Алексей Ветров
Эксперт по защите данных IC-TECH
Да, в большинстве случаев нужно. Федеральный закон № 152-ФЗ обязывает оператора персональных данных подавать уведомление в Роскомнадзор и включаться в реестр операторов ПДн, если он собирает данные клиентов — ФИО, телефоны, e-mail, адреса доставки, паспортные данные и т. п.
Исключения из этой обязанности строго ограничены (перечислены в ст. 22 ФЗ-152). Например, уведомление не требуется, если:
обработка осуществляется исключительно для заключения и исполнения договора, где субъектом данных является клиент,
и при этом данные не распространяются, не передаются третьим лицам и не ведётся трансграничная передача,
и не используются специальные категории данных (здоровье, убеждения, интимная жизнь) или биометрия (фото, видео, отпечатки пальцев).
На практике эти условия соблюсти трудно. Почти всегда компании не только заключают договоры, но и ведут маркетинг, хранят клиентские базы, передают данные службам доставки или подрядчикам. А значит — обязаны уведомить Роскомнадзор и быть в реестре.
Исключения из этой обязанности строго ограничены (перечислены в ст. 22 ФЗ-152). Например, уведомление не требуется, если:
обработка осуществляется исключительно для заключения и исполнения договора, где субъектом данных является клиент,
и при этом данные не распространяются, не передаются третьим лицам и не ведётся трансграничная передача,
и не используются специальные категории данных (здоровье, убеждения, интимная жизнь) или биометрия (фото, видео, отпечатки пальцев).
На практике эти условия соблюсти трудно. Почти всегда компании не только заключают договоры, но и ведут маркетинг, хранят клиентские базы, передают данные службам доставки или подрядчикам. А значит — обязаны уведомить Роскомнадзор и быть в реестре.
Обоснование по законодательству
- Ст. 22 ФЗ-152 — оператор обязан уведомить Роскомнадзор о начале обработки ПДн. Установлены исключения, когда уведомление не требуется.
- Ст. 6 ФЗ-152 — закрепляет законные основания обработки ПДн (в т. ч. исполнение договора).
- Ст. 23 ФЗ-152 — Роскомнадзор ведёт реестр операторов ПДн.
Практика проверок Роскомнадзора
- Интернет-магазин, собирающий данные клиентов для доставки, не был в реестре. Проверка установила передачу данных курьерским службам, что исключает льготу по ст. 22. Итог — штраф и предписание.
- Туристическая фирма собирала паспортные данные клиентов для бронирования туров и не уведомила Роскомнадзор. Проверка признала нарушение, так как данные передавались третьим лицам (авиакомпаниям, отелям).
Важный нюанс
Даже если компания считает, что работает только с договорами, на практике:
- хранение базы клиентов сверх срока договора,
- передача данных курьерским службам, банкам, подрядчикам,
- использование данных для рассылок и рекламы
— всё это требует уведомления и регистрации в реестре.
Рекомендации и выводы
Если ваша организация собирает персональные данные клиентов, в 99% случаев вам необходимо:
- Подать уведомление в Роскомнадзор и попасть в реестр операторов ПДн.
- Разработать и внедрить комплект документов по 152-ФЗ (политика, согласия клиентов, приказы, положения).
- Назначить ответственного за организацию обработки ПДн.
- Прописать порядок передачи данных клиентских баз подрядчикам (например, службам доставки).
Компания ICTech поможет вашей организации зарегистрироваться в реестре операторов ПДн, подготовить уведомление и полный пакет документов по защите персональных данных. Это избавит вас от штрафов и обеспечит готовность к проверке Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
