С 2006 года Роскомнадзор требует от компаний сообщать, если они намерены осуществлять обработку персональных данных. Это требование зафиксировано в законе N 152-ФЗ. Но все эти годы штраф за неподачу уведомления в РКН был несущественным — от 3 до 5 тысяч рублей для организаций. К тому же чаще вместо штрафа приходило предписание. Так было раньше.
С 30 мая 2025 года за неуведомление об обработке данных вводится ответственность, а штраф для ИП и компаний составляет от 100 до 300 тысяч рублей при первичном нарушении и 500 тысяч рублей при повторном. Штрафовать будут без предупреждений.
Для этой статьи мы разобрались во всех тонкостях и взяли комментарий у юриста Sendsay Натальи Борисевич. Расскажем, кого Роскомнадзор считает оператором персональных данных, как правильно подавать уведомление в РКН, что грозит за несвоевременное уведомление РКН о начале обработки персональных данных и как найти себя в реестре.
Кто должен подавать уведомление в РКН
Может показаться, что требования «Закона о персональных данных» касаются только крупных компаний, но это не так. Согласно трактовке N 152-ФЗ, оператором персональных данных может являться как юридическое, так и физическое лицо, а также государственный или муниципальный орган.
Из закона N 152-ФЗ мы знаем, что персональные данные — это любые сведения, которые позволяют идентифицировать человека (субъекта ПДн): ФИО, паспортные данные, номер телефона, адрес электронной почты и прочее. При этом оператором ПДн может быть не только юрлицо, но и любое физическое лицо, обрабатывающее персональные данные в тех или иных целях. В свою очередь, обработкой ПДн считается любое действие и совокупность действий оператора. Вот только некоторые из них: сбор, запись, систематизация, накопление, хранение, удаление.
Если проанализировать положения закона и наши действия в повседневной жизни, получается, что практически каждый человек, так или иначе, сталкивается с обработкой им ПДн и, следовательно, является оператором персональных данных.
В этом смысле для Роскомнадзора не имеет никакого значения, является ли потенциальный оператор ПДн обычным физлицом, зарегистрированным самозанятым, ИП с сотрудниками и без них или юрлицом. Главное — совершает ли этот человек или организация действия, которые подпадают под соответствующее описание.
Признаки обработки персональных данных:
- на сайте есть форма обратной связи;
- компания собирает cookie-файлы;
- на сайте установлен счётчик Яндекс Метрики;
- компания оказывает услуги физлицам по договору;
- организация нанимает сотрудников в штат;
- маркетологи отправляют email-рассылки клиентам;
- компания публикует на сайте отзывы клиентов с их именами и фотографиями;
- и многое другое.
Практически на каждом сайте мы видим всплывающие окна с уведомлением об использовании файлов cookie — они нужны для сбора информации о пользователях сайта. Соглашаясь, посетители сайта дают согласие на обработку ПДн, а его владелец является оператором ПДн.
Есть и более неожиданные примеры: заботливый работодатель, который предоставляет сотрудникам ДМС и должен получить от них отдельное согласие, — считается оператором ПДн. Как и бизнес-центр, на проходной которого нужно записать в журнал сведения о себе, чтобы попасть внутрь.
В каких ситуациях обязательна подача уведомления в РКН
Главная причина направить уведомление в РКН — сообщить, что вы будете обрабатывать персональные данные. Помимо первичного уведомления — его необходимо отправить ещё до начала обработки ПДн — есть и другие ситуации, о которых нужно сообщать в Роскомнадзор:
— Любое изменение сведений, содержащихся в первичном уведомлении. Например, если сменился один из способов защиты ПДн или лицо, ответственное за их обработку. Подаётся до 15 числа следующего месяца.
— Прекращение обработки — подаётся в течение 10 рабочих дней с момента прекращения обработки.
— Утечка данных — о самом факте утечки следует сообщить в РКН в течение 24 часов, а передать результаты внутренней проверки после утечки — в течение 72 часов.
Кому можно не уведомлять Роскомнадзор
Практически любая организация обязана подать в РКН уведомление об обработке персональных данных. Проще перечислить случаи, когда это не требуется:
Данные обрабатываются вручную, без автоматизации — то есть человеком. Например, если компания хранит персональные данные в бумажных досье и карточках, сотрудники заполняют таблицы и формы от руки, архивируют документы в печатном виде, отправляют бумаги обычной почтой и так далее.
Данные включены в государственные инфосистемы, созданные для защиты безопасности государства и общественного порядка. Например, это специальные системы, которыми пользуются сотрудники правоохранительных органов для борьбы с преступностью, а также системы видеонаблюдения, установленные в общественных местах с целью контроля за безопасностью граждан.
Данные обрабатываются в соответствии с законами РФ о транспортной безопасности. Например, это системы видеонаблюдения на вокзалах, в аэропортах, портах и метро, а также системы контроля доступа, в том числе пропуска, биометрия, сканеры и тому подобное.
Чем грозит несвоевременная подача уведомления в РКН
Роскомнадзор активно сверяет сайты с базой реестра. С 30 мая 2025 года все операторы ПДн, не подавшие уведомления, окажутся в группе риска. При этом если раньше РКН в основном выдавал предписания, то больше предупреждений не будет — сразу штраф.
На размер штрафа за неподачу уведомления в РКН влияет несколько факторов:
- форма организации: физлицо, должностное лицо, ИП и юрлицо;
- вид нарушения: сбор ПДн без уведомления РКН, неуведомление РКН об утечке, объём утечки;
- прецеденты: первичное или повторное нарушение.
| Нарушение | Штраф для физлиц, в руб. | Штраф для должностных лиц, в руб. | Штраф для ИП и организаций, в руб. |
| Неподача уведомления о начале обработки ПДн | 5 тыс. – 10 тыс. | 30 тыс. – 50 тыс. | 100 тыс. – 300 тыс. первичное, до 500 тыс. повторное |
| Неподача уведомления об утечке ПДн | 50 тыс. – 100 тыс. | 400 тыс. – 800 тыс. | 1 млн – 3 млн |
| Объём утечки 1000–10 000 субъектов ПДн | 100 тыс. – 200 тыс. | 200 тыс. – 400 тыс. | 3 млн – 5 млн |
| Объём утечки 10 000–100 000 субъектов ПДн | 200 тыс. – 300 тыс. | 300 тыс. – 500 тыс. | 5 млн – 10 млн |
| Объём утечки более 100 000 субъектов ПДн | 300 тыс. – 400 тыс. | 400 тыс. – 600 тыс. | 10 млн – 15 млн |
| Повторная утечка | 400 тыс. – 600 тыс. | 800 тыс. – 1,2 млн | от 1 до 3% годовой выручки |
Что делать тем, кто не успел подать уведомление в РКН до 30 мая 2025 года
Если физлицо, ИП или компания обрабатывают персональные данные, не подав соответствующее уведомление, они уже нарушают законодательство. В этом смысле лучшим решением будет не приступать к обработке ПДн до попадания в реестр операторов.
Тем, кто уже обрабатывает ПДн, но не успевает сообщить об этом в Роскомнадзор и попасть в реестр до 30 мая 2025 года, не стоит надеяться на удачу. РКН массово проверяет сайты, сопоставляет их с реестром операторов и наказывает нарушителей. Поэтому вероятность получить штраф достаточно высока.
Важно понимать, что срок давности привлечения к ответственности за это нарушение начинается с даты, когда Роскомнадзор обнаружил, что самозанятый, ИП или компания обрабатывают ПДн, не подав уведомление. Поэтому, если вы уже обрабатываете персональные данные, но забыли (не знали, не успели) сообщить об этом в РКН — сделайте это как можно скорее. Не ждите, пока Роскомнадзор выявит нарушение сам.
Как подать уведомление об обработке персональных данных в РКН
Направить уведомление в РКН можно лично, Почтой России, через сайт Роскомнадзора или через личный кабинет портала Госуслуг. Ниже разбираем особенности каждого из способов.
В бумажном виде. Для этого варианта зайдите на сайт Роскомнадзора, найдите подходящий образец заполнения уведомления в РКН и, ориентируясь на него, заполните форму. Распечатанный документ можно подать лично или отправить Почтой России в соответствующее территориальное управление.
Комментарий юриста. Если отправляете уведомление почтой, лучше выбрать вариант отправки с описью вложения. Так у вас на руках будет подтверждение того, какой именно документ вы направили.
В электронном виде через сайт Роскомнадзора. Подойдёт тем, у кого есть усиленная квалифицированная электронная подпись (УКЭП). Чтобы подписать форму уведомления РКН, заранее установите в браузер плагин «КриптоПро ЭЦП Browser plug-in», который предназначен для создания и проверки электронных подписей.
Комментарий юриста. Компания Google удалила расширение «КриптоПро ЭЦП Browser Plug-in» из магазина приложений Chrome Web Store. Поэтому этот вариант может быть недоступен для пользователей Google Chrome, если они ранее не настроили работу с плагином. Будьте готовы использовать альтернативный браузер.
В электронном виде через личный кабинет на портале Госуслуг. В этом случае физлицам и ИП потребуется подтверждённая учётная запись. А для юрлиц она, к тому же, должна быть привязана к компании. Самый удобный вариант — привязать учётную запись генерального директора, так как у него достаточный объём полномочий.
Комментарий юриста. При заполнении через ЛК портала Госуслуг система сама сформирует ссылку на черновик формы уведомления — сохраните её. Тогда не придётся заново заполнять все поля, если вы будете вводить данные в несколько заходов.
Какой бы способ вы ни выбрали, обязательно сохраните регистрационный номер, присвоенный уведомлению. В будущем он потребуется для внесения изменений, например: если сменится адрес или любая другая информация, указанная в первичном уведомлении.
Полезные ссылки:
Форма уведомления РКН о начале обработки ПДн →
Форма уведомления РКН об изменении сведений →
Форма уведомления о прекращении обработки ПДн →
Список примеров уведомления РКН →
Как проверить, что компания добавлена в реестр операторов ПДн
РКН не оповещает операторов о добавлении в реестр, поэтому проверять, появилась ли в нём компания, придётся самостоятельно. Для этого на сайте Роскомнадзора перейдите в раздел Реестр операторов и введите данные: можно указать название, ИНН и регистрационный номер. Для быстрого поиска достаточно указать ИНН.
.png)
Что важно запомнить
1. Необходимо уведомлять Роскомнадзор о намерении осуществлять обработку ПДн — это требование существует с 2006 года.
2. Оператором ПДн может быть физлицо, зарегистрированный самозанятый, ИП — с сотрудниками и без них, юрлицо. Если оператор ПДн не сообщил в РКН о своём намерении обрабатывать ПДн — ему грозит штраф.
3. С 30 мая 2025 года штраф за неуведомление РКН для ИП и компаний составляет от 100 до 300 тысяч рублей за первичное нарушение и 500 тысяч рублей за повторное.
4. Главный повод направить уведомление в РКН — намерение осуществлять обработку персональных данных. Его необходимо отправить до начала обработки ПДн.
5. Ещё обязательно сообщать в Роскомнадзор о любых изменениях сведений, содержащихся в первичном уведомлении, о прекращении обработки и об утечке данных.
6. Сроки подачи уведомлений:— о намерении обрабатывать ПДн — до начала обработки;— об изменениях — до 15 числа следующего месяца;— о прекращении обработки — в течение 10 рабочих дней;— об утечке: в течение 24 часов — о факте утечки, в течение 72 часов — передать результаты внутренней проверки после утечки.
7. Размер штрафа за неподачу уведомления в РКН зависит от нескольких факторов: от формы организации, вида нарушения и истории нарушений.
8. Уведомить РКН можно лично, Почтой России, через сайт Роскомнадзора и через личный кабинет портала Госуслуг.
9. РКН не оповещает о добавлении в реестр операторов ПДн. Найти себя в реестре можно по ИНН по ссылке.
10. Срок давности привлечения к ответственности за неподачу уведомлению начинается с даты обнаружения Роскомнадзором этого нарушения. Поэтому лучше не ждать и подать уведомление в РКН как можно скорее.
