: через Госуслуги, НКЦКИ — о неправомерном доступе и утечках, ИС ГосСОПКА — о компьютерных атаках (ч. 3.1 ст. 22 и ч. 12 ст. 19 Закона № 152-ФЗ).

Вопрос 14. Как долго можно хранить персональные данные уволившегося сотрудника?

После увольнения сотрудника Роскомнадзор рекомендует хранить документы с персональными данными в соответствии со сроками для хранения первичных документов. Персональные данные, необходимые для бухгалтерии и отчетности, можно обрабатывать без согласия бывшего сотрудника (ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ). Из базы данных информацию о работнике нужно удалить через пять лет после увольнения, согласно правилам хранения первичных бухгалтерских документов (ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ). Бумажные документы архивируются по истечении календарного года. Личное дело и карточку уволенного можно хранить без согласия экс-сотрудника: для уволенных до 1 января 2003 года — 75 лет, для уволенных после этой даты — 50 лет (ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ).

Вопрос 15. Когда и как нужно уничтожать лишние кадровые бумаги и персональные данные в компании?

Персональные данные и кадровые документы необходимо уничтожать после достижения целей их обработки, если иное не предусмотрено законодательством или договором с субъектом данных. Для этого проведите инвентаризацию кадровых бумаг и выявите сведения о физических лицах, которые больше не должны храниться в компании. Уничтожению подлежат данные, если цель их обработки достигнута или если документы с такими сведениями хранились неправомерно. Важно уничтожать персональные данные корректно, чтобы исключить возможность их восстановления и дальнейшего использования. 

Вопрос 16. Какие действия нужно предпринять, если на сайте компании используется Google Analytics?

Если на сайте используется Google Analytics, необходимо направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных через портал pd.rkn.gov.ru (ч. 3 ст. 12 Закона № 152‑ФЗ, письмо Роскомнадзора от 26.06.2024 № 08-242780). До истечения 10 рабочих дней после подачи уведомления запрещено передавать данные за границу, поэтому до отправки уведомления Google Analytics нужно удалить с сайта. После подачи уведомления выждите 10 рабочих дней: если от Роскомнадзора не поступит отказ или ограничение, сервис можно вернуть на сайт и продолжить его использование.