Уведомление в Роскомнадзор об обработке персональных данных: как зарегистрироваться и избежать штрафов ⚡

Подавать уведомление о начале обработки персональных данных должны практически все организации и ИП, которые работают с данными физических лиц. Это требование закреплено в законе № 152-ФЗ (ст. 22) — до начала обработки данных оператор обязан уведомить уполномоченный орган (Роскомнадзор) о своем намерении работать с персональными данными[1]. Если у вас есть сотрудники, клиенты-физлица или вы собираете данные пользователей, вы являетесь оператором ПДн, и закон обязывает вас уведомить Роскомнадзор о начале обработки этих данных. Ниже перечислены основные случаи, когда уведомление Роскомнадзору обязательно:

• Организации и ИП, собирающие данные клиентов или сотрудников. Например, анкеты покупателей, формы обратной связи на сайте, подписки на рассылку, учет персонала, системы видеонаблюдения и т.д. Если вы храните или систематизируете данные физических лиц — это требует уведомления.

• Владельцы сайтов и онлайн-сервисов. Интернет-магазины, мобильные приложения, любые ресурсы, где пользователь оставляет свои персональные данные (имя, email, телефон и др.), обязаны пройти регистрацию.

• Бизнес, передающий персональные данные третьим лицам. Например, вы пользуетесь услугами колл-центра, CRM-системы или службы доставки и передаете им сведения о клиентах — это тоже подпадает под обязанность уведомления, поскольку происходит обработка и передача данных.

• Компании, обрабатывающие особые категории данных. Если в вашей деятельности затрагиваются чувствительные данные: сведения о здоровье (медицинские данные), биометрия (отпечатки, фото), информация о политических взглядах, религиозных убеждениях, национальности и пр., контроль особенно строгий. Таким операторам ПДн тем более необходимо официально заявить о своей деятельности.

Однако законом предусмотрены исключения. В части 2 статьи 22 № 152-ФЗ описаны ситуации, когда можно обрабатывать персональные данные без уведомления Роскомнадзора:

1. Госоператоры. Организации, чьи базы входят в государственные информационные системы персональных данных, созданные для обеспечения государственной безопасности или общественного порядка.

2. Без автоматизации. Обработка данных без использования средств автоматизации (то есть исключительно вручную, на бумаге). Например, если все персональные данные вы храните только в бумажных журналах, не в компьютере.

3. Транспортная безопасность. Операторы, обрабатывающие персональные данные в рамках законодательства о транспортной безопасности — для обеспечения устойчивой и безопасной работы транспорта.

⚠️ Важно: до выполнения этой обязанности нельзя законно работать с личными данными. Проще говоря, не уведомив Роскомнадзор, компания не имеет права собирать и хранить данные клиентов или сотрудников. За нарушения грозят серьезные последствия, о которых расскажем ниже.

Простая подача уведомления — это еще не все требования Роскомнадзора. Перед регистрацией необходимо подготовить внутренние документы по работе с персональными данными. Организация должна заранее разработать и утвердить ряд локальных актов, которые подтвердят, что вы соблюдаете требования закона № 152-ФЗ. Без этих документов не стоит отправлять уведомление — при проверке Роскомнадзор потребует их, и если ничего не готово, штрафы неизбежны.

Основные документы для работы с ПДн:

• Политика оператора в отношении обработки персональных данных. Ключевой документ, описывающий цели обработки, состав ПДн, порядок их защиты и т.д.

• Приказы и положения по персональным данным. Например, приказ о назначении ответственного за обработку ПДн, перечень должностных лиц, допущенных к работе с данными, положения о защите и хранении данных.

• Согласия и уведомления субъектов ПДн. Бланки согласий на обработку персональных данных от клиентов, образцы уведомления об использовании данных (cookie-файлов, рассылки и пр.) на сайте.

• Журналы и реестры. Журнал учета обращений субъектов ПДн, журнал выдачи и уничтожения персональных данных, акты об уничтожении данных и прочее.

В зависимости от специфики вашей деятельности список документов может включать от десятка до нескольких десятков позиций. Все эти бумаги должны быть не «для галочки», а отражать реальную работу с данными. Правильно подготовленные документы нужны не только для начала обработки ПДн, но и сильно облегчат прохождение возможной проверки Роскомнадзора.

Когда все необходимые документы у вас на руках, можно переходить непосредственно к процедуре регистрации. По сути, речь идет об отправке уведомления оператором персональных данных. Рассмотрим, как это сделать шаг за шагом.

1. Соберите информацию для уведомления. Прежде чем заполнять форму, соберите необходимые данные о вашей организации и планируемой обработке персональных данных. Вам понадобятся: официальные реквизиты компании/ИП (наименование, адрес, ИНН и т.п.), контактные данные ответственного за обработку лица, цели обработки персональных данных, категории субъектов (клиенты, сотрудники, пользователи сайта и пр.) и сами категории данных, которые вы собираете, перечень мер защиты данных, сведения о месте хранения базы данных (страна и адрес сервера). Также подготовьте свои внутренние документы по защите данных: политику обработки ПДн, образцы согласий, приказ о назначении ответственного и др. Эти локальные акты не отправляются в Роскомнадзор вместе с уведомлением, но должны быть у вас — при проверке их спросят, и часть информации из них пригодится для заполнения формы.

2. Заполните форму уведомления. Роскомнадзор утвердил единую форму уведомления (📄 приказ № 180 от 28.10.2022). Проще всего заполнить ее в электронном виде на портале персональных данных (специальный ресурс pd.rkn.gov.ru) — там есть онлайн-форма, которая поможет избежать ошибок. ⚙️ Альтернатива: скачать бланк уведомления (актуальный с февраля 2023 года) с сайта Роскомнадзора, заполнить его на компьютере или от руки, распечатать и подписать. Указывать нужно все собранные на предыдущем шаге сведения. Будьте внимательны: если при заполнении допущена ошибка (например, неточность в адресе или названии организации), ее придется исправить, направив затем корректирующее уведомление.

3. Отправьте уведомление в Роскомнадзор. При электронной подаче на сайте РКН все происходит онлайн — после заполнения вы подписываете уведомление электронной подписью и отправляете нажатием кнопки[15]. При подаче на бумаге — отнесите подписанный документ в территориальное управление Роскомнадзора или отправьте почтой с описью вложения. В обоих случаях Роскомнадзор зарегистрирует ваше уведомление и внесет сведения о компании в Единый реестр операторов персональных данных. Если уведомление подает представитель по доверенности, приложите копию доверенности (для электронной формы — прикрепите файл с ЭЦП).

4. Проверьте себя в реестре спустя 30 дней. Роскомнадзор не высылает отдельного подтверждения, что вашу организацию включили в реестр операторов ПДн. Согласно регламенту, рассмотрение уведомления занимает до 30 дней (при электронном обращении обычно быстрее). По истечении этого срока рекомендуется зайти на сайт Роскомнадзора и найти свою компанию в реестре по названию или ИНН. Если запись появилась — вы официально зарегистрированы, задача выполнена ✅ (если записи нет по прошествии месяца, стоит уточнить статус в своем управлении РКН).

5. Обновляйте сведения при изменениях. Это не разовое действие, а правило на будущее. Если после подачи уведомления у вас поменялся адрес, ответственное лицо, цели обработки или иные данные, которые вы сообщали Роскомнадзору — необходимо отправить уведомление об изменении сведений (корректирующее уведомление). Также, если вы прекратили работу с персональными данными, закон обязывает в течение 10 рабочих дней сообщить об этом Роскомнадзору, чтобы компанию исключили из реестра. Такие уведомления подаются аналогично через сайт или письмом. Проще говоря, поддерживайте информацию в реестре актуальной, чтобы оставаться в рамках закона.

Совет: электронная форма на сайте Роскомнадзора во многом упростила процесс и снижает риск ошибок при заполнении. Она содержит подсказки и готовые варианты в выпадающих списках. Рекомендуется пользоваться именно ею. Но даже электронная система не гарантирует 100% защиты от неточностей — внимательно проверяйте введенные данные перед отправкой.

Неудивительно, что закон суров к тем, кто игнорирует требования по персональным данным — ведь на кону приватность и безопасность граждан. Отсутствие уведомления о начале обработки ПДн рассматривается как административное правонарушение и влечет штраф, а при злостном уклонении возможны и другие меры воздействия. Рассмотрим основные последствия, которые ожидают оператора, не зарегистрировавшегося в Роскомнадзоре:

• Штрафы по КоАП. Как уже сказано, теперь за неуведомление Роскомнадзора организации и предприниматели рискуют получить штраф до 300 000 рублей (ст. 13.11 КоАП). Минимальные пороги – 100 тыс. для юрлиц/ИП и 50 тыс. для должностных лиц, максимум — 300 тыс. (для повторных случаев штрафы еще выше). Ранее максимальный штраф для бизнеса был всего 50 000 руб., то есть санкции выросли многократно. Такая мера может серьезно ударить по бюджету малого бизнеса.

• Проверки Роскомнадзора. Отсутствие сведений о вашей компании в реестре операторов — повод для надзорного органа вас проверить. Роскомнадзор может инициировать внеплановую проверку, особенно если поступят жалобы от граждан на ваше обращение с их данными. В ходе проверки инспекторы запросят всю документацию по персональным данным, изучат сайт на наличие политики конфиденциальности и форм согласия, убедятся, что вы устранили нарушение (подали уведомление). По итогам проверки обычно выдается предписание — требование устранить выявленные нарушения в определенный срок. Если предписание проигнорировать, последует отдельная ответственность за его невыполнение (еще один штраф или другие меры).

• Блокировка сайта или сервиса. В крайних случаях регулятор может прибегнуть к радикальным методам. Если оператор продолжает работать с данными незаконно и, например, собирает их через веб-сайт или приложение, Роскомнадзор вправе через суд добиваться ограничения доступа к этому ресурсу. Проще говоря, ваш сайт могут заблокировать, занеся в реестр нарушителей, до тех пор пока требования закона не будут выполнены. Для онлайн-бизнеса это практически остановка деятельности.

• Репутационные потери. Даже если удастся избежать крупных штрафов и блокировок, работа с персональными данными без регистрации подрывает доверие к бизнесу. Информация о том, что компания не значится в официальном реестре операторов, насторожит грамотных клиентов и партнеров. К тому же все чаще при заключении контрактов (особенно с госучреждениями) отдельным пунктом требуют, чтобы подрядчик был внесен в реестр Роскомнадзора. Если этого нет, организацию просто не допустят до сотрудничества — ее дисквалифицируют на этапе проверки контрагента. Таким образом, игнорирование уведомления — это не только юридическое нарушение, но и удар по деловой репутации.

Вывод: штрафы и прочие санкции за нарушение закона о ПДн теперь настолько серьезны, что проще выполнить обязанность и спать спокойно, чем пытаться скрываться. Тем более что привести все в порядок можно довольно быстро — лучше сделать это добровольно, чем под принуждением надзорных органов.

Допустим, вы осознали, что должны были уведомить Роскомнадзор, но не сделали этого в срок. Что теперь делать, чтобы минимизировать проблемы? Ниже — пошаговый план действий для «опоздавших» операторов персональных данных:

1. ⚡ Срочно подайте уведомление. Не откладывайте больше. Даже если срок уже нарушен, чем раньше вы зарегистрируетесь, тем лучше. Надзорный орган ценит, когда компания добровольно устраняет нарушение, пусть и с опозданием. Это может сыграть вам на руку при принятии решения о наказании. В некоторых случаях, если нарушение совершено впервые, Роскомнадзор может ограничиться предупреждением вместо штрафа — при условии, что вы сами быстро исправились.

2. Не скрывайте нарушение. Если контролеры уже заинтересовались вашей компанией — например, направили запрос или вынесли предписание — не пытайтесь отрицать вину. Лучшей стратегией будет официально признать факт нарушения и сообщить, что уведомление уже подано (или вы отправили его и можете предоставить копию). Открытость и сотрудничество с регулятором смягчают ответственность. В протоколе об административном правонарушении и при назначении штрафа учитывается, что вы добровольно приняли меры к compliance (степень вины снижается).

3. Наведите порядок в документах. Пока идет процесс включения в реестр, подготовьте или обновите весь пакет внутренних документов по защите персональных данных. У вас должны быть актуальные: политика обработки ПДн, положение о хранении и защите данных, приказы о назначении ответственных, формы согласий, журналы учета обращений субъектов и т.д. Перечень документов зависит от специфики деятельности, но в любом случае они нужны. Если придет проверка, наличие проработанных локальных актов сыграет в вашу пользу — вы покажете добросовестность и снижаете риски максимальных штрафов.

4. Проверьте сайт и процессы. Проведите аудит своего веб-сайта и IT-систем на соответствие требованиям закона. Убедитесь, что на сайте опубликована грамотная политика конфиденциальности, стоят галочки-согласия при сборе данных, подключены необходимые меры защиты (SSL-сертификат, CAPTCHA и пр.). Исправьте выявленные нарушения сейчас, до визита Роскомнадзора. Это важная часть «уборки» — нередко надзор проверяет не только факт подачи уведомления, но и общий уровень соблюдения 152‑ФЗ. Лучше, если в момент проверки у инспектора не возникнет дополнительных вопросов и замечаний.

5. ✉️ Подготовьте ответ на предписание (если есть). В случае, когда Роскомнадзор уже вынес вам предписание (например, с требованием подать уведомление или устранить иные нарушения), нужно написать грамотный ответ. В нем следует отчитаться об исполнении: указать, что уведомление направлено (приложить копию или реквизиты отправки), перечислить меры, которые вы приняли для приведения деятельности в соответствие закону (обновили политику, настроили защиту на сайте и т.д.). Ответ лучше составлять юридически корректно, со ссылками на выполненные действия — это окончательно подтвердит вашу благонадежность в глазах контролеров.

Даже добросовестные компании иногда допускают ошибки при подаче уведомления или соблюдении законодательства о персональных данных. Вот несколько типичных ошибок, которых следует избегать:

• Использование устаревшей формы уведомления. Если вы подавали уведомление давно (до 2023 года), велика вероятность, что форма уже не актуальна. В 2022 году Роскомнадзор обновил форму уведомления: теперь в ней указываются цели обработки, место хранения базы и пр., а старые графы (например, перечень информационных систем) упразднены. Убедитесь, что вы заполнили именно новую форму (действующую с 01.02.2023). Если ранее отправляли уведомление по старому образцу, необходимо подать корректирующее уведомление по новой форме, чтобы данные о вашем предприятии в реестре были приведены в соответствие с текущими требованиями.

• Несоответствие между уведомлением и фактической практикой. Еще одна распространенная проблема — когда компания уведомила Роскомнадзор об одних сведениях, а на деле обрабатывает другие данные или цели отличаются. Например, в уведомлении могли не указать, что происходит трансграничная передача данных, или забыли вписать какую-то категорию персональных данных. Все, что вы фактически делаете с ПДн, должно найти отражение и в уведомлении, и во внутренних политиках. Иначе при проверке всплывет несоответствие, и это может трактоваться как нарушение (неполное уведомление или несоблюдение заявленной политики).

• Неуведомление об изменениях в РКН. Бизнес — живой организм: меняются адреса офисов, появляются новые категории собираемых данных, сменяются ответственные сотрудники. Нередко про эти изменения забывают сообщить в Роскомнадзор. Но закон требует уведомлять об изменении ранее поданных сведений в 10-дневный срок. Например, назначили нового ответственного за ПДн — отправьте дополнение с его ФИО и контактами; начали собирать биометрические данные — добавьте эту категорию в сведения. Иначе ваш реестр данных устаревает, что тоже грозит штрафом.

• Самоустранение в надежде на «исключение». Некоторые руководители ошибочно полагают, что их компания не должна уведомляться: «Мы же только сотрудниками занимаемся» или «У нас всего 10 клиентов, кому мы интересны?». Подобные заблуждения опасны. Как отмечалось, с сентября 2022 года почти всех коммерческих операторов обязали уведомлять Роскомнадзор, убрав прежние лазейки. А размер компании или объем данных не освобождает от требований закона. Поэтому не стоит искать оправдания — лучше выполните обязанность и продолжайте спокойно вести бизнес.

Как видно, соблюдение требований Роскомнадзора — задача комплексная. Нужно учесть все юридические нюансы, правильно оформить документы и вовремя взаимодействовать с ведомством. Если вы хотите сэкономить время и гарантированно выполнить все требования, можно привлечь экспертов. Компания «Роском 24» оказывает полный спектр услуг для работы с персональными данными:

• ⚙️ Подготовка документов по ФЗ-152. Разработаем весь пакет внутренних документов под специфику вашего бизнеса (политики, приказы, положения, согласия и др.).

• 📝 Регистрация в Роскомнадзоре. Возьмем на себя заполнение и подачу уведомления, добьемся внесения вашей организации в реестр операторов ПДн.

• 🔍 Юридический и технический аудит сайта. Проверим ваш сайт и процессы на соответствие закону о персональных данных, укажем на слабые места и дадим рекомендации по улучшению защиты данных.

• 🤝 Помощь при проверках и предписаниях. Консультируем и готовим ответы на предписания Роскомнадзора, сопровождаем при внеплановых проверках, помогаем минимизировать штрафы и исправить нарушения.

Если останутся вопросы или потребуется помощь в регистрации, смело обращайтесь за консультацией. Специалисты Роском 24 готовы помочь вам на каждом этапе защиты персональных данных. Чтобы получить индивидуальную консультацию или заказать помощь с регистрацией, просто оставьте заявку на официальном сайте «Роском 24». Будьте уверены: выполнив требования Роскомнадзора, вы защитите не только своих клиентов, но и свой бизнес от серьезных рисков ✅.

Как соответствовать закону о персональных данных в 2025 г. и избежать штрафов до 1,5 млн рублей?

Скачайте бесплатный чек-лист по выполнению требований Роскомнадзора

После ознакомления менеджер свяжется с вами для разъяснения всех деталей

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Реклама: ООО «ОНЛАЙН УСЛУГИ 24», ИНН 7751227590, erid: 2W5zFFwYgj