Уведомление о персональных данных в Роскомнадзор: какой порядок в 2025 году

Все организации, ИП и госучреждения, которые работают с персональными данными физических лиц, обязаны в 2025 году подавать уведомление в Роскомнадзор в трех случаях:

1. Перед началом работы с персональными данными.

2. После завершения обработки ПД — когда отпадает необходимость работать с данными.

3. О происшествиях — несанкционированных доступах, взломах баз, утечках.

Требования к работе с ПД (обеспечению их защиты и безопасности) изложены в законе от 27.07.2006 № 152-ФЗ «О персональных данных». 

В некоторых случаях уведомлять ведомство не нужно, если работа с данными ведется:

• вручную — без использования автоматизированных средств;

• для обеспечения безопасности в сфере транспортного комплекса;

• с целью поддержания общественного порядка и обеспечения безопасности государства.

Персональные данные физлиц — это имя, сведения из паспорта, видео в соцсетях, информация о состоянии здоровья, отпечатки пальцев, политические взгляды и др. 

ПД бывают нескольких типов (ст. 10, 11 закона № 152-ФЗ): 

• обычные — ФИО, адрес;

• специальные — философские убеждения, национальность;

• биометрические — результаты ДНК, форма глаз.

Таким образом, все, кто собирает данные о своих клиентах, партнерах, сотрудниках, покупателях, пациентах должны отчитываться в Роскомнадзор. Требование относится к онлайн-магазинам, фирмам, больницам, банкам и остальным операторам персональных данных. 

Операторы могут собирать и использовать ПД только с согласия их владельцев (ст. 9 закона № 152-ФЗ). Прежде чем собирать чужие данные следует поставить человека в известность о том, что его данные будут использоваться в определенных целях. 

Например, адрес нужен для отправки заказа, паспортные данные — для открытия банковского вклада, сведения о детских прививках — для оказания медицинских услуг. И таких примеров очень много.

Разрешение на обработку ПД — это документ, подтверждающий, что человек добровольно разрешает использовать его данные, обрабатывать и хранить в течение оговоренного срока. Кроме этого, владелец данных сам решает, какую информацию предоставлять, а какую — нет. 

Что Роскомнадзор узнает об операторе ПД (ч. 3 ст. 22 закона № 152-ФЗ):

• наименование организации / ФИО ИП;

• ФИО и должности ответственных сотрудников;

• сведения о лицах, имеющих доступ к обрабатываемым данным;

• цель работы с ПД;

• меры по защите данных, устранению утечек, компьютерных инцидентов;

• информацию об используемых базах для обработки и хранения ПД;

• сроки начала и прекращения работы с ПД, условия прекращения.

Цель уведомления — сообщить компетентному органу о своем намерении обрабатывать и использовать ПД в коммерческих и иных целях. А также «встать на учет» — попасть в реестр операторов и работать, не нарушая законодательных требований.

Получить бесплатную консультацию по регистрации в Роскомнадзоре и подготовке документов для работы с персональными данными

Консультация

На своем сайте Роскомнадзор сообщает, каким способом оператор может направить уведомление. Причем конкретных сроков ни на сайте ведомства, ни в законодательстве нет. Главное требование — уведомить РКН до того как начинаете работать с ПД. 

Подать уведомление можно одним их трех способов:

1. На бумаге. Распечатайте форму на сайте РКН, заполните, подпишите и отнесите в территориальный орган по месту жительства. Также документ можно отправить письмом по почте.

2. В электронной форме. Заполните электронный документ на сайте РКН, подпишите электронной подписью и отправьте онлайн.

3. На «Госуслугах». Этот способ также подразумевает отправку уведомления в электронной форме. Потребуется подтвержденный профиль. А если отправляете уведомление от компании, то она должна быть привязана к учетной записи физлица (например, директора или руководителя).

Например, в подразделе «Категории субъектов ПД» нужно отметить, чьи данные будут обрабатываться — работников, контрагентов, посетителей сайта или иные категории.

Время рассмотрения уведомления — 30 дней: за этот срок Роскомнадзор принимает решение о включении оператора ПД в реестр. Если уведомление было предоставлено на бумаге, то точка отсчета — это день, когда РКН получил письмо. Если вы уже работаете в статусе оператора ПД, то подавать повторно уведомление не нужно. Проверьте, включена ли в реестр информация о вас. 

Бывает, что компания подала уведомление несколько месяцев назад, и за это время у нее произошли изменения, касающиеся информации в реестре. Чтобы внести корректировки, необходимо уведомить Роскомнадзор до 15 числа следующего месяца (ч. 7 ст. 22 закона № 152-ФЗ). В течение 30 дней РКН исключит информацию об операторе из реестра.

Например, в организации 20 января назначили нового ответственного за обработку персональных данных. О произошедших перестановках необходимо проинформировать РКН не позднее 15 февраля.

Другая ситуация: у компании отпадает необходимость работать с ПД. В этом случае нужно уведомить Роскомнадзор о прекращении работы с данными. Срок — не более 10 рабочих дней с момента принятия решения о прекращении.

Например, 27 января 2025 года продавец интернет-магазина закрывает ИП и прекращает работать с персональными данными покупателей. Считаем с этой даты: крайний срок оповещения РКН — 7 февраля.  

Если в компании произошла утечка ПД или несанкционированный доступ к базе данных, то необходимо отреагировать в сжатые сроки и оповестить о происшествии Роскомнадзор (ч. 3.1 ст. 22 закона № 152-ФЗ):

• в течение 24 часов — о происшествии, нанесенном вреде, принятых мерах и ответственном сотруднике;

• в течение 72 часов — провести внутреннюю проверку и сообщить о последствиях и нарушителях. 

Уведомить РКН можно тремя способами (ч. 12 ст. 19 закона № 152-ФЗ): через «Госуслуги», НКЦКИ (о неправомерном доступе и утечках), ИС ГосСОПКА (о компьютерных атаках). 

Получить бесплатную консультацию по регистрации в Роскомнадзоре и подготовке документов для работы с персональными данными

Консультация

Если организация не подает уведомление в Роскомнадзор, то за это ей грозят штрафы по ст. 19.7 КоАП. Штрафы следующие — до 500 руб. (на ответственного), до 5 000 руб. (на организацию). 

С 30 мая 2025 года Роскомнадзор будет выносить штрафы по новым правилам (закон от 30.11.2024 № 420-ФЗ) — вносятся изменения в ст. 13.11 КоАП, которая посвящена именно нарушениям в области ПД.

За неуведомление о намерении работать с ПД:

• на граждан — от 5 тыс.  до 10 тыс. рублей;

• на ответственных — от 30 тыс. до 50 тыс. рублей;

• на организации — от 100 тыс. до 300 тыс. рублей.

За неуведомление о происшествиях и нарушении прав владельцев ПД:

• на граждан — от 50 тыс.  до 100 тыс. рублей;

• на ответственных — от 400 тыс. до 800 тыс. рублей;

• на организации — от 1 млн до 3 млн рублей.

Сейчас максимальный штраф для организаций за неуведомление о намерении работать с ПД — 5 тыс. рублей. Для тех, кто твердо стоит на ногах, наказание не такое уж критическое. 

Последствия переходят в разряд финансово чувствительных.

Как подать уведомление в Роскомнадзор и попасть в реестр операторов ПД? Порядок действий:

1. Проверьте, не относится ли ваша организация к тем, которые вправе не уведомлять РКН о работе с данными (ч. 2 ст. 22 закона № 152-ФЗ).

2. Подайте уведомление одним из удобных способов:

• на бумаге — распечатать форму на сайте Роскомнадзора, заполнить, подписать и отправить по почте или лично принести в местное отделение РКН;

• онлайн — заполнить и отправить форму на сайте РКН;

• через «Госуслуги».  

3. Подождите, пока Роскомнадзор включит сведения о вашей компании в реестр операторов — это займет не более 30 дней.

4. Подайте новое уведомление, если:

• нужно изменить сведения в реестре — необходимо уведомить до 15 числа следующего месяца;

• прекращаете работу с персональными данными — необходимо уведомить в течение 10 рабочих дней с даты принятия решения о прекращении.

5. В случае происшествий (компьютерных атак, несанкционированного доступа, утечек) уведомите Роскомнадзор в течение 24 часов, а затем в течение 72 часов сообщите о результатах внутреннего расследования.

Чтобы зарегистрироваться в реестре Роскомнадзора, организации нужно подготовить внушительный пакет документов. В зависимости от специфики и вида деятельности организации документы могут отличаться. Скачайте на сайте «Роском Онлайн» чек-лист с инструкцией и ссылками на НПА. Инструкция поможет вам пройти регистрацию в соответствии с законом № 152-ФЗ и избежать штрафов. Кроме этого, вы можете заказать у специалистов разработку документов под ключ или поручить им локальную задачу (например, составление политики конфиденциальности).

Читайте также:

• Работа с какими персональными данными обязывает пройти регистрацию в Роскомнадзоре.

• Персональные данные работника: напоминание бухгалтерам об обязанности регистрации в Роскомнадзоре.

• Персональные данные работника: напоминание кадровой службе об обязанности регистрации в Роскомнадзоре.

Бесплатный чек-лист обязательных процедур, необходимых для соблюдения законодательства по персональным данным

Организуйте в своей компании работу с персональными данными согласно требованиям закона

Заполните форму и получите чек-лист:

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFGjiJYp