Уведомление в Роскомнадзор об обработке
персональных данных: как, когда и кому
подавать в 2025 году

Обработка персональных данных — обязанность, которая касается большинства современных компаний, ИП и даже отдельных специалистов, работающих онлайн и оффлайн. В 2025 году требования к защите персональных данных остаются актуальными и все строже контролируются. Разберем, кому и когда нужно подавать уведомление в Роскомнадзор, как это сделать правильно и избежать штрафов.

Если вы собираете персональные данные (ПД) — имена, телефоны, адреса, электронную почту, IP-адреса пользователей, — вы становитесь оператором ПД в рамках Федерального закона № 152-ФЗ «О персональных данных». Оператор обязан уведомить Роскомнадзор об их обработке.

Это касается как владельцев сайтов, так и офлайн-бизнеса, если вы ведете клиентскую базу или работаете с кадрами. Даже если вы просто собираете заявки через форму обратной связи на сайте, закон уже действует.

Уведомление — это официальный документ, в котором вы сообщаете, какие данные собираете, как их обрабатываете, где храните и кто имеет к ним доступ.

С 30 мая 2025 года в силу вступили изменения в ст. 13.11 КоАП РФ, которые ужесточают ответственность операторов ПД:

• до 300 000 рублей — за отсутствие уведомления об обработке персональных данных;
• до 500 000 рублей — за неполную или недостоверную информацию в уведомлении;
• до 18 000 000 рублей — за серьезные нарушения, включая утечку данных, нарушение согласия или обработку без правового основания.

Важно: если Роскомнадзор выносит предписание об устранении нарушений, у вас есть только 10 календарных дней на приведение сайта и документов в соответствие. Это крайне сжатые сроки, особенно если нужно переработать сайт или подготовить внутренние регламенты. Более того, даже устранение нарушений не гарантирует освобождения от штрафа — это лишь может повлиять на его размер.

Проверки осуществляются в автоматическом режиме с использованием ИИ — это делает контроль массовым и выборочным. Основания или согласие на проверку не требуются.

Подача уведомления обязательна, если:

• вы собираете данные с сайта (через формы, корзины, подписки);
• ведете клиентскую или кадровую базу;
• используете email-рассылки, CRM, мессенджеры для сбора информации;
• в штате есть сотрудники;
• используете IP-адреса, cookie-файлы, скрипты аналитики.

Можно не подавать уведомление, если:

• данные обрабатываются для заключения и исполнения договора;
• отсутствует автоматизированная обработка и хранение данных;
• нет передачи данных третьим лицам;
• вы работаете без сотрудников и сайта.

Однако даже ИП без сотрудников с формой обратной связи или подпиской на сайте подпадают под обязанность уведомления.

Можно:

• Оформить КЭП через удостоверяющий центр;
• Отправить уведомление в бумажном виде заказным письмом в территориальное управление РКН (только по месту регистрации оператора);
• Обратиться в нашу компанию — мы подадим уведомление и оформим КЭП при необходимости.

Документы на сайте

• Политика обработки персональных данных размещена на сайте, доступна с любой страницы, оформлена согласно требованиям ст. 18.1 ФЗ-152.

В политике указано:
— цели обработки ПД;
— перечень собираемых данных;
— сроки хранения;
— меры защиты;
— правовые основания (согласие, договор);
— контакты оператора (ИП/ООО) с ИНН и ОГРН.

Формы на сайте

• Все формы обратной связи, заявок, подписок содержат чекбокс или явную фразу о согласии на обработку ПД.
• Форма не отправляется, пока пользователь не поставит галочку согласия.
• В формах указано, кому и с какой целью передаются данные, если используются внешние сервисы (CRM, e-mail-рассылки, мессенджеры).
• Есть отдельное согласие на передачу данных третьим лицам, если это предусмотрено.

Технические требования

• Установлен SSL-сертификат (HTTPS), безопасное соединение отображается замком в адресной строке.
• Установлен баннер согласия на cookie, если сайт использует cookie-файлы и трекеры (включая Google Analytics, Яндекс.Метрику и другие).
• До получения согласия cookie не устанавливаются (или заблокированы через скрипт).
• IP-адреса, геолокация, действия пользователя не отслеживаются до получения согласия (если используются скрипты аналитики).

Защита данных и организационные меры

• В компании есть ответственный за обработку ПД, назначенный приказом.
• Все сотрудники, имеющие доступ к ПД, подписали обязательство о неразглашении и ознакомлены с внутренним регламентом.
• Реализованы меры защиты: разграничение доступа, антивирус, резервное копирование, настройка прав в CRM.
• Данные не хранятся дольше сроков, указанных в политике.

Регистрация в Роскомнадзоре

• Подано уведомление в Роскомнадзор об обработке ПД.
• Ваша организация или ИП отображается в реестре операторов на pd.rkn.gov.ru.

Да, если:

• есть сайт, на котором собираются данные клиентов;
• осуществляется прием заявок, заказов, обратная связь;
• используется аналитика, рассылки, мессенджеры для взаимодействия.

Нет, если:

• нет сайта и не ведется автоматизированный сбор ПД;
• взаимодействие осуществляется только в личном порядке, без хранения данных.