1. Согласие на обработку персональных данных
Без письменного согласия сдатчика принимать его паспортные данные нельзя. Согласие должно быть конкретным — указаны цели (выполнение требований ФЗ об отходах), перечень данных (ФИО, дата рождения, серия/номер паспорта, адрес регистрации) и срок хранения.
На практике достаточно добавить блок «Согласие на обработку ПДн» прямо в квитанцию о приёме лома. Сдатчик подписывает квитанцию → согласие зафиксировано. Устного «ну подпиши тут» недостаточно — в форме нужен явный текст про обработку и цели.
На что обратить внимание: для несовершеннолетних сдатчиков (с 14 до 18 лет) — нужно согласие от родителя/опекуна. До 14 лет — приём вообще запрещён по ФЗ об отходах.
2. Уведомление Роскомнадзора как оператора ПДн
Любая приёмка, которая хранит паспортные данные сдатчиков, должна уведомить Роскомнадзор о начале обработки ПДн через личный кабинет на rkn.gov.ru. Без уведомления компания формально работает как «теневой» оператор — это основание для штрафа.
В уведомлении указывается: цели обработки (квитанционный учёт по ФЗ об отходах), категории субъектов (физлица-сдатчики), перечень ПДн, способы обработки (на бумаге + в учётной системе), сроки хранения, меры защиты.
После регистрации компания попадает в публичный реестр операторов ПДн. Это нормально и ожидаемо — наличие в реестре сигналит что приёмка работает легально.
3. Хранение паспортных копий: сколько, где, как
Срок хранения квитанций (и связанных паспортных данных) по ФЗ об отходах — не менее 5 лет с момента операции. Это длиннее чем общий срок хранения ПДн по 152-ФЗ, поэтому ориентируйтесь на 5 лет.
Если квитанции хранятся в бумажном виде — нужна закрытая комната или сейф, ограниченный доступ (только директор + бухгалтер), журнал доступа. На каждой пачке — маркировка «Содержит ПДн».
Если данные в учётной системе (CRM, 1С, ERP) — нужны: разделение прав по ролям (приёмщик видит только свою точку, не всю компанию), логирование действий (audit-log), шифрование БД на диске, регулярные бэкапы в защищённом хранилище.
На что обратить внимание: данные за пределами РФ хранить нельзя (трансграничная передача требует отдельной процедуры). Если используете cloud-сервис — убедитесь что серверы провайдера на территории РФ.
4. Право клиента на удаление и изменение данных
Клиент имеет право написать заявление об удалении или изменении его персональных данных. Приёмка обязана в течение 10 рабочих дней либо выполнить запрос, либо мотивированно отказать.
Отказать можно если данные нужны для выполнения требований закона (например, квитанция за прошлый месяц нужна для отчётности — её паспортные данные не удаляются до конца обязательного срока 5 лет). После истечения срока — данные должны быть уничтожены или обезличены.
Удаление в учётной системе должно быть верифицируемо — не просто «удалить запись», а оставить audit-trail о факте удаления (когда, кто, по чьему запросу). Это требование 152-ФЗ ст. 21.
5. Штрафы за утечки и нарушения
КоАП РФ статья 13.11 (в редакции 2024-2025) устанавливает штрафы за нарушения обработки ПДн. Для юрлиц-операторов диапазон зависит от характера нарушения:
- Обработка без согласия — до 700 тыс. ₽ за каждый случай.
- Не уведомили Роскомнадзор — до 500 тыс. ₽.
- Нарушение требований к хранению (открытый доступ, нет защиты) — до 500 тыс. ₽.
- Утечка ПДн (попадание паспортов сдатчиков в открытый доступ) — до 15 млн ₽ для крупных утечек (более 100 тыс. субъектов), до 3 млн ₽ для меньших.
- Не предоставили данные субъекту по запросу — до 100 тыс. ₽.
В 2024 году Роскомнадзор начал чаще проверять малый и средний бизнес, включая приёмки. Типичный сценарий проверки: жалоба сдатчика → выезд → проверка наличия согласий и регистрации оператора → штраф если не в порядке.
Что делать в первую неделю
- Проверить что в шаблоне квитанции есть блок «Согласие на обработку ПДн» с явным текстом — не только подпись клиента.
- Зарегистрироваться как оператор ПДн на
rkn.gov.ru, если ещё не сделано. Это бесплатно. - Описать политику обработки ПДн внутренним приказом — где хранятся квитанции, кто имеет доступ, как уничтожаются после 5 лет.
- Назначить ответственного за ПДн (обычно директор или бухгалтер) — это требование 152-ФЗ ст. 18.1.
- Если используете учётную систему — проверить что: (а) есть разделение прав, (б) ведётся audit-log, (в) данные не покидают РФ.