152-ФЗ для приёмок металлолома: 5 главных требований в 2026

Приёмка металлолома обязана собирать паспортные данные у каждого сдатчика по ФЗ «Об отходах производства и потребления». Это автоматически делает приёмку оператором персональных данных в смысле ФЗ-152. Что это значит на практике — и за что прилетают штрафы.

1. Согласие на обработку персональных данных

Без письменного согласия сдатчика принимать его паспортные данные нельзя. Согласие должно быть конкретным — указаны цели (выполнение требований ФЗ об отходах), перечень данных (ФИО, дата рождения, серия/номер паспорта, адрес регистрации) и срок хранения.

На практике достаточно добавить блок «Согласие на обработку ПДн» прямо в квитанцию о приёме лома. Сдатчик подписывает квитанцию → согласие зафиксировано. Устного «ну подпиши тут» недостаточно — в форме нужен явный текст про обработку и цели.

На что обратить внимание: для несовершеннолетних сдатчиков (с 14 до 18 лет) — нужно согласие от родителя/опекуна. До 14 лет — приём вообще запрещён по ФЗ об отходах.

2. Уведомление Роскомнадзора как оператора ПДн

Любая приёмка, которая хранит паспортные данные сдатчиков, должна уведомить Роскомнадзор о начале обработки ПДн через личный кабинет на rkn.gov.ru. Без уведомления компания формально работает как «теневой» оператор — это основание для штрафа.

В уведомлении указывается: цели обработки (квитанционный учёт по ФЗ об отходах), категории субъектов (физлица-сдатчики), перечень ПДн, способы обработки (на бумаге + в учётной системе), сроки хранения, меры защиты.

После регистрации компания попадает в публичный реестр операторов ПДн. Это нормально и ожидаемо — наличие в реестре сигналит что приёмка работает легально.

3. Хранение паспортных копий: сколько, где, как

Срок хранения квитанций (и связанных паспортных данных) по ФЗ об отходах — не менее 5 лет с момента операции. Это длиннее чем общий срок хранения ПДн по 152-ФЗ, поэтому ориентируйтесь на 5 лет.

Если квитанции хранятся в бумажном виде — нужна закрытая комната или сейф, ограниченный доступ (только директор + бухгалтер), журнал доступа. На каждой пачке — маркировка «Содержит ПДн».

Если данные в учётной системе (CRM, 1С, ERP) — нужны: разделение прав по ролям (приёмщик видит только свою точку, не всю компанию), логирование действий (audit-log), шифрование БД на диске, регулярные бэкапы в защищённом хранилище.

На что обратить внимание: данные за пределами РФ хранить нельзя (трансграничная передача требует отдельной процедуры). Если используете cloud-сервис — убедитесь что серверы провайдера на территории РФ.

4. Право клиента на удаление и изменение данных

Клиент имеет право написать заявление об удалении или изменении его персональных данных. Приёмка обязана в течение 10 рабочих дней либо выполнить запрос, либо мотивированно отказать.

Отказать можно если данные нужны для выполнения требований закона (например, квитанция за прошлый месяц нужна для отчётности — её паспортные данные не удаляются до конца обязательного срока 5 лет). После истечения срока — данные должны быть уничтожены или обезличены.

Удаление в учётной системе должно быть верифицируемо — не просто «удалить запись», а оставить audit-trail о факте удаления (когда, кто, по чьему запросу). Это требование 152-ФЗ ст. 21.

5. Штрафы за утечки и нарушения

КоАП РФ статья 13.11 (в редакции 2024-2025) устанавливает штрафы за нарушения обработки ПДн. Для юрлиц-операторов диапазон зависит от характера нарушения:

  • Обработка без согласия — до 700 тыс. ₽ за каждый случай.
  • Не уведомили Роскомнадзор — до 500 тыс. ₽.
  • Нарушение требований к хранению (открытый доступ, нет защиты) — до 500 тыс. ₽.
  • Утечка ПДн (попадание паспортов сдатчиков в открытый доступ) — до 15 млн ₽ для крупных утечек (более 100 тыс. субъектов), до 3 млн ₽ для меньших.
  • Не предоставили данные субъекту по запросу — до 100 тыс. ₽.

В 2024 году Роскомнадзор начал чаще проверять малый и средний бизнес, включая приёмки. Типичный сценарий проверки: жалоба сдатчика → выезд → проверка наличия согласий и регистрации оператора → штраф если не в порядке.

Что делать в первую неделю

  1. Проверить что в шаблоне квитанции есть блок «Согласие на обработку ПДн» с явным текстом — не только подпись клиента.
  2. Зарегистрироваться как оператор ПДн на rkn.gov.ru, если ещё не сделано. Это бесплатно.
  3. Описать политику обработки ПДн внутренним приказом — где хранятся квитанции, кто имеет доступ, как уничтожаются после 5 лет.
  4. Назначить ответственного за ПДн (обычно директор или бухгалтер) — это требование 152-ФЗ ст. 18.1.
  5. Если используете учётную систему — проверить что: (а) есть разделение прав, (б) ведётся audit-log, (в) данные не покидают РФ.
← Все статьи