Регистрация в Роскомнадзоре как оператор персональных данных: инструкция для помогающего специалиста

Если вы собираете контакты, имена, email-адреса или другую информацию о своих клиентах (а это делают все), по закону вы являетесь оператором персональных данных и обязаны уведомить об этом Роскомнадзор.

Вы обязаны подать уведомление, если вы обрабатываете персональные данные (ПДн). Что это значит на практике:

• Вы записываете имя и телефон клиента в записную книжку или файл.
• Вы храните email-адреса для отправки материалов.
• У вас есть база клиентов с их контактами в мессенджере, почте или CRM-системе.
• Вы заключаете договоры (даже в свободной форме), где указаны ФИО и паспортные данные клиента.

Исключения (когда уведомлять НЕ нужно):

• Вы обрабатываете данные исключительно для исполнения конкретного договора с клиентом (например, оказали одну консультацию, данные храните у себя в записной книжке и никуда не используете). Но это серая зона, и риски есть.
• Данные получены вами из общедоступного источника (например, из Instagram-профиля клиента, если он открытый).

Рекомендация: Подать уведомление — это бесплатно и не так страшно. Лучше сделать, чем рисковать штрафом.

До подачи заявления вы должны подготовить три ключевых документа:

• Политика в отношении обработки персональных данных
• Форма согласия на обработку персональных данных
• Приказ о назначении ответственного за обработку ПДн

Роскомнадзор их не проверяет при подаче уведомления, но они должны быть у вас, и их могут запросить при проверке.

• Что это: Главный документ, который описывает, какие данные вы собираете, зачем, как храните и защищаете.
• Как сделать: Найдите в интернете «Типовая политика обработки ПДн для ИП/самозанятого». Адаптируйте его под себя.
• Что должно быть в Политике:
  • Ваши реквизиты (ФИО, ИНН).
  • Цели сбора данных (заключение и исполнение договора на оказание услуг).
  • Перечень собираемых данных (ФИО, телефон, email, др.).
  • Описание мер по защите данных (использование антивируса, паролей на устройства).
  • Порядок обработки и хранения данных.

• Что это: Документ, который подписывает ваш клиент, давая вам разрешение на работу с его данными.
• Как сделать: Также найдите и адаптируйте типовую форму.
• Важно: Согласие должно быть информированным и конкретным. Клиент должен четко понимать, на что соглашается. Лучше, если это будет отдельный документ (файл), а не мелкий текст в договоре.

Приказ нужен только для ИП, для самозанятых не нужен.

• Что это: Простой документ, где вы, как ИП, назначаете самого себя ответственным за работу с данными.
• Как сделать: Создайте в Word документ с названием «ПРИКАЗ», где напишите: «Возложить на себя, ИП [Ваше ФИО], обязанности по обработке и защите персональных данных». Поставьте дату и подпись.

Примечание: Первые два документа (Политика конфиденциальности и Согласие на обработку данных) сервис Светлячок создает для вас автоматически при покупке опции «Продажи» к платному тарифу ПРО. Купить опцию можно в личном кабинете специалиста после прохождения модерации.

Это делается онлайн и бесплатно. Зайдите на сайт Роскомнадзора по этой ссылке.

Самозанятые могут это сделать, имея подтвержденную регистрацию на портале Госуслуг. Для ИП понадобится Усиленная квалифицированная подпись (УКЭП)
2. Нажмите кнопку «Подать уведомление (перейти к сервису ЕСИА)». Вас перенаправят на страницу входа в Госуслуги.
3. Далее можно либо в каталоге услуг найти: «Уведомление об обработке персональных данных» и нажать «Заполнить новое уведомление».
Либо опять перейти по ссылке из п.1  – и выбрать себя в открывшейся странице

После входа на Госуслуги часть данных в форму подтянется:

4. Вам нужно будет последовательно заполнить несколько разделов.

В поле Регионы обработки выбираете «Все субъекты Российской Федерации» если планируете вести приемы дистанционно онлайн. Если вы работаете только очно – выбирайте свой регион оказания услуг

В поле Цель обработки ПД выбираете «Подготовка, заключение и исполнение гражданско-правового договора»

И далее галочками отмечаете – какие данные могут вам понадобиться при работе с клиентом.

Следующим шагом в поле Категории субъектов, персональные данные которых обрабатываются  указываете Клиенты и Посетители сайта

А в поле Правовое основание обработки персональных данных ставите две галочки:

В перечне действий:

ВАЖНО. Если вы также планируете вести рассылки и использовать данные клиентов для продвижение своих товаров и услуг – вам надо добавить еще одну цель «Продвижение товаров, работа, услуг на рынке». Для этого нажимаете кнопку, показанную на скриншоте ниже, добавляете новая цель. Выбираете её из списка, и заполняете все те же поля, но уже для второй цели.

ВАЖНО. Согласие на такую информационную рассылку вам нужно брать отдельно.

Далее в описании мер можете написать:

-издание оператором документов, определяющих политику оператора в отношении обработки персональных данных;

-применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

-осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству;

-определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

-обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

-контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

И далее заполнить поля:

Затем заполняете данные о том, где храните данные, и кто имеет к ним доступ. Обычно, самозанятые сюда вносят данные о себе и о своем адресе:

В заключении можно вписать следующий текст в пункт Сведения об обеспечении безопасности персональных данных:
-обеспечена сохранность носителей персональных данных;
-используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Нажимаете «Отправить» и дожидаетесь письмо – уведомление от Роскомнадзора с кодом и ключом – обязательно его оставьте. Эти данные понадобятся, если вы захотите что-то изменить в будущем.

Вам нужно перейти к форме в пункте два – с использованием УКЭП.

А дальше практически вся информация из инструкции выше для самозанятых подходит и для ИП. Единственные различия:
Сведения о местонахождении базы данных: Укажите свой адрес регистрации, а не местонахождения.

После обработки заявления (обычно в течение нескольких дней) вы получите на почту номер уведомления, внесенного в реестр. Это и есть подтверждение. Отдельного бумажного документа вам не пришлют. Храните это письмо, указанная в нем информация может вам понадобится.

1. Храните документы: У вас должны быть в порядке Политика, Формы согласия и Приказ.
2. Получайте согласие от КАЖДОГО нового клиента. Это можно делать в электронном виде (отправлять файл на подпись) или даже в бумажном.
   Если у вас тариф ПРО с опцией «Продажи» на Светлячке – юридическое согласие получается автоматически при отправке вам любого запроса через сервис, или покупке ваших услуг.
3. Не нарушайте заявленные цели. Если вы собирали данные для консультации, вы не можете без нового согласия добавлять клиента в рекламную рассылку. Согласие на рассылку нужно получать от клиента отдельно.
4. Обеспечьте базовую защиту: Пароль на компьютере, антивирус, аккуратное хранение файлов с данными.

Помните: Штрафы за обработку ПДн без уведомления для самозанятых составляют от 10 000 до 20 000 рублей, а для ИП — от 100 000 до 300 000 руб. Регистрация — это ваша легитимность и защита от лишних вопросов. Это признак профессионала, который уважает закон и приватность своих клиентов.