Кто и когда обязан уведомить Роскомнадзор об обработке персональных данных?

С 30 мая всё изменилось. Если вы до сих пор не уведомили Роскомнадзор о работе с персональными данными — рискуете получить штраф до 300 000 ₽. Многие предприниматели даже не подозревают, что уже нарушают закон. Кто обязан подавать уведомление? Когда и как это сделать правильно? И что будет, если не успеть? Разбираемся в самых важных деталях — коротко, чётко и с полезными ссылками.
Согласно статье 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор персональных данных (ОПД) обязан уведомить Роскомнадзор о своём намерении обрабатывать персональные данные до начала такой обработки. Исключения из этого правила установлены Федеральным законом от 14.07.2022 № 266-ФЗ и касаются следующих случаев:
-
обработка персональных данных осуществляется без использования средств автоматизации;
-
данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
-
обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.
Таким образом, подавляющее большинство операторов персональных данных (юридические лица, индивидуальные предприниматели, самозанятые), включая всех работодателей, обязаны уведомить Роскомнадзор. До выполнения этой обязанности они не имеют права работать с личной информацией граждан.
Как подать уведомление
Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180 и действует с 26 декабря 2022 года. Уведомление можно подать одним из следующих способов:
-
В бумажном виде — распечатать и подать в территориальное отделение Роскомнадзора по месту своей регистрации.
-
Через официальный сайт Роскомнадзора — в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.
-
Через портал Госуслуги — требуется подтверждённая учётная запись. Если уведомление подаётся за организацию, учётная запись должна быть привязана к данной организации на портале Госуслуг.
Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если уведомление было отправлено в бумажном виде, дата отсчитывается с момента его получения территориальным отделением.
Нужно ли уведомлять повторно?
Уведомление Роскомнадзора — разовая процедура. Если ваша компания уже есть в реестре, подавать заявку повторно не требуется. Однако рекомендуется проверить сведения, содержащиеся в Роскомнадзоре, особенно категории персональных данных и категории субъектов персональных данных, указанные в ранее поданном уведомлении. Если какие-либо виды личной информации отсутствуют, например, данные из трудовых правоотношений, необходимо уведомить Роскомнадзор об изменении сведений.
Особенно важно направить корректировку, если уведомление было подано до 26 декабря 2022 года, так как с этой даты изменилась форма уведомления, и ранее предоставленные сведения могут не соответствовать текущим требованиям.
Информационное письмо о корректировке сведений в реестре направляется теми же способами, что и уведомление. Это следует сделать до 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
Как проверить, есть ли вы в реестре Роскомнадзора
-
Перейдите на портал Роскомнадзора.
-
Введите ИНН или название вашей компании.
-
Если сведений в реестре нет, необходимо срочно направить уведомление.
Новые штрафы за неуведомление Роскомнадзора с 30 мая 2025 года
С 30 мая 2025 года вступают в силу изменения в статью 13.11 Кодекса Российской Федерации об административных правонарушениях, предусмотренные Федеральным законом от 30.11.2024 № 420-ФЗ. С этой даты за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных предусмотрены следующие штрафы:
-
для физических лиц и самозанятых — от 5 000 до 10 000 рублей;
-
для должностных лиц — от 30 000 до 50 000 рублей;
-
для индивидуальных предпринимателей и юридических лиц — от 100 000 до 300 000 рублей.
До вступления в силу этих изменений Роскомнадзор применял более мягкие меры — штраф по статье 19.7 КоАП РФ, не превышающий 5 000 рублей для юридических лиц.
Таким образом, с мая 2025 года неуведомление Роскомнадзора рассматривается как серьёзное правонарушение, представляющее значительный риск для бизнеса.