Нужно ли ИП и компании регистрироваться оператором персональных данных

Оператор персональных данных — это любое лицо (организация или индивидуальный предприниматель), которое определяет цели и состав обрабатываемых ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). (ст. 3 Федерального закона 152-ФЗ). Если вы ведёте кадровый и бухгалтерский учёт, храните контакты клиентов или собираете заявки через сайт — вы уже оператор.

Когда нужно подавать уведомление в Роскомнадзор

По общему правилу ст. 22 152-ФЗ оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки. После вступления в силу Федерального закона 266-ФЗ (с 1 сентября 2022 года) пункты 1–6 части 2 статьи 22, которые раньше освобождали большинство операторов от уведомления, утратили силу. В результате уведомлять Роскомнадзор сегодня обязаны практически все операторы — в том числе ИП и малый бизнес, обрабатывающие данные своих работников и клиентов.

Какие исключения остались

Не уведомлять Роскомнадзор можно лишь в узких случаях части 2 ст. 22, главные из которых:

• обработка ведётся исключительно без средств автоматизации — только на бумаге, без компьютеров и программ;
• данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
• обработка в рамках законодательства о транспортной безопасности.

На практике под исключение «без автоматизации» почти никто не подпадает: как только кадры или бухгалтерия ведутся в 1С, зарплата считается в программе, а клиенты — в CRM, обработка считается автоматизированной, и уведомление обязательно.

Частые заблуждения

• «Я ИП без работников» — если есть клиенты, контрагенты-физлица или заявки с сайта, вы всё равно оператор.
• «Обрабатываю только данные своих сотрудников» — это не освобождает от уведомления с 1 сентября 2022 года. Обязанность сохраняется.
• «У меня микробизнес, меня не проверят» — уведомление подаётся бесплатно и однократно, а штраф за его отсутствие несопоставимо выше затраченного времени.

Ответственность

За неподачу или несвоевременную подачу уведомления установлен штраф по части 10 статьи 13.11 КоАП (в редакции с 30 мая 2025 года): для граждан — 5 000–10 000 рублей, для должностных лиц — 30 000–50 000 рублей, для юридических лиц — 100 000–300 000 рублей. Индивидуальные предприниматели по общему правилу отвечают как должностные лица, а в ряде составов — как организации. Отдельная, более крупная ответственность наступает за обработку без согласия и за утечки — подробнее в статье «Что изменилось в работе с персональными данными в 2025–2026 годах».

Что делать в зависимости от видов обработки

Что обрабатываете	Уведомление в РКНРоскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; надзор за обработкой ПДн.	Что ещё потребуется
Кадры и бухгалтерия (зарплата, налоги) в программах	Нужно	Политика обработки ПДн, приказ об ответственном, согласия работников
Клиенты, контрагенты-физлица, CRM	Нужно	Согласия или иное правовое основание, политика на сайте
Сайт с формами (заявка, обратная связь, подписка)	Нужно	Согласие на обработку, политика конфиденциальности, форма-галочка
Видеонаблюдение с идентификацией людей	Нужно	Информирование, таблички, основание обработки
Специальные категории или биометрия	Нужно	Усиленные требования, отдельные согласия, повышенная защита
Только бумажные журналы без компьютеров	Не требуется	Учёт и хранение носителей, правила уничтожения

Как подать уведомление

Уведомление подаётся бесплатно через портал Роскомнадзора (раздел для операторов ПДн) или через Госуслуги. В нём указывают цели обработки, категории данных и субъектов, перечень действий с данными, меры защиты и сведения об ответственном. После проверки оператор включается в реестр.

Быстро проверить, нужно ли вам уведомлять Роскомнадзор, поможет калькулятор обязанности регистрации оператора, а собрать пакет документов и встать в соответствие требованиям — сервис ГрамотаИБ.