Кому нужно срочно подать уведомление в РКН об обработке персональных данных и как это правильно сделать

С 1 сентября 2022 года в России действуют правила обработки персональных данных, описывающие круг организаций и индивидуальных предпринимателей, обязанных уведомлять Роскомнадзор (РКН) о начале обработки этих данных. Несвоевременная подача уведомления может повлечь за собой штрафы и другие формы наказаний.

В данной статье совместно с экспертами digital-агентства Hope Group рассмотрим, кто сейчас обязан срочно уведомить РКН о работе с персональными данными, какие существуют исключения и как правильно оформить и подать документы. А также разберем, что изменилось в правилах 30 мая 2025 года и какие санкции предусмотрены за нарушение установленных требований.

Содержание:

• Операторы персональных данных
  • Кто обязан подавать уведомление в Роскомнадзор?
  • Кто освобожден от подачи уведомления?
• Обзор изменений законодательства: новые штрафы
• Инструкция: подготовка к подаче уведомления в РКН
• Как правильно подать уведомление?
• Как бизнесу снизить риски при работе с персональными данными в 2025 году?
• Резюме

Операторы персональных данных

Для начала определим, что является персональными данными (ПНд). В контексте действующего законодательства РФ, любая информация о человеке, по которой можно прямо или косвенно установить личность, является персональными данными. Например, ФИО, электронная почта, связка ФИО + место работы или учебы.

Операторами персональных данных государство считает всех, кто собирает и использует такие данные для своей работы. Вы становитесь оператором персональных данных, если:

• просите клиентов указать имя, телефон или email;
• принимаете сотрудников на работу и храните их личные данные;
• используете формы сбора информации на сайте;
• рассылаете рекламу по электронной почте;
• оформляете гостевые пропуска;
• публикуете на сайте фотографии клиентов или их отзывы с указанием имени.

Главное — как только вы начинаете собирать и хранить любые персональные данные, даже одну электронную почту, вы автоматически становитесь оператором и обязаны соблюдать закон. Это касается компаний, ИП и самозанятых.

Кто обязан подавать уведомление в Роскомнадзор?

Уведомить РКН о том, что ведется работа с персональными данными, обязаны следующие компании и граждане РФ:

• Организации, обрабатывающие персональные данные сотрудников, клиентов, контрагентов и других лиц.
• Индивидуальные предприниматели, использующие персональные данные в своей деятельности.
• Самозанятые граждане, обрабатывающие персональные данные.
• Физические лица, обрабатывающие персональные данные в рамках профессиональной деятельности.

Даже если организация или предприниматель ранее не были обязаны подавать уведомление, с 30 мая 2025 года такие обязанности могут возникнуть в связи с изменениями в законодательстве.

Кто освобожден от подачи уведомления?

Существуют определенные исключения, при которых оператор персональных данных освобождается от обязанности уведомлять Роскомнадзор:

• Обработка персональных данных осуществляется исключительно без использования средств автоматизации (например, ведение бумажных журналов без последующего переноса данных в электронную форму).
• Персональные данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка.
• Обработка персональных данных производится в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.

Если организация или предприниматель передают персональные данные третьим лицам (например, бухгалтерии на аутсорсинге), это может считаться использованием средств автоматизации, и, соответственно, возникает обязанность по подаче уведомления.

Обзор изменений законодательства: новые штрафы

С 30 мая 2025 года в России вступают в силу значительные изменения в законодательстве о персональных данных, усиливающие ответственность операторов за их обработку. Эти нововведения касаются всех организаций и индивидуальных предпринимателей, работающих с персональными данными, и требуют особого внимания к процедуре уведомления РКН.

Несоблюдение новых требований может повлечь за собой серьезные штрафы. Основание – статья 13.11 КоАП:

• Обработка персональных данных без законных оснований — от 150 000 до 300 000 рублей. При повторном нарушении — до 500 000 рублей.
• Непредставление уведомления об утечке персональных данных — от 1 000 000 до 3 000 000 рублей.
• При утечке данных 1–10 тысяч субъектов или 10–100 тысяч идентификаторов — от 3 000 000 до 5 000 000 рублей.
• При утечке данных 10–100 тысяч субъектов или 100 тысяч – 1 миллиона идентификаторов — от 5 000 000 до 10 000 000 рублей.
• При утечке данных более 100 тысяч субъектов и более 1 миллиона идентификаторов — от 10 000 000 до 15 000 000 рублей.
• Повторная утечка персональных данных – оборотный штраф от 1% до 3% выручки за предыдущий год. Минимальный размер штрафа — 20 000 000 рублей, максимальный — 500 000 000 рублей.
• Незаконное распространение персональных данных специальных категорий — штраф для ИП от 1 000 000 до 1 300 000 рублей. Для юридических лиц от 10 000 000 до 15 000 000 рублей. К специальным категориям относятся данные о национальности, религии, политических взглядах, состоянии здоровья и другие.
• Незаконное распространение биометрических данных — штраф для ИП от 1 300 000 до 1 500 000 рублей. Штраф для юридических лиц от 15 000 000 до 20 000 000 рублей.
• Отказ в изменении, заключении или расторжении договора с потребителем из-за отказа от биометрической идентификации — от 200 000 до 500 000 рублей. Это новое основание для привлечения к ответственности, введенное с 30 мая 2025 года.

Существует возможность снижения штрафа за повторную утечку информации при наличии следующих смягчающих обстоятельств:

• Ежегодные инвестиции в кибербезопасность не менее 0,1% от оборота компании в течение последних 3 лет.
• Отсутствие отягчающих обстоятельств, таких как ранее наложенные административные наказания.
• Наличие документального подтверждения соблюдения требований в области персональных данных (например, обучение сотрудников, наличие необходимых локальных нормативных актов, своевременное уведомление Роскомнадзора).

Теперь наказание может быть не только административным. С декабря 2024 года в Уголовный кодекс добавлена статья 272.1, по которой за незаконный сбор, хранение или передачу персональных данных предусмотрено уголовное наказание — от 4 до 10 лет лишения свободы.

Инструкция: подготовка к подаче уведомления в РКН

Подача уведомления в Роскомнадзор — это не просто бюрократическая формальность, а обязательный этап, который помогает избежать серьезных штрафов. Но важно понимать: уведомление подается в самом конце, после того как вы навели порядок в документах, на сайте и в процессах. Вот пошаговая инструкция, как все подготовить правильно и не допустить ошибок:

• Проверьте, есть ли вы в реестре операторов ПДн. Зайдите на сайт Роскомнадзора и введите ИНН или название вашей организации. Если вас нет в списке — значит, нужно подавать уведомление.
• Назначьте ответственного за персональные данные. Выберите сотрудника, который хорошо ориентируется в работе разных отделов и имеет доступ к нужной информации. Обычно эту роль выполняют бухгалтер, IT-специалист или директор. Иногда назначают кадровика, но это не лучший вариант: он работает только с частью данных и редко взаимодействует с другими отделами. Лучше утвердить ответственное лицо приказом. При необходимости можно создать отдельную должность — например, специалиста по защите персональных данных.
• Оформите внутренние документы. Необходимый минимум — политика обработки персональных данных и форма согласия. Также нужно определить цели, перечень обрабатываемых данных, категории субъектов, порядок хранения и защиты. Все документы утверждаются приказами и должны быть готовы к предъявлению по запросу Роскомнадзора.
• Проверьте сайт на соответствие закону 152-ФЗ. Информация в уведомлении и на сайте должна совпадать. Сейчас Роскомнадзор использует автоматические системы мониторинга, поэтому сайт проверяют в первую очередь. Обязательно разместите политику обработки ПДн, форму согласия на обработку, галочку при отправке форм, согласие на использование cookie-файлов.

• Оцените риски и обеспечьте защиту данных. Проведите внутреннюю оценку возможного вреда для клиентов и сотрудников, если произойдет утечка. Установите антивирусы, настройте резервное копирование, ограничьте доступ к файлам с ПДн. Чем больше данных вы храните — тем выше требования к защите.
• Обучите сотрудников. Объясните персоналу, что такое персональные данные, как с ними работать, чего нельзя делать и что считается нарушением. Проведите инструктаж, ознакомьте с документами под подпись. Это не только снизит риск ошибок, но и станет доказательством вашей ответственности при проверке.

Отправить уведомление в РКН необходимо после всех этих шагов. И помните: информация в уведомлении должна соответствовать внутренним документам и сайту. Иначе — штраф.

Уже подавали уведомление раньше? Проверьте, не устарели ли данные. Если изменилась цель обработки, состав данных или система защиты, нужно подать обновленную версию, то есть снова направить уведомление в РКН. Несоответствие — тоже нарушение.

Читайте также: Цифровая трансформация HR: как автоматизировать работу с персоналом.

Как правильно подать уведомление?

Уведомление о начале обработки персональных данных подается в территориальный орган Роскомнадзора по месту регистрации оператора. Существует несколько способов подачи уведомления.

1. В бумажной форме — заполненное и подписанное уведомление направляется по почте или передается лично в территориальное управление Роскомнадзора.
2. В электронной форме с использованием усиленной квалифицированной электронной подписи (УКЭП): уведомление заполняется на официальном сайте Роскомнадзора и подписывается УКЭП.
3. Через портал Госуслуги — авторизовавшись через ЕСИА, оператор может заполнить и отправить уведомление в электронном виде.

Форма уведомления РКН выбирается организацией или гражданином самостоятельно. При заполнении уведомления необходимо указать:

• наименование и контактные данные оператора;
• цели обработки персональных данных;
• категории субъектов персональных данных;
• категории обрабатываемых персональных данных;
• правовые основания обработки;
• сроки или условия прекращения обработки;
• сведения о наличии или отсутствии трансграничной передачи данных;
• меры по обеспечению безопасности персональных данных.

Образец заполнения уведомления в РКН можно скачать на официальном сайте ведомства. После подачи уведомления Роскомнадзор в течение 30 дней вносит сведения об операторе в реестр операторов персональных данных.

Как бизнесу снизить риски при работе с персональными данными в 2025 году?

Требования к работе с персональными данными стали значительно строже — штрафы выросли, а за серьезные нарушения теперь грозит даже уголовная ответственность. Поэтому руководителям важно заранее принять меры, чтобы избежать проблем с Роскомнадзором. Эксперты Hope Group выделили несколько простых шагов, которые помогут снизить риски и организовать работу с персональными данными в компании правильно.

1. Собирайте только нужную информацию. Многие компании по привычке просят больше данных, чем действительно нужно. Например, дата рождения клиента в большинстве случаев не обязательна при заключении договора — значит, и собирать ее не стоит. Оставляйте в базе только то, что действительно необходимо для работы.
2. Проверьте, где и какие данные хранят сотрудники. Проведите внутреннюю проверку: кто и какие персональные данные собирает, где они лежат. Нередко на рабочих компьютерах можно найти старые таблицы с ФИО и телефонами, про которые давно забыли. Такие файлы лучше удалить.
3. Оформите официально перечень используемых баз. Выпустите приказ, в котором зафиксируете, какие базы данных используются в компании. Это поможет навести порядок и избежать стихийного создания новых таблиц и файлов с персональными данными у разных сотрудников. К тому же так легче будет контролировать доступ к информации.
4. Проводите аудит каждые три месяца. Регулярные проверки — залог безопасности. Их можно делать своими силами или привлекать специалистов. Важно: обновляйте внутренние документы, удаляйте лишние данные и не забывайте обучать сотрудников правилам работы с персональной информацией.

Читайте также: Регистрация блогеров с аудиторией более 10 000 подписчиков – все о реестре РКН и новом законе.

Резюме

С 30 мая 2025 года правила игры для бизнеса в сфере персональных данных изменились: выросли штрафы, усилились требования к защите, а за серьезные нарушения теперь предусмотрена даже уголовная ответственность. Подать уведомление в Роскомнадзор — это не формальность, а юридически значимый шаг, к которому нужно подготовиться заранее: навести порядок в документах, обучить сотрудников, привести сайт в соответствие с законом.

Если вы еще не уверены, нужно ли подавать уведомление в РКН, — проверьте это прямо сейчас. Лучше сделать все вовремя, чем столкнуться с проверкой и риском штрафов в миллионы рублей. Помните: ответственность наступает не только за отсутствие уведомления, но и за любые расхождения между фактической деятельностью и данными, указанными в документах.

Организуйте процессы правильно — и персональные данные перестанут быть зоной риска для вашего бизнеса.