Обработка персональных данных в 2026: риски и штрафы — Контур.Маркет

ИП выступает в роли оператора персданных: риски и рекомендации

Обновлено 19 мая 2026 4

Работа с персональными данными (ПДн) требует от предпринимателя больших усилий: нужно разработать пакет документов, уведомить Роскомнадзор о намерении обрабатывать ПДн, защитить ПДн от неправомерной передачи. За каждый промах бизнесу грозят большие штрафы. Рассказываем, что такое персональные данные и как предпринимателю организовать их обработку, чтобы не нарушить закон.

Что относится к персональным данным

Закон определяет персональные данные как любую информацию, которая относится к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным в том числе относят:

  • ФИО,
  • дату и место рождения,
  • адрес,
  • номер телефона,
  • семейное, социальное и имущественное положение,
  • образование и профессию,
  • должность и стаж работы,
  • доходы,
  • иную информацию, относящуюся к физическому лицу.

Адрес электронной почты, платежная информация, данные о местоположении, сетевой активности, идентификаторе устройства, файлы cookie тоже могут считаться ПДн (постановление Второго кассационного суда общей юрисдикции от 26.12.2022 по делу № 16-9987/2022).

Еще есть специальные категории персональных данных: информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Отдельно выделяют биометрические персональные данные — физиологические и биологические особенности, с помощью которых можно установить личность человека и которые используются оператором персональных данных для установления личности человека: изображение лица, данные голоса, отпечатки пальцев и пр. 

К обработке специальных и биометрических персданных более строгие требования обработки.

Кто такой оператор обработки персональных данных

Обработка персональных данных — это любые действия по их сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению или уничтожению. Этим занимается оператор персональных данных — государственный орган, компания, ИП, самозанятый или физлицо без статуса.

Сложно представить предпринимателя, который бы не был оператором ПДн: практически все ИП работают с данными клиентов или работников.

Индивидуальные предприниматели обрабатывают персданные клиентов с разными целями: доставлять товары, предоставлять доступ к личному кабинету, отправлять смс-рассылки, давать скидку на день рождения, регистрировать в системе лояльности, сегментировать клиентскую базу. Если у ИП есть работники, то их данные обрабатываются для заключения и исполнения трудового договора. 

На тех, кто является оператором персональных данных, закон налагает множество обязанностей. Некоторые из них:

  • разработать документы, определяющие политику в отношении обработки ПДн,
  • познакомить сотрудников, работающих с ПДн, с положениями законодательства РФ о персональных данных, в том числе требованиями к их защите, с документами, определяющими политику оператора в отношении обработки ПДн, и обучение указанных работников,
  • проводить внутренний контроль и аудит обработки ПДн по требованиям законодательства,
  • оценить возможный вред из-за нарушения правил работы с ПДн,
  • принимать меры по обеспечению безопасности ПДн.

Полный перечень обязанностей оператора персональных данных размещен в гл. 4 Закона № 152-ФЗ.

Если у оператора произошла утечка ПДн, об этом надо сообщить в Роскомнадзор (РКН) в течение 24 часов. Еще 72 часа дается, чтобы провести внутреннее расследование по инциденту и отчитаться о нем — тоже в Роскомнадзор (ч. 3.1 ст. 21 закона № 152-ФЗ).

С 2015 года операторы обязаны при сборе ПДн, в том числе через интернет, обеспечить запись, систематизацию, накопление, хранение, изменение, извлечение с использованием баз данных, находящихся на территории РФ (ч. 5 ст. 18 Закона № 152-ФЗ). Таким образом операторы могли осуществлять сбор ПДн с использованием сервисов, базы данных которых расположены за пределами территории, но обязаны были обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение ПДн с использованием баз данных, находящихся на территории РФ.

С 1 июля 2025 года вступила в силу новая редакция п. 5 ст. 18 Закона № 152-ФЗ, которая прямо запрещает при сборе осуществлять запись, систематизацию, накопление, хранение, уточнение, извлечение ПДн  с использованием баз данных, расположенных за пределами территории РФ.

Это значит, что нельзя при сборе ПДн применять иностранные сервисы. Если в дальнейшем необходимо их использовать, то это допустимо только при соблюдении требований к трансграничной передаче ПДн.

Получайте экспертные статьи на почту каждые две недели
Подписаться
 

Кто и зачем должен подавать уведомление в Роскомнадзор

Еще одна обязанность оператора — уведомить РКН о намерении обрабатывать персданные (ст. 22 Закона № 152-ФЗ). Все операторы, включая ИП, должны подавать уведомления до того, как начали работать с ПДн клиентов или работников. А с 2025 года за нарушение этого требования предусмотрен штраф, который для ИП составит от 30 000 до 50 000 рублей (ч. 10 ст. 13.11 КоАП РФ).

Есть исключения — о них расскажем ниже.

Некоторые предприниматели думают, что если не подали уведомление в Роскомнадзор, значит, не считаются операторами. Но это не так: как только начали обрабатывать информацию с персданными — автоматически стали оператором. После начала обработки ПДн «отмотать» все назад не получится: не предупредили Роскомнадзор до — нарушили закон.

Как заполнить и подать уведомление об обработке персональных данных

Уведомление о намерении осуществлять обработку персональных данных заполняется по утвержденной форме (приложение № 1 к приказу Роскомнадзора от 28.10.2022 № 180). ИП указывает в документе:

  1. Свои ФИО, ИНН, ОГРНИП и адрес,
  2. Цель обработки персональных данных и информация конкретно для этой цели:
    • категории ПДн и категории субъектов ПДн,
    • правовое основание обработки ПДн,
    • перечень действий с ПДН,
    • способы обработки ПДн.

    Если целей обработки несколько, то для каждой надо будет указать категории ПДн и субъектов ПДн, правовое основание и способы обработки ПДн, перечень действий с ними.

  3. Описание мер предусмотренных статьями 18.1 и 19 Закона № 152-ФЗ,
  4. Сведения о лицах, ответственных за организацию обработки персональных данных,
  5. Дату начала обработки персональных данных,
  6. Срок и условия прекращения обработки ПДн,
  7. Сведения о наличии или об отсутствии трансграничной передачи ПДн,
  8. Сведения о месте нахождения базы данных, содержащей ПДН граждан РФ,

    Данные о физлице или юрлице, которые обрабатывают ПДн в государственных и муниципальных информационных системах

  9. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ

На Портале персональных данных Роскомнадзора оператор может сформировать и отправить уведомление в территориальный орган РКН одним из следующих способов:

  • в бумажном виде,
  • в электронном виде с использованием усиленной квалифицированной электронной подписи,
  • в электронном виде с использованием средств аутентификации ЕСИА.

В течение 30 дней ИП появится в реестре операторов персональных данных РКН. Проверить себя можно там же на портале Роскомнадзора.

Уведомление подают только один раз. Но если что-то изменится, например предприниматель стал передавать данные за границу или добавились новые цели обработки, об этом надо предупредить регулятора. Подают уведомление уже по другой форме (приложение № 2 к приказу № 180) не позднее 15 числа месяца, следующего за месяцем, в котором возникли изменения.

Пример. Если изменения появились 28 июля, отправить уведомление нужно до 15 августа.

Если ИП перестает обрабатывать данные, например из-за закрытия бизнеса, об этом тоже сообщают в Роскомнадзор. Срок — 10 рабочих дней с даты прекращения обработки. Форму возьмите из приложения № 3 к приказу № 180.

Кто может не подавать уведомление в Роскомнадзор

От подачи уведомления освободили только три категории операторов — до изменений в 152-ФЗ в 2022 году их было в три раза больше. Обрабатывать ПДн без уведомления Роскомнадзора разрешено предпринимателям, которые:

  • работают с персданными без использования средств автоматизации;
  • обрабатывают ПДн из государственных информационных систем, созданных для защиты безопасности государства и общественного порядка;
  • работают с персданными для обеспечения безопасности в сфере транспорта.

Как собирать согласия на обработку

В некоторых случаях можно обрабатывать персональные данные без согласия. Например, когда обработка необходима для исполнения договора, по которому выгодоприобретателем или поручителем является субъект персональных данных, а также для заключения такого договора по инициативе субъекта персональных данных. Это только одно из оснований обработки без согласия. Все они перечислены в ч. 1 ст. 6 Закона № 152-ФЗ.

Если согласие необходимо, оно может быть в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом.

В отдельных случаях, предусмотренных федеральным законом, согласие должно быть подписано субъектом или его представителем собственноручно или электронной подписью. О них — ниже.

С 1 сентября 2025 года согласие должно быть оформлено отдельно от иной информации или иных документов, которые подтверждает или подписывает субъект персональных данных. Например, больше нельзя включать согласие в условия договора.

Вот пара примеров, как собирать ПДн.

Форма подписки. Включите в форму подписки обязательную строку «Подписываясь, вы подтверждаете согласие на обработку персональных данных» с активной ссылкой на текст согласия, размещенный на сайте вашей компании.

Форма регистрации на сайте. В форме обязательно должны быть поля для согласия на обработку ПДн и активной ссылкой на текст согласия.

Лайтбокс на сайте. Если вы используете лайтбоксы для сбора данных, снабдите их таким же полем для согласия на обработку ПДн и активной ссылкой на текст согласия.

Что должно быть в согласии

В некоторых случаях, предусмотренных федеральным законом, предприниматель может обрабатывать персданные только при наличии письменного согласия с собственноручной подписью. Равнозначным признается согласие в электронной форме, подписанное электронной подписью. Письменное согласие понадобится, например, когда бизнес обрабатывает специальные, биометрические ПДн, загружает сведения в общедоступные источники и пр.

Требования к содержанию согласия в письменной форме прописаны в ч. 4 ст. 9 Закона № 152-ФЗ. Письменное согласие на обработку ПДн включает:

  • ФИО субъекта ПДн, адрес и данные документа, удостоверяющего личность.
  • Наименование или ФИО и адрес оператора, получающего согласие субъекта ПДн.
  • Цель обработки персональных данных.
  • Перечень персональных данных, на обработку которых человек дает согласие. Например, имя, телефон, дата рождения, адрес электронной почты.
  • Перечень действий с персональными данными, на совершение которых клиент дает согласие: сбор, систематизация, накопление, хранение, использование, блокирование, уничтожение и так далее.
  • Срок, в течение которого действует согласие. Не обязательно прописывать конкретную дату, можно указать событие, например до отзыва согласия или в течение срока действия договора.
  • ФИО лица или название компании, которым оператор может поручить  обработку ПДн.
  • Подпись субъекта ПДн. 

Храните согласия все время, пока обрабатываете персональные данные. Если собирали согласия на бумаге, держите их в архиве. Если запрашивали в электронном виде, выгрузите действия клиента на сайте. Согласия понадобятся, если Роскомнадзор придет с проверкой или возникнет спорная ситуация с клиентом.

О том, какие еще согласия нужно собрать с клиента, если вы планируете информировать его об акциях и присылать иные рекламные предложения, разбираем в видеоролике.

Как Роскомнадзор проверяет компании

Роскомнадзор проводит как плановые проверки операторов персональных данных, так и внеплановые. Например, по жалобе субъекта ПДн. Также специалисты РКН могут найти нарушения закона о персональных данных при мониторинге сайта, сервиса или приложения. До 2030 года на плановые проверки действует мораторий, но при этом  действуют иные механизмы контроля — профилактические визиты

Как проходят проверки: РКН проводит опрос, запрашивает письменные объяснения, запрашивает набор документов, связанных с обработкой персональных данных. Специалисты проверяют соответствие документов требованиям законодательства, а также и их соответствие фактическим процессам обработки персональных данных у проверяемого. При этом проверки могут быть выездными и удаленными.

Когда можно получить предписание или штраф по 152-ФЗ

Говоря о необходимости соблюдать законодательство, нельзя забывать, какие штрафы ждут ИП за нарушения в области персональных данных в 2026 году.

Индивидуальные предприниматели, совершившие административные правонарушения, несут ответственность как должностные лица, если в КоАП не установлено иное (ст. 2.4 КоАП РФ). 

Если не подали уведомление в Роскомнадзор или не успели до начала обработки, штраф составит от 30 000 руб. до 50 000 руб. (ч. 10 ст. 13.11 КоАП РФ). 

Нет политики обработки ПДн или не обеспечен неограниченный доступ к такому документу — штраф от 10 000 руб. до 20 000 руб. (ч. 3 ст. 13.11 КоАП РФ).

Обрабатываете данные не с теми целями, которые указали при сборе — получите штраф за первое нарушение от 50 000 руб. до 100 000 руб., за повторное от 100 000 руб. до 200 000 руб. (ч. 1 и ч. 1.1 ст. 13.11 КоАП РФ). 

Если по закону необходимо взять у субъекта ПДн письменное согласие, но его нет, грозит штраф от 100 000 руб. до 300 000 руб. За повторное нарушение штраф для индивидуальных предпринимателей еще строже — от 500 000 руб. до 1 млн руб. (ч. 2 и ч. 2.1 ст. 13.11 КоАП РФ).

Чтобы не попасть штрафы, обрабатывайте персональные данные законно. Это нужно и для защиты бизнеса, и как знак уважения к своим клиентам и работникам.

Оставьте заявку


Маркет

Подготовим вас к работе с ТС ПИоТ с 1 июля

Решение под ключ
Получайте экспертные статьи на почту каждые две недели
Подписаться