Как легально работать с персональными данными в 2025 году: полный гид для бизнеса от А до Я
(И почему штрафы в 300 тысяч — не главная причина соблюдать закон)
Введение: Почему это касается всех?
Каждая компания, ИП или самозанятый, который собирает даже минимальные данные о людях (ФИО, email, телефон), автоматически становится «оператором персональных данных». Это не просто формальность. С 2022 года Роскомнадзор ужесточил контроль: штрафы выросли до 300 тыс. рублей, а отсутствие в реестре операторов блокирует доступ к госзакупкам и партнерским контрактам.
Но главное — доверие клиентов. В 2025 году 78% пользователей отказываются от сотрудничества с компаниями, которые не могут подтвердить защиту их данных. Рассказываем, как пройти регистрацию в РКН без ошибок и спать спокойно.
Часть 1. Кто обязан подавать уведомление?
Вы — оператор персональных данных, если:
1. У вас есть сотрудники. Даже если это ИП с одним работником.
2. Вы принимаете заказы онлайн. Собираете телефоны, адреса или email клиентов.
3. Ведете базу контрагентов. Например, фрилансеров или поставщиков.
4. Храните данные в облаке. Даже если это Google Таблицы или Яндекс.Диск.
Когда можно не подавать уведомление?
- Если данные только на бумаге (например, анкеты в папке).
- Если информация уже общедоступна (например, из Instagram или открытых реестров).
- Если данные нужны только для исполнения договора (например, ФИО в трудовом договоре).
Пример из практики:
Салон красоты собирает телефоны клиентов для записи через Google Формы. Это автоматизированная обработка — уведомление в РКН обязательно. Но если мастер ведет бумажный журнал записей, подавать его не нужно.
Часть 2. Подготовка документов: что нужно собрать?
Перед подачей уведомления подготовьте 3 ключевых документа:
1. Политика обработки персональных данных
Это публичный документ, который объясняет клиентам и сотрудникам, как вы работаете с их данными. Его нужно разместить на сайте (если он есть) и в офисе.
Что включить:
- Какие данные собираете (ФИО, паспорт, адрес доставки).
- Цели обработки (доставка заказов, рассылка новостей, кадровый учет).
- Способы защиты (шифрование, пароли, NDA с сотрудниками).
- Права субъектов (как запросить удаление данных).
Где взять шаблон:
- На [сайте РКН](https://rkn.gov.ru) в разделе «Методические рекомендации».
- В сервисах вроде «1С:ИнфоБезопасность» или «КонсультантПлюс».
2. Согласие на обработку данных
Требуется, если нет других законных оснований (например, договора).
Как оформить:
- Для сайта: галочка при регистрации + ссылка на политику.
- Для офлайн-сборов: бумажная форма с подписью.
Важно! С 2023 года согласие должно быть конкретным:
- Нельзя писать «на любые цели» — только четкий список (например, «для доставки заказа»).
- Если передаете данные партнерам (курьерам, банкам), нужно отдельное согласие на распространение.
3. Приказ о назначении ответственного
Даже в малом бизнесе должен быть сотрудник, который контролирует соблюдение 152-ФЗ.
Что указать в приказе:
- ФИО и должность ответственного.
- Его обязанности: обучение сотрудников, проверка безопасности данных, реакция на утечки.
Совет: Если штат маленький, назначьте ответственным себя (директора или ИП).
Часть 3. Заполнение уведомления: инструкция без ошибок
Подать уведомление можно через [портал РКН](https://pd.rkn.gov.ru). Процесс займет 30–60 минут.
Шаг 1. Выберите тип уведомления
- Первичное — если подаете впервые.
- Корректирующее — для изменений (например, добавили новую цель обработки).
Шаг 2. Заполните данные об операторе
- Название компании/ИП — как в ЕГРЮЛ/ЕГРИП.
- ИНН — обязателен для проверки.
- Регион обработки данных — где физически хранятся данные (можно указать «Вся РФ»).
- Контакты — только рабочие! Не пишите личные телефоны сотрудников.
Шаг 3. Укажите цели обработки
Важно: Каждую цель нужно прописывать отдельно.
Пример:
1. Заключение и исполнение договоров с клиентами.
2. Кадровый учет сотрудников.
3. Маркетинговая рассылка.
Совет: Используйте справочник целей на портале РКН — там более 30 вариантов.
Шаг 4. Перечислите категории данных и субъектов
- Категории данных: ФИО, паспорт, телефон, email, адрес доставки.
- Субъекты: клиенты, сотрудники, соискатели, подрядчики.
Ошибка: Нельзя писать «иные данные» — только конкретный перечень.
Шаг 5. Укажите места хранения данных
- Собственные серверы: адрес помещения (например, офис компании).
- Облачные хранилища (Google Drive, Яндекс.Диск, 1С):
- Название провайдера.
- Его ИНН и адрес.
Если провайдер не дает адрес сервера:
1. Укажите юридический адрес компании (например, для Google LLC — США, Калифорния).
2. Сохраните переписку, где вы запрашивали информацию.
Часть 4. Подача уведомления: 3 способа
1. Онлайн через сайт РКН
- Понадобится электронная подпись (ЭП).
- После заполнения формы нажмите «Отправить» — уведомление сразу уйдет в РКН.
2. Через Госуслуги
- Авторизуйтесь через ЕСИА.
- Заполните форму — данные из профиля Госуслуг подтянутся автоматически.
3. На бумаге
- Распечатайте форму, подпишите у директора.
- Отправьте заказным письмом в территориальный РКН (адрес ищите [здесь](https://rkn.gov.ru/contacts/)).
Срок проверки: 5 рабочих дней.
Результат: Вам присвоят ИННОПД — уникальный номер оператора. Сохраните его!
Часть 5. Что делать после подачи?
1. Актуализируйте данные
Если что-то изменилось (например, добавили новый сервис для хранения данных), подайте корректирующее уведомление.
Как это сделать:
- Войдите на портал РКН.
- Введите номер и ключ прошлого уведомления.
- Внесите изменения и отправьте форму.
2. Проверьте внутренние документы
Убедитесь, что:
- Политика обработки на сайте совпадает с уведомлением.
- Сотрудники подписали NDA (соглашение о неразглашении).
3. Подготовьтесь к проверкам
РКН может запросить:
- Копии согласий на обработку данных.
- Доказательства защиты информации (например, скриншоты настроек шифрования).
Совет: Проводите внутренние аудиты раз в полгода.
Часть 6. Топ-5 ошибок, из-за которых штрафуют
1. «Забыли про облака»
Не указали в уведомлении Google Диск или CRM-систему? Это нарушение ст. 13.11 КоАП.
2. Личные контакты сотрудников
В уведомлении должны быть только рабочие email и телефон компании.
3. Объединение целей
Написали «кадры и маркетинг»? Это две разные цели — разделите их.
4. Расхождения с сайтом
Политика конфиденциальности обещает «не передаем данные третьим лицам», а в уведомлении указаны курьерские службы. Результат — штраф.
5. Потеря номера уведомления
Без номера и ключа вы не сможете вносить изменения. Храните их в надежном месте!
Реальный кейс:
ООО «СтройГарант» не указало в уведомлении передачу данных в банк для выплаты зарплат. На проверке РКН оштрафовал компанию на 200 тыс. рублей.
Часть 7. Что делать, если РКН прислал проверку?
1. Не паникуйте. Проверка длится до 20 рабочих дней.
2. Подготовьте документы:
- Уведомление и ИННОПД.
- Политику обработки данных.
- Копии согласий.
3. Исправьте замечания. Если нашли нарушения, у вас есть до 30 дней, чтобы их устранить.
Часть 8. Мифы о персональных данных
1. «Малому бизнесу это не нужно»
Нет. Даже ИП с сайтом-визиткой, собирающий телефоны клиентов, обязан подать уведомление.
2. «РКН проверяет только крупные компании»
В 2024 году 43% проверок пришлось на малый бизнес.
3. «Достаточно просто собрать документы»
Нет. Нужно внедрить меры защиты: пароли на компьютерах, обучение сотрудников, шифрование.
Заключение: Не откладывайте!
Подача уведомления в РКН — это не бюрократия, а инвестиция в репутацию и безопасность бизнеса. Потратьте 2 часа, чтобы:
1. Скачать шаблоны на [сайте РКН](https://rkn.gov.ru).
2. Заполнить уведомление.
3. Подать его онлайн.
Помните: Штрафы — лишь верхушка айсберга. Гораздо дороже потерять доверие клиентов.