С 2025 года требования к уведомлению об обработке персональных данных в России ужесточаются. Все компании, индивидуальные предприниматели, самозанятые и даже физические лица, которые работают с персональными данными, обязаны подать уведомление в Роскомнадзор (РКН) до 30 мая 2025 года. Если этого не сделать, грозят серьезные штрафы — до 300 000 рублей и даже больше при повторных нарушениях. В этой статье разберём, кто именно обязан подавать уведомление, как это сделать правильно.
Кто обязан подавать уведомление в Роскомнадзор?
Если вы:
- нанимаете сотрудников и храните их данные,
- собираете информацию о клиентах и пользователях сайта,
- используете cookie-файлы и метрики,
то вы оператор персональных данных и обязаны подать уведомление в РКН.
Ранее существовало несколько исключений, когда уведомление можно было не подавать, например, если данные обрабатывались вручную. Но с обновлением законодательства список исключений сильно сократился. Сейчас освобождены от уведомления лишь те, кто:
- работает с данными вручную без автоматизации,
- обрабатывает данные в государственных информационных системах безопасности,
- занимается транспортной безопасностью.
Для 99% бизнеса подача уведомления обязательна.
Почему нельзя игнорировать уведомление?
До 30 мая 2025 года за неподачу уведомления штрафы были незначительными — максимум 5 000 рублей, и часто приходили лишь предписания. Но после этого срока вступают в силу новые правила и гораздо более жесткие штрафы:
- от 100 000 до 300 000 рублей для компаний и ИП, которые не подали уведомление,
- до 500 000 рублей при повторном нарушении,
- штрафы для должностных лиц — от 30 000 до 50 000 рублей.
РКН уже объявил о прекращении рассылки предупреждений и намерении усиливать контроль.
Как подать уведомление: пошаговая инструкция
- Подготовьте внутренние документы и процессы:
- Перед подачей уведомления нужно привести в порядок локальные нормативные акты, проверить, как вы собираете и храните персональные данные, обучить ответственных сотрудников.
- Заполните форму уведомления:
- Самый удобный способ — через личный кабинет на сайте Роскомнадзора по адресу https://pd.rkn.gov.ru/operators-registry/notification/form/.
- Подпишите уведомление электронной подписью:
- Для подачи потребуется усиленная квалифицированная электронная подпись (КЭП).
- Отправьте уведомление:
- Рассмотрение занимает до 30 дней. Можно также подать через портал Госуслуг, отправить почтой России или лично в территориальное управление РКН.
Что нужно указать в уведомлении?
- Реквизиты оператора персональных данных (для ИП — ФИО и адрес регистрации, для юрлица — полное название и юридический адрес).
- Цели обработки данных (например, кадровый учет или маркетинг).
- Категории обрабатываемых данных (ФИО, телефон, email и т.д.).
- Категории субъектов данных (сотрудники, клиенты, посетители сайта).
- Правовое основание обработки (например, согласие субъекта или исполнение договора).
- Перечень действий с данными (сбор, хранение, уничтожение и т.п.).
- Способы обработки (автоматизированные, смешанные).
- Меры защиты данных (технические и организационные).
- Контактное лицо, ответственное за обработку данных.
- Сроки обработки данных.
- Информация о трансграничной передаче данных (если есть).
Итог
- Подавать уведомление обязаны все, кто работает с персональными данными, включая ИП и самозанятых.
- Срок подачи — до 30 мая 2025 года.
- За неподачу грозят крупные штрафы.
- Подготовьте внутренние документы и процессы заранее.
- Используйте удобные сервисы, чтобы упростить и обезопасить процесс.
Бизнес без уведомления — под прицелом РКН. Не откладывайте, позаботьтесь о безопасности данных и законности работы уже сегодня.