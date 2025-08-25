С 2025 года требования ужесточились — штрафы за неподачу уведомления кратно выросли⚠️. Поэтому важно разобраться, кому и когда нужно уведомлять Роскомнадзор, как правильно это сделать и какие последствия грозят за несоблюдение закона.
Кто обязан подать уведомление в Роскомнадзор
Подавать уведомление о начале обработки персональных данных должны практически все организации и ИП, которые работают с данными физических лиц Это требование закреплено в законе № 152-ФЗ (ст. 22) — до начала обработки данных оператор обязан уведомить уполномоченный орган (Роскомнадзор) о своем намерении работать с персональными данными. Ниже перечислены основные случаи, когда уведомление Роскомнадзору об обработке персональных данных обязательно:
Организации и ИП, собирающие данные клиентов или сотрудников. Например, анкеты покупателей, формы обратной связи на сайте, подписки на рассылку, учет персонала, системы видеонаблюдения и т.д. Если вы храните или систематизируете информацию о физических лицах (Ф.И.О., контакты, адреса и пр.) хотя бы в электронном виде — вы оператор персональных данных, уведомление нужно подать обязательно.
Владельцы сайтов и онлайн-сервисов. Интернет-магазины, мобильные приложения, любые онлайн-платформы, которые запрашивают у пользователей имя, email, телефон или другие сведения — все они обязаны зарегистрироваться в Роскомнадзоре как операторы ПДн.
Бизнес, передающий персональные данные третьим лицам. Например, вы пользуетесь услугами колл-центра, CRM-системы или службы доставки и передаете им сведения о клиентах — это также требует уведомления, поскольку вы осуществляете обработку и передачу данных.
Компании, обрабатывающие особые категории данных. Если в работе затрагиваются чувствительные данные: здоровье, биометрия (отпечатки, фото), сведения о политических взглядах, религиозных убеждениях, национальности и пр. — контроль особенно строгий. Таким операторам ПДн тем более необходимо официально заявить о своей деятельности.
Однако законом предусмотрены исключения. В части 2 статьи 22 № 152-ФЗ описаны ситуации, когда можно обрабатывать персональные данные без уведомления Роскомнадзора:
Госоператоры. Организации, чьи базы входят в государственные информационные системы персональных данных, созданные для обеспечения государственной безопасности или общественного порядка.
Без автоматизации. Обработка данных без использования средств автоматизации (то есть исключительно вручную, на бумаге). Например, если все персональные данные вы храните только в бумажных журналах, без компьютеров.
Транспортная безопасность. Операторы, обрабатывающие персональные данные в рамках законодательства о транспортной безопасности — для обеспечения устойчивой и безопасной работы транспортного комплекса.
Если ваша деятельность подпадает под одну из этих категорий, уведомлять Роскомнадзор не требуется. Всем остальным компаниям и ИП уведомление подавать обязательно и своевременно. Отмена многих прежних послаблений (с 1 сентября 2022 года были убраны исключения для большинства рядовых случаев обработки) привела к тому, что теперь подавляющее большинство предпринимателей должны регистрироваться. Не стоит надеяться «остаться незаметным» — с 30 мая 2025 года введены новые штрафы для опоздавших, которые в разы выше прежних🛑.
Примечание. Формально уведомлять нужно до начала обработки персональных данных, то есть еще на этапе запуска бизнеса или нового процесса, связанного с данными. Если же вы уже работаете с персональными данными, но до сих пор не уведомили Роскомнадзор, вы находитесь в зоне риска и нарушаете закон. В таком случае следует исправить ситуацию как можно быстрее, чтобы минимизировать последствия.
Компания «Роском 24» (специализированный сервис по защите данных) поможет операторам собрать все необходимые документы по 152-ФЗ и быстро пройти регистрацию в Роскомнадзоре — то есть правильно подготовить и подать уведомление с учетом требований закона.
Когда нужно подать уведомление (сроки и актуальные изменения)
По закону уведомление подается один раз до начала обработки данных. Нет регулярной периодичности — достаточно зарегистрироваться в Роскомнадзоре при старте работы с персональными данными, а затем поддерживать сведения в актуальном состоянии. Однако на практике многие действующие компании долго игнорировали эту обязанность из-за низких штрафов. В 2025 году ситуация изменилась:
Новые штрафы с 30 мая 2025. С указанной даты вступили в силу поправки в КоАП, резко увеличившие ответственность. Теперь за отсутствие уведомления грозит штраф от 100 000 до 300 000 рублей для организации или ИП. Ранее максимальный штраф для бизнеса был всего 50 000 руб., то есть санкции выросли многократно. Для должностных лиц (руководителей) тоже введены штрафы, и при повторном нарушении они увеличиваются еще больше. Проще говоря, работать с персональными данными без регистрации стало очень дорого и опасно.
Подавать уведомление нужно как можно скорее. Если компания уже фактически обрабатывает данные (например, у вас есть клиенты, база подписчиков, сотрудники), а уведомление не подавалось — затягивать нельзя. Специального «льготного» периода больше нет. Надзорный орган уже начал проверки, и предприятия, которые не успели уведомить Роскомнадзор, рискуют нарваться на штрафы.
Важно понимать, что лучше добровольно выполнить обязанность, пусть и с опозданием, чем ждать принудительных мер. Роскомнадзор в 2025 году делает акцент не на том, чтобы наказать как можно больше компаний, а на том, чтобы побудить их выйти из тени и зарегистрироваться. Если вы уведомитесь сами, до проверки, велика вероятность отделаться минимальными последствиями (вплоть до предупреждения). Но если продолжать игнорировать требование, штрафа не избежать.
Когда именно подавать уведомление? Если вы только планируете начать новую деятельность, связанную с персональными данными, подайте уведомление до начала обработки. Если же бизнес уже работает с ПДн без регистрации — немедленно. Фактически, лучшим сроком является «вчера», поэтому если еще не уведомляли Роскомнадзор, сделайте это сегодня, не дожидаясь визита проверяющих.
Как подать уведомление в Роскомнадзор (пошаговая инструкция)
Процедура уведомления не слишком сложна, особенно в электронном виде. Ни госпошлины, ни длительных бюрократических согласований не потребуется — Роскомнадзор не одобряет или разрешает обработку, он просто принимает сведения об операторе в свой реестр. Тем не менее готовиться к подаче уведомления нужно внимательно. Вот основные шаги:
Подготовьте информацию и документы. Прежде чем заполнить уведомление, соберите необходимые данные о вашей организации и обработке персональных данных. Вам понадобятся: официальные реквизиты компании/ИП (наименование, адрес, ИНН и т.п.), контактные данные ответственного за обработку лица, цели обработки персональных данных, категории субъектов (клиенты, сотрудники и пр.) и самих данных, которые вы собираете, перечень мер защиты данных, сведения о месте хранения базы данных (например, страна и адрес сервера) Также подготовьте внутренние документы по защите данных: политику обработки персональных данных, образцы согласий, приказ о назначении ответственного и др. Эти локальные акты не отправляются в Роскомнадзор вместе с уведомлением, но должны быть у вас — при проверке их спросят, и часть информации из них пригодится для заполнения формы.
Заполните форму уведомления. Роскомнадзор утвердил единую форму (приказ № 180 от 28.10.2022) для уведомления. Проще всего заполнить ее в электронном виде на портале персональных данных (специальный ресурс pd.rkn.gov.ru) — там есть онлайн-форма, которая поможет избежать ошибок. ⚙️ Альтернативный вариант: скачать бланк уведомления (актуальный с февраля 2023 года), заполнить его на компьютере или от руки, распечатать и подписать. Указывать надо все собранные на предыдущем шаге сведения. Будьте внимательны: если при заполнении допущена ошибка (например, неточность в адресе или названии организации), ее нужно исправить, направив затем корректирующее уведомление.
Отправьте уведомление в Роскомнадзор. При электронной подаче на сайте РКН все происходит онлайн — после заполнения вы подписываете уведомление электронной подписью и отправляете нажатием кнопки. При подаче на бумаге — отнесите подписанный документ в территориальное управление Роскомнадзора или отправьте почтой с описью. В обоих случаях Роскомнадзор зарегистрирует ваше уведомление и внесет сведения о компании в единый реестр операторов персональных данных. Если уведомление подает представитель по доверенности, приложите копию доверенности (для электронной формы — прикрепите файл МЧД с ЭП).
Проверьте себя в реестре спустя 30 дней. Роскомнадзор не высылает отдельного подтверждения, что вашу организацию включили в реестр операторов ПДн. Согласно регламенту, рассмотрение уведомления занимает до 30 дней (для электронного обращения обычно быстрее) По истечении этого срока рекомендуется зайти на сайт Роскомнадзора и найти свою компанию в реестре по названию или ИНН Если запись появилась — вы официально зарегистрированный оператор, задача выполнена ✅(если записи нет по прошествии месяца, стоит уточнить статус в своем управлении РКН.)
Обновляйте сведения при изменениях. Это не разовый шаг, а правило на будущее. Если после подачи уведомления у вас поменялся адрес, ответственное лицо, цели обработки или иные данные, которые вы сообщали Роскомнадзору — необходимо отправить уведомление об изменении сведений (корректирующее уведомление). Также, если вы прекратили работу с персональными данными, закон обязывает в течение 10 рабочих дней сообщить об этом Роскомнадзору, чтобы компанию исключили из реестра Такие уведомления подаются аналогично через сайт или письмом.
💡 Совет: электронная форма на сайте Роскомнадзора во многом упростила процесс и снижает риск ошибок при заполнении. Она содержит подсказки и готовые варианты в выпадающих списках Рекомендуется пользоваться именно ею. Но даже электронная система не гарантирует 100% защиты от неточностей — внимательно проверяйте введенные данные перед отправкой.
Последствия за отсутствие уведомления (чем грозит нарушителю)
Неудивительно, что закон суров к тем, кто игнорирует требования по персональным данным — ведь на кону приватность и безопасность граждан. Отсутствие уведомления о начале обработки ПДн рассматривается как административное правонарушение и влечет штраф, а при злостном уклонении возможны и другие меры давления. Рассмотрим основные последствия, которые ожидают оператора, не зарегистрировавшегося в Роскомнадзоре:
Штрафы по КоАП. Как уже сказано, теперь за неуведомление Роскомнадзора организации и предприниматели рискуют получить штраф до 300 000 рублей (ст. 13.11 КоАП). Минимальные пороги — 100 тыс. для юрлиц/ИП и 50 тыс. для должностных лиц, максимум — 300 тыс. (для повторных случаев штрафы еще выше). Такая санкция может серьезно ударить по бюджету малого бизнеса.
Проверки Роскомнадзора. Отсутствие сведений о вашей компании в реестре операторов — повод для надзорного органа вас проверить. Роскомнадзор может инициировать внеплановую проверку, особенно если поступят жалобы от граждан на ваше обращение с их данными В ходе проверки инспекторы запросят всю документацию по персональным данным, изучат сайт на наличие политики конфиденциальности и форм согласия, убедятся, что вы устранили нарушение (подали уведомление). По итогам проверки обычно выдается предписание — документ с требованием устранить выявленные нарушения в определенный срок. Если и предписание проигнорировать, последует отдельная ответственность за его невыполнение (еще один штраф или другие меры).
Блокировка сайта или сервиса. В крайних случаях регулятор может прибегнуть к радикальным методам. Если оператор продолжает работать с данными незаконно и, например, собирает их через веб-сайт или приложение, Роскомнадзор вправе приостановить доступ к этому ресурсу Проще говоря, ваш сайт могут заблокировать, занеся в реестр нарушителей, до тех пор, пока требования закона не будут выполнены. Для онлайн-бизнеса это практически остановка деятельности.
Репутационные потери. Даже если удастся избежать крупных штрафов и блокировок, работа с персональными данными без регистрации подрывает доверие к бизнесу. Информация о том, что компания не значится в официальном реестре операторов, насторожит грамотных клиентов и партнеров К тому же все чаще при заключении контрактов (особенно с госучреждениями) отдельным пунктом требуют, чтобы подрядчик был внесен в реестр Роскомнадзора. Если этого нет, организация просто не сможет сотрудничать — ее дисквалифицируют на этапе проверки контрагента Таким образом, игнорирование уведомления — это не только юридическое нарушение, но и удар по деловой репутации.
Вывод: штрафы и прочие санкции за нарушение требований закона о ПДн теперь настолько серьезны, что проще выполнить обязанность и спать спокойно, чем пытаться скрываться. Тем более что привести все в порядок можно довольно быстро — лучше сделать это добровольно, чем под принуждением надзорных органов.
Как исправить ситуацию, если уведомление не подавалось вовремя
Допустим, вы осознали, что должны были уведомить Роскомнадзор, но не сделали этого в срок. Что теперь делать, чтобы минимизировать проблемы? Ниже — пошаговый план действий для «опоздавших» операторов персональных данных:
⚡ Срочно подайте уведомление. Не откладывайте больше. Даже если срок уже нарушен, чем раньше вы зарегистрируетесь, тем лучше. Надзорный орган ценит, когда компания добровольно устраняет нарушение, пусть и с опозданием. Это может сыграть вам на руку при принятии решения о наказании В некоторых случаях, если нарушение совершено впервые, Роскомнадзор может ограничиться предупреждением вместо штрафа — при условии, что вы сами быстро исправились
🤝 Не скрывайте прошлое нарушение. Если контролеры уже заинтересовались вашей компанией — например, направили запрос или пришло предписание — не пытайтесь отрицать вину. Лучшей стратегией будет официально признать факт нарушения и сообщить, что уведомление уже подано (или вы отправили его и можете предоставить копию) Открытость и сотрудничество с регулятором смягчают ответственность. В протоколе об административном правонарушении и при назначении штрафа учитывается, что вы добровольно приняли меры к compliance (степень вины снижается).
📑 Наведите порядок в документах. Пока идет процесс включения в реестр, подготовьте или обновите весь пакет внутренних документов по защите персональных данных. У вас должны быть актуальные: политика обработки ПДн, положение о хранении и защите данных, приказы о назначении ответственных, формы согласий, журналы учета обращений субъектов и т.д. Перечень документов зависит от специфики деятельности, но в любом случае они нужны. Если придет проверка, наличие проработанных локальных актов сыграет в вашу пользу — вы покажете добросовестность и снижаете риски максимальных штрафов.
🌐 Проверьте сайт и процессы. Проведите аудит своего веб-сайта и IT-систем на соответствие требованиям закона. Убедитесь, что на сайте опубликована грамотная политика конфиденциальности, стоят галочки-согласия при сборе данных, подключены необходимые меры защиты (SSL-сертификат, капча и пр.). Исправьте выявленные нарушения сейчас, до визита Роскомнадзора. Это важная часть «уборки» — нередко надзор проверяет не только факт подачи уведомления, но и общий уровень соблюдения 152-ФЗ. Лучше, если в момент проверки у инспектора не возникнет дополнительных вопросов и замечаний.
✉️ Подготовьте ответ на предписание (если есть). В случае, когда Роскомнадзор уже вынес вам предписание (например, с требованием подать уведомление или устранить иные нарушения), нужно написать грамотный ответ. В нем следует отчитаться об исполнении: указать, что уведомление направлено (приложить копию или реквизиты отправки), перечислить меры, которые вы приняли для приведения деятельности в соответствие закону (обновили политику, настроили защиту на сайте и т.д.). Ответ лучше составлять юридически корректно, со ссылками на выполненные действия — это окончательно подтвердит вашу благонадежность в глазах контролеров.
На заметку: если вы чувствуете, что справиться своими силами трудно, можно привлечь специалистов. К примеру, эксперты «Роском 24» готовы помочь бизнесу комплексно выйти из «группы риска». Специалисты сервиса проведут полный аудит сайта на наличие нарушений и уязвимостей, подготовят обоснованный ответ на предписание Роскомнадзора, а также сформируют весь недостающий пакет документов (политики, положения, приказы и др.). Даже если вы немного опоздали с уведомлением, еще не поздно все исправить и избежать максимальных штрафов — при поддержке профессионалов это сделать гораздо проще.
Распространенные ошибки при уведомлении и работе с данными
Даже добросовестные компании иногда допускают ошибки при подаче уведомления или соблюдении законодательства о персональных данных. Вот несколько типичных ошибок, которых следует избегать:
Использование устаревшей формы уведомления. Если вы подавали уведомление давно (до 2023 года), велика вероятность, что форма уже не актуальна. В 2022 году Роскомнадзор обновил форму уведомления: теперь в ней указываются цели обработки, место хранения базы и пр., а старые графы (например, перечень информационных систем) упразднены Убедитесь, что вы заполнили именно новую форму (действующую с 01.02.2023). Если ранее отправляли уведомление по старому образцу, необходимо подать корректирующее уведомление по новой форме, чтобы данные о вашем предприятии в реестре были приведены в соответствие с текущими требованиями.
Несоответствие между уведомлением и фактической практикой. Еще одна распространенная проблема — когда компания уведомила Роскомнадзор об одних сведениях, а на деле обрабатывает другие данные или цели отличаются. Например, в уведомлении могли не указать, что происходит трансграничная передача данных, или забыли вписать какую-то категорию персональных данных. Все, что вы фактически делаете с ПДн, должно найти отражение и в уведомлении, и во внутренних политиках. Иначе при проверке всплывет несоответствие, и это может трактоваться как нарушение (неполное уведомление или несоблюдение заявленной политики).
Непредоставление изменений в РКН. Бизнес — живой организм: меняются адреса офисов, появляются новые категории собираемых данных, сменяются ответственные сотрудники. Нередко про эти изменения забывают сообщить в Роскомнадзор. Но закон требует уведомлять об изменении ранее поданных сведений в 10-дневный срок. Например, назначили нового ответственного за ПДн — отправьте дополнение с его ФИО и контактами; начали собирать биометрические данные — добавьте эту категорию в сведения. Иначе ваш реестр данных устаревает, что тоже грозит штрафом.
Самоустранение от обязанности в надежде на исключение. Некоторые руководители ошибочно полагают, что их компания не должна уведомляться: «Мы же только сотрудниками занимаемся» или «У нас всего 10 клиентов, кому мы интересны?». Подобные заблуждения опасны. Как отмечалось, с сентября 2022 года почти всех коммерческих операторов обязали уведомлять Роскомнадзор, убрав прежние лазейки. А размер компании или объем данных не освобождает от требований закона. Поэтому не стоит искать оправдания, лучше выполните обязанность и продолжайте спокойно вести бизнес.
Дополнительные важные моменты для операторов ПДн
Уведомление подается однократно. Если вы уже внесены в реестр операторов персональных данных и ваши данные актуальны, повторно уведомлять Роскомнадзор не нужно. Никаких ежегодных отчетов или продлений регистраций законом не предусмотрено. Главное — поддерживать информацию в реестре в актуальном состоянии, уведомляя об изменениях.
Если прекращаете работу с данными — сообщите об этом. Закон № 152-ФЗ обязывает операторов подать отдельное уведомление о прекращении обработки персональных данных. Это нужно сделать в течение 10 рабочих дней после того, как вы полностью перестали работать с ПДн Роскомнадзор в течение 30 дней исключит вашу запись из реестра. Этот шаг часто забывают, но он важен: если компания больше не действует как оператор, лучше официально снять с себя эту обязанность, чтобы не нести лишней ответственности.
Роскомнадзор не уведомляет вас о регистрации. После подачи уведомления не ждите письма или звонка с подтверждением. Проверять включение в реестр нужно самостоятельно, как мы упоминали выше Зайдите через несколько недель на сайт Роскомнадзора и убедитесь, что ваша организация появилась в базе.
Бесплатная помощь от регулятора. На портале персональных данных (pd.rkn.gov.ru) доступны методические рекомендации и ответы на часто задаваемые вопросы для операторов. Если сомневаетесь, как заполнить тот или иной пункт уведомления или нужно разъяснение норм — загляните в эти материалы или проконсультируйтесь со специалистами.
Выгода от соблюдения закона. Регистрация в Роскомнадзоре — это не только обязанность, но и своего рода знак качества. Наличие вашей компании в реестре может повысить доверие клиентов. Вы демонстрируете, что открыто ведете деятельность и заботитесь о безопасности данных. В современных условиях конкурентное преимущество получает тот, кто ведет бизнес прозрачно и легально.
Как выполнить требования Роскомнадзора в 2025 году?
📌 Скачайте бесплатный чек-лист «Как выполнить требования Роскомнадзора в 2025 году?» по ссылке. В этом чек-листе вы найдете пошаговый перечень мер для полного соответствия закону о персональных данных и защиты бизнеса от штрафов. Используйте его, чтобы проверить, все ли выполнено в вашей организации и что еще нужно сделать, чтобы требования 152-ФЗ были учтены на 100%. Это простой и понятный гид, который поможет избежать штрафов до 1,5 млн руб. и обезопасить ваш бизнес.
Адресно решить вопросы с регистрацией оператора ПДн и соблюдением всех норм поможет «Роском 24» — ваш эксперт в сфере персональных данных. Будьте уверены: выполнив требования Роскомнадзора, вы защитите не только своих клиентов, но и свой бизнес от серьезных рисков. 🎯
Как соответствовать закону о персональных данных в 2025 г. и избежать штрафов до 1,5 млн рублей?
Скачайте бесплатный чек-лист по выполнению требований Роскомнадзора
После ознакомления менеджер свяжется с вами для разъяснения всех деталей
