Издание для предпринимателей
Пишем о важном, разбираемся с ежедневными задачами предпринимателей, исследуем законы, транслируем опыт.
Присылаем статьи пару раз в неделю, а ещё новостной дайджест и приветы от Модульбанка.
Подписываясь, вы соглашаетесь с политикой конфиденциальности.
Как подать уведомление об обработке персональных данных в 2025 году
Все компании и ИП обрабатывают персональные данные физлиц — сотрудников, клиентов, ответственных лиц контрагентов. А значит они являются операторами персональных данных и обязаны оповестить Роскомнадзор о начале их обработки. Штрафы за отсутствие такого оповещения с 30 мая 2025 года сильно выросли. Так что ловите пошаговую инструкцию, чтобы избежать лишних расходов.
Кто обязан подавать уведомление
Когда оператор персданных должен уведомлять Роскомнадзор о начале обработки данных — ст. 22 Федерального законаот 27.07.2006 № 152-ФЗ «О персональных данных»
Все юридические лица и индивидуальные предприниматели, которые осуществляют обработку персональных данных, обязаны сообщить об этом в Роскомнадзор (РКН). Исключения, по закону, такие:
Очевидно, что исключения касаются довольно маленького количества ситуаций и почти весь бизнес и организации обязаны уведомление в РКН. Даже если вы запрашиваете информацию о сотрудниках, которая нужна для приема на работу, выплаты зарплаты и сдачи отчетности (ИНН, паспортные данные, СНИЛС и прочее), направлять уведомление о начале обработки персданных все равно надо.
Пример
У ИП Сидорова всего 2 сотрудника. Он работает в небольшом поселке и ведет учет по старинке, только на бумаге. Персональные данные о клиентах он записывает в личном блокноте. Значит, ему не надо подавать уведомление в Роскомнадзор о начале обработки персональных данных. Если Сидоров захочет все автоматизировать и вести учет в электронном формате, ему надо будет подать уведомление в РКН.
Как заполнить уведомление в Роскомнадзор
Уведомление заполняется по форме из Приложения № 1 к приказу Роскомнадзораот 28.10.2022 № 180
Заполнить уведомление можно в электронном виде. Правда, для этого понадобится подтвержденная учетная запись на Госуслугах и КриптоПро ЭЦП Browser plug-in. Заполнять форму может лично индивидуальный предприниматель — либо ответственный за работу с персональными данными, если это компания или организация.
В начале уведомления указываются общие сведения об операторе персональных данных (то есть вашем бизнесе). Это наименование организации или ФИО предпринимателя, а также ИНН, ОГРН и адрес:
Далее понадобится указать цели обработки данных. Ориентироваться нужно на все, что будет происходить с персональными данными после сбора — нужны ли они вам для рассылок и продаж, или это данные сотрудников, которые нужны для кадрового учета, или что-то еще. Полный выпадающий список такой:
Следующий пункт — перечень персональных данных. Перечислите, какие именно данные вы собираете и обрабатываете (например, Ф.И.О., адреса, телефоны, паспортные данныеи т. д. ). Обратите внимание: если целей несколько, то для каждой из них надо указать категорию данных и субъектов, чьи данные будут собираться.
Читайте также:
Новые штрафы в работе с персональными данными: что проверить прямо сейчас
Среди категорий данных есть биометрические: главное, что нужно помнить о них — это то, что ответственность за их утечку сильно тяжелее, чем за утечку, например, номеров телефонов.
Пример формулировок для заполнения уведомления
У ИП Козлова все клиенты — другие предприниматели и юридические лица. Ему нужно подать уведомление в РКН о том, что он будет собирать их данные для заключения сделок. Вот что Козлову нужно прописать в уведомлении:
Цели обработки данных: Формирование базы контрагентов для заключения и исполнения договоров
Категории персональных данных: Ф.И.О., дата и место рождения, адрес регистрации и (или) фактического проживания, ИНН, номер телефона, адрес электронной почты и иные данные, кроме специальных категорий персональных данных и биометрических персональных данных
Наконец, нужно указать, чьи именно данные будут собираться. Варианты такие:
Отдельный пункт — правовое основание обработки данных. В большинстве случаев выбирать можно сразу первое — «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных».
Спойлер: вам конечно нужно будет запрашивать такие согласия.
Следующая часть — техническая информация. Для начала о том, что именно будете делать с персональными данными:
Чаще всего достаточно указать сбор, хранение, использование и удаление, но иногда нужно предусмотреть и другие действия — например, если будете уточнять и обновлять данные. Помните, что в случае изменения перечня действий (как и многих других пунктов) нужно будет подавать новое уведомление.
Далее прописываем:
Скачать образец заполнения уведомления в Роскомнадзор
Как и когда подать уведомление
Как мы уже сказали выше, подать уведомление в Роскомнадзор можно:
Уведомление о начале работы с персданными подается в Роскомнадзор до начала обработки. Если вы только планируете начать бизнес, лучше это сделать прямо в день регистрации бизнеса. Дело в том, что на практике момент начала обработки данных — это момент регистрации компании или ИП. То есть дата начала обработки ПД фактически совпадает с датой регистрации в ЕГРИП или в ЕГРЮЛ.
Что будет дальше
Сроки рассмотрения заявления — п. 4 ст. 22 закона «О персональных данных»
Роскомнадзор рассматривает заявление в течение 30 дней. После этого, если все заполнено верно, вносит компанию или ИП в реестр операторов персональных данных.
Узнать, внесли ли вас в реестр, просто. Введите ИНН или наименование компании/ФИО предпринимателя и проверьте информацию.
Обратите внимание! Если цели обработки данных изменились или добавились новые, то надо подать уведомление об изменении сведений в РКН. Срок — не позднее 15 числа следующего месяца, в котором произошли изменения.
Что будет, если не подать уведомление?
Штраф за неподачу уведомления в РКН — ч. 10 ст. 13.11 КоАП РФ
Основное заблуждение многих бизнесменов: если я не подал уведомление о начале обработки персданных, то Роскомнадзор обо мне не знает. Не стоит так думать.
РКН — это ведомство, которое контролирует все, что связано со связью, информационными технологиями и массовыми коммуникациями. У него есть доступ к данным интернет-операторов, системам ФНС и других госорганов. Например, вы не подаете уведомление, но однажды подключаете ЭДО и начинаете сдавать отчетность онлайн. Или получили данные о контактных лицах контрагента по e-mail. Если РКН отследит такие операции, это расценят как запись персональных данных на компьютер с использованием средств автоматизации. Без уведомления РКН это обернется штрафом.
Сразу после обнаружения нарушения, если оно совершено впервые, ИП или компанию не оштрафуют. Если Роскомнадзор выявит, что есть компания, которой нет в реестре, то сначала направит запрос-требование. В нем будет указано примерно следующее: "Уважаемый предприниматель, сообщите, пожалуйста, на каком основании вы не подавали уведомление?". Если оснований нет, но после требования сразу подать уведомление, можно отделаться предупреждением. Но если проигнорировать требование или ответить, но уведомление не подавать, последует штраф.
С 30 мая 2025 года штрафы за неподачу уведомления увеличились: об этом мы писали в отдельной статье. Теперь, если оператор начнет обрабатывать данные о физлицах без уведомления, то его оштрафуют на сумму:
Юридическая поддержка вашего бизнеса по подписке. Безлимитные консультации, составление договоров, досудебных претензий, защита интересов в суде. От 12 490 рублей в месяц