Алексей Ветров
Эксперт по защите данных IC-TECH
Да, наличие личного кабинета на сайте практически всегда означает необходимость подавать уведомление в Роскомнадзор. Для регистрации и работы личного кабинета пользователь вводит персональные данные — как минимум имя, телефон, e-mail или логин и пароль. Кроме того, такие системы обычно сохраняют историю заказов, переписку, данные о платежах и другие сведения, которые прямо или косвенно относятся к пользователю. Всё это подпадает под действие ФЗ-152.
Таким образом, владелец сайта с личным кабинетом становится оператором персональных данных и обязан уведомить Роскомнадзор до начала обработки.
Таким образом, владелец сайта с личным кабинетом становится оператором персональных данных и обязан уведомить Роскомнадзор до начала обработки.
Обоснование по законодательству
- ФЗ-152, статья 3, пункт 1: персональные данные — любая информация, относящаяся прямо или косвенно к субъекту.
- Статья 3, пункт 2: оператор — лицо, которое организует или осуществляет обработку ПДн.
- Статья 22, часть 1: оператор обязан уведомить Роскомнадзор до начала обработки ПДн.
- Исключения из статьи 22, часть 2 (например, обработка только в рамках трудового договора или для исполнения договора с физлицом) не освобождают от обязанности, если данные сохраняются и используются системно.
Когда уведомление обязательно
- Личный кабинет используется для заказов товаров или услуг (сбор данных клиентов).
- В нём сохраняется история операций или персональная переписка.
- Кабинет интегрирован с CRM, платёжными системами или аналитикой.
- Пользователь проходит регистрацию с указанием e-mail или телефона.
Пример:
Интернет-магазин имеет личный кабинет, где клиент видит свои заказы и историю оплат. Это систематическая обработка ПДн → требуется регистрация в Роскомнадзоре.
Когда уведомление может не потребоваться
- Если личный кабинет технически существует, но данные пользователей не собираются и не хранятся (например, демонстрационный функционал без идентификации личности).
- Если кабинет используется только внутри компании для сотрудников, а обработка данных идёт в рамках трудовых отношений (исключение из ст. 22, часть 2).
На практике такие случаи встречаются крайне редко — почти всегда личный кабинет связан с обработкой данных клиентов.
Рекомендации и выводы
- Если на сайте есть личный кабинет для клиентов — уведомление в Роскомнадзор обязательно.
- Помимо уведомления, нужно:
- разместить политику обработки ПДн на сайте;
- обеспечить согласие пользователя при регистрации;
- включить систему личного кабинета в пакет документов по 152-ФЗ.
- Это позволит избежать штрафов и претензий при проверках Роскомнадзора.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
