04.09.2025 15:45
Atolstikov 27 5700 Источник

Периодически мне задают следующий вопрос - "Наша компания не имеет базы данный по клиентам, не ведет кадровый учет и вообще не собирает, не хранит и не обрабатывает ПДн. Если клиент прислал нам электронное письмо на корпоративную почту и подписался (ФИО, телефон), является ли это обоснованием считать нас оператором ПДн и обязывает ли выполнять требования 152-ФЗ?"

Короткий ответ: да, ваша компания становится оператором ПДн уже в момент, когда вы настроили корпоративную почту и получили/прочитали/сохранили письмо, содержащее ФИО и телефон отправителя. Это уже «обработка» ПДн (запись, хранение, использование, удаление и т. д.), а вы — лицо, организующее обработку и определяющее её цели и средства (деловая переписка через корпоративный e-mail). Значит, на вас распространяются требования 152-ФЗ.

Разберем на примерах

Сценарий 1: Клиент сам написал на общий e-mail, указав ФИО и телефон.

На корпоративную почту компании поступило письмо от потенциального клиента. В тексте или подписи он указал свои персональные данные – например, полное имя и номер телефона – чтобы компания могла с ним связаться. Компания заранее не запрашивала эти сведения и специальных форм сбора не имеет.

В такой ситуации организация становится оператором персональных данных. Закон определяет оператором любого, кто организует обработку ПДн и определяет цели и средства этой обработки (ст.3 152-ФЗ). Несмотря на отсутствие формального “реестра клиентов”, факт владения письмом с данными (имя, телефон клиента) означает, что компания получила доступ к ПДн, а значит это делает вас оператором, пусть и небольшого объёма данных. Сам факт получения и сохранения письма на почтовом сервере – уже обработка (сбор и хранение ПДн). Когда вы читаете письмо и извлекаете из него информацию – это тоже использование ПДн. Если вы сохраните контакт в адресную книгу, перешлёте коллегам, ответите клиенту по e-mail или позвоните ему – все эти операции также считаются обработкой. Даже решив удалить письмо, вы совершаете действие уничтожения данных, что формально является одной из форм обработки.

По общему правилу обработка ПДн допускается либо с согласия субъекта, либо при наличии иной законной основы (ст.6 152-ФЗ). В данном сценарии подходящей основой без получения согласия является необходимость заключения договора по инициативе субъекта. Закон прямо разрешает обработку, необходимую для исполнения договора, стороной которого является субъект, либо для заключения договора по инициативе субъекта. Здесь клиент сам обратился к вам – то есть инициировал потенциальное заключение сделки/договора. Например, он хочет получить предложение или консультацию, что может предшествовать договору на оказание услуг. Следовательно, обработка его имени и контактов для коммуникации законна на основании п.5 ч.1 ст.6 152-ФЗ. Отдельное письменное согласие клиента в такой ситуации не требуется, поскольку его волеизъявление (обращение) уже подразумевает согласие на использование этих данных для ответа в его интересе. Это соответствует принципу, что субъект сам принимает решение предоставить свои данные. Важно, однако, не выходить за предел цели – использовать контактные данные исключительно для ответа клиенту и возможного заключения с ним договора. Если вы решите потом применять его телефон для рассылки рекламы или передадите его третьим лицам, основание “для договора” уже не покроет такие действия – потребуется отдельное согласие.

Сценарий 2: Пришло резюме на корпоративную почту (соискатель отправил свои данные)

Компания получила на e-mail письмо с вложенным резюме или текстом от кандидата на работу. Например, соискатель узнал о вакансии или сам инициировал запрос о найме и направил своё CV. В резюме содержатся персональные данные: ФИО, контактные данные, дата рождения, информация об образовании, опыте работы и пр. – т.е. целый набор ПДн. Компания никак специально не собирала эти сведения – они поступили напрямую от субъекта (соискателя) по электронной почте.

Как и в сценарии 1, организация, принимающая резюме, становится оператором персональных данных, поскольку начинает владеть и использовать информацию, относящуюся к физлицу. Наличие даже одного резюме в корпоративной почте подпадает под надзор. Все действия с таким письмом (просмотр резюме, сохранение файла, пересылка руководителю, распечатка, ответ кандидату и т.д.) – это операции обработки (сбор, хранение, использование, распространение и т.п.) в смысле закона. Поэтому обращение с резюме регулируется 152-ФЗ так же, как и работа с большой базой соискателей.

Резюме обычно направляется для участия в конкурсе на должность, т.е. для заключения трудового договора. Это совпадает с основанием, указанным в п.5 ч.1 ст.6: обработка необходима для заключения договора по инициативе субъекта. Трудовой договор – это договор, а кандидат сам проявил инициативу, выслал данные о себе, чтобы заключить его в перспективе. Следовательно, закон позволяет обработку резюме без отдельного согласия соискателя, поскольку она производится в его интересах – для потенциального трудоустройства. Дополнительно Трудовой кодекс (ст.86–90) требует соблюдения конфиденциальности персональных данных работников и соискателей, но не обязывает получать согласие, если данные получены от самого соискателя. Таким образом, чтение и хранение резюме, приглашение кандидата на интервью – правомерны в рамках подготовки к заключению трудового договора. Однако важный нюанс: нужно убедиться, что резюме действительно прислано самим субъектом персональных данных, т.е. этим соискателем. Роскомнадзор ещё в 2012 году разъяснил: в случае получения резюме по e-mail или факсу работодателю следует дополнительно подтвердить факт, что резюме направлено самим соискателем. Например, перезвонить или ответить по тому же e-mail и удостовериться, что человек намеренно откликнулся, либо пригласить на личную встречу. Это связано с риском, что кто-то иной мог отправить чужие данные без согласия. Если такие мероприятия не проводились, резюме подлежит уничтожению в день поступления.

Резюме обычно содержит много личной информации, в т.ч. потенциально “чувствительной” (год рождения – косвенно возраст, семейное положение, фото – биометрия, если по нему можно идентифицировать лицо, и т.д.). Следовательно, обращаться с такими письмами надо особенно осторожно:

  • Доступ к резюме должны иметь только сотрудники, вовлечённые в найм (HR-менеджер, директор). Пересылать резюме внутри компании можно, но только по необходимости и по защищённым каналам. Желательно, чтобы пересылка не выходила за пределы корпоративного домена.

  • Нельзя отправлять чужие резюме наружу без согласия. Например, запросить рекомендации можно, но не пересылая всё резюме третьим лицам.

  • Нужно обеспечить хранение резюме в безопасном месте. Если вы распечатали его – храните в закрытом шкафу, если оставили в почте – поместите в отдельную папку.

  • Удаление: Если кандидату отказали или он сам отказался, нет смысла долго хранить его данные. Закон (ст.21) требует уничтожить ПДн не позднее 30 дней после достижения цели обработки. Цель – подбор на вакансию – отпала, значит удалите резюме в течение месяца (или сразу, как решили не нанимать). Это обезопасит от утечек и претензий. Если хотите оставить на будущее – запросите у соискателя разрешение (лучше письменно).

Другой вариант, когда работодатели получают резюме от рекрутинговых агентств или с работных сайтов. Там возникают вопросы “непрямого сбора” – когда данные пришли не от самого субъекта. Если, например, агентство прислало вам резюме человека без его прямого обращения к вам, формально действует ст.18 ч.3: вы обязаны уведомить соискателя о получении его ПДн от третьего лица с указанием источника, целей и пр., если только не применяется одно из исключений. Исключения перечислены в ч.4 ст.18 – среди них, например, ситуация, когда субъект сам был информирован тем, кто передал данные. В контексте рекрутинга обычно агентство получает согласие кандидата на передачу резюме работодателям, и этого достаточно. Но если агентство – просто знакомый, не оформлявший ничего, ответственность за информирование может лечь на вас. В спорных случаях лучше самому связаться с кандидатом и уточнить, не против ли он рассмотрения в вашей компании – заодно выполните требование о подтверждении, что резюме от него.

Сценарий 3: Получено “холодное” письмо с персональными данными, но компания их не использует

Представим, что на корпоративную почту пришло нежданное письмо, содержащие чьи-то персональные данные. Например, это может быть коммерческое предложение от частного консультанта, который указал о себе ФИО и телефон; либо письмо от незнакомого человека с просьбой о сотрудничестве, где он оставил свои контакты; либо даже спам-рассылка, где в подписи есть имя менеджера и его мобильный. Компания никак не собирала эти данные целенаправленно и не планирует их применять в своей деятельности (не отвечает, не сохраняет в базу, просто игнорирует). По сути, информация вам не нужна.

Дело в том, что определение оператора не зависит от того, нужны ли вам данные, а зависит от самого факта их обработки. Пока письмо лежит у вас в почте, вы храните персональные данные и, следовательно, выступаете их оператором. Даже если вы сразу решили “нам это не пригодится” и ничего не сделали – само бездействие не освобождает от статуса оператора. Закон не содержит оговорки “оператор – это только тот, кто целенаправленнособирает данные”. Поэтому, получив персональную информацию в свой ИТ-сервис, вы приобрели юридические обязанности по её защите. Однако есть нюанс: оператор – это тот, кто определяет цель и средства обработки. Если вы заведомо решили никак не использовать полученные ПДн, можно сказать, что у вас нет цели обработки. Можно ли тогда считать, что вы не оператор? В теории можно спорить, что организация не осуществляла действий и никак не вовлекла данные в деятельность. Но такая позиция крайне рискованна. На практике, если при проверке обнаружат даже “ненужное” письмо с ПДн, регулятору всё равно – вы обязаны были либо обрабатывать его по правилам, либо удалить. Поэтому, если компания не собирается использовать полученную информацию, оптимальное действие – незамедлительно её удалить. Например, пришёл e-mail “Здравствуйте, я предлагаю вам услуги дизайнера, мои работы во вложении, мои ФИО, телефон…”. Вы понимаете, что услуги не нужны. Правильнее сразу удалить письмо (и вложения) полностью, не сохраняя персональную информацию. Тогда ваша обработка прекратится практически сразу после сбора. Это соответствует требованию закона уничтожать ПДн при утрате необходимости. Причём лучше удалить так, чтобы не оставалось копий (очистить “Удалённые” в почте). Если вы поступили таким образом, то для целей Роскомнадзора формально вы выполнили закон: собрали – и тут же уничтожили. На практике никто не проверяет содержание уже удалённых писем. Поэтому можно считать, что при немедленном удалении риски минимальны. Даже уведомлять субъекта о том, что “мы удалили ваши данные”, не требуется – закон обязывает уведомлять о получении от третьего лица, но в нашем случае письмо пришло напрямую от субъекта, или же мы не намерены ничего с ним делать (к тому же уведомление нужно, когда вы планируете хранить и использовать данные; если нет – это избыточно). Иное дело, если письмо с данными пришло не от самого субъекта. Например, вам прислали список контактов, кто-то поделился базой – и вы решили её не использовать. Тут возникает обязанность уведомить тех людей, чьи данные передали, если вы не уничтожите эти данные. Но мы рассматриваем случай, когда вы ничего не делаете, то есть по сути должны убрать лишние сведения.

Общие обязанности и рекомендации для малого/среднего бизнеса

Независимо от конкретного сценария, если организация хоть как-то обрабатывает персональные данные, ей необходимо соблюдать ряд базовых требований 152-ФЗ. Ниже перечислены минимальные обязанности оператора ПДн и советы по их выполнению, актуальные для малого и среднего бизнеса, у которого основным каналом получения данных является электронная почта.

  • Назначить ответственного за обработку ПДн. Это может быть директор лично или сотрудник (приказом) – он будет контролировать, как соблюдается закон в компании.

  • Принять и опубликовать Политику обработки ПДн. Даже если вы обрабатываете данные только в переписке, закон требует иметь документ, описывающий цели, меры защиты, права субъектов и проч. (п.2 ч.1 ст.18.1 152-ФЗ). Политику нужно выложить в открытом доступе (например, на сайте или по запросу).

  • Обеспечить конфиденциальность и безопасность данных. Доступ к рабочей почте должен быть только у уполномоченных сотрудников, нельзя выкладывать личные данные клиента в открытый доступ без его согласия и т.д. Следует использовать пароли, антивирус, при необходимости шифрование – в общем, технические и организационные меры по ст.19 Закона.

  • Обеспечить локализацию почты в РФ. Проверьте, где физически расположены почтовые ящики/архивы/резервные копии.

  • Выполнить права субъекта, если обратится. Клиент имеет право запросить, какие данные о нём хранятся, потребовать их исправить или удалить. Вы обязаны будете ответить в 30 дней и выполнить законное требование (ст.14, 15 152-ФЗ). В нашем случае, скорее всего, таких запросов не последует, но надо знать порядок.

Мы рассмотрели, что даже одно письмо с ФИО и телефоном накладывает на компанию статус оператора со всеми обязанностями. Выполнение базовых шагов – уведомление Роскомнадзора, принятие политики, ограничение доступа к почте, удаление ненужных сведений – сложно, но по силам любому предпринимателю. Ну, а если не смогли разобраться, то можете обратиться ко мне за личной консультацией. Так же много доступной информации в моем телеграмм-канале.

Комментарии (27)


  1. Danzino
    04.09.2025 16:02
    #28796958

    Очень интересно, не знал этого. Спасибо за статью


  1. Uint32
    04.09.2025 16:02
    #28796986

    Интересно, а ведь и сохранение в контактах телефона Ивана Ивановича Иванова с его телефонным номером тогда тоже получается обработка ПД ...


    1. Efrem3112
      04.09.2025 16:02
      #28797012

      А посмотреть в лицо и запомнить - сбор биометрии...


    1. YegorP
      04.09.2025 16:02
      #28797698

      Когда кассир Пятёрочки даёт вам чек со своими ФИО, тоже не забывайте у него разрешение на обработку спрашивать. И в реестре регайтесь, ага.


      1. Atolstikov Автор
        04.09.2025 16:02
        #28798148

        Кассир не «раскрывает» свои персональные данные по доброй воле.ФИО в чеке — это требование законодательства (ст. 4.7 54-ФЗ «О применении ККТ»). Значит, основание для обработки есть в законе. Согласие здесь не нужно. Оператор — работодатель, а не покупатель.Персональные данные кассира обрабатывает его работодатель («Пятёрочка»), чтобы исполнять закон о кассовой дисциплине. Покупатель, получая чек, не становится оператором ПДн и не обязан выполнять 152-ФЗ.

        Или это была ирония и не нужно было мне так серьезно отвечать? :)


        1. YegorP
          04.09.2025 16:02
          #28801318

          Я уже не знаю. Вы ведь на серьёзных щах рекомендуете сразу удалять холодное письмо потому что его могут сочесть ПД. Может, тогда и классический почтовый ящик в подъезде побыстрее от бумажного спама очищать? Вдруг там чьи-то ФИО?


  1. d-stream
    04.09.2025 16:02
    #28797014

    То есть завожу я левый почтовый ящик, отправляю жертве письмо с подписью

    "Ваш любимый Василий Пупкин, тел <прооизвольный номер>

    И строчу жалобу -> компанию наказывают? Даже за фейк, похожий на ПД?


    1. Atolstikov Автор
      04.09.2025 16:02
      #28797046

      Жалоба ≠ автоматический штраф.
      Роскомнадзор сначала проверяет:

      • чьи это данные,

      • есть ли цель обработки,

      • уничтожены ли они,

      • соблюдены ли требования (политика, ответственный, уведомление).


      1. Rorg
        04.09.2025 16:02
        #28797212

        Ну то есть "слегка" кошмарит ИП, даже если ему ничьи ПД вообще не нужны.


        1. itGuevara
          04.09.2025 16:02
          #28799952

          Чтобы не "слегка": укажите в письме жертве национальность или диагноз (или иную спец-категорию).


  1. Rorg
    04.09.2025 16:02
    #28797222

    Правильно ли я понял из статьи, что любому бизнесу стоит зарегистрироваться оператором ПД "на всякий пожарный"?


    1. ruomserg
      04.09.2025 16:02
      #28797302

      Из статьи вы должны были правильно понять что надо занести денежку конторе по ИБ которая вам поможет встать в правильную позу и будет подавать вазелин когда вас будут иметь.

      На самом деле - с учетом опыта взаимоотношений бизнеса и государства в этой стране - правильная политика (пока вы не выросли в достаточной степени чтобы без труда оплачивать юристов которые будут отбивать наезды проверяющих - или просто закладывать штраф/взятку в цену своих услуг) - уходить в абсолютный отказ. Ваша позиция простая - никаких персональных данных не собираем, не храним и не обрабатываем. Орган сам по себе к вам не придет (какой смысл ему вас искать, когда полно идиотов сами себя в реестре зарегистрировали?!). А даже если придет - то это не уголовное дело, "маски-шоу" и изъятие техники. Они будут писать письма и требровать документы. Ваш ответ: нет, не был, не знаю, не привлекался. Вот почтовый ящик на сайте вашей компании указан! Он никогда не работал, пароля ни у кого нет. Покажите ваше кадровое делопроизводство ? Не знаю о чем вы говорите, бумаги съела кошка, испортил ливень, а потом они еще и сгорели. Можете на заднем дворе у помойки пепел разворошить... Покажите договора с клиентами ? Знать не знаю, может где и были - но сейчас нету. Покажите что у вас в 1С - верите или нет, пароль забыли - сами второй год мучаемся зайти не можем... В худшем случае заплатите штраф за непредоставление документов (а то и его в суде отобъете если правильно отпишетесь) - и от вас отстанут.

      А как только вы зарегистрируетесь - вас можно начинать доить. Сначала с вас попросят все политики и реестр того где и что вы храните. А потом каждый раз будет находиться закон/постановление/ведомственная инструкция - которая вот конкретно у вас не выполнена. И каждый раз штраф, время на устранение, оплата конторе за ИБ - устранение, и ждите новую проверку. С учетом дефицита бюджета - штрафов надо собрать много!...


      1. evstropov_dv
        04.09.2025 16:02
        #28798010

        Так ведь уже всех закошмарили и любой бизнес это оператор даже если есть один сотрудник, даже если это ты сам. Далее отправили всех регаться на сайт «конторы солнышек», что он аж упал на 2 дня.

        Это я к вашей строчке

        полно идиотов сами себя в реестре зарегистрировали

        Получаеться скоро все там будем… Только физиков с контактной книгой не хватает


      1. Atolstikov Автор
        04.09.2025 16:02
        #28798154

        Закон же не обязывает вас обращаться в ИБ контору. Там четко разрешено все делать самостоятельно.


        1. randomsimplenumber
          04.09.2025 16:02
          #28798312

          самостоятельно вы не сделаете правильно.


          1. strvv
            04.09.2025 16:02
            #28798490

            Да? Кто мешает? Или что - лень или авось?


    1. YegorP
      04.09.2025 16:02
      #28797692

      Там исключения есть для обработки без средств автоматизации. Разъяснения, что средства автоматизации ≠ компьютер тоже есть. В комментах этого поста ссылки давал https://habr.com/ru/articles/920570/


    1. Atolstikov Автор
      04.09.2025 16:02
      #28798152

      Если собираете, храните или обрабатываете ПДн, то надо.


      1. Rorg
        04.09.2025 16:02
        #28799524

        Учитывая информацию, приведенную в статье, могли бы вы привести пару примеров бизнеса, которому не надо регистрироваться как оператору ПД?


    1. KoHbOgoHb
      04.09.2025 16:02
      #28798438

      Основное изменение в рамках обработки персональных данных, когда юридическое лицо становится оператором, произошло 1 сентября 2022 года. Это от 14.07.2022 № 266-ФЗ. Могу ошибаться, но как раз за эти 3 года количество операторов увеличилось с ~ 1 миллиона до 2.4 миллионов. Не согласен с автором статьи, потому что прием на работу с 1.09.2022 уже подразумевает обработку ПД.

      Интересный теоретический вопрос, а как определить уровень защищенности для почты, если кто-то скинет файл с ПД более 100к человек, когда УЗ рассматривали для менее 100к человек? Я не знаю, насколько сейчас обязаловка делать приказ об определении ИСПДн и акты УЗ ИСПДн (может что-то уже необязательно, но сделано все равно на всякий). И туда же, если мы указали как конкретизированную цель обработки, в соответствии с приказом Роскомнадзора № 179 от 28.10.2022 , требуется подтверждение уничтожения, а именно составления акта об уничтожении ПД. Так же интересно, как в таком случае идет ознакомление с юридическими последствиями отказа от предоставления персональных данных, с чем обязаны ознакомить, в случае отказа от подписания согласия. Но опять же, практика подписания через ЭЦП...

      Из самых странных вещей наверное это "возможная утечка информации", что РКН все равно о таких событиях надо уведомлять, и как это мониторить в малых-средних компаниях - непонятно. Т.е. можно просто закинуть информацию, что произошел слив, и компания обязана на это ответить.

      Я через госуслуги подавал запрос по практике применения законодательства, на что регулятор ответил дословно с письма "

      Согласно пункту 12.4 Типового регламента внутренней организации федеральных органов исполнительной власти, утвержденного постановлением Правительства Российской Федерации от 28.07.2005 № 452, разъяснение законодательства Российской Федерации, практики его применения, а также толкование норм, терминов и понятий осуществляются федеральными органами исполнительной власти по обращениям граждан и организаций в случаях, если на них возложена соответствующая обязанность или если это необходимо для обоснования решения, принятого по обращению гражданина.

      Учитывая, что указанные в Вашем обращении вопросы не относятся к контрольно-надзорным полномочиям Управления в области персональных данных, предоставить разъяснения по существу приведенных доводов не представляется возможным. "


    1. strvv
      04.09.2025 16:02
      #28798484

      Вообще-то, для исполнения 152-фз и кучи другого любое юрлицо, включая ИПБЮЛ - обрабатывают ПДн, включая свои собственные.
      Поэтому взять недельку, посмотреть что надо по 152фз, 1119пп, 21приказу фстэк, оформить как обработку без СВТ, и упорядочить свои документы и знать закон, ибо не знание - не освобождает от ответственности.
      Это не сложно, просто надо взять и сделать. Потом уже не бояться за штрафы в этой части.
      Если нет возможности сделать - куча "помогальщиков" есть на рынке.


  1. Looka
    04.09.2025 16:02
    #28797884

    А если клиент/кандидат прислал письмо на личную почту сотрудника компании?
    Рассмотрите мое резюме или предложение.
    Как устанавливается связь почты компании и личной почты?
    По домену?

    Сотрудник распечатал КП или СV и отнес директору?
    Или переслал директору на личную почту ?

    Но в целом согласен с комментарием выше.
    Топик, к сожалению больше рекламный....

    Вот отправлю письмо топикастеру, он физик ?
    С одной стороны реквизитов компании нет, а должность в профиле есть?