Уведомление об обработке персональных данных: новые правила и риски

Владельцы бизнеса в России столкнулись с новой реальностью: с 30 мая 2025 года нарушение правил обработки персональных данных или размещение недостоверной рекламы могут привести к блокировке сайта и многомиллионным штрафам. Кроме того, существенно выросли штрафы за отсутствие регистрации в Роскомнадзоре (неподанное уведомление об обработке данных). Разберемся, почему важно вовремя направлять такое Уведомление в РКН, как его подать и какими рисками чревато игнорирование новых требований.

Что такое уведомление об обработке персональных данных и зачем оно нужно

Любая организация или ИП, собирающие сведения о клиентах или сотрудниках (то есть операторы персональных данных), по закону обязаны уведомить Роскомнадзор и попасть в его реестр до начала обработки. Только после этого обработка считается законной.

Важно понимать, что практически любая работа с данными граждан подпадает под требования закона. Даже получение от клиента сообщения с личной информацией через мессенджер — это уже обработка ПДн.

Новые правила 2025: обязательное уведомление и регистрация

С 30 мая 2025 года вступили в силу новые правила обработки персональных данных для всех операторов ПДн. Теперь любое юридическое лицо, самозанятый или ИП, а также физическое лицо, планирующие работать с персональными данными, обязаны подать уведомление о начале обработки и включиться в реестр Роскомнадзора. Уведомлять регулятора нужно до начала сбора каких-либо данных — документ подается заранее, а не постфактум.

Одновременно ужесточились и санкции. Ранее за отсутствие регистрации оператора максимальный штраф составлял 5 000 рублей (по старой ст. 19.7 КоАП), теперь штраф может достигать 300 000 рублей. Для юридических лиц и ИП предусмотрены наказания от 100 000 до 300 000 руб., а для должностных лиц — от 30 000 до 50 000 руб.

Помимо штрафов, появились и другие меры. Роскомнадзор получил право блокировать интернет-ресурсы компаний, которые грубо нарушают закон о персональных данных или не выполняют предписания регулятора. Иными словами, если бизнес игнорирует требования, его сайт могут заблокировать до устранения нарушений.

Кто обязан подавать уведомление в Роскомнадзор

Направлять уведомление обязаны практически все, кто так или иначе работает с персональными данными клиентов или сотрудников. Сюда относятся любые организации (от крупного предприятия до малого бизнеса), индивидуальные предприниматели и даже самозанятые. Например, интернет-магазины и сервисы услуг — все они являются операторами ПДн и должны уведомлять регулятора.

Закон предусматривает лишь несколько узких случаев, когда уведомление можно не подавать. Согласно ч. 2 ст. 22 ФЗ-152, не уведомлять Роскомнадзор разрешается, если оператор:

• обрабатывает данные без средств автоматизации (то есть исключительно вручную — например, ведет учет клиентов на бумаге);
• использует данные, уже содержащиеся в государственных информационных системах, созданных для обеспечения государственной или общественной безопасности;
• обрабатывает данные в случаях, предусмотренных законодательством о транспортной безопасности.

Во всех остальных ситуациях — а это подавляющее большинство видов деятельности — уведомление подавать обязательно. Даже самозанятые, если они собирают персональные данные клиентов, должны выполнять эту норму.

Как подать уведомление об обработке данных

Чтобы уведомить Роскомнадзор, оператор заполняет специальную форму и отправляет ее одним из установленных способов. Как подать уведомление об обработке персональных данных на практике:

1. Через интернет: подать электронное уведомление через портал Госуслуг или на сайте Роскомнадзора (потребуется электронная подпись).
2. На бумаге: заполнить форму на бумаге и направить ее в Роскомнадзор почтой (рекомендуется заказным письмом с описью вложения) либо лично через приемную.

Роскомнадзор рассматривает уведомление и в течение 30 дней вносит организацию или ИП в реестр операторов персональных данных. Если форма заполнена с ошибками, регулятор откажет во внесении в реестр, указав причины — тогда нужно исправить недочеты и подать заявление повторно.

Проверить, включена ли ваша компания в реестр, можно на сайте Роскомнадзора: откройте список операторов и найдите свою организацию по ИНН или названию. Если сведений нет, возможно, 30 дней с момента подачи еще не прошло или уведомление не принято из-за ошибок.

Что указать в уведомлении (основные требования)

Форма уведомления утверждена приказом Роскомнадзора № 180 от 28.10.2022 г. Документ содержит подробные сведения об операторе и его работе с данными. Основные из них:

• Данные об операторе: название организации или Ф.И.О. ИП, ИНН, ОГРН/ОГРНИП, адрес регистрации.
• Цели и основания обработки: для чего собираются персональные данные и на каком основании (согласие, договор, требование закона).
• Состав данных и субъекты: какие сведения обрабатываются (например, ФИО, контактные данные, паспортные данные) и чьи данные собираются (клиенты, сотрудники и пр.).
• Способ обработки и защита: как обрабатываются данные (автоматизированно или вручную) и какие меры безопасности применяются (политики, ограничение доступа, шифрование и т.д.).
• Хранение и передача: где хранятся персональные данные (база на территории РФ) и планируется ли их передача за границу (с указанием стран, если да).

Если вы отправляли уведомление раньше, убедитесь, что оно соответствует актуальной форме. С 2023 года действует новая форма — в ней появился раздел «Цели обработки персональных данных» вместо прежнего раздела о перечне информационных систем. Если старое уведомление отправлено по старым правилам, его нужно обновить с учетом новых требований.

Риски и штрафы за неподачу уведомления

Игнорирование обязанности по уведомлению может дорого обойтись. За отсутствие уведомления о начале обработки ПДн теперь грозит штраф до 300 000 руб. для организации или предпринимателя. Даже малому бизнесу за игнорирование правил грозят существенные суммы — закон одинаково применяется ко всем операторам.

Помимо штрафов, возможны и другие санкции. Роскомнадзор может выдать предписание об устранении нарушений — организации придется не только срочно подать уведомление, но и отчитаться о выполнении требований. Если предписание проигнорировать, регулятор вправе приостановить работу вашего сайта до устранения нарушений. Иначе говоря, несоблюдение 152-ФЗ может буквально остановить работу бизнеса, пока нарушения не будут исправлены.

Чтобы не доводить до крайностей, важно изначально соблюдать требования закона. Если контролирующий орган уже вынес предписание, к ситуации нужно отнестись серьезно — от ваших дальнейших действий зависит, последуют ли дополнительные санкции. В таких случаях может потребоваться профессиональная подготовка ответа на предписания Роскомнадзора, чтобы правильно отчитаться перед регулятором и избежать повторных штрафов.

Как избежать ошибок при подаче уведомления

Недостаточно просто отправить уведомление — оно должно быть заполнено без ошибок. На практике именно неправильное заполнение часто мешает операторам попасть в реестр. Вот типичные ошибки при подаче уведомления и как их избежать:

• Некорректные данные о компании. Неточности в названии, ИНН, адресе или отсутствие обязательных сведений (например, не указано ответственное лицо).
• Размытые формулировки. Слишком общие цели («для деятельности») или неполный перечень данных. Цели нужно формулировать конкретно, а список данных и субъектов — максимально полно.
• Шаблонные меры защиты. Копирование типового текста про безопасность. Роскомнадзор ожидает увидеть конкретные меры, действующие именно у вас (шифрование, резервное копирование, ограничение доступа и т.д.), а не общие фразы.

Чтобы убедиться в соблюдении всех норм, рекомендуется провести всестороннюю проверку. Например, желательно выполнить полный аудит бизнеса на соответствие требованиям 152-ФЗ «О персональных данных» и подготовить внутренние документы. Кроме того, полезно проверить и сайт — юридический и технический аудит сайта проверит, опубликована ли политика конфиденциальности, настроено ли уведомление о cookie и соблюдены ли прочие требования закона.

В итоге, соблюдение 152-ФЗ и своевременная подача уведомления — единственный надежный способ избежать штрафов и блокировки сайта.