Кто обязан подавать уведомление об обработке персональных данных

Подать уведомление в реестр операторов персональных данных обязан почти любой бизнес, который собирает данные людей: компании и ИП с клиентами, сотрудниками, поставщиками или просто с формой обратной связи на сайте. С 1 сентября 2022 года перечень оснований для освобождения резко сократили, а с 2025-го за работу без уведомления ввели ощутимые штрафы — поэтому «нас это не касается» сегодня почти всегда ошибка.

Что делает вас оператором персональных данных

Оператор — это любое лицо, которое организует или осуществляет обработку персональных данных. Персональные данные — это всё, что относится к конкретному человеку: ФИО, телефон, email, адрес, должность, фото. Достаточно одного из сценариев:

• есть наёмные сотрудники (кадровый учёт — это обработка ПДн работников);
• ведёте базу клиентов, заявок, заказов;
• на сайте есть форма обратной связи, заявка, подписка, корзина с регистрацией;
• используете CRM, рассылки, колл-трекинг, онлайн-запись;
• заключаете договоры с физлицами.

То есть даже ИП без работников, который просто принимает заявки через сайт, — уже оператор и обязан подать уведомление.

Какие исключения остались (их мало)

Закон оставил узкий список случаев, когда уведомление можно не подавать. На практике для обычного бизнеса работает по сути одно исключение — и то с оговорками:

• обработка данных исключительно своих работников в рамках трудового законодательства — но как только добавляются клиенты, заявки или договоры с физлицами, исключение отпадает;
• обработка данных без средств автоматизации в рамках разовых пропусков (узкие кейсы);
• данные, сделанные общедоступными самим субъектом (с существенными ограничениями).

Важно: даже под исключение об обработке только данных работников Роскомнадзор и суды смотрят строго. Любая клиентская база, рассылка или форма на сайте выводит компанию из исключения — и уведомление становится обязательным.

Как понять, нужно ли вам подавать

Практический тест: ответьте «да» хотя бы на один вопрос — есть ли у вас сотрудники? собираете ли контакты клиентов? есть ли на сайте форма? используете ли рассылки или CRM? Если да — вы оператор и должны быть в реестре. Проверьте по ИНН, поданы ли уже сведения за вашу компанию, — если записи нет, уведомление нужно подать.

Отдельно про подрядчиков

Если вы передаёте данные клиентов подрядчику (облако, колл-центр, сервис рассылок, бухгалтерия на аутсорсе), он тоже оператор и должен быть в реестре. Проверять контрагентов по реестру операторов — разумная часть due diligence: работа с тем, кто игнорирует 152-ФЗ, переносит риски и на вас.