Гайд: Как работать с персональными данными клиентов предприятиям в сфере ветеринарии

Сейчас один из самых насущных правовых вопросов, который беспокоит всех – штрафы, которые Роскомнадзор с 30 мая 2025 года вправе накладывать за нарушения в сфере персональных данных.

И один из самых актуальных запросов к нам – что делать с уведомлением Роскомнадзор об обработке персональных данных. Краткий ответ – подавать.

Ниже мы изложили:

• • Общие сведения о регулировании сферы персональных данных
  • Краткая инструкция как подать уведомление в Роскомнадзор
  • Какие штрафы начинают действовать с 30 мая 2025 года

Общие сведения о регулировании сферы персональных данных

• Пункт 1 статьи 3 ФЗ РФ № 152-ФЗ “О персональных данных” даёт определение, что это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Другими словами, персональные данные – это любая информация, по которой можно определить конкретное физическое лицо. Например, в ветеринарном бизнесе это ФИО клиентов и их контактные данные, контрагентах, кадровые документы о сотрудниках. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – Закон) требует, чтобы оператор персональных данных обрабатывал такие данные только при чётко определённых целях и условиях. Обычно, в процессе своей деятельности ветклиника (или ветаптека, или зоомагазин) обрабатывает персональные данные следующих категорий лиц:

— кандидатов на замещение вакантных должностей;
— работников;
— подрядчиков (например, самозанятых);
— привлеченных лиц, с которыми заключены гражданско-правовые договоры;
— клиентов;
— представителей контрагентов;
— посетителей веб-сайта.

• На текущий момент для надлежащего соблюдения требований законодательства предприятием должны быть соблюдены следующие меры:

— Подано уведомление об обработке персональных данных (включении в реестр операторов персональных данных)
— Опубликована политика по обработке персональных данных (если есть веб-сайт)
— Принята политика по обработке персональных данных внутри компании (её обычно не публикуют, она регулирует часть работы с работниками)
— Организовано получение согласия на обработку персональных данных (если через вебсайт, то оно может быть опубликовано на сайте)
— Приняты меры по защите персональных данных и их безопасной обработке (информационная безопасность)
— Назначен ответственный за обработку и защиту персональных данных

• Обработка ПД допускается, если соблюдаются принципы закона и существует правовое основание: либо согласие субъекта на обработку, либо другая законная причина. Согласно статье 6 Закона, это обычно согласие клиента или необходимость исполнения договора (например, договора оказания услуг, трудового договора).

При этом, обрабатываемые данные должны строго соответствовать заявленным целям и не быть избыточными. Например, если клиника хранит только фамилию, имя, номер телефона и адрес владельца для записи и учёта, не стоит собирать лишние сведения о нем без необходимости. Оператор обязан разъяснить субъекту все важные моменты обработки, т.е. согласие должно быть конкретным, информированным, сознательным и однозначным.

• Обычно согласие оформляют в письменной или электронной форме. Например, если у вас есть веб-сайт, то рядом с каждой формой, которую можно заполнить и указать свои данные – необходимо обязательно поставить чек-бокс с текстом «Настоящим предоставляю своё согласие на обработку персональных данных в соответствии с Политикой по обработке данных». И только после установки «галочки» в чек-боксе можно отправить сообщение. Конечно, для этого должна быть опубликована Политика и текст самого согласия.
• Субъект вправе в любой момент отозвать своё согласие – после этого данные могут обрабатываться только при наличии других законных оснований (например, если данные нужны по закону).
• Важно также соблюдать правило конфиденциальности: лица, получившие доступ к данным, не должны передавать их третьим лицам без согласия субъекта, если иное не предусмотрено законом или согласием. Например, вы как пользователь нашего онлайн-сервиса «Ветменеджер» можете указать в согласии, что передаете ПД ООО «Ветменеджер» (ОГРН: 1222300034538; ИНН: 2311336166; КПП: 231101001; адрес (место нахождения): 350012, Краснодарский край, г. Краснодар, ул. Красных Партизан, д. 117, помещ. 511). Но сразу обратим внимание – мы не предоставляем услуги ЦОД!
• Оператор персональных данных (ветеринарная клиника, ветаптека, зоомагазин) несёт весь комплекс обязанностей по защите ПД. В частности, Закон обязывает назначить ответственного за организацию обработки (ответственного сотрудника) и утвердить внутренние регламенты и политику обработки. Оператор сам выбирает меры защиты, но они должны быть «необходимыми и достаточными», чтобы обеспечить безопасность полученных ПД. Закон прямо требует технических и организационных мер безопасности: это могут быть парольная защита, разграничение прав доступа, антивирусные системы, шифрование баз данных, резервное копирование, видеонаблюдение, обучение сотрудников и др.

Краткая инструкция как подать уведомление в Роскомнадзор

На самом деле это всего 4 этапа:

(1) Перейти сюда — https://pd.rkn.gov.ru/operators-registry/notification/form/
(2) Выбрать, как подавать и подписывать (на бумаге печатать и направлять по почте/подписывать ЭЦП/Госуслуги)
(3) Заполнить заявление:

Шаг № 1:

Заполните сведения об операторе (ООО или ИП), указав контактные данные. Особое внимание уделим полю «Регион обработки» — если у вас есть сайт, то необходимо поставить галочку «Все субъекты Российской Федерации», а если только точка продаж, то свой регион.

Шаг № 2:

Указать цели и заполнить поля.
Какие цели указывать и в отношении кого – вариативное решение для заявителя:

— Если есть работники, то «Ведение кадрового и бухгалтерского учета» для Работников и Родственников работников;
— Цель «Подготовка, заключение и исполнение гражданско-правовых договоров», перечисляя ниже какие данные Клиентов, которые вы собираете и добавляете в Ветменеджер;
— Цель «Подготовка, заключение и исполнение гражданско-правовых договоров», перечисляя ниже Контрагентов и Представителей контрагентов;
— Цель «Продвижение товаров, работ, услуг на рынке», указав ниже Посетителей сайта;

— Цель «Подбор персонала (соискателей) на вакантные должности оператора», указав ниже Соискателей.
— Если не находите подходящую цель – выбираете из выпадающего списка «Иное» и вписываете цель вручную.

Цели на самом деле можно объединить, если группа данных, подлежащих сбору одна и та же — здесь у каждого предприятия свой подход. Например, можно указать цель «Ведение кадрового и бухгалтерского учета» и включить туда Соискателей, не указывая цель «Подбор персонала (соискателей) на вакантные должности оператора». Или в цель «Подготовка, заключение и исполнение гражданско-правовых договоров» включить Посетителей сайта. И если есть иные цели обработки ПД в вашем предприятии – добавьте их.

Непосредственно данные, которые обрабатываете в рамках конкретной цели – указывайте исходя из бизнес-процессов в вашем предприятии. По общей практике ветеринарные клиники не собирают Специальные категории персональных данных и Биометрические персональные данные. Правовое основание обработки персональных данных – также для каждой цели разные. Но
однозначно следует выбирать для разных целей:

• (1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных и (2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (например, для «Ведение кадрового и бухгалтерского учета»);
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных (например, для «Подготовка, заключение и исполнение гражданско-правовых договоров»).

Способ обработки – можете выбирать также исходя из особенностей предприятия, но в части цели «Подготовка, заключение и исполнение гражданско-правовых договоров» в связи с тем, что вы используете в деятельности Ветменеджер — следует указывать так:

Шаг № 3:

Указать меры защиты и ответственного за обработку ПД.

Следует указать меры защиты, применимые у вас в предприятии, которые утверждены в политике по обработке персональных данных, а также назначенное приказом ответственное лицо за обработку ПД с его контактными данными.

Дата начала обработки персональных данных – дата создания предприятия (регистрации в качестве индивидуального предпринимателя).

Срок или условие прекращения обработки персональных данных – Условия окончания: Ликвидация, реорганизация, прекращение деятельности как юридического лица, а для индивидуальных предпринимателей – прекращение деятельности индивидуального
предпринимателя.

Шаг № 4:

Указать ЦОДы – только если есть автоматизированная обработка.
Если у вас используются в офисе предприятия компьютеры и там хранятся данные, то это свой ЦОД, расположенный по месту регистрации.
Если есть сайт — спрашиваем у технической поддержки хостинга где располагается ЦОД, указываем тот адрес и ЦОД что они скажут, а также данные владельца ЦОД (наименование, ИНН, ОГРН, адрес).

Аналогично спрашиваем у любого другого онлайн-сервиса (Яндекс.Облако, 1С: Фреш, AmoCRM, etc.).

Но поговорим про Ветменеджер. Мы не храним ваши данные, а только предоставляем сервис.
Ваши данные хранит — АКЦИОНЕРНОЕ ОБЩЕСТВО «СЕЛЕКТЕЛ», в связи с чем следует указывать так:
Страна: Россия
Адрес ЦОДа: Ленинградская Область, Всеволожский Район, Дубровка городской поселок, Советская Улица, дом 1
Собственный ЦОД: нет
Тип организации: юридическое лицо
Организационно-правовая форма: Акционерные общества
Наименование организации: АКЦИОНЕРНОЕ ОБЩЕСТВО «СЕЛЕКТЕЛ»
ОГРН: 1247800067790
ИНН: 7810962785
Страна местонахождения организации, ответственной за хранение данных: Россия
Адрес местонахождения организации, ответственной за хранение данных: Санкт-Петербург Город,
Цветочная Улица, дом 21, стр. А

Именно там находятся ваши данные.

Шаг № 5:
Указать Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ в соответствии с Политикой.

Шаг № 6:
Поставить галочки в 3 полях (если подает директор ООО либо сам индивидуальный предприниматель):

(4) Отправить

В течение 30 календарных дней вы будете внесены в реестр операторов персональных данных. Либо региональный Роскомнадзор пришлёт уведомление с просьбой что-то поправить в уведомлении (в этом нет ничего страшного и ошибки не являются нарушением. Для этого не забудьте сохранить код и ключ уведомления, которое будет отображаться после отправки уведомления).

Какие штрафы начинают действовать с 30 мая 2025 года

Составы правонарушений и штрафы в области обработки персональных данных:

(1) Нарушение целей обработки ПД

Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных —

 Штраф для ИП: 50 000 — 100 000 рублей, при повторе: 300 000 — 500 000 рублей
 Штраф для ЮЛ: 150 000 — 300 000 рублей, при повторе: 300 000 — 500 000 рублей

(2) Отсутствие согласия на обработку ПД

Обработка персональных данных без согласия в письменной форме либо обработка персональных данных с нарушением, установленных законодательством Российской Федерации требований к составу сведений, включаемых в согласие, —

 Штраф для ИП: 100 000 — 300 000 рублей, при повторе: 500 000 — 1 000 000 рублей
 Штраф для ЮЛ: 300 000 — 700 000 рублей, при повторе: 1 000 000 — 1 500 000 рублей

(3) Отсутствие опубликованной политики по обработке ПД

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных —

 Штраф для ИП: 10 000 — 20 000 рублей
 Штраф для ЮЛ: 30 000 — 60 000 рублей

(4) Игнорирование требований субъекта и непредоставление данных

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных —

 Штраф для ИП: 20 000 — 30 000 рублей.
 Штраф для ЮЛ: 40 000 — 80 000 рублей.

(5) Игнорирование требований субъекта и отсутствие контроля

Невыполнение оператором в сроки, установленные законодательством Российской Федерации, требования субъекта персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки —

 Штраф для ИП: 20 000 — 40 000 рублей, при повторе: 50 000 — 100 000 рублей
 Штраф для ЮЛ: 50 000 — 90 000 рублей, при повторе: 300 000 — 500 000 рублей

(6) Отсутствие безопасности обработки ПД

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации сохранность персональных данных при хранении
материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния —

 Штраф для ИП: 20 000 — 40 000 рублей
 Штраф для ЮЛ: 50 000 — 100 000 рублей

(7) Использование баз данных вне территории РФ

Невыполнение оператором при сборе персональных данных, в том числе посредством сети «Интернет», предусмотренной законодательством Российской Федерации обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, —

 Штраф для ИП и ЮЛ: 1 000 000 — 6 000 000 рублей, при повторе: 6 000 000 — 18 000 000
рублей

(8) Неуведомление Роскомнадзор об обработке ПД

Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных —

 Штраф для ИП и ЮЛ: 100 000 — 300 000 рублей.

(9) Неуведомление Роскомнадзор о факте неправомерной обработки ПД

Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, —

 Штраф для ИП и ЮЛ: 1 000 000 — 3 000 000 рублей.

(10) Утечка ПД

Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч
идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, —

 Штраф для ИП и ЮЛ: 3 000 000 — 5 000 000 рублей.

(11) Утечка ПД в большем масштабе

Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона
идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, —

 Штраф для ИП и ЮЛ: 5 000 000 — 10 000 000 рублей.

(12) Утечка ПД в ещё большем масштабе

Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, —

 Штраф для ИП и ЮЛ: 10 000 000 — 15 000 000 рублей.

(13) Утечка ПД специальной категории

Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных, —

 Штраф для ИП и ЮЛ: 10 000 000 — 15 000 000 рублей.

(14) Утечка биометрических ПД

Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, —

 Штраф для ИП и ЮЛ: 15 000 000 — 20 000 000 рублей.