Уведомление в Роскомнадзор об обработке персональных данных: что важно знать оператору в 2025 году
В 2025 году вопросы защиты персональных данных остаются в центре внимания законодательства и регулирующих органов. Операторы персональных данных — компании, индивидуальные предприниматели, госорганы — обязаны строго соблюдать требования Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – Закон о персональных данных). Один из ключевых шагов — это подача уведомления в Роскомнадзор о намерении обрабатывать персональные данные.
В последнее время вопрос об обязательности подачи уведомлений стал особенно актуальным. С учетом изменений в законодательстве Российской Федерации, операторы персональных данных (ПД) должны быть внимательны к соблюдению новых требований, в том числе вступивших в силу с 30 мая 2025 года.
Кто считается оператором персональных данных?
Согласно п. 2 ст. 3 Закона о персональных данных, оператором является любое лицо (государственное, муниципальное, юридическое или физическое), которое самостоятельно или совместно с другими:
- организует обработку персональных данных;
- определяет цели обработки;
- определяет состав обрабатываемых данных и действия, которые будут с ними производиться.
Классический пример — организация, обрабатывающая персональные данные своих сотрудников, клиентов или контрагентов.
Обязан ли оператор уведомлять Роскомнадзор?
Да. В соответствии с ч. 1 ст. 22 Закона о персональных данных, организация или ИП, планирующие обрабатывать персональные данные, обязаны подать уведомление в Роскомнадзор до начала обработки, за исключением нескольких случаев, установленных законом:
- обработка данных в целях обеспечения госбезопасности или транспортной безопасности;
- обработка без использования средств автоматизации.
Данное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных представляет собой форму контроля за деятельностью операторов.
Как подается уведомление?
Уведомление подается:
- однократно;
- на бумаге или в электронной форме, подписанное уполномоченным лицом;
- по форме, утвержденной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180.
Уведомление не требует указания перечня субъектов данных, но включает строго определённый список сведений. После его подачи оператор вносится в реестр операторов персональных данных, который ведет Роскомнадзор. Проверить включение можно на официальном сайте: pd.rkn.gov.ru.
Если организация уже включена в реестр — повторно уведомлять Роскомнадзор не требуется.
Куда подается уведомление?
Уведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор. Уведомление рекомендуется направлять в управление Роскомнадзора по субъекту РФ по месту регистрации оператора в налоговом органе.
Контактная информация территориальных органов (включая адреса их сайтов) приведена на сайте www.rkn.gov.ru. На сайтах территориальных органов может быть размещена информация о конкретном адресе, по которому следует направлять уведомление.
Обязанность сообщать об изменениях
Если сведения, указанные в уведомлении, изменились — необходимо направить обновлённую информацию в Роскомнадзор не позднее 15 числа месяца, следующего за месяцем, в котором произошли изменения.
Если оператор прекратил обработку персональных данных, он обязан уведомить Роскомнадзор в течение 10 рабочих дней. Эти уведомления подаются по формам, утверждённым в Приложениях N 2 и N 3 к тому же Приказу N 180.
Ответственность за несвоевременное уведомление.
Следует обратить внимание, что предельный срок направления такого уведомления не установлен, это подтверждал и сам Роскомнадзор (Письмо от 06.09.2022 N 08-80975). Однако, если вы еще не уведомили Роскомнадзор, рекомендуем сделать это как можно скорее, иначе существует риск привлечения к административной ответственности.
С 30 мая 2025 года вступили в силу новые штрафные санкции за нарушение правил уведомления:
- для должностных лиц — до 50 000 руб.,
- для ИП и организаций — до 300 000 руб.
(основание — ч. 10 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 N 420-ФЗ).
Важно: на момент публикации официальных разъяснений о порядке применения новых санкций в отношении ранее не уведомивших операторов не представлено. Будут ли применяться новые штрафы незамедлительно с 30 мая 2025 года в отношении операторов, которые не подали уведомления или нет, точно сказать нельзя.
Проверки со стороны Роскомнадзора.
Факт подачи уведомления не влияет на возможность проверки. По общим правилам Роскомнадзор проводит как плановые, так и внеплановые контрольные мероприятия.
При этом согласно Постановлению Правительства РФ от 10.03.2022 N 336, до 2030 года плановые проверки некоторых организаций могут быть заменены профилактическими визитами — даже если объекты контроля относятся к категории высокого риска.
Что делать прямо сейчас?
- Проверьте, подано ли уведомление и включена ли ваша организация в реестр операторов ПД.
- Ознакомьтесь с формой уведомления (Приложение N 1 к Приказу Роскомнадзора N 180).
- При необходимости — срочно подайте уведомление, чтобы избежать риска штрафов.
- Следите за изменениями в вашей практике обработки данных и своевременно информируйте Роскомнадзор об изменениях или прекращении обработки.
В заключении хочется добавить, что подача уведомления и включение организации в реестр операторов персональных данных никаким образом на проведение проверочных мероприятий не влияет.
Автор материала – Любовь Казакова, ведущий эксперт по юридическим вопросам компании КАДИС. Консультирует по вопросам гражданских правоотношений, права интеллектуальной собственности, корпоративного, жилищного законодательства, включая сферу долевого строительства, защиты персональных данных.