Работа с персональными данными: отвечаем на горячие вопросы

С 30 мая 2025 года появились многомиллионные штрафы за нарушения в работе с персональными данными, и тема их обработки стала одной из самых актуальных. Ответы на самые частые вопросы собрали в специальную подборку.

Наталья Пискарева Эксперт по трудовому законодательству и кадровому делопроизводству

Разъяснения в этой статье содержат авторскую точку зрения, которая может не совпадать с вашей или позицией других экспертов. Окончательное решение принимаете вы как оператор ПД, несущий ответственность.

Организация обработки персональных данных

Вопрос 1. Как понять, что я оператор персональных данных?

По закону: «Оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных (ПД), а также определяющие цели, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). О том, что входит в обработку ПД, написано в п. 3 этой же статьи. Исключения — это случаи, которые Закон «О персональных данных» не регулирует (ч. 2 ст. 1 Федерального закона от 27.06.2006 № 152-ФЗ):

• физические лица обрабатывают ПД исключительно для личных и семейных нужд, при этом не нарушая права субъектов ПД;

• они работают с архивными документами в соответствии с законодательством об архивном деле;

• обрабатывают ПД, отнесенные к государственной тайне.

Если вы совершаете любые, не подпадающие под исключения выше, действия с персональными данными физических лиц, то вы — оператор. И не имеет значения, сообщили вы о себе в Роскомнадзор для включения в Реестр операторов или нет. Операторы — это не только организации, но и ИП, самозанятые, которые сотрудничают с другими физическими лицами и используют их персональные данные.

Мы встречали заблуждение, что «если меня нет в реестре Роскомнадзора, то я не оператор». Это не так. Роскомнадзор имеет доступ к базам ФНС, у него есть доступ к интернету. Если компания или гражданин ведут экономическую деятельность, сдают отчетность, заключают договоры с контрагентами, то и Роскомнадзор о них уже знает. А вот за неподачу уведомления об обработке персональных данных с 30 мая 2025 года есть отдельный штраф до 300 000 рублей. Рекомендуем оценить все риски, а не искать причины не сообщать о себе в реестр операторов.

Новые штрафы при работе с персональными данными

Вопрос 2. Требования закона о персональных данных касаются всех предпринимателей или только тех, у кого сайты?

Закон о персональных данных регулирует отношения, связанные с их обработкой как с использованием средств автоматизации (в том числе через сайт), так и без их использования. Если есть фиксация ПД на каком-то материальном носителе, и к этому носителю кто-то может получить доступ, то требования 152-ФЗ уже надо выполнять (п. 1 ст. 1 Федерального закона от 27.06.2006 № 152-ФЗ). Сайт — это частный случай. 

В ответе на предыдущий вопрос мы писали, что Роскомнадзор узнает об операторе всегда. Он имеет доступ к базам ФНС. 

Подготовить, проверить и сдать отчетность через интернет.

Попробовать

Вопрос 3. ИП работает с клиентами только через Авито. Он оператор ПД или нет?

Ключевой вопрос — сохраняет ли ИП себе личные данные физических лиц или использует исключительно сервисы платформы Авито (доставка, получение платежей)? Пока ИП остается в рамках личного кабинета и не запрашивает у клиента его телефон, адрес и другую персональную информацию, он не оператор. Как только он каким-то образом получает ПД контрагента (например, чтобы обсудить дополнительные условия поставки), он уже подпадает под требования Закона № 152-ФЗ.

Приведем пример с библиотекой. Представим, что личная информация физического лица — это книга в ней. Пока вы читаете ее в читальном зале, она принадлежит библиотеке. Если вы взяли книгу домой, скачали ее в электронном виде себе на флешку или сделали с нее ксерокопию, то ответственность за сохранность этого материального носителя информации несете уже вы.

Вопрос 4. Попадает ли кадровый архив организации под действие закона о персданных?

Точка зрения «На мою деятельность закон о персональных данных не распространяется», тоже имеет право на жизнь, особенно если есть желание и силы судиться с Роскомнадзором. Наше мнение:

Отвечаем на вопрос читателя

1. Не имеет значения, куда вы записали личную информацию человека — в блокнот, журнал или в память компьютера. Как только вы зафиксировали ее на каком-то носителе, а не оставили в своей голове, вам нужно выполнять требования закона о защите ПД. Это следует из ст. 1 Федерального закона от 27.06.2006 № 152-ФЗ. Исключения указаны в самом законе, и их немного.

2. Архивный фонд — часть документального фонда. В него попадают завершенные делопроизводством документы (п. 9, 12 Правил организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов, утв. Приказом Росархива от 31.07.2023 № 77). 

3. Считать, что документы по личному составу не подпадают под требования закона о защите персональных данных — опасное заблуждение.

Вопрос 5. ИП тоже должны разрабатывать Политику и локальные акты по персональным данным?

Мы не готовы давать рекомендацию: «Нет, ИП ничего не должны». Закон прямо закрепляет обязанность разрабатывать локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, только за операторами — юридическими лицами (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.06.2006 № 152-ФЗ). Однако все операторы, независимо от организационно-правовой формы, должны, в том числе (ст. 18.1 Федерального закона от 27.06.2006 № 152-ФЗ):

• применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона № 152-ФЗ;

• осуществлять внутренний контроль и (или) аудит соответствия обработки ПД установленным требованиям;

• опубликовать или иным образом обеспечить неограниченный доступ к Политике в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

• при наличии сайта — опубликовать на сайте Политику в отношении обработки ПД посетителей сайта.

Перечень мер оператор определяет самостоятельно, по принципу необходимости и достаточности. На наш взгляд, ориентироваться нужно, в первую очередь, не на форму осуществления деятельности (ИП или юрлицо), а на специфику деятельности. Например, в какой сфере работает предприниматель, какой объем ПД он обрабатывает, какие есть риски вреда при утечке личной информации его контрагентов и т.п.

Что нужно сделать операторам, чтобы снизить риски штрафов

Как минимум, у ИП должна быть политика в отношении обработки ПД. И эту политику надо разместить в открытом доступе, где с ней могут ознакомиться его контрагенты. 

Вопрос 6. Компания все документы с ПД печатает в офисных программах (Word, Excel), а сотрудники подписывают бумажные распечатки документов. Будет ли это обработкой ПД без использования средств автоматизации?

Этому вопросу столько же лет, сколько действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (Постановление Правительства от 15.09.2008 № 687). По этому документу обработка без средств автоматизации в информационной системе — это «если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека». Сторонники «ручной» обработки доказывают, что все данные в память компьютера вносит человек, он же решает, какой файл удалить и т.п. Причина дискуссии: уведомлять или нет Роскомнадзор об обработке персональных данных.

На наш взгляд, любые действия с ПД на компьютере, подключенном к сети и с имеющимися дисководами, портами для подключения носителей, — это обработка с использованием средств автоматизации. Файл можно скопировать, переслать по email, перезаписать, внести в него изменения и т.п. Но это авторская точка зрения, конечное решение принимает оператор, потому что он несет ответственность за нарушения в обработке ПД и неуведомление Роскомнадзора. Повторим, что Роскомнадзор и без сообщений может знать о компании больше, чем та сообщила.

Как Роскомнадзор выявляет нарушителей

Вопрос 7. ИП без работников, арендует торговый павильон на рынке. Занимается розничной торговлей. Никакие персональные данные от покупателей не получает. Нужно ли подавать уведомление в Роскомнадзор? Если он заключает договоры с поставщиками, то поставщики несут ответственность по ПД?

Для ответа на вопрос надо знать, собирает ли ИП персональные данные работников своих контрагентов, от кого он их получает (от самого контрагента или от его работников напрямую) и как хранит, использует. Каждую ситуацию надо рассматривать индивидуально, потому что на практике может быть, что чужие сотрудники всю рабочую смену трудятся на территории ИП, а их список с ФИО, фото и должностями есть в его смартфоне.

Что касается ответственности поставщиков за персональные данные самого ИП, то она есть. Однако согласие на обработку ПД от ИП получать не нужно, если обработка персональных данных происходит исключительно в целях исполнения договора, стороной или выгодоприобретателем по которому выступает ИП (п. 5 ч. 1 ст. 6 Федерального закона от 27.06.2006 № 152-ФЗ).

Вопрос 8. ИП без работников. Сдает имущество в аренду ИП и ООО. Нужно ли ему подавать уведомление в Роскомнадзор?

Мы считаем, что нужно, поскольку один из контрагентов — физическое лицо. Однако решение о том, уведомлять или нет Роскомнадзор, оператор принимает самостоятельно. Потому что он несет все риски.

В законе о персональных данных написано, когда можно не уведомлять Роскомнадзор (ч. 2 ст. 22 Федерального закона от 27.06.2006 № 152-ФЗ):

• ПД обрабатывают в ГИС, созданных в целях защиты безопасности государства и общественного порядка — это не общий случай, а про базы МВД и ФСБ (как пример);

• если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

• ПД обрабатывают в случаях, предусмотренных законодательством РФ о транспортной безопасности — это тоже больше про защиту от террористов, а не общие случаи.

Операторы часто пытаются избежать уведомления именно по второму основанию — «без использования средств автоматизации». Но, на наш взгляд, в цифровой век оно весьма сомнительно. В любом случае решение принимать оператору с учетом всех рисков.

Вопрос 9. Компания сдает отчетность через Экстерн. Если вся другая обработка ПД его сотрудников осуществляется исключительно на бумажных носителях вообще без применения компьютера, компания-заказчик все равно считается обрабатывающим с помощью автоматизированных систем и надо уведомить Роскомнадзор?

Вы автоматизировали обработку ПД через Контур.Экстерн. В вашей ситуации обращаю внимание на то, что вы поручили обработку персональных данных третьему лицу. Во-первых, это можно сделать только с согласия субъекта ПД, которое будете получать вы как оператор.

Дополняем ответ на вопрос читателя

Во-вторых, у вас должен быть договор с Контуром, содержащий поручение оператора. Подробнее о том, что должно быть в договоре, смотрите ч. 3 ст. 6 Федерального закона от 27.06.2006 № 152-ФЗ. 

Уведомление Роскомнадзора

Вопрос 10. Уведомление об обработке ПД надо подавать по каждому работнику? И по вновь принимаемым тоже?

Не нужно уведомлять Роскомнадзор по каждому работнику. Работодатель подает одно уведомление по всем целям обработки ПД, под каждой из которых указывает:

• категории обрабатываемых ПД;

• категории субъектов ПД;

• правовое основание обработки ПД;

• перечень действий;

• способы обработки.

Форма уведомления — на сайте Роскомнадзора. Например, по работникам выбираем цель «ведение кадрового и бухгалтерского учета» (она не единственная), указываем категорию субъектов «работники». 

Если у оператора что-то изменится в ранее заполненном уведомлении, то он должен подать уведомление в Роскомнадзор до 15-го числа следующего месяца. Например, компания захочет ввести видеонаблюдение за работниками с целью обеспечения соблюдения законодательства о безопасности и обрабатывать, соответственно, биометрию, а в ранее поданном сообщении такого нет. 

Прием или увольнение работника — это не изменение, поскольку персонально они в реестре не переписаны. 

Вопрос 11. Какую дату начала обработки ПД надо указывать в уведомлении?

По общему правилу указывайте дату регистрации как начала деятельности из Выписки ЕГРЮЛ / ЕГРИП. Роскомнадзор может сравнивать свой реестр с базой ФНС. Доказывать, что обрабатывать ПД вы начали позже, придется долго.

Вопрос 12. В форме уведомления в Роскомнадзор фото, видео и голос есть и в разделе общих, и в разделе биометрических ПД. Где их указывать?

Ответ на вопрос зависит от того, какие именно данные вы собираете и для чего (с какой целью). Может получиться так, что фото и видео будут фигурировать у вас и в разделе общих ПД, и в разделе биометрии.

На наш взгляд, чтобы считать персональные данные биометрическими, нужно выполнение двух условий из ч. 1 ст. 11 Федерального закона от 27.06.2006 № 152-ФЗ:

1. ПД характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, фотография в паспорте — это биометрия, поскольку паспорт и удостоверяет личность.

2. Оператор использует ПД для установления личности субъекта персональных данных.

Во втором случае многое зависит от цели, для достижения которой он использует ПД. Если он собирает фото для пропуска на территорию определенных лиц, которых по этому пропуску идентифицирует, то это биометрия. Если же он хранит изображения без подписей ФИО, должности, а исключительно для фиксации какого-то события (корпоративные мероприятия, контроль за безопасностью территории и т.п.), то это общие ПД.

Есть еще точка зрения, что первого условия достаточно для того, чтобы считать биометрией. Например, подписали под фото на Доске Почета ФИО и должность работника — значит, это уже БПД. Мы с ней не совсем согласны, но инспектор Роскомнадзора может иметь другое мнение, а судья — вообще свой взгляд на эту ситуацию.

Вопрос 13. ИП подавал уведомление в Роскомнадзор 29.08.2022. Надо подавать еще одно уведомление или нет? И если подавать уведомление то, об изменениях или просто уведомление?

Однозначно надо, поскольку с 26 декабря 2022 года изменилась форма уведомления (Приказ Роскомнадзора от 28.10.2022 № 180). Рекомендуем:

Отвечаем на вопрос читателя

1. Проверить, какие данные о вас есть в Реестре операторов.

2. Подать уведомление об изменении по этой форме.

Обработка персональных данных родственников

Вопрос 14. Как законно собирать сведения о несовершеннолетних детях работника?

Сначала определите, разрешает ли вам закон собирать данные о несовершеннолетних, и если да, то для чего. Учтите, что согласие — не единственное основание для обработки ПД, а его наличие не исключает обработки, несовместимой с целями сбора ПД. А последняя запрещена, и за нее вырастут штрафы с 30 мая 2025 года. Если есть возможность избежать обработки ПД несовершеннолетних, то лучше ее использовать. 

Но есть ситуации, когда работодателю нужны данные о детях работника по закону. Например, для предоставления работникам дополнительных выходных дней по уходу за ребенком-инвалидом. В этом случае рекомендуем получить согласие одного из родителей как законного представителя ребенка (ч. 6 ст. 9 Федерального закона от 27.06.2006 № 152-ФЗ). В нем надо указать:

• ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 

• ФИО, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 

• наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных; 

• цель обработки персональных данных; 

• перечень персональных данных, на обработку которых дается согласие субъекта; 

• наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу; 

• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 

• срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом; 

• подпись субъекта персональных данных (подписывает законный представитель).

Ни в коем случае не храните у себя копии документов ребенка. Во-первых, на хранение копий нужно отдельное согласие. Во-вторых, очень трудно обосновать целями обработки, зачем работодателю копии, если нужны сведения из документов, а не сами документы. Эту ситуацию Роскомнадзор может трактовать как обработку, несовместимую с целями.

Если вашей бухгалтерии обязательно нужны сканы свидетельств о рождении детей работников, то замажьте (обезличьте) в них специальные ПД (национальность) и никому эти сканы, кроме бухгалтера, не показывайте. И, конечно, не храните их на общем диске.

Вопрос 15. Можно ли собирать сведения о родственниках работника без их согласия?

Сотрудник может предоставить работодателю персональные данные своих близких родственников только при наличии их согласия либо в случаях, установленных федеральными законами (ч. 8 ст. 9 Федерального закона от 27.06.2006 № 152-ФЗ). Всегда следите, для каких целей, по какому основанию и в каком объеме вы собираете данные о родственниках.

Например, по закону для ведения воинского учета работодатель собирает сведения о семейном положении военнообязанного работника. Смотрите форму № 10 (личная учетная карточка) и запрашивайте только те ПД родственников, которые нужны для ее заполнения.

Личная карточка для воинского учета: форма Т‑2, форма № 10

Согласие на обработку персональных данных

Вопрос 16. Нужно ли брать согласия на обработку персональных данных для пропускного режима?

Считаем, что согласие брать не нужно, если указать целью обработки ПД для пропускного режима «создание условий, необходимых для соблюдения работниками дисциплины труда, контроль за дисциплиной труда, обеспечение безопасности и условий труда (абз. 5 части 1 ст. 22, абз. 4 части 2 ст. 22, часть 2 ст. 189, абз. 2 части 2 ст. 214 Трудового кодекса)». В этом случае работодатель будет проводить обработку ПД на основании п. 2 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ — для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. 

Чтобы снизить риск претензий со стороны контролирующих органов, не забудьте соблюдать требования, необходимые при обработке персональных данных работников (ст. 86 Трудового кодекса).

Вопрос 17. Надо ли брать согласия на обработку персональных данных от каждого сотрудника контрагента? И как вообще уведомить контрагентов об обработке персональных данных?

Здесь имеет значение, кто именно собирает персональные данные сотрудников контрагента. Если вы их получаете в соответствии с договором от стороны договора (ИП или компании), то все согласия собирает сам контрагент. Если же по какой-то причине вы зачем-то решили напрямую получать персональные данные от чужих работников, минуя их нанимателя, то согласия будете оформлять вы.

В отношении уведомления своих контрагентов об обработке ПД: у вас, в первую очередь, в открытом доступе должна быть Политика в отношении обработки персональных данных (ст. 18.1 Федерального закона от 27.06.2006 № 152-ФЗ). Если вы ведете сбор личной информации на сайте, то под каждой формой сбора должно быть уведомление о том, что вы эти сведения собираете.

Вопрос 18. Надо ли оформлять согласия на обработку персональных данных, если ИП сдает отчетность через Контур.Экстерн или оформляет командировки через туроператора?

Обязательно, потому что здесь имеет место передача персональных данных работника третьим лицам. Это возможно только с согласия субъекта ПД (ч. 3 ст. 6 Федерального закона от 27.06.2006 № 152-ФЗ).

С Экстерном или туроператором вы подписываете договор с поручением оператора.

Вопрос 19. На распространение ПД нужно отдельное согласие. Чем оно отличается от предоставления ПД?

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Обратите внимание, что «неопределенный» не будет синонимом «неограниченный». Это слово означает, что оператор заранее не знает, кто получит доступ к ПД. Если он размещает личные данные своих работников на официальном сайте в интернете, где их может посмотреть любой посетитель, это распространение. Фото на Доске почета в центре города — тоже.

Предоставление ПД — это действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Это значит, что оператор может установить, кто имеет доступ к личной информации. Например, публикация ПД работника в корпоративной системе, вход в которую имеют только сотрудники по паролю от своей учетной записи, — это предоставление. 

Отчитайтесь легко и без ошибок

Удобный сервис для подготовки и сдачи отчетов через интернет.

Сдать отчеты бесплатно

Хранение персональных данных

Вопрос 20. Можно ли хранить персональные данные в электронной почте? А на общем диске?

Можно всё, но с учетом риска привлечения к ответственности. На общий диск допустимо «вываливать» информацию, для которой нет требований о конфиденциальности. Например, оператор ее обезличил. Или это общедоступные данные типа телефонного справочника. Только не забывайте, что для включения ПД в общедоступные источники нужно письменное согласие субъекта (ст. 8 Федерального закона от 27.06.2006 № 152-ФЗ). 

Категорически не рекомендуем хранить на общем диске копии личных документов (паспорта, свидетельства о рождении и т.д.). У оператора их вообще в идеале быть не должно — это не соответствует п. 7 ст. 5 Федерального закона от 27.06.2006 № 152-ФЗ. 

За обработку ПД, несовместимую с целями сбора персональных данных, будет штраф в размере с 30.05.2025 (часть 1 ст. 13.11 КоАП РФ):

• на граждан — от 10 000 до 15 000 рублей; 

• должностных лиц — от 50 000 до 100 000 рублей; 

• юридических лиц — от 150 000 до 300 000 рублей.

Что касается электронной почты, то в ней могут обнаружиться документы двух видов: копии с ПД работника и оригиналы электронных документов, подписанных электронной подписью. Относительно первых — читайте рекомендации выше для общего диска (то есть уничтожаем). Оригиналы электронных документов переносим в более подходящее хранилище и сохраняем в течение сроков по архивному законодательству.

Рекомендуем настроить автоматическую очистку почтового ящика.

Вопрос 21. Сколько можно хранить резюме кандидатов?

30 дней после того, как вы им отказали в приеме на работу или закрыли вакансию (ч. 4 ст. 21 Федерального закона от 27.06.2006 № 152-ФЗ). 

У нас есть подробная статья о хранении персональных данных. Советуем изучить ее, чтобы знать:

• Можно ли отозвать согласие на обработку ПД.
• Как не нарушить сроки хранения персональных данных.
• Как организовать хранение персональных данных.