Уведомление об обработке персональных данных:кто должен подавать и в какие сроки

Индивидуальные предприниматели и компании ежедневно работают с персональными данными (ПДн): нанимают сотрудников, принимают заказы, ведут клиентские базы. Но некоторые не знают, как подать уведомление об обработке персональных данных и что для этого нужно. Мы расскажем обо всем подробно.

Для чего нужно уведомлять Роскомнадзор

Бизнес редко обходится без обработки ПДн людей, за исключением мелких ИП, которые работают самостоятельно с юридическими лицами. Обычно предприниматели все же нанимают сотрудников, заключают договоры с клиентами-физлицами, продвигают товары и услуги, делает маркетинговые рассылки.

Сбор, хранение, систематизация, использование и другие действия с личной информацией называются обработкой ПДн. Это значит, что организации и ИП становятся операторами и должны до начала работы уведомить Роскомнадзор (РКН) о своих намерениях. В результате оператора вносят в реестр РКН. Это дает ведомству больше контроля и способствует снижению случаев утечки ПДн.

Обработка происходит не только офлайн, но и онлайн. Например, нужно направить уведомление, если на сайте есть:

• регистрация в личных кабинетах,
• формы обратной связи,
• онлайн-продажи товаров или заказ услуг,
• использование аналитических сервисов (Яндекс Метрика и другое).

Важно! Если данные собираются с помощью систем, серверы которых находятся за пределами РФ, нужно уведомлять Роскомнадзор и о трансграничной передаче ПДн. Кроме того, с 01.07.2025 года данные в РФ можно будет собирать только с помощью приложений с серверами на территории нашей страны, за некоторыми исключениями. Под запретом окажутся все сервисы Google, мессенджеры WhatsApp, Viber, Telegram и другие.

Получить бесплатную консультацию по регистрации в Роскомнадзоре или подготовке документов для работы с персональными данными

Консультация

Когда не нужно уведомлять РКН

Подать уведомление об обработке персональных данных в РКН обязан каждый оператор, который работает с такими сведениями (ст. 22 ФЗ №152-ФЗ). Но есть исключения, когда уведомлять ведомство необязательно:

1. Обрабатываются ПДн, имеющиеся в ГИС.
2. Сведения собираются и обрабатываются только в бумажном виде, автоматизированные системы не используются.
3. Обработка ПДн нужна для исполнения законов о транспортной безопасности.

Если же ваша компания собирает данные на бумаге, но потом обрабатывает и в электронном виде, это считается смешанным способом обработки, и Роскомнадзор уведомлять нужно.

Срок регистрации в реестре

Уведомить РКН необходимо до начала обработки ПДн. Документ рассмотрят и внесут вашу компанию в реестр в течение 30 дней. Проверить факт регистрации можно на официальном сайте ведомства.

Если в процессе работы поменяются сведения, поданные в РКН — например, юридический адрес оператора или ответственный за обработку ПДн, — нужно подать уведомление об изменении сведений, указанных в первоначальном уведомлении. Это делается не позднее 15 числа месяца, следующего за месяцем, в котором информация была скорректирована.

Как уведомить Роскомнадзор

Заполнить форму и подать уведомление об обработке ПДн можно на сайте РКН. Понадобится УКЭП или подтвержденная учетная запись компании на Госуслугах. Также вы можете оформить уведомление онлайн, а затем распечатать, подписать и представить в территориальное подразделение ведомства.

Перед отправкой необходимо подготовить ряд документов, касающихся работы с ПДн, а также назначить ответственного. Количество документов может достигать 60, поэтому, если у вас нет опыта составления, лучше обратиться к юристам.

Ответственность за неподачу уведомления

С 30 мая 2025 года штраф за непредоставление уведомления об обработке данных повышен до 300 000 рублей. Не стоит рассчитывать на то, что Роскомнадзор об этом не узнает: сейчас все сведения об операторах (зарегистрированных и нет) проверяются в автоматическом режиме, и нарушения выявляются в максимально короткие сроки.

Также увеличен штрафы за другие нарушения ФЗ №152-ФЗ. В некоторых случаях они могут достигать 500 млн рублей. Чтобы этого избежать, обеспечьте все меры защиты ПДн, регулярно проводите технический и правовой аудит — это существенно снизит риски.

Заключение

Каждый оператор обязан отправить в Роскомнадзор уведомление об обработке персональных данных, за исключением нескольких случаев. Если этого не сделать, компанию могут оштрафовать на сумму до 300 000 рублей. Чтобы избежать рисков, проверьте, своевременно составляйте и подавайте все документы. Если сомневаетесь в правильности оформления, обратитесь к юристам — это сэкономит время и деньги.