Закон и порядок — почему клубам России нужно стать операторами персональных данных

Для работы в России клубам нужно соблюдать законы, а иначе их владельцев ждут неприятные встречи с Роскомнадзором и огромные штрафы. В этой статье мы объясним смысл регистрации клубов в реестре Персональных Данных и покажем подробную инструкцию процесса. А заодно послушаем мнения юристов по этому поводу.

Зачем нужен реестр операторов персональных данных

Если вы решили открыть свой клуб в России, то для этого нужен будет не только бюджет, продуманный план и щепотка удачи. Еще потребуется соблюдать ряд законов, которые помогут избежать огромного штрафа и столкновений с силами Роскомнадзора. Особенно важное место в нашем случае занимает раздел про операторов персональных данных, который напрямую относится к клубам.

Что же это такое?

Организации, которые хотят обрабатывать персональные данные субъектов в России, обязаны уведомлять об этом РКН — и их включают в нужный реестр. Сразу стоит обратить внимание, что под определение «Персональных Данных» в законе 152-Ф3 попадает «любая информация», которая прямо или косвенно относится к тому самому субъекту. Это открывает РКН безграничное поле возможностей для жонглирования данным термином.

Если переводить все это на простой человеческий язык, то под «оператором» в нашем случае подразумевают компьютерный клуб, который собирает, хранит и иным образом обрабатывает личные данные о своих посетителях и сотрудниках («субъектах»). Оформлено ли ваше заведение через ООО или ИП — для Роскомнадзора не принципиально, ведь данные игроков и админов все равно переходят «из рук в руки». 

При отсутствии уведомления РКН о подобных операциях компьютерный клуб в любом случае будет ждать внушительный штраф. Стоит лишь увидеть суммы «наказания» в соседнем разделе — желание игнорировать закон сразу отпадет.

Соблюдение всех условий закона операторов ПД может стать настоящей «головной болью» для владельцев клубов. Не говоря о том, что им нужно будет разбираться в отличиях разных категорий тех же данных. Это может быть очень сложный, муторный и долгий процесс.

К счастью, мы уже разобрались со всеми этими вопросами за вас.

Что же из себя представляют те самые «Персональные данные»? В широком смысле — (почти) что угодно. Но все же у этого определения есть и более конкретные категории, которые позволяют слегка разобраться в безграничном море терминов.

Персональные данные обычно делятся на четыре основных раздела:

• «Общие» —  ФИО человека, его место регистрации, информация про образование, работу, семейное положение, номер телефона и электронную почту. 
• «Специальные» — Описание внешности, национальности и расы, истории о «терках с законом», как и детали предпочтений в разных сферах жизни. Начиная от религиозной с политической и заканчивая личной (или философской). Так что если вы на досуге ныряете с головой в работы Иммануила Канта, то это можно будет занести в данную категорию ПД. Текущий раздел раскрывает информацию о вашей личности, отмечая ее яркие черты. 
• «Биометрические» — «Медицинская карта» вашей физиологии. В список подобных данных входят отпечатки пальцев, группа крови, вес, рост, цвет глаз, анализ ДНК и даже фото с видео. Правда, в последнем случае речь идет лишь о материалах, которые позволяют установить личность человека, а не про все его облачное хранилище с фотками любимой жены. 

Формально почти любой бизнес должен проходить регистрацию в реестре операторов персональных данных, ведь он обычно собирает информацию о ФИО своих сотрудников и клиентов.

Подобная информация чаще всего обрабатывается лишь с предварительного согласия самого субъекта. Согласие (по определению Статьи 9. в 152-Ф3) субъект может дать в «любой позволяющей подтвердить факт его получения форме», но в сети есть разные образцы подобных заявлений (а дополнительные вопросы можно задать на сайте РКН). 

Операторы просто так не могут разглашать ПД субъектов третьим лицам, за исключением правоохранительных органов (согласно Федеральному закону). В случае клубов под третьими лицами могут подразумевать людей, которые не числятся в списке персонала. К примеру, условного тусовщика Васю, который постоянно зависает у PC, но администратором не работает.

С проверкой ПД при желании может «нагрянуть» и Федеральная служба по техническому и экспортному контролю (ФСТЭК), но у нее есть свои ограничения в этих задачах. Проще говоря, чаще всего по вопросам ПД «в дверь стучится» именно РКН. 

Кто-то может вспомнить про мораторий на плановые проверки бизнеса, который уже продлили в России до 2030 года. Он и правда остается в силе, но тут есть малоприятный «подвох». Во-первых, профилактические проверки никто не отменял. Во-вторых, с 2025 года больше не действует мораторий на проверки внеплановые.

Частота проверок операторов ПД возросла в прошлом году, так как в 2024-м в России из-за кибератак несколько раз происходила масштабная утечка личной информации пользователей разных бизнесов и ресурсов. Эти данные попали в открытый доступ, чем активно воспользовались мошенники, включая и знакомых всем «телефонных» хулиганов. 

Какие персональные данные собирает клуб

В случае компьютерных клубов персональные данные о посетителях обычно собирают администраторы, а информацию о жизни последних — сами владельцы. 

Чаще всего речь идет о той же самой категории «Общих» ПД, к примеру: 

• ФИО игрока и его паспортные данные для регистрации в клубе
• Электронную почту для рассылки уведомлений
• Номер телефона для связи
• Сведения о работе (для сотрудников)
• Банковские реквизиты 

Короче говоря, даже если вашему админу просто «упала на карту з/п», то персональные данные для этого уже были обработаны. Не существует (легального) варианта, в котором владелец клуба НЕ обрабатывает ПД.

Информацию о персональных данных пользователей обрабатывает и SmartShell. Но наша и «клубная» ответственность все равно остаются по разные стороны баррикад, ведь речь идет о двух юридических лицах (или ИП в случае некоторых клубов). Даже если клуб работает на SmartShell, а у посетителя уже есть профиль в системе, заведение все равно занимается собственной обработкой данных человека. К примеру, оно может подписать игрока на рассылку о своих акциях со скидками через SMS или электронную почту.

К тому же SmartShell уже давно официально состоит в реестре операторов ПД, так как мы не скрываемся от буквы закона по питерским подворотням! 

Некоторые авантюристы на основе предыдущих выводов все равно могут посчитать, что «правила — для слабаков», а требования РКН можно спокойно проигнорировать. Такие любители рисков рассуждают в стиле «авось пронесет» и «клубам вообще не надо мелькать в этом списке». 

Но владельцев не порадуют «гости в форме», ведь кара за нарушение закона может быть весьма брутальной. Известны случаи, когда у заведения просто массово изымали все оборудование «в назидание». Причем в подобном случае никто уже не разбирается с техническими и юридическими деталями. Игнорировал раз за разом требования властей? «Попрощайся» со своими модными PC до «выяснения обстоятельств», которое может и не наступить.  

Повторим для тех, кто «сидит в заднем ряду». Законы России недвусмысленно намекают, что стать частью реестра операторов ПД нашим любимым «домам для геймеров» все-таки необходимо (в соответствии с теми же требованиями 152-Ф3). Причем эту точку зрения поддерживаем как мы в SmartShell, так и профессиональные юристы, к которым мы обратились за пояснениями. 

Кутаев Владимир

Юрист в IT и онлайн-бизнесе

Для начала предлагаю вспомнить термины, которые используются у нас в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – «152-ФЗ»). В ст. 3 152-ФЗ указано следующее: «обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».

«Пользователи оставляют свои данные в инфраструктуре «SmartShell», и преимущественно именно правообладатель данного программного комплекса осуществляет обработку персональных данных. Однако, как мы видим из легального определения, обработка персональных данных предполагает любую форму их использования.

Владелец компьютерного клуба получает доступ к персональным данным в инфраструктуре «SmartShell», просматривает их и использует в своих предпринимательских целях. Сам по себе просмотр персональных данных подразумевает ознакомление с ними без изменения или иных активных операций над ними. И сам факт ознакомления с информацией предполагает определенный уровень взаимодействия с этими данными, что позволяет включить просмотр в понятие обработки». 

Одного этого уже достаточно для возникновения самостоятельного факта обработки данных. При этом, не будем забывать о том, что если владелец клуба каким-либо образом использует данные пользователей в самой системе «SmartShell» (например, выдает определенные права, восстанавливает пароль), то это также является обработкой персональных данных.

Вероятно, чисто в теории, можно было бы говорить о том, что владелец компьютерного клуба не осуществляет обработку персональных данных и ему не надо подавать уведомление в Роскомнадзор, но на практике это маловероятно. И думаю, также очевидно, что практически любой субъект предпринимательской деятельности обрабатывает самые различные персональные данные в самых разнообразных ситуациях, поэтому владелец клуба может выступать оператором и по другим основаниям.

Учитывая, что к защите персональных данных в России проявляется всё больше внимания, мне кажется, гораздо безопаснее подать уведомление в Роскомнадзор и снизить риски предъявления претензий по данному вопросу» — заключает Владимир, который ведет и свой Telegram-канал. 

Штрафы за нарушение закона

«Цена» за отсутствие уведомления будет для предпринимателей слишком уж высока. Это раньше в «золотые годы» можно было отделаться от беды легким штрафом в размере до 5000 рублей. Но уже с 30 мая 2025 года (на фоне поправок к закону № 420-ФЗ) любителям рисков, которые решили не подавать заявление в реестр, могут влепить финансовое наказание в размере до 300 000 рублей.

Если юридическое лицо или ИП будет и дальше игнорировать требования об уведомлении РКН, то сумма может взлететь и до новых высот.

Хранить и обрабатывать данные тоже рекомендуется в безопасности, так как после прошлогодних утечек штрафы за подобные просчеты могут доходить до сумм в размере 20 млн рублей (не говоря и про потенциальную уголовную ответственность). А если организация решить не сообщать про утечку «куда надо», то в потенциале ее может ждать и другой штраф — до 3 млн рублей (для юр.лиц и ИП). Или даже до 500 млн рублей в случае повторной утечки. Сбор ПД без согласия субъекта, кстати, тоже облагается штрафами (до 700 тысяч при первом нарушении у компаний).

Сильно сомневаемся, что кто-то хотел бы получить подобные «письма счастья» от РКН и остаться у разбитого корыта. Поэтому и не стоит закрывать глаза на требования закона к операторам персональных данных в России.

Команда SmartShell в список профессиональных юристов не входит, но мы все равно подготовили простую инструкцию для клубов, которая поможет их владельцам стать частью законодательного списка и избежать потенциальных проблем.

Как подать заявление в РКН

Пункт №1 — Не паникуйте

Процедура подачи соответствующего заявления в Роскомнадзор не потребует от вас каких-то невероятно хитрых действий, стальной нервной системы или степени бакалавра по высшей математике. 

Поэтому первым делом — выдохните. Подходите к заполнению данных ответственно, но спокойно. Кусать вас никто на самом сайте ведомства не будет, а начинать свое небольшое путешествие с реестром нужно именно с него.

Пункт №2 — Найдите нужный раздел сайта РКН

Для начала вам нужно будет зайти на сайт Роскомнадзора (вы не поверите, но это — https://rkn.gov.ru/). Его главная страница будет выглядеть следующим образом:

На крайней левой стороне главной страницы сайта вы увидите колонку «Персональные данные», где будет три подраздела:

• «Для граждан»
• «Для операторов персональных данных»
• «Часто задаваемые вопросы»

Вопросов у вас пока возникнуть не должно, поэтому смело переходим в раздел «Для операторов персональных данных». Здесь как раз и упоминают, что те самые операторы должны уведомлять о своей деятельности РКН. Так что мы не зря стараемся!

На следующей странице (в нижней части) будет расположен раздел «Электронные формы заявлений», где мы выбираем первый пункт — «Уведомление о намерении осуществлять обработку персональных данных».

В этом разделе вы увидите ту самую форму, которую нужно будет заполнить по пунктам (все очевидно, вспоминаем П1 — без паники). Это можно сделать в электронном и бумажном виде. В первом случае потребуется аккаунт организации (клуба) на «Госуслугах» или усиленная квалифицированная электронная подпись, для этого у вас должен быть установлен и настроен плагин «КриптоПро ЭЦП Browser plug-in».

Если вы хотите отправить заявление в печатном варианте по почте, то нужно просто заполнить форму и распечатать ее. Впрочем, если вы заполните форму в электронном виде, то отправлять в РКН бумажную копию уже не потребуется (наконец-то лайфхаки!).

Следом нажимаете на ссылку «Перейти к форме».

Электронная и бумажная формы похожи друг на друга, поэтому путаницы возникнуть не должно. Сперва вам нужно будет заполнить общие данные о клубе — ИНН, адрес, электронную почту и тому подобное.

Следом потребуется отметить цели обработки ПД, выбрать правовое обоснование подобных действий, их перечень, категории субъектов (которых касается сбор ПД) и другие необходимые пункты анкеты. Придумывать самому ничего не придется, вам предоставят все варианты на выбор. В категорию субъектов анкеты, чьи ПД обрабатывает та или иная организация, входят посетители сайтов, клиенты, студенты и так далее. А в перечне действий, связанных с ПД, упоминаются «сбор», «запись», «систематизация», «хранение» и другие «родственные» пункты.

После заполнения анкету нужно отправить в РКН, а следом получить уведомление, что результаты дошли до адресата. Кстати, любые изменения в процессе обработки ПД тоже нужно вносить через специальную форму.

Пункт №3 — Готово, вы великолепны!

Если у вас получилось пройти все указанные шаги и подать заявление в реестр операторов персональных данных РКН, то — поздравляем! Отличная работа! Однако не стоит забывать, что для правильного выполнения ряда предыдущих шагов чрезвычайно важным будет и следующий ключевой пункт!

Пункт №4 — Воспользуйтесь помощью юристов

На этом пункте наши дружеские советы по теме почти подходят к концу. Дальнейшие вопросы о природе вашего сбора персональных данных и другие детали лучше уточнять у профессиональных юристов. 

Они наверняка подскажут вам самый разумный и эффективный ход для последующих действий, как и помогут с выбором необходимых пунктов анкеты. К примеру, можно обратиться за помощью в Telegram-канал BETOBELEGAL. 

Евгения Дашкевич

юрист BETOBELEGAL

Безусловная обязанность каждого юридического лица, индивидуального предпринимателя, а в определенных случаях и самозанятого, зарегистрироваться в качестве оператора, осуществляющего обработку персональных данных. Бытует мнение, что незарегистрированные компании не привлекают внимание контролирующего органа. Однако, это не так. У Роскомнадзора есть технологии, которые мониторят сайты и выявляют нарушителей.

Пункт №5 — Держите документы под рукой

Если вы прошли регистрацию в реестре операторов ПД, то вы и правда молодец! Но на этом бдительность лучше не снижать, ведь РКН еще может «заглянуть в гости» для проверки вашего заявления. 

В данном случае паника тоже не принесет ничего полезного, поэтому заранее подготовьтесь к такой истории с помощью пары простых действий. К примеру, соберите все необходимые для отчетности нормативные акты и держите их при себе. Подготовьте и сотрудника (или сотрудников), которые будут заниматься вопросами обработки персональных данных в вашем личном клубе. Лучше заранее придумать сформулированный специальным образом шаблон-ответ РКН, который будет составлен с помощью наших старых знакомых — профессиональных юристов!

Наталья Алешкова

Автор курса по ПД и владелец канала Юрист о персональных данных

Закон устанавливает требования по наличию локальных актов по обработке персональных данных у Операторов и наличию дополнительных документов, например, документа, утверждающего перечень работников, которые имеют доступ к персональным данным и соглашений с такими работниками о неразглашении конфиденциальной информации.

«При этом информация содержащаяся в локальных актах должна соответствовать отправленному уведомлению, в котором должна быть указана действительная информация. При наличии расхождений в уведомлении и в деятельности оператора, РКН может инициировать проверку» — заключает Наталья, которой можно задать дополнительные вопросы в ее TG-канале. 

Заключение

Надеемся, что наши пояснения про операторов персональных данных и законы РФ оказались для вас полезными, а инструкция помогла добраться до нужного раздела сайта РКН и снизила уровень стресса! Регистрируйтесь в реестре операторов ПД и открывайте ваши клубы, а мы в SmartShell продолжим рассказывать вам обо всех хитростях и деталях индустрии.