Нужна ли регистрация в роскомнадзоре как оператора персональных данных

349₽ VIP

Добрый вечер. Адрес электронной почты сам по себе может не являться персональными данными, если он не позволяет прямо или косвенно идентифицировать конкретного человека. Однако, если на сайте собирается только email без других данных (ФИО, ИНН и пр.), и при этом email не содержит информации, позволяющей определить личность, то в таком случае обработка персональных данных может не наступать. Тем не менее, если email связан с конкретным физическим лицом и позволяет его идентифицировать, то это уже считается персональными данными, и вы признаётесь оператором персональных данных. В таком случае необходимо соблюдать требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», включая направление уведомления в Роскомнадзор о начале обработки персональных данных.

В случае поддержки пользователей через мессенджер Telegram, если в профиле пользователя указаны реальные ФИО и номер телефона, эти сведения являются персональными данными. Обработка таких данных при переписке с пользователем считается обработкой персональных данных. При этом факт того, что пользователь самостоятельно сделал свои данные общедоступными в мессенджере, не освобождает оператора от обязанностей по защите персональных данных при их обработке. Закон обязывает оператора обеспечивать безопасность таких данных и соблюдать требования законодательства о персональных данных вне зависимости от способа их получения.

При использовании внешней платёжной системы, когда пользователь вводит данные карты непосредственно на сайте платёжного оператора, а вы получаете только информацию о факте оплаты (например, подтверждение платежа, сумму), вы не осуществляете обработку персональных данных, связанных с платёжными реквизитами. Информация о факте оплаты и чеки, как правило, не содержат персональных данных, если не содержат сведений, позволяющих идентифицировать плательщика. Следовательно, в данном случае обработка персональных данных не наступает, и обязанности оператора персональных данных не возникают.

Ваш вопрос #1:

Нет, необязательно, но важно понимать нюансы.

Электронная почта сама по себе может считаться персональными данными, если позволяет идентифицировать конкретного субъекта (ФИО, контактные данные). Если пользователи добровольно предоставляют адреса электронной почты и используются они только для обратной связи или информирования клиентов о заказанных услугах — такое использование допустимо и вполне укладывается в рамки правового поля.

Федеральный закон № 152-ФЗ "О персональных данных":

Статья 3: Персональные данные — любая информация, относящаяся к определённому или определяемому физическому лицу.

Если ваша деятельность ограничивается использованием электронной почты исключительно для предоставления услуг и коммуникации, скорее всего, получение e-mail не потребует обязательной регистрации вас как оператора ПДн. Важно учитывать характер сбора и использования данных: наличие цели, способа обработки и легитимность такого сбора.

---

Ваш вопрос #2:

Возможно, да, если речь идет о конкретных персонализированных данных.

Действительно, многие пользователи делают свою контактную информацию доступной публично в профилях социальных сетей и мессенджеров. Однако если такие данные активно используются в процессе общения и поддержки клиента, они становятся объектом обработки и попадают под определение персональных данных.

Опять же, законодательство гласит:

Федеральный закон № 152-ФЗ "О персональных данных":

Статья 3: Обработка персональных данных означает совершение любых действий с такими данными.

Так, если общение в Telegram подразумевает использование открытых персональных данных пользователей, то формально вы можете оказаться вовлечённым в процесс обработки ПДн. Однако простое взаимодействие без целенаправленного использования личных данных, предоставленных самим пользователем, не образует обязанности регистрироваться как оператор ПДн.

---

Ваш вопрос #3:

Скорее всего, нет, поскольку данные банковской карты обрабатываются третьей стороной.

Факт оплаты не предполагает автоматического сбора и хранения персональных данных. Платежная система выступает посредником, обеспечивающим передачу платежа от покупателя продавцу. Сам факт оплаты не включает сбор конфиденциальных сведений о владельце карты.

Здравствуйте Михаил !

В данном случае, регистрация в Роскомнадзоре в качестве оператора ПДн — обязательное требование для всех организаций и индивидуальных предпринимателей, которые обрабатывают личную информацию физических лиц. Исключение составляют случаи, когда: обработка данных осуществляется для личных или семейных нужд (например, ведение адресной книги в личных целях).

Если ИП при оказании услуг собирает и хранит персональные данные физических лиц – работников контрагента (ответственных лиц), в том числе Ф. И. О. и номера телефонов, то ИП признается оператором персональных данных и обязан выполнять все обязанности, возложенные на таких лиц.

В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ) персональные данные – это любая информация, относящаяся к прямо или косвенно определенному либо определяемому физическому лицу (субъекту персональных данных). К персональным данным относятся Ф. И. О., номер телефона, паспортные данные.

Как правило, при взаимодействии с заказчиками (в том числе с организациями) исполнитель сохраняет данные ответственных лиц – Ф. И. О., должности, номера телефонов, адреса электронной почты, почтовые адреса, паспортные данные (из доверенностей, к примеру) и т. п. Все эти данные относятся к персональным.

Всего доброго Вам!

Рад был помочь!

1) Является ли email персональными данными и обязан ли я регистрироваться как оператор ПД?

- Персональные данные согласно статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

- Email может быть персональными данными, если по нему можно однозначно идентифицировать человека. Например, если это личный email, то это ПД, так как можно связать его с конкретным физлицом. Если же email является общим, корпоративным или анонимным , то это не ПД. Однако, если вы собираете только email и не используете его для иных целей, кроме связи (без иных ПД), то вы, скорее всего, не обязаны регистрироваться как оператор ПД, особенно если объем данных небольшой и нет систематической обработки.

Но если email позволяет идентифицировать пользователя, формально это ПД, и вы должны соблюдать требования закона о ПД (ст. 22), включая уведомление Роскомнадзора (если это предусмотрено законом), организацию защиты данных и пр.

На практике, малые ИП с минимальным объемом и простым сбором email часто не регистрируются как операторы, так как закон устанавливает критерии по объему и характеру обработки (см. Постановление Правительства РФ от 1 ноября 2012 г. № 1119).

2) Поддержка в Telegram и обработка ПД пользователей, если у них в профиле есть ФИО и телефон

Персональные данные — это не только те, что вы собираете сами, но и те, которые вы обрабатываете в ходе своей деятельности (ст. 3, 9 закона). Если пользователь в своем Telegram-профиле указал ФИО и номер телефона, и вы с ним переписываетесь, то технически вы обрабатываете ПД, так как получаете, храните и используете эту информацию. Даже если эти данные общедоступны (публичны в профиле), это не освобождает вас от обязанностей оператора ПД, поскольку закон обязывает соблюдать права субъектов ПД при обработке их данных (ст. 3, 24 закона). Однако в данном случае можно рассматривать переписку как минимальную, эпизодическую обработку, которая может не требовать отдельной регистрации оператора, если не происходит систематической обработки. Ситуация с сотрудником Роскомнадзора, который сам публично разместил свои данные, действительно выглядит спорной, но с точки зрения закона вы всё равно обрабатываете ПД, полученные от него, и должны соблюдать требования по защите и законности.

3) Принимаю платежи через внешнюю платёжную систему — обрабатываю ли я ПД?

Если платежная система принимает данные карты и другую информацию напрямую у пользователя, а вы получаете только уведомление о факте оплаты, без доступа к самим ПД, то вы не являетесь оператором этих ПД (ст. 3, 7 закона). Ваш сайт не обрабатывает платежные данные, так как они не передаются вам, а обрабатываются платёжной системой. Информация о факте оплаты — это служебные данные, не относящиеся к ПД, если в них нет сведения, позволяющего идентифицировать физлицо напрямую (например, если это просто номер заказа, сумма, дата). Чеки и способ оплаты — обычно не считаются ПД, если они не содержат сведений, позволяющих идентифицировать человека (например, ФИО, адрес, номер карты). Если же в чеках есть ФИО или другие ПД, и вы их получаете и храните, то это уже обработка ПД. В вашем случае, так как платежная система отдельно обрабатывает ПД, а вы получаете только подтверждение оплаты, вы не обязаны регистрироваться как оператор ПД по этому поводу.

С уважением.

Смотрите, в соответствии со ст. 3 ФЗ "О персональных данных" под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

По сути, это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных.

Адрес электронной почты гражданина относится к категории персональных данных, поскольку данный идентификатор уникален:

он присваивается конкретному человеку и не может быть отнесен к другому.

Даже без дополнительной информации такой идентификатор является персональными данными (письмо Минцифры от 17.03.2022 г. N П25-5623-ОГ "О возможности отнесения адреса электронной почты к персональным данным").

Если в телеграме ведете просто переписку или общение, это не является обработкой ПД.

По части получения оплаты за услуги, здесь также нет обработки ПД.

Вы не получаете оплату за услуги напрямую от пользователей, все проходит через платёжную систему.

По двум пунктам уведомлять РКН не нужно.

А вот по первому пункту есть спорный момент.

На сайте пользователи регистрируются, а фактически здесь идёт обработка ПД.

Вот здесь лучше всего обратиться в орган РКН за получением информации именно под свой случай.

Если будете нарушать действующее законодательство, могут привлечь к ответственности.

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.

Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

В случае изменения сведений, указанных в части 3 настоящей статьи, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных.

Формы уведомлений, предусмотренных частями 1, 4.1 и 7 настоящей статьи, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных -

влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.

- см. ч. 10 ст. 13.11 КоАП РФ, ст. 22 ФЗ "О персональных данных"

Уважаемый Михаил, здравствуйте!

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" - под персональными данными понимается любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (ст. 3 Закона № 152-ФЗ).

Email-адрес может являться персональными данными, если по нему возможно идентифицировать пользователя (например, если email содержит ФИО или иные идентифицирующие признаки). Если же email не позволяет идентифицировать пользователя, то он не относится к персональным данным, и обязанности по уведомлению Роскомнадзора не возникает.

-------

В отношении поддержки через мессенджер Telegram: если в профиле пользователя указаны ФИО или номер телефона, и Вы получаете доступ к этим данным в процессе коммуникации, это может рассматриваться как обработка персональных данных, даже если данные были размещены пользователем самостоятельно и являются общедоступными (ст. 6, 152-ФЗ). Однако, согласно ч. 2 ст. 22 Закона № 152-ФЗ, уведомление Роскомнадзора не требуется, если обработка осуществляется только в целях заключения и исполнения договора, стороной которого является субъект персональных данных, либо если данные являются общедоступными и не используются для продвижения товаров, работ, услуг на рынке.

--------

Что касается приема платежей через внешнюю платёжную систему: если Вы не получаете и не храните данные банковских карт или иные персональные данные пользователей, а только информацию о факте оплаты, то обработка персональных данных в данном случае не осуществляется. Однако, если в чеках или отчетах, доступных Вам в личном кабинете платёжной системы, содержатся ФИО, email или иные идентифицирующие сведения, это может считаться обработкой персональных данных. В таком случае, Вы обязаны соблюдать требования Закона № 152-ФЗ, в том числе по уведомлению Роскомнадзора (ст. 22 Закона № 152-ФЗ), если не подпадаете под исключения, указанные в ч. 2 ст. 22.

Рекомендую провести анализ состава обрабатываемых Вами данных и, при наличии признаков персональных данных, направить соответствующее уведомление в Роскомнадзор во исполнение ст. 22 Закона № 152-ФЗ.

Иначе - вероятность штрафа велика.

С уважением, Д.А.Разина

Вам легче направить уведомление, чем потом сидеть и доказывать, что имеил не относится к персональным данным.

Согласно ст. 3 ФЗ 152-ФЗ «О персональных данных» — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу можно отнести к персональным данным.

В Роскомнадзоре сидят не особо умные ребята и тем более без юр. образования и сидеть заниматься правовым анализом никто не будет. Им легче вас штрафануть, а вы потом будите по судам бегать доказывать что правы.

Ответственности у них никакой за неправильно выставленные штрафы.

Поэтому рекомендую Вам, просто направить уведомление.

1. Заходите на сайт.

2. Выбираете для операторов

3. Электронные заявления.

4. Выбираете направить уведомление оператора персон. данный.

5. Выбираете способ отправки. Если есть эцп - заполняйте заявление и подписываете, если нет, то можно и на бумажном носителе.

6. Вбейте в поисковике "Пример заполнения уведомления" и образцу заполните.

1. Согласно Федеральному закону №152-ФЗ «О персональных данных», сам по себе адрес электронной почты не является персональными данными . С 30 мая 2025 года усиливается ответственность за нарушение законодательства в сфере персональных данных. За неуведомление предусмотрены штрафы, возможна приостановка деятельности и блокировка сайтов.

Зарегистрироваться в Роскомнадзоре в качестве оператора ПД необходимо, если происходит обработка ПДн в рамках профессиональной или коммерческой деятельности. Даже минимальный объём ПД — ФИО, ИНН, email — уже считается обработкой и подпадает под требования закона.

2. Сбор ФИО и номеров телефонов пользователей в профиле мессенджера может считаться обработкой персональных данных.

Согласно Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных», персональные данные — это любая информация, которая прямо или косвенно имеет отношение к человеку. Номер телефона (даже в мессенджере) позволяет идентифицировать человека, поэтому он относится к персональным данным.

Согласна с вами - можно рассматривать отправку чеков или факт оплаты как обработку персональных данных, так как для получения электронного чека клиент предоставляет свои персональные сведения, например номер телефона или адрес электронной почты.

Согласно Федеральному закону «О персональных данных» №152-ФЗ, под обработкой ПД понимается любое действие или их совокупность, которые совершаются с этими данными с помощью средств автоматизации или без них. В перечень таких действий включают сбор, запись, систематизацию, накопление, хранение, уточнение и другие операции. И при расчётах на контрольно-кассовой технике (ККТ) согласие клиента на обработку ПД не требуется, так как это входит в обязанности продавца.

Михаил, уважаемый!

Вы затронули очень чувствительные и, с юридической точки зреия, спорные вопросы

Давайте разберемся

1) На сколько я знаю сам по себе email (без ФИО, ИНН и прочих данных) не является ПД. И регистрироваться как оператор ПД - я не обязан. Это так?

Как указано в Письме Министерства цифрового развития, связи и массовых коммуникаций РФ от 17 марта 2022 г. № П25-5623-О возможности отнесения адреса электронной почты к персональным данным

В соответствии с пунктом 1 статьи 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Таким образом, адрес электронной почты может быть признан персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу.

Т.е., e-mail как считает Роскомнадзор является персональными данными, так как является уникальным идентификатором, который присваивается конкретному человеку и не может быть отнесен к другому. www.garant.ru

При этом Верховный суд РФ в Определении от 21.07.2023 N 305-ЭС23-12160 по делу N А40-139096/2022 legalacts.ru поддержал позицию нижестоящих судов относительно того, что адрес электронной почты не является персональными данными

Юристы, специализирующиеся на этих вопросах считают эту позицию судов спорной, так как с любой позиции адрес эл.почты является уникальным идентификатором

2)... у большинства нет ПД, но у НЕКОТОРЫХ в профиле мессенджера указаны реальные ФИО и номера телефонов. Является ли это обработкой ПД?

Любое указание данных, напрямую идентифицирующих личность является персональными, а Вы, таким образом, по определению п.п.2, 3 ст.3. Основные понятия, используемые в настоящем Федеральном законе Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" становитесь оператором по их обработке, глупо, на ваш взгляд это или нет

Могу конечно открыть на сайте платёжной системы и посмотреть чеки и выбранный способ оплаты....Могут ли чеки или факт оплаты как-то принять за обработку мною ПД?

Просматривая чеки Вы видите указание на субъекта платежа, как правило, имя и отчество. Без этого Вы не сможете его идентифицировать и связать оказание самой услуги по поддержке с фактом ее оплаты.Отсюда можно сделать вывод, что чеки или факт оплаты могут являться способом обработки персональных данных клиентов

И наконец.

Поскольку ответы юристов сайта носят консультационный и рекомендательный характер, то для того, чтобы не допустить в отношении Вас санкций рекомендую обратиться с вопросом напрямую в Роскомнадзор на его официальном сайте rkn.gov.ru/treatments/ask-question. В открывшейся форме заполняете обязательные поля, излагаете свой вопрос. После вводится электронный код подтверждения

Ответ Роскомнадзора будет считаться для Вас нормативным документом

Удачи и всего хорошего!