Редактировать Последнее редактирование: 01.01.0001

Как стать оператором персональных данных (ОПД)

С 30 мая 2025 года действуют поправки в ст. 13.11 КоАП РФ по Федеральному закону от 30.11.2024 № 420-ФЗ. С этого момента владельцы сайтов и мобильных приложений обязаны зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре.

Владелец сайта или мобильного приложения (МП) автоматически становится оператором персональных данных (ОПД), если начинает собирать информацию о клиентах или посетителях, хранит историю заказов, включая Ф.И.О. заказчика, адрес доставки, номер телефона. Место хранения персональных данных ― хостинг сайта.

Оператором ПД могут быть как юридические лица и ИП, так и обычные граждане. Например, самозанятый может сделать себе сайт-визитку, описать там свои услуги и принимать заказы через простую форму или персональные данные клиентов для связи с ними. Тогда самозанятый будет обрабатывать персональные данные, о чём должен уведомить Роскомнадзор.

Оператор ПД — это любая организация или ИП, намеренно обрабатывающие персональные данные пользователей. Чтобы стать оператором и получить право на сбор личной информации, нужно разработать политику их обработки, создать или найти безопасную платформу для их хранения, а также уведомить Роскомнадзор о начале деятельности в качестве ОПД.

Что такое обработка персональных данных?

Персональными данными (ПД) признаётся информация, позволяющая идентифицировать человека. А все действия с такой информацией — сбор, запись, передача, хранение, анализ, удаление — считаются обработкой. К примеру, получение имени, телефона и почты клиента через форму заявки на сайте, использование этих данных для передачи рекламных и информационных сообщений — всё это считается способами обработки персональных данных.
К ПД относят:

  • фамилию, имя, отчество
  • дату рождения
  • адрес проживания или регистрации
  • телефонный номер
  • электронную почту
  • фотографию
  • ссылку на персональный сайт или профиль в соцсети.

Когда владелец сайта или МП становится оператором персональных данных?

Обработка ПД начинается, когда посетители сайта или МП:

  • подписываются на рассылки новостей или акций, оставляя имя, телефон, e-mail
  • регистрируются в личном кабинете, указывая имя, телефон и др.
  • оформляют заказы, указывая имя, телефон, адрес доставки
  • заполняют различные заявки — на обратный звонок, на получение информации об услугах или товарах, на демоверсии цифровых продуктов, на участие в мероприятиях
  • скачивают мобильное приложение и авторизуются по номеру телефона
  • авторизуются через аккаунт в соцсети, чтобы оставить комментарий в блоге и в других случаях.

Как правильно начать обработку и хранение персональных данных?

Шаг 1. Подготовьте документы

Документы, которые понадобяться
1. Политика обработки персональных данных Политика — это внутренний документ, который объясняет, как компания собирает, хранит и использует персональные данные (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Она должна быть понятной как для сотрудников, так и для клиентов.

2. Согласие на обработку персональных данных Документ позволяет компании законно собирать и использовать данные. Согласие должно быть получено у каждого человека, чьи данные вы обрабатываете, если иное не предусмотрено законом (ст. 9 закона № 152-ФЗ). (подпись на бумажном документе или проставление«галочки» на сайте).

3. Согласие на распространение персональных данных Если организация планирует передавать персональные данные третьим лицам, необходимо получить на это отдельное согласие (ч. 9 ст. 9 закона № 152-ФЗ). (Допустим, интернет-магазин сотрудничает с курьерской службой. Чтобы передать курьерам адреса клиентов для доставки заказов, необходимо получить у клиентов согласие на распространение их данных.)

__ 4. Приказ о назначении ответственного сотрудника__
Каждая организация обязана назначить сотрудника, который будет отвечать за соблюдение правил работы с персональными данными. Этот приказ фиксирует, кто именно несет ответственность (ст. 22.1 закона № 152-ФЗ).

Также вам потребуется:

  1. Внутреннее положение об обработке персональных данных.
  2. Приказ о работе с персональными данными
  3. Регламент по доступу к персональным данным.
  4. Обязательство о неразглашении персональных данных. Его заполняют сотрудники компании с доступом к собранным данным.

Рекомендации по оформлению этих документов, а также шаблоны можно найти на сайте Роскомнадзора. https://pd.rkn.gov.ru/

Нажмите, чтобы перейти РОСКОМНАДЗОР https://pd.rkn.gov.ru/

Шаг 2. Разместите на сайте пользовательское соглашение и политику по обработке ПД

Создание и размещение на сайте условий политики обработки ПД
Политика обработки персональных данных — это обязательный для всех операторов документ, который должен содержать:

  • ссылку на сайт, на котором действует политика
  • данные об организации, обрабатывающей персональные данные
  • цели обработки ПД.

Ссылку на страницу с политикой персональных данных рекомендуется разместить в футере сайта, чтобы регулирующие органы и пользователи имели постоянный доступ к документу. (Политика на сайтах Платформа EDa размещена внизу сайта)

alt text

Размещение сообщения о сборе ПДн под каждой формой на сайте и МП

Под формами сбора данных нужно добавить сообщение о том, что компания собирает личную информацию пользователей. Если человек согласен с этим, то он должен поставить галочку напротив «Даю согласие на обработку своих персональных данных». В противном случае пользователь просто не сможет отправить информацию. (На сайтах и МП Платформы EDa клиент дает согласие при авторизации)

Сайт Мобильное приложение

Шаг 3. Разместите на сайте уведомление об использовании cookies и других данных

Предупредить пользователя об использовании cookies можно разными способами:

  • разместить всплывающее уведомление с чекбоксом, которое появляется при открытии сайта
  • посвятить этому отдельный раздел политики по обработке ПД
  • написать об этом в подвале сайта.

Шаг 4. Уведомите Роскомнадзор и зарегистрируйтесь как оператор ПД

Сделать это нужно до начала обработки ПД. Чтобы компанию включили в реестр ОПД, нужно заполнить форму на сайте ведомства и отправить ее одним из трех возможных способов:

  1. В бумажном виде. Для этого нужно заполнить форму на сайте Роскомнадзора, а затем распечатать, подписать и направить письмом в адрес территориального отделения Роскомнадзора по месту своей регистрации.
  2. Через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи (УКЭП).
  3. В личном кабинете на портале Госуслуг. Для этого нужна подтвержденная учетная запись.

Электронная форма уведомления для Роскомнадзора здесь:
Нажмите, чтобы перейти РОСКОМНАДЗОР https://pd.rkn.gov.ru/operators-registry/notification/form/?utm_source=blog.calltouch.ru&utm_medium=referral&utm_campaign=%D0%A7%D1%82%D0%BE%20%D1%82%D0%B0%D0%BA%D0%BE%D0%B5%20%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5%20%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5

Пошаговую инструкцию с примером по заполнению формы можно посмотреть здесь:

Нажмите, чтобы перейти https://dhprime.ru/blog/personalnyy-dannye/poshagovaya-instruktsiya-kak-zapolnyat-uvedomlenie-v-roskomnadzor-dlya-operatora-po-obrabotke-person/

Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если вы отправляли бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения территориальным отделением.

О прекращении обработки ПД и внесении изменений в ранее представленные сведения об операторе (или документы) также нужно уведомить Роскомнадзор.

Пошлина за регистрацию в реестре ОПД Роскомнадзора не уплачивается.

В этом документе
Наверх