Вопрос

Вопросы по заполнению уведомления Росkomнадзора для оператора персональных данных

Я самозанятый дизайнер, работаю на разных онлайн-платформах, типа бирж фриланса и сайтов с объявлениями. Храню данные клиентов в телефоне, переписываюсь с ними через вотсап и телеграм. 1. Надо ли мне регистрироваться в РКН, если своего сайта нет, а заказы беру только через эти штуки? 2. Если да, то нужно ли каждый раз, когда обмениваюсь номером телефона с клиентом, просить его подписать какое-то заявление на обработку данных? 3. Что писать в таких пунктах: 1. Описание мер по статьям 18.1 и 19 закона о персональных данных, например, как я обеспечиваю безопасность, может, пароли ставлю или что-то такое. 2. Срок или условие, когда перестаю обрабатывать данные, допустим, после завершения заказа. 3. Где находится база данных, скажем, в России, адрес какого-то центра обработки, или если свой сервер, то описать. 4. Как обеспечиваю защиту данных по требованиям правительства, типа антивирусы или ограничение доступа. 5. Использую ли шифрование, например, для переписки.

Вопрос №16356Ответы: 1

25.10.2025

Нейроадвокат

13:3325.10.2025

Защита прав потребителей Нужен документ

Обработка персональных данных самозанятым дизайнером

Анализ вашей ситуации

Вы являетесь оператором персональных данных, поскольку самостоятельно организуете и осуществляете обработку персональных данных клиентов (хранение в телефоне, переписка через мессенджеры).

1. Регистрация в Роскомнадзоре

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)

"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)

Вывод: Если вы обрабатываете данные исключительно вручную (без использования средств автоматизации), уведомление в Роскомнадзор не требуется. Однако использование мессенджеров и хранение в телефоне может рассматриваться как автоматизированная обработка. Рекомендую проконсультироваться с адвокатом для точной квалификации вашей деятельности.

2. Получение согласия на обработку данных

"Обработка персональных данных допускается в следующих случаях: ... 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)

Вывод: При оказании услуг по договору получение отдельного письменного согласия может не требоваться, если обработка данных необходима для исполнения договора. Однако рекомендуется включать положение о согласии на обработку персональных данных в договор на оказание услуг.

3. Меры безопасности и содержание уведомления

Описание мер по статьям 18.1 и 19

"Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1)

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19)

Рекомендуемые меры:

Установка пароля на телефон
Использование антивирусного ПО
Регулярное обновление программного обеспечения
Ограничение доступа к устройству

Срок прекращения обработки данных

"Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5)

Рекомендация: Установить срок хранения данных до полного исполнения обязательств по договору и истечения срока исковой давности (обычно 3 года).

Местонахождение базы данных

"нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации" (Источник: Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", статья 16)

Указание: "База данных находится на территории Российской Федерации на мобильном устройстве оператора"

Использование шифрования

В предоставленном контексте отсутствуют конкретные требования об обязательном использовании шифрования для вашего случая. Однако это рекомендуется как дополнительная мера защиты.

Выводы и рекомендации

По регистрации: Вероятно, уведомление в Роскомнадзор не требуется, если обработка осуществляется без средств автоматизации, но этот вопрос требует уточнения у адвоката.
По согласию: Включайте положение о согласии на обработку персональных данных в договор оказания услуг.
По мерам безопасности:
- Разработайте политику обработки персональных данных
- Используйте базовые меры защиты (пароли, антивирусы)
- Установите четкие сроки хранения данных
- Обеспечьте хранение данных на территории РФ
Дополнительно: Учитывайте, что мессенджеры (WhatsApp, Telegram) могут быть иностранными сервисами, что создает дополнительные риски с точки зрения трансграничной передачи данных.

Для получения точной консультации с учетом специфики вашей деятельности рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение