Уведомления в Роскомнадзор: как подать его после 30 мая и не попасть на штраф. Короткий разбор от юристов
/imgs/2025/05/28/15/6833006/a02a2b97c5529049a3f2792d663c72e7573a901c.jpg)
© Создано при помощи нейросети
Кто попадает под закон и обязан уведомлять Роскомнадзор
Персональные данные — это любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу. Она включает:
- Ф. И. О, дату рождения;
- паспортные данные, ИНН;
- место жительства;
- номер телефона, адрес электронной почты;
- IP-адрес, cookie-файлы (если они позволяют идентифицировать пользователя);
- платёжные данные;
- другая информация, которую вы собираете для идентификации пользователя или выполнения своих задач.
Неважно, собираете ли вы данные временно или постоянно, храните их долгосрочно или нет, передаёте третьим лицам или нет — так или иначе вы осуществляете их обработку и подпадаете под действие закона.
Подавать уведомления в РКН должны:
- те, кто собирает данные от пользователей через лендинги, формы обратной связи;
- те, кто использует трекеры, CRM-системы,
- те, кто пользуется аналитикой, где хранятся или обрабатываются данные пользователей;
- те, кто взаимодействует с Ф. И. О, телефонами, email-адресами, данными о геопозиции или другими сведениями, позволяющими идентифицировать физическое лицо.
Под закон об обработке персональных данных попадают, например, все работодатели и предприниматели, работающие с клиентами.
Также все, кто записывает на приёмы людей через мессенджеры и по телефону, а затем собирает их паспортные данные, тоже должны уведомить РКН — например, частные клиники, бьюти-центры, разъяснил «Секрету» управляющий партнёр юридической фирмы «Виноградов и партнёры» Роман Виноградов.
Операторами обработки персональных данных могут быть не только юрлица, но и самозанятые, и граждане, отмечает юрист.
Это, например, фотографы, кондитеры на дому, мастера по ремонту — они зачастую пользуются формами обратной связи, сайтами-мультиссылками, выкладывают авторизованные отзывы о своей работе и записывают контакты обратившихся к ним людей.
Важно! Уведомить РКН нужно до начала обработки персональных данных. Если вы собираете данные и ещё не послали уведомление, вы уже нарушитель.
Обработка персональных данных допускается без предварительного уведомления Роскомнадзора в очень ограниченном перечне случаев:
- если данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона № 152-ФЗ);
- если оператор обрабатывает данные вручную без использования средств автоматизации (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ);
- если данные обрабатываются в рамках законодательства о транспортной безопасности.
![](data:image/svg+xml;charset=utf-8,<svg height="900px" width="1300px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
© Создано при помощи нейросети
Какие требования по обработке персональных данных должны выполнять самозанятые
У организации, ИП или самозанятого на сайте должна быть размещена политика конфиденциальности — она же политика обработки персональных данных.
Иногда это встраивают в оферту, что юридически возможно, но практически не совсем верно — закон требует, чтобы это было отдельным документом.
На сайтах рядом с формами обратной связи должен быть чек-бокс, где можно поставить галочку согласия на обработку персональных данных.
Просто написать фразу о том, что нажимая кнопку «подписаться», человек соглашается с политикой обработки персональных данных, некорректно: у пользователя должна отсутствовать возможность отправить форму, не проставив галочку, подчёркивает Роман Виноградов.
Есть обязанность и по защите от утечек. Юрист «Кнопки» Антон Чёрный поясняет: чтобы обеспечить безопасность, нужно создать защиту на техническом уровне и юридически оформить обработку:
- получать согласия;
- разместить политику на сайте;
- назначить ответственного;
- определить на уровне локальных нормативных актов порядок хранения и обработки данных.
Какие штрафы грозят самозанятым за нарушение закона об обработке персональных данных
С 30 мая 2025 года вступают в силу изменения в статью 13.11 КоАП о нарушениях в сфере персональных данных. ИП станут нести ответственность наравне с юрлицами, так что штрафы для них вырастут в несколько раз.
За что придётся заплатить:
- за неуведомление Роскомнадзора о начале обработки данных — от 100 000 до 300 000 рублей;
- за утечку данных, если оператор не направлял уведомление в РКН — от 1 млн до 3 млн рублей;
- за обработку данных без согласия — 150 000−300 000 рублей, а при повторном нарушении сумма возрастёт до 300 000−500 000 рублей.
Чтобы не попасть на штраф, важно получать согласия на обработку данных или иметь иное основание для обработки — например, заключённый договор, говорит юрист Антон Чёрный.
Штрафы за утечку данных:
- от 3 млн до 5 млн рублей за маленькие утечки;
- от 5 млн до 10 млн рублей за средние;
- от 10 млн до 15 млн рублей за крупные.
При повторной утечке любого размера штраф будет рассчитан в размере от 1 до 3% выручки за прошлый календарный год, при этом минимальный размер штрафа составит 20 млн рублей, а максимальный — 500 млн рублей.
Есть также персональные данные специальных категорий: расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости.
За утечку специальных данных штраф составит от 10 до 15 млн рублей, а утечка биометрических данных ободётся ещё дороже — от 15 до 20 млн рублей.
Особенно внимательно нужно отнестись к новым штрафам компаниям, основной вид деятельности которых — работа с большими данными и особенно обработка данных физических лиц. Так, если компания занимается парсингом данных граждан из открытых источников, например оценивая риски заключения договоров, — шанс получить штраф кратно возрастает.
Как подать уведомление в Роскомнадзор
-
Распечатать и принести в бумажном виде в территориальное отделение Роскомнадзора.
-
Через сайт Роскомнадзора в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.
-
Через Госуслуги. Для этого нужна подтверждённая учетная запись. Если подаёте уведомление за организацию, то учётная запись должна быть привязана к организации на портале Госуслуг.
Если вы уже подавали уведомление, необходимо проверить его актуальность. Актуальная форма уведомления действует с 1 февраля 2023 года.
Проверьте свою организацию в реестре РКН. Если в вашем уведомлении есть раздел «Список информационных систем и их параметры», значит, оно старое. В новой форме должен быть раздел «Цели обработки персональных данных». Также проверьте актуальность поданной информации.
© Создано при помощи нейросети
Что делать, если нет нужных документов для обработки персональных документов
В интернете можно встретить пугающую информацию, что одного уведомления в Роскомнадзор недостаточно, поскольку при его формировании оператор уже должен иметь ряд документов, отражающих систему работы с персональными данными.
Поэтому к моменту подачи уведомления в идеале необходимо разработать и утвердить не только политику обработки персональных данных, но и локальные акты и иные документы (приказы, инструкции, журналы акты, регламенты и т. д.), которые формируют систему работы организации с персональными данными.
Юрист Роман Виноградов уверяет, что не стоит перелопачивать документы экстренно прямо сейчас или покупать пакеты уже готовых бумаг, которые, быть может, никогда не будут нужны.
Что надо точно сделать: уведомить РКН о начале обработки. Когда будете заполнять форму, продумайте, какие меры вы предпринимаете и предпримете в ближайшее время: например, отметьте, что у вас разработаны положения о порядке работы с персональными данными, разработана политика их обработки и так далее.
Главное — выбрать все возможные цели, которые действительно отвечают деятельности вашей организации. Многие думают, что достаточно проставить цели по профилю работы: например, реклама и привлечение клиентов. Но почему-то забывают, например, что компания одновременно имеет сотрудников, а значит, есть дополнительные цели обработки — для соблюдения требований трудового, налогового и пенсионного законодательства, а также кадрового и бухгалтерского учёта.
Под обработку персональных данных могут попадать не только сотрудники, но и контрагенты, и клиенты, поскольку данные по ним, как правило, фигурируют ещё и внутри системы бухгалтерского учёта. А работая, например, с 1С или облачной CRM, компания передаёт эти данные третьим лицам, которые хранят их на своих серверах или ЦОД. Эти факты важно тоже учитывать, говорит юрист Виноградов.
Отправив уведомление в РКН, необходимо вдумчиво разработать внутренние документы и приказы, не доводя ситуацию до абсурда и никуда не торопясь. Если сложно — привлеките юриста, который поможет составить документы, задав вопросы о характере деятельности и о точках контактов с потенциальными клиентами.
Покупать огромный комплект документов для компании со штатом в условных 10 человек, и уж тем более для небольшого интернет-магазина или соло-ИП, будет избыточно. Таким людям понадобится минимальный набор документов.
Если совсем тревожно, можно просто временно отключить приём форм на сайте, если это не критично и ваш бизнес не живёт ежедневно за счёт входящих заявок.
Сейчас сайт Роскомнадзора попросту «лежит», поскольку перегружен из-за наплыва желающих подать форму: количество заявок выросло в десятки раз. Так что, по мнению экспертов «Секрета», вряд ли РКН с первых чисел июня начнёт срочно разыскивать компании, у которых на сайте отсутствует политика обработки персональных данных.
Впоследствии у РКН может появиться какая-то автоматизированная система, как это есть у налоговиков, которая сможет выявлять сайты, не соответствующие требованиям. Но на это надо время.
Если к вам появятся претензии, можно и нужно настаивать на впервые совершённом административном правонарушении — в этом случае РКН должен ограничиться предупреждением, и особенно это касается тех, кто не успевает подать уведомление до 30 мая.