Регистрация оператора персональных данных: инструкция для онлайн-школ, продюсеров и экспертов
Если вы собираете заявки через яндекс-формы, сайт, оформляете заказы, проводите вебинары или просто отправляете рассылки — вы уже обрабатываете персональные данные.
Это значит, что по закону вы должны зарегистрироваться как оператор персональных данных, отправив уведомление в Роскомнадзор.
Согласно 152-ФЗ «О персональных данных», сделать это нужно до начала сбора данных. За несоблюдение требований предусмотрена административная ответственность и возможны штрафы.
Даже если вы ИП, самозанятый или физлицо с онлайн-курсами — уведомление подавать всё равно необходимо.
Важно: юридическое уведомление
Материал из данной статьи носит информационно-справочный и рекомендательный характер. Он не является юридической консультацией, не заменяет персонального совета юриста и не может служить основанием для предъявления требований или исков. Вы используете информацию на свой страх и риск. Рекомендуется при необходимости проконсультироваться с квалифицированным специалистом.
Про формы согласия и чекбоксы:
- Все формы, в которых вы собираете ПДн, должны содержать чекбокс согласия с политикой обработки.
- По умолчанию чекбокс должен быть отключён (пустой). Пользователь должен поставить галочку самостоятельно.
- Рекомендуется отдельно запрашивать согласие: на получение рекламных рассылок и на публикацию/распространение отзывов.
❗Об этом забывают, но именно эти моменты часто проверяются при жалобах или инспекциях.
В этой статье я собрала инструкцию для экспертов, коучей и онлайн-школ, которая поможет заполнить форму уведомления и отправить её в Роскомнадзор. Также вы найдёте выжимку ключевых разъяснений с Дня открытых дверей, который провёл Роскомнадзор 27 августа.
Обратите внимание!
• Первыми под проверку попадают сайты, на которые поступают жалобы пользователей.
• За последние 1,5 года Роскомнадзор получил более 120 000 обращений.
• Если у вас есть недовольные клиенты, риск проверки многократно возрастает. Это ещё один весомый аргумент относиться к пользователям с вниманием и уважением, чтобы не провоцировать их на жалобу или судебный иск.
1. Как подать уведомление?
1.1 Через портал Роскомнадзора (самый удобный способ).
Понадобится усиленная электронная подпись (УЭП) или подтверждённый аккаунт Госуслуги.
- Авторизуйтесь через Госуслуги.
- Выберите подачу от физического лица (даже если вы ИП — допустимо, просто укажите реквизиты ИП в теле формы в самом конце)
1.2 Через Почту России (бумажный способ).
- Заполните уведомление на сайте РКН.
- Распечатайте, подпишите.
- Отправьте в Роскомнадзор заказным письмом с уведомлением о вручении и описью вложения.
Обратите внимание!
• Если у вас подтверждённая запись на Госуслугах, подача через сайт самый удобный вариант. Для юрлиц также подойдёт УЭП.
• В уведомлении обязательно укажите, если ПД собираются через сайт, формы или боты. Отсутствие этого пункта — распространённая ошибка, которая приводит к штрафу.
• ИП подаёт заявку как физлицо, но с указанием реквизитов ИП в теле уведомления.
2. Основные поля формы и как их заполнить
2.1 Правовое основание обработки ПДн:
Выберите ваш статус: физлицо, самозанятый, ИП или юрлицо. В зависимости от того, от кого ведётся обработка персональных данных (ПДн).
Информацию нужно указывать в точности как в госреестрах:
• ИП — по данным регистрации в налоговой (ФИО без сокращений, ИНН).
• ЮЛ — по данным из ЕГРЮЛ (название полностью, согласно уставу), ОГРН, ИНН.
• Самозанятые — ФИО и ИНН физлица из кабинета «Мой налог».❗Не используйте сокращения типа «ИП Иванов». Только полные юридические данные.
В разделе «Адрес оператора» укажите индекс и нажмите на «Выбрать», чтобы указать адрес местонахождения. После заполнения нажмите «Ок».
Если почтовый адрес совпадает — поставьте соответствующую галку. Если нет, заполните вручную.
Укажите свой телефон, e-mail и факс, если есть. Вся информация должна быть актуальной и заполнена верно — по ним Роскомнадзор будет связываться с вами.
Далее в поле «Регионы обработки» выберите вариант «Все субъекты Российской Федерации», чтобы не перечислять все возможные регионы.
2.2 Цели обработки персональных данных
Выберите пункт «иная» и впишите:
- Регистрация, обработка заявок и оказание услуг клиентам.
- Установление и поддержание обратной связи с клиентами.
- Заключение и исполнение гражданско-правовых договоров с клиентами.
- Формирование клиентской базы в целях оказания услуг, поддержки и информирования.
- Отправка информационных сообщений, связанных с услугами (в рамках согласия).
- Проведение маркетинговых мероприятий (при наличии отдельного согласия).
- Анализ посещаемости и улучшение качества работы сайта/форм/бота (при наличии).
Если у вас есть лицензия на образовательную деятельность, укажите ещё одну цель «Обеспечение соблюдения законодательства РФ в сфере образования».
2.3 Категории персональных данных, на обработку которых даётся согласие
Отметить только те пункты, которые вы действительно будете собирать.
Если нет какого-то пункта, либо дополнительно, выберите вариант «Иные персональные данные» и в появившемся поле укажите «Иная информация, добровольно предоставляемая субъектом персональных данных в формах (в т.ч. комментарии)».
2.4 Категории субъектов
Если вы оказываете консультационные или обучающие услуги (например, как эксперт, коуч, наставник, психолог, специалист и т.д.), и собираете заявки/анкетные данные через формы, чат-боты и т.п., то вам нужно выбрать следующие пункты.
Обязательно:
1. Клиенты — ваша основная категория.
2. Посетители сайта — если сайт, формы, бот и вы используете аналитику (например, Яндекс.Метрика).
3. Субъект персональных данных, предоставивший согласие на трансграничную передачу — если допускаете, что к вам могут обратиться иностранные граждане (например, в Telegram-боте), и/или вы используете зарубежные сервисы (Google, Meta, Telegram, Tilda, Notion, GetCourse и т.д.).
4. Иные категории субъектов персональных данных — подстраховка на случай, если вы используете, например, данные учеников, заказчиков, участников эфиров / вебинаров, заявок на бесплатные материалы (чек-листы, гайды и т.п.), лица, заполнившие формы обратной связи и т.д.Дополнительно (если применимо):
1. Работники - если вы ИП или ЮЛ и у вас есть сотрудники.
2. Учащиеся / Студенты — если вы занимаетесь обучением, наставничеством, проводите тренинги.
3. Законные представители — если вы работаете с детьми/несовершеннолетними и получаете согласие от родителей.Точно не нужно отмечать:
Работники, соискатели, родственники, контрагенты — если у вас нет штатных сотрудников и вы не ИП с персоналом
2.5 Правовое основание обработки ПДн
Если вы оказываетесь услуги как эксперт, самозанятый, ИП или онлайн-школа, рекомендую отметить оба основания, чтобы охватить все возможные ситуации:
- Обработка персональных данных осуществляется с согласия субъекта ПДн. Для всех случаев, когда пользователь оставляет данные через форму, подписку, заявку, но договор не заключается.
- Обработка персональных данных необходима для исполнения договора. Если вы принимаете оплату за услуги, заключаете оферту или подписываете договор, то это основание также применяется.
Такой подход универсален и соответствует требованиям.
2.6 Перечень действий
Этот шаг один из самых важных: вы указываете, что конкретно делаете с персональными данными, т.е. какие действия производите.
Ниже универсальный и безопасный список для экспертов, ИП, самозанятых, онлайн-школ и специалистов, которые работают через формы, мессенджеры, боты, таблицы, CRM, email и т.п.
Обязательные действия:
Сбор — если принимаете данные через формы/боты/почту.
Запись — данные автоматически или вручную сохраняются (в CRM, таблицы и т.п.).
Систематизация — вы структурируете их (например, по типам клиентов).
Накопление — вы храните данные какое-то время.
Хранение — данные сохраняются на облачных или физических носителях.
Уточнение (обновление, изменение) — если клиент обновляет свои данные.
Использование — вы применяете их для оказания услуг, рассылки, аналитики.
Удаление — по запросу клиента или по истечении срока хранения.
Уничтожение — полное удаление данных, например, при отзыве согласия.
Иные действия — например, архивирование, экспорт в другие сервисы и платформы (Tilda, Notion, Telegram, Google Таблицы и т.д.).Дополнительно (если применимо):
Извлечение — выгрузка данных для анализа, сегментации, отчетов.
Передача (предоставление, доступ) — если используете внешние платформы, подрядчиков, облачные CRM.
Обезличивание — если ведёте обезличенную аналитику без ФИО.❌ Не включать без особой необходимости:
Распространение — если вы НЕ публикуете данные клиентов публично.
Блокирование — не требуется для стандартной обработки.
2.7 Способы обработки и меры безопасности
2.7.1 Способы обработки ПДн.
Тип:
- Выбираем «смешанная» — подходит всем, кто использует как электронные, так и бумажные данные (например, анкеты, договора, таблицы, CRM и т.п.).
Передача:
- Если не передаёте данные третьим лицам (не используете подрядчиков, внешние сервисы) — выбирайте «без передачи».
- Если используете облачные сервисы и онлайн-платформы (например, Telegram, Google Таблицы, Notion, Tilda, GetCourse), — выбирайте «с передачей по сети Интернет».
Лучше не используйте Google-сервисы для хранения и обработки ПД россиян. По закону хранение персональных данных должно осуществляться на территории РФ. Используйте российские ЦОД: Яндекс.Облако, GetCourse и прочие.
2.7.2 Описание мер
Этот блок обязателен. В качестве мер можно указать следующие:
- издание оператором документов, определяющих политику оператора в отношении обработки персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Дополнительные меры, если у вас есть сотрудники
Если в вашем проекте официально работают сотрудники (в штате или по ГПХ), вы обязаны реализовать дополнительные меры безопасности при обработке персональных данных. Это касается как ИП, так и юридических лиц.
В частности, необходимо:
- Назначить ответственное лицо за организацию обработки персональных данных внутри компании.
- Определить правила доступа к персональным данным, которые обрабатываются в информационных системах. Также следует обеспечить учет всех действий с ПДн — кто, когда и какие данные просматривал или изменял.
- Применять технические и организационные меры, обеспечивающие защиту персональных данных в соответствии с уровнями защищенности, установленными Правительством РФ.
Все эти шаги должны быть задокументированы и реализованы до начала обработки персональных данных сотрудников, клиентов или учеников.
Эти меры дополняют стандартный набор по статьям 18.1 и 19 ФЗ №152-ФЗ, который указывается в уведомлении в Роскомнадзор.
2.7.3 Средства обеспечения безопасности
Рекомендуемый вариант для заполнения:
Используются программные средства защиты:
– антивирусное ПО (Kaspersky / Dr.Web / встроенное ПО);
– паролирование доступа к компьютерам и облачным хранилищам;
– регулярное обновление ПО и операционных систем.
2.8 Использование шифровальных (криптографических) средств
Выбираем: не используются. Это корректно, если вы не применяете сертифицированные ФСТЭК/ФСБ-средства.
2.9 Дата начала обработки персональных данных
Вводим дату начала своей деятельности как ИП, СЗГ или физлица, оказывающего услуги. Это может быть дата регистрации ИП или момент вступления в силу закона (например, 01.09.2022), если до этого вы ПД не обрабатывал официально.
2.10 Срок или условие прекращения обработки ПД
Выбираем «Условие окончания» и ниже укажите «Обработка прекращается при наступлении одного из условий: достижение цели обработки, отзыв согласия или прекращение деятельности оператора персональных данных».
Обратите внимание!
Сроки обработки должны быть адекватны цели и соответствовать законодательным требованиям.
Например, если вы оказываете разовую услугу в течение месяца, то персональные данные, собранные исключительно для её оказания, следует удалить после выполнения обязательств или по отзыву согласия.
Однако, если данные используются для составления актов, договоров, закрывающих документов или бухгалтерской отчётности — они могут храниться до 4–5 лет, в соответствии с требованиями налогового и бухгалтерского законодательства.
По достижении цели обработки либо истечении обязательного срока хранения, данные должны быть уничтожены или обезличены. Это требование статьи 21 ФЗ-152.(ст. 21 152-ФЗ).
2.11 Трансграничная передача ПД
Если вы не используете зарубежные сервисы (например, MailChimp, Google Forms, Notion, зарубежные CRM или зарубежные рекламные кабинеты с передачей данных), рекомендуем выбрать опцию: «не осуществляется».
Если вы используете даже частично сервисы, технически расположенные за пределами РФ (например, Google Таблицы, Notion, Zoom, BotHelp и т.п.), Роскомнадзор трактует это как трансграничную передачу персональных данных.
В этом случае обязательно указывайте трансграничную передачу и отмечайте соответствующую категорию субъектов: «Субъект персональных данных, предоставивший согласие на трансграничную передачу».
2.11.1 Хранение данных (ЦОД).
Если вы используете российские онлайн-сервисы (например, Яндекс.Формы, Яндекс.Метрика, Яндекс.Облако, GetCourse и другие), то обработка и хранение персональных данных, скорее всего, осуществляется на стороне российских центров обработки данных (ЦОД).
2.11.2 Собственный ЦОД
Выбираем: нет (т.к. вы используете стороннее облако)
Варианты ЦОД
1. В блоге GetCourse вы можете найти данные о серверах и эту информацию внести подразделе «Сведения о местонахождении базы данных».Дата-центр GetCourse находится по адресу г. Санкт-Петербург, ул. Цветочная, д. 19.
2. Яндекс как оператор ЦОД, если вы работаете с его продуктами.
В поле «ЦОД» добавьте по очереди следующие 4 центра хранения Яндекс.Облака (они официально зарегистрированы и соответствуют требованиям 152-ФЗ):
- Владимирская область — г. Владимир, мкр. Энергетик, ул. Поисковая 1 к. 2;
- Рязанская область — г. Сасово, ул. Пушкина 21;
- Калужская область — г. Калуга, 1-й Автомобильный пр-д 8;
- Московская область — г. Мытищи, ул. Силикатная 19.
Совет. Юридические адреса ЦОД (подраздел «Сведения об организации, ответственной за хранение данных») для Яндекса укажите в самом конце, чтобы система автозаполнила его при добавлении — это ускорит внесение информации.
2.11 Сведения об организации, ответственной за хранение данных
Организация, ответственная за хранение данных
- Общество с ограниченной ответственностью «Яндекс.Облако»
- Юридический адрес: 119021, г. Москва, ул. Льва Толстого, д. 16 пом. 528
ОГРН 1187746678580 ИНН 7704458262
Обратите внимание!
Если вы храните персональные данные на собственном компьютере или ноутбуке, его тоже нужно указать как ЦОД с адресом физического размещения устройства (например, домашний адрес).
2.12 Сведения о лицах, имеющих доступ к персональным данным
В блоке «Лица, имеющие доступ к персональным данным» указывается ваша школа, ИП или вы сами (если СЗГ или физлицо) — то есть оператор, у которого и так есть законное основание на обработку.
Пример заполнения для ИП:
- ФИО: Иванов Иван Иванович
- Основание доступа: Оператор персональных данных — индивидуальный предприниматель.
Пример для ООО / школы:
- Наименование: ООО "Школа Онлайн+"
- Основание доступа: Оператор персональных данных — юридическое лицо.
Пример для самозанятого:
- ФИО: Петрова Елена Сергеевна
- Основание доступа: Оператор персональных данных — самозанятое физическое лицо, оказывающее услуги.
Обратите внимание!
- Если у вас есть сотрудники, и вы оформлены как ИП или ЮЛ, то можно дополнительно указать должности, у которых есть доступ: менеджер по работе с клиентами, методист, ассистент курса. И обязательно укажите ссылку на трудовой/гражданско-правовой договор. Это помогает показать, что у данных есть ответственное лицо, и доступ строго ограничен.
- Если доступ есть у подрядчиков (например, таргетолог, менеджер по трафику, аналитик), они обязательно должны быть оформлены как обработчики по 152-ФЗ с договором поручения обработки ПДн. При этом договор должен содержать чёткие инструкции по защите ПДн, порядок доступа, меры безопасности и ответственность подрядчика за нарушения. Это усиливает юридическую защиту оператора при проверках.
- Если доступ есть только у вас (что чаще всего и бывает), достаточно указать только себя или своё юрлицо.
2.13 Сведения об обеспечении безопасности персональных данных
Здесь нужно указать меры, который вы применяете для соблюдения требований ФЗ № 152-ФЗ «О персональных данных» и Постановления Правительства РФ № 1119 от 01.11.2012 г.
Обязательные меры:
- Обеспечена сохранность носителей персональных данных (таблицы, почта, облачные хранилища).
- Используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Если у вас есть сотрудники (ИП или ЮЛ с наёмными работниками), дополнительно укажите:
- Утвержден руководителем оператора документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
- Если вы работаете один (без сотрудников), можно использовать только первый блок (обязательные меры). Если у вас есть команда, добавьте второй блок.
2.14 Указываем исполнителя
На этом этапе нужно внести данные о человеке, который заполняет форму уведомления в Роскомнадзор. Это не обязательно должен быть сам оператор или ответственный за обработку ПДн — можно указать любое лицо, фактически оформляющее уведомление.
Важно! Если вы подаёте уведомление в электронном виде с помощью ЭЦП, обязательно указывайте того, на кого оформлена электронная подпись.
2.15 Финал
После того как вы заполнили все поля формы:
- Поставьте галочки, подтверждающие, что вы ознакомлены с порядком подачи уведомления в электронном виде и согласны на передачу данных через интернет.
- Нажмите кнопку «Подписать и отправить электронное уведомление».
Не забудьте! Сохраните номер (код) уведомления и ключ. Они понадобятся вам позже для проверки статуса в системе Роскомнадзора.
3. Что дальше?
После отправки уведомления Роскомнадзор рассматривает его в течение 30 календарных дней. По завершении проверки ваша организация будет включена в реестр операторов персональных данных.
Проверить статус заявки Вы можете отследить статус рассмотрения уведомления по этой ссылке, указав номер и код, полученные при отправке формы.
Обратите внимание!
С 30 мая 2025 года вступили в силу новые штрафы. Закон 420-ФЗ усилил ответственность операторов персональных данных.
Вот за что онлайн-школы могут быть оштрафованы:
❌ Утечка данных без уведомления Роскомнадзора — 1–3 млн.руб.
❌ Незаконная передача ПД (базы от 1 тыс. человек) — 3–5 млн.руб. ❌ Нарушение в обработке спецкатегорий ПД — 10–15 млн.руб. ❌ Несвоевременное или неполное уведомление РКН — 100–300 тыс. руб.
Разберем пример
Сотрудник скачал список учеников из CRM на домашний компьютер = утечка.
Вы обязаны уведомить Роскомнадзор об инциденте в течение 48 часов. Не уведомили — можете попасть под уголовное дело (до 10 лет лишения свободы и штраф от 1 до 3 млн рублей).
Итог
Персональные данные — это теперь не просто строки в анкете. За их безопасность теперь отвечаете вы, и проверять это будут регулярно.
📌 Статья обновлена с учётом разъяснений Роскомнадзора от 27.08.2025.
📌 Последние изменения в КоАП РФ вступили в силу 30.05.2025.
За 7+ лет в маркетинге я увидела десятки кейсов, когда игнор юридических тонкостей стоил бизнесу и денег, и нервов. Поэтому сейчас моя задача — упростить вам путь и показать, как всё оформить правильно и спокойно.
Если вы не хотите разбираться во всём этом в одиночку — приходите на бесплатную консультацию. Помогу адаптироваться под требования закона, объясню, какие шаги важны именно в вашем случае.
Отзывы и результаты моих клиентов можно посмотреть в моём Telegram-канале по хэштегу #кейсыиотзывы.
Поделитесь статьёй с коллегами — это очень важно.