Уведомление о персональных данных: как нужно подавать в Роскомнадзор

Компании, ИП и даже самозанятые, собирающие контактные данные клиентов или сотрудников, обязаны соблюдать закон о персональных данных. Кто считается оператором ПД и когда нужно уведомлять Роскомнадзор — разбираемся вместе с экспертом.

Персональные данные (ПД) — это любая информация, которая позволяет прямо или косвенно идентифицировать человека. К таким данным относятся: ФИО, паспортные данные, СНИЛС, ИНН, номер телефона, сведения о доходах и другая чувствительная информация (п.3 закона №152-ФЗ «О персональных данных»).

Операторами персональных данных являются не только крупные корпорации, но и практически любой субъект бизнеса: от самозанятых до интернет-магазинов, если они работают с чужими ПД.

Кто считается оператором персональных данных:

• Работодатели. Если у вас есть хотя бы один сотрудник, вы обрабатываете его данные (ФИО, паспорт, ИНН, СНИЛС и т.д.) и отчитываетесь в налоговые и страховые органы.
• Бизнес в интернете. При продаже товаров или услуг через сайт или соцсети вы собираете заявки, заказы, контактные данные — все это ПД.
• Контракты с юрлицами, ИП или самозанятыми. Заключая договор, компании часто запрашивают данные представителя (директора, ИП и др.) — это также персональные данные.
• Обратная связь в соцсетях. Если вы запрашиваете имя, телефон или e-mail, вы уже обрабатываете ПД.
• Оффлайн-сбор данных. Салоны красоты, клиники, частные школы и другие офлайн-бизнесы, собирающие анкетные или контактные данные, тоже обязаны соблюдать требования закона.

Что должен делать оператор персональных данных

Если организация или предприниматель обрабатывает ПД (собирает, хранит, использует, передает и т.д.), она обязана:

• обеспечить защиту данных;
• получить согласие на обработку;
• и уведомить Роскомнадзор о начале обработки данных (ст. 22 закона №152-ФЗ).

Исключения: когда уведомление в Роскомнадзор не требуется

Существуют случаи, когда оператору не нужно подавать уведомление в РКН:

• если данные обрабатываются в рамках государственных информационных систем, например, для обеспечения общественной безопасности;
• если ПД ведутся исключительно в бумажном виде, без цифровой обработки;
• если обработка связана с обеспечением безопасности транспорта (приказ Минтранса РФ от 02.05.2024 №162).

Почему это важно

Невыполнение обязанности уведомить Роскомнадзор может привести к административным штрафам и проверкам. Законодательство о защите персональных данных продолжает ужесточаться, а контроль за соблюдением правил — усиливаться.

До 30.05.2025 г. штрафы там были небольшие  и никого не пугали. 

Новые штрафы за неподачу уведомления с 30.05.2025 г. (внесены поправки к статье 13.11 КоАП РФ, утвержденные законом от 30.11.2024 № 420-ФЗ): 

От 5 000 до 10 000 рублей — для физлиц

От 30 000 до 50 000 рублей — для должностных лиц организаций

От 100 000 до 300 000 рублей — для ИП

От 100 000 до 300 000 рублей — для организаций

Если подать уведомление после начала обработки, штрафа не будет. А вот непредоставление Уведомления — штраф.

Поэтому всем, кто работает с персональными данными в любой форме — от онлайн-торговли до найма сотрудников — необходимо убедиться, что они официально зарегистрированы как операторы ПД и соблюдают требования 152-ФЗ.

Даже если вы просто принимаете заявки через социальные сети или собираете телефоны клиентов на бумаге — вы уже обрабатываете персональные данные и несете за это ответственность.