С 1 сентября 2022 года, а также с учётом изменений в КоАП РФ, вступающих в силу с 30 мая 2025 года, практически все юридические лица и ИП, которые обрабатывают персональные данные, обязаны подать уведомление в Роскомнадзор. Нарушение этого требования может привести к штрафу до 300 000 рублей.
Кто обязан подавать уведомление?
Уведомление обязаны подать все операторы персональных данных, кроме строго ограниченного круга исключений. Обязаны подавать уведомление:
- Владельцы сайтов с формами обратной связи;
- Интернет-магазины и маркетплейсы;
- Сайты с подпиской на рассылки или формой регистрации;
- Компании, обрабатывающие данные сотрудников, клиентов, подрядчиков.
Даже если вы просто собираете имя и телефон на сайте — это уже обработка персональных данных.
С 30 мая 2025 года практически все компании и индивидуальные предприниматели, которые работают с персональными данными, обязаны сообщить об этом в Роскомнадзор. За нарушение этого правила может быть назначен штраф до 300 000 рублей.
Исключения из обязанности подавлять уведомление
Если вы не используете средства автоматизации и не нарушаете права субъектов персональных данных, уведомление можно не подавать.
Что это значит на практике:
Без средств автоматизации:
- Данные ведутся исключительно на бумаге;
- Нет использования Excel, CRM, почты, чатов, сайта и пр.
Без нарушения прав субъекта:
- Не собираются лишние данные;
- Данные не передаются третьим лицам;
- Вы обеспечиваете безопасность (не теряете, не публикуете, не используете против воли).
Это редкий случай, и подавляющее большинство компаний и сайтов должны уведомлять Роскомнадзор.
Часто задаваемые вопросы (FAQ)
Вопрос: Это действительно так?
Да, информация актуальна. С 30 мая 2025 года штрафы за отсутствие уведомления увеличиваются. Обязанность по уведомлению касается почти всех, кто собирает персональные данные.
Вопрос: Это нужно сделать для всех сайтов?
Да, если сайт собирает персональные данные (имя, телефон, e-mail и т.д.) — вы обязаны уведомить Роскомнадзор. Это касается практически всех сайтов с формами.
Вопрос: Что значит «без использования средств автоматизации, если при этом не нарушаются права субъектов персональных данных»?
Это означает, что данные собираются и обрабатываются только вручную, например, в блокноте. Без компьютеров, CRM, форм и скриптов. И при этом вы не нарушаете права: не собираете лишнее, не передаёте третьим лицам, не обрабатываете без согласия.
Вопрос: Нужно ли подавать отдельное уведомление в Роскомнадзор для сайта?
Нет, отдельное уведомление не требуется. Если организация собирает персональные данные через сайт, это нужно указать в общем уведомлении об обработке персональных данных. Оно подаётся от имени организации и включает информацию о всех информационных системах, включая сайт. Уведомление можно подать через портал Роскомнадзора.
Вопрос: А если сайт не был указан в уже поданном уведомлении?
В этом случае необходимо внести изменения в уведомление. Перейдите на страницу обновления сведений, введите регистрационный номер и ключ, укажите сайт как новую информационную систему обработки ПДн. Это нужно сделать в течение 10 рабочих дней с момента начала обработки данных через сайт.
Как подать уведомление?
Подать уведомление можно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/
Понадобится:
- Указать данные организации;
- Описать цель обработки персональных данных;
- Перечислить категории собираемых данных и меры безопасности.
После отправки уведомления вас внесут в реестр операторов персональных данных в течение 30 дней.
Как Роскомнадзор может проверить ваш сайт
Роскомнадзор может осуществить проверку несколькими способами:
- Вручную, через сотрудников РКН — по результатам мониторинга или анализа открытых данных;
- По жалобам конкурентов, пользователей или недоброжелателей;
- Автоматически, с помощью робота-сканера, который проверяет:
- наличие необходимых юридических документов (политика конфиденциальности, согласие и т.п.);
- корректную маркировку рекламы;
- наличие и формулировку согласий на обработку ПДн, включая цели (то есть согласие должно не просто существовать, а содержать ясное описание, зачем вы собираете данные — например, для оформления заказа, связи с клиентом, маркетинга или аналитики);
- использование чекбоксов: галочка должна быть не проставлена по умолчанию;
- наличие уведомления о cookies и возможность их управления;
- соответствие содержания политики конфиденциальности реальному процессу обработки данных;
- наличие или отсутствие трансграничной передачи данных.
Заключение
Если у вашей компании есть сайт, собирающий персональные данные, или вы обрабатываете их иным способом (даже офлайн, но с последующей цифровой записью) — вы почти наверняка обязаны подать уведомление в Роскомнадзор.
Если вы не уверены, подпадаете ли под требование — мы проведём аудит и адаптируем ваш сайт под актуальные требования Роскомнадзора.
Наша рекомендация: Не откладывайте. Подача уведомления — это недолгая и несложная процедура, которая может избавить вас от серьёзных штрафов в будущем.
