Регистрация в Роскомнадзоре: обязательные шаги и документы с 30.05.2025

Что нужно знать организации, какие документы необходимо внедрить и процедуры выполнить

Сначала разрабатываются и внедряются внутренние документы компании, касающиеся работы с персональными данными (ПДн), потом направляется уведомление о начале обработки данных. При подаче уведомления оператор уже должен указать в нем перечень документов, которые готовятся и утверждаются заранее для организации системы работы с персональными данными в соответствии с ФЗ от 27.07.2006 №152-ФЗ.

Точный список обязательных документов зависит от нескольких факторов: вида деятельности, численности персонала, наличия и количества сайтов, объемов обрабатываемых персональных данных и др. В среднем требуется от 30 до 60 документов. 

С 30.05.2025 за отсутствие регистрации в Роскомнадзоре всем юрлицам грозит штраф до 300 000 рублей. Кроме того, в статью 13.11 КоАП РФ добавлено 8 новых составов правонарушений с повышенными штрафами за нарушения в сфере обработки персональных данных.

Какие шаги должна предпринять организация, чтобы соблюдать законодательство о персональных данных и избежать крупных штрафов:

• Разработать и утвердить Политику обработки ПДн.
• Подготовить и принять локальные нормативные акты (приказы, инструкции, журналы, регламенты и др.), формирующие систему работы с ПДн в организации.
• Составить Уведомление о начале обработки персональных данных и отправить его в Роскомнадзор.
• Зарегистрироваться в Роскомнадзоре. 
• Систематически проверять документы на соответствие законодательству. Этот пункт критически важен: если, например, у компании появится новый сайт или изменится деятельность, а документы не будут своевременно обновлены, это повлечет штрафные санкции.
• Организовать строгое соблюдение правил работы с персональными данными во всех подразделениях (бухгалтерия, HR, маркетинг, клиентский сервис, продажи, IT и др.). Без этого все предыдущие усилия теряют смысл, а компания рискует получить крупный штраф.

Требования к сайтам организации, чтобы избежать блокировки и штрафов за несоблюдение новых правил Роскомнадзора

Все компании, у которых есть сайт, обязаны выполнить следующие требования:

• Публикация на сайте актуальной версии Политики оператора по обработке персональных данных, политики конфиденциальности, согласия на обработку ПДн.
• Во всех формах сбора данных (обратная связь, заявки и т. д.) должно быть явное согласие пользователя на обработку персональных данных.
• Отдельное уведомление о сборе Cookie с возможностью отказа.
• Указание обязательных реквизитов — данных организации (владельца сайта).
• Соответствие товаров/услуг на сайте заявленным кодам ОКВЭД компании.
• Исключить нарушения в области трансграничной передачи данных. 

Запрещено использование иностранных сервисов, обрабатывающих персональные данные через интернет — это считается трансграничной передачей данных, она согласовывается с Роскомнадзором. Необходим юридический и технический аудит сайта, так как нарушения могут скрываться в коде (например, остатки интеграции с Google-сервисами).

Важно учитывать, что Роскомнадзор внедрил автоматизированную систему контроля на основе ИИ и алгоритмов, которая массово проверяет сайты на соответствие требованиям.

Какие могут быть риски:

• Штрафы до 18 млн рублей за трансграничную передачу данных;
• Блокировка ресурса из-за скрытых нарушений (например, «потерянных» фрагментов кода, подключающих запрещенные сервисы).

Проведите комплексный аудит сайта — не только правовой, но и технический. Внешние исправления недостаточны: новые алгоритмы Роскомнадзора выявляют даже неочевидные нарушения, невидимые при ручной проверке.

Примечание: Раньше контроль требовал участия специалистов ведомства, но теперь процесс полностью автоматизирован, что увеличивает риски для организаций, которые пренебрегли комплексной проверкой. 

Почему аудит нужен уже сейчас

На это есть несколько причин:

• После получения Предписания Роскомнадзора у компании есть всего 10 дней на подготовку и утверждение всей документации или исправление ошибок для уже зарегистрированных операторов. В этот сжатый срок зачастую тяжело выполнить все требования. 
• Даже после устранения нарушений по Предписанию нет гарантий, что компанию не оштрафуют — в большинстве случаев размер штрафа могут только снизить в рамках соответствующей статьи.
• Роскомнадзор проводит регулярные выборочные проверки корпоративных сайтов. Ежедневно осуществляется сотни таких проверок, поскольку сайт компании служит наглядным отражением ее работы с персональными данными. Такие проверки теперь выполняются с помощью автоматизированных алгоритмов, без участия человека.
• Размеры штрафов существенно выросли и составляют от 300 000 до 18 000 000 рублей), а с 30.05.2025 контроль за нарушениями станет еще более строгим.