Уведомление в Роскомнадзор об обработке персональных данных: как, когда и кому подавать в 2025 году
Обработка персональных данных — обязанность, которая касается большинства современных компаний, ИП и даже отдельных специалистов, работающих онлайн и оффлайн. В 2025 году требования к защите персональных данных остаются актуальными и все строже контролируются. Разберем, кому и когда нужно подавать уведомление в Роскомнадзор, как это сделать правильно и избежать штрафов.
Что такое уведомление об обработке персональных данных и зачем оно нужно
Если вы собираете персональные данные (ПД) — имена, телефоны, адреса, электронную почту, IP-адреса пользователей, — вы становитесь оператором ПД в рамках Федерального закона № 152-ФЗ «О персональных данных». Оператор обязан уведомить Роскомнадзор об их обработке.
Это касается как владельцев сайтов, так и офлайн-бизнеса, если вы ведете клиентскую базу или работаете с кадрами. Даже если вы просто собираете заявки через форму обратной связи на сайте, закон уже действует.
Уведомление — это официальный документ, в котором вы сообщаете, какие данные собираете, как их обрабатываете, где храните и кто имеет к ним доступ.
Штрафы за несоблюдение требований
С 30 мая 2025 года в силу вступили изменения в ст. 13.11 КоАП РФ, которые ужесточают ответственность операторов ПД:
до 300 000 рублей — за отсутствие уведомления об обработке персональных данных;
до 500 000 рублей — за неполную или недостоверную информацию в уведомлении;
до 18 000 000 рублей — за серьезные нарушения, включая утечку данных, нарушение согласия или обработку без правового основания.
Важно: если Роскомнадзор выносит предписание об устранении нарушений, у вас есть только 10 календарных дней на приведение сайта и документов в соответствие. Это крайне сжатые сроки, особенно если нужно переработать сайт или подготовить внутренние регламенты. Более того, даже устранение нарушений не гарантирует освобождения от штрафа — это лишь может повлиять на его размер.
Проверки осуществляются в автоматическом режиме с использованием ИИ — это делает контроль массовым и выборочным. Основания или согласие на проверку не требуются.
Кто обязан подавать уведомление в Роскомнадзор, а кто — нет
Подача уведомления обязательна, если:
вы собираете данные с сайта (через формы, корзины, подписки);
ведете клиентскую или кадровую базу;
используете email-рассылки, CRM, мессенджеры для сбора информации;
данные обрабатываются для заключения и исполнения договора;
отсутствует автоматизированная обработка и хранение данных;
нет передачи данных третьим лицам;
вы работаете без сотрудников и сайта.
Однако даже ИП без сотрудников с формой обратной связи или подпиской на сайте подпадают под обязанность уведомления.
Важно!
Уведомление подается до начала обработки персональных данных.
Если данные уже обрабатываются, а уведомление не направлено, необходимо подать его немедленно. Ретроспективно «задним числом» это сделать нельзя, и наличие даже простой формы обратной связи на сайте без уведомления считается нарушением.
Убедитесь, что ваш сайт соответствует требованиям законодательства:
Разместите политику обработки ПД.
Добавьте формы согласия (чекбоксы, уведомления).
Настройте HTTPS, защиту от утечек, разграничение прав доступа к данным.
Проверьте, отражены ли все категории данных, которые собираются.
В случае изменений — подавайте обновленное уведомление.
Ведите учет событий обработки ПД: кто, когда, по какому основанию получил доступ.
Что делать, если нет возможности подать уведомление сразу
Отключите формы заявок, обратной связи, подписки
Удалите скрипты аналитики, виджеты чатов, cookies
Разместите на сайте временное уведомление, что сбор данных приостановлен до подачи уведомления
Не передавайте данные в CRM или другим сервисам до регистрации
Чек-лист: как проверить, соответствует ли ваш сайт требованиям Роскомнадзора
Документы на сайте
Политика обработки персональных данных размещена на сайте, доступна с любой страницы, оформлена согласно требованиям ст. 18.1 ФЗ-152.
В политике указано: — цели обработки ПД; — перечень собираемых данных; — сроки хранения; — меры защиты; — правовые основания (согласие, договор); — контакты оператора (ИП/ООО) с ИНН и ОГРН.
Формы на сайте
Все формы обратной связи, заявок, подписок содержат чекбокс или явную фразу о согласии на обработку ПД.
Форма не отправляется, пока пользователь не поставит галочку согласия.
В формах указано, кому и с какой целью передаются данные, если используются внешние сервисы (CRM, e-mail-рассылки, мессенджеры).
Есть отдельное согласие на передачу данных третьим лицам, если это предусмотрено.
Технические требования
Установлен SSL-сертификат (HTTPS), безопасное соединение отображается замком в адресной строке.
Установлен баннер согласия на cookie, если сайт использует cookie-файлы и трекеры (включая Google Analytics, Яндекс.Метрику и другие).
До получения согласия cookie не устанавливаются (или заблокированы через скрипт).
IP-адреса, геолокация, действия пользователя не отслеживаются до получения согласия (если используются скрипты аналитики).
Защита данных и организационные меры
В компании есть ответственный за обработку ПД, назначенный приказом.
Все сотрудники, имеющие доступ к ПД, подписали обязательство о неразглашении и ознакомлены с внутренним регламентом.
Реализованы меры защиты: разграничение доступа, антивирус, резервное копирование, настройка прав в CRM.
Данные не хранятся дольше сроков, указанных в политике.
Регистрация в Роскомнадзоре
Подано уведомление в Роскомнадзор об обработке ПД.
Ваша организация или ИП отображается в реестре операторов на pd.rkn.gov.ru.
Нужно ли самозанятым подавать уведомление в РКН?
Да, если:
есть сайт, на котором собираются данные клиентов;
осуществляется прием заявок, заказов, обратная связь;
используется аналитика, рассылки, мессенджеры для взаимодействия.
Нет, если:
нет сайта и не ведется автоматизированный сбор ПД;
взаимодействие осуществляется только в личном порядке, без хранения данных.
Какие ошибки возникают чаще всего
Уведомление не подано до начала обработки
Не указаны все цели (например, аналитика или рассылка)
Не оформлено согласие на обработку
Не уведомлено о передаче данных сторонним сервисам
Не обновлено уведомление при изменении условий или состава ПД
Политика конфиденциальности не содержит всех обязательных пунктов
Статья подготовлена при участии Ольги Алабиной - ген. директора ООО "Финмониторинг"
Поможем сделать все правильно
Если вы не хотите тратить время на изучение всех нюансов — обратитесь в «Финмониторинг». Мы:
подготовим и подадим уведомление в Роскомнадзор;
оформим политику обработки ПД под ваш бизнес;
дадим рекомендации по защите данных и корректной настройке сайта;
обеспечим юридическую чистоту — чтобы вы работали спокойно и без риска штрафов.