Что делать, если не успели подать уведомление в Роскомнадзор по персональным данным до 30 мая 2025? Штрафы, риски и пошаговый план
С 30 мая 2025 года в России значительно ужесточились штрафы за нарушения в сфере обработки персональных данных, в том числе за отсутствие уведомления в Роскомнадзор. Если вы не успели подать уведомление до этой даты, ваш бизнес подвергается серьезным рискам. Эта статья поможет вам разобраться, что изменилось, какие последствия вас ждут и что предпринять, чтобы минимизировать риски.
Оглавление
- Новые правила и увеличение штрафов с 30 мая 2025 года
- Кто обязан подавать уведомление в Роскомнадзор?
- Когда уведомление не требуется?
- Как подать уведомление в Роскомнадзор?
- Что делать, если уведомление не подано до 30 мая 2025 года?
- Часто задаваемые вопросы (FAQ)
Новые правила и увеличение штрафов с 30 мая 2025 года
С 30 мая 2025 года в силу вступили поправки к Федеральному закону № 152-ФЗ «О персональных данных» и Кодексу РФ об административных правонарушениях (КоАП РФ), предусмотренные Федеральным законом от 30.11.2024 № 420-ФЗ и Федеральным законом от 14.07.2022 № 266-ФЗ. Эти изменения значительно увеличили ответственность за нарушения в сфере работы с персональными данными.
Ранее, за отсутствие уведомления об обработке персональных данных, штрафы были значительно ниже: для организаций и ИП они составляли от 3 000 до 5 000 рублей. Теперь же, с 30 мая 2025 года, вводятся новые, гораздо более строгие санкции:
- Для должностных лиц: от 30 000 до 50 000 рублей.
- Для ИП и организаций: от 100 000 до 300 000 рублей.
Такие же наказания предусмотрены и за несвоевременное извещение Роскомнадзора. Помимо этого, выросли штрафы за утечку персональных данных (от 1 до 3 млн рублей для ИП и компаний за неуведомление об утечке, и до 15 млн рублей или оборотные штрафы до 3% годовой выручки за саму утечку).
Важно: Срок давности по административным правонарушениям, связанным с неуведомлением Роскомнадзора, составляет 1 год. Это означает, что если ваш бизнес начал обрабатывать персональные данные без уведомления, например, в 2022 году, и это нарушение не было обнаружено в течение года, то штрафа за это конкретное нарушение уже не будет. Однако, это не отменяет обязанности подать уведомление, чтобы избежать будущих штрафов, так как Роскомнадзор может выявить отсутствие записи в реестре в любой момент.
Кто обязан подавать уведомление в Роскомнадзор?
Обязанность уведомлять Роскомнадзор о начале обработки персональных данных распространяется практически на всех операторов персональных данных. Оператором персональных данных считается государственный или муниципальный орган, юридическое или физическое лицо (включая ИП и самозанятых), которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели такой обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними.
Таким образом, если вы:
- Имеете хотя бы одного сотрудника (даже директора).
- Работаете с клиентскими базами, CRM-системами, программами лояльности.
- Владеете сайтом, собирающим e-mail для рассылок, IP-адреса, cookie-файлы (если они позволяют идентифицировать пользователя).
- Собираете контактные данные клиентов для рассылок.
- Получаете сканы паспорта, СНИЛС или другие личные данные для найма сотрудников или выполнения договоров.
Вы являетесь оператором персональных данных и обязаны подать уведомление.
Когда уведомление не требуется?
Несмотря на общее правило, существует несколько исключений, когда уведомление Роскомнадзора о начале обработки персональных данных не требуется:
- Данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка.
- Оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (то есть, данные обрабатываются вручную, на бумажных носителях). Однако, это исключение практически нереализуемо для современного бизнеса, так как большинство компаний используют цифровые инструменты.
- Данные обрабатываются в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса.
Важно отметить, что исключения, которые ранее позволяли не уведомлять Роскомнадзор при обработке данных сотрудников или при заключении договоров, не предусматривающих распространение данных третьим лицам, были отменены с 1 сентября 2022 года Федеральным законом № 266-ФЗ от 14.07.2022.
Как подать уведомление в Роскомнадзор?
Уведомление о намерении осуществлять обработку персональных данных подается до начала обработки этих данных. Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180 (действует с 26 декабря 2022 года).
Подать уведомление можно одним из трех способов:
- В бумажном виде: Заполните электронную форму на официальном сайте Роскомнадзора, распечатайте её, подпишите и отправьте почтой или лично доставьте в территориальное отделение Роскомнадзора по месту вашей регистрации. Рекомендуется распечатывать на фирменном бланке (при наличии) или на бланке с реквизитами организации/ИП, с исходящим номером и датой, подписью руководителя и печатью (при наличии).
- Через сайт Роскомнадзора в виде электронного документа: Для этого потребуется усиленная квалифицированная электронная подпись (УКЭП) и настроенный плагин КриптоПро ЭЦП Browser plug-in.
- Через портал Госуслуг: Для этого необходима подтвержденная учетная запись.
Важно: Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если вы отправляли бумажное уведомление, дата будет отсчитываться с момента его получения территориальным отделением.
Что делать, если уведомление не подано до 30 мая 2025 года?
Если вы обнаружили, что не подали уведомление до 30 мая 2025 года, не отчаивайтесь. Главное – предпринять необходимые действия как можно скорее, чтобы минимизировать риски.
Подайте уведомление немедленно
Даже если вы пропустили срок, подача уведомления после 30 мая 2025 года будет считаться подачей с нарушением срока. Однако, в соответствии с ч. 1 ст. 4.1.1 КоАП РФ, штрафы за впервые совершенное административное правонарушение могут быть заменены на предупреждение. Это означает, что если вы подадите уведомление уже после начала обработки персональных данных, вас, скорее всего, не оштрафуют, а вынесут предупреждение. Если же вы проигнорируете предупреждение и не направите уведомление, то тогда уже грозит штраф по ч. 10 ст. 13.11 КоАП РФ.
Проверьте свое присутствие в реестре операторов персональных данных
Возможно, уведомление было подано ранее, и вы уже есть в реестре. Проверить это можно на официальном сайте Роскомнадзора.
Актуализируйте внутренние документы
Ваша политика обработки персональных данных и другие локальные акты должны соответствовать актуальным требованиям законодательства. Убедитесь, что в них отражены все изменения, цели обработки данных, категории субъектов, правовые основания и способы обработки.
Обеспечьте меры по защите персональных данных
Это включает использование средств антивирусной защиты, межсетевого экранирования, средств поиска уязвимостей, защиты среды виртуализации, а также применение шифрования (при необходимости). Роскомнадзор может проверять наличие и эффективность этих мер.
Назначьте ответственного за обработку персональных данных
Назначение ответственного лица – это требование статьи 22.1 Федерального закона № 152-ФЗ. Это лицо отвечает за обеспечение соблюдения законодательства о персональных данных внутри компании.
Проверьте свой сайт
Если у вас есть сайт, он должен соответствовать требованиям 152-ФЗ. Это включает наличие актуальной политики обработки персональных данных, корректных форм сбора данных с обязательным пользовательским согласием, уведомления о cookie-файлах с возможностью отказа, указание полных реквизитов владельца сайта. Также важно убедиться, что вы не используете зарубежные сервисы аналитики, если это подразумевает трансграничную передачу данных без соблюдения новых правил, вступающих в силу с 1 июля 2025 года.
Таблица: Основные действия и их необходимость
| Действие | Необходимо? | Комментарий |
|---|---|---|
| Подать уведомление в РКН | Да | Обязательно для большинства операторов ПДн до начала обработки. В случае пропуска срока, подача снижает риски. |
| Актуализировать политику обработки ПДн | Да | Документы должны соответствовать текущим требованиям законодательства. |
| Назначить ответственного за обработку ПДн | Да | Требование законодательства. |
| Проверить сайт на соответствие 152-ФЗ | Да | Важно для владельцев сайтов, собирающих данные. |
| Надеяться, что РКН не узнает | Нет | Риски выявления нарушений возрастают, особенно при жалобах или утечках. |
Часто задаваемые вопросы (FAQ)
Нужно ли подавать уведомление, если я работаю только с юридическими лицами?
Да, в большинстве случаев нужно. Даже при работе с юридическими лицами вы, скорее всего, обрабатываете персональные данные их представителей (ФИО руководителя, ИНН, должность и т.д.), которые являются персональными данными.
Какой срок давности по штрафам за неподачу уведомления?
Срок давности составляет 1 год с момента обнаружения нарушения. Это означает, что если Роскомнадзор выявил нарушение в течение года с момента, когда вы начали обрабатывать данные без уведомления, может быть наложен штраф. Однако, как упомянуто выше, при первом нарушении возможна замена штрафа на предупреждение.
Что делать, если данные обрабатываются только на бумажных носителях?
В этом случае уведомление не требуется. Однако, важно быть уверенным, что обработка действительно осуществляется исключительно без использования средств автоматизации. Любое использование компьютеров, программ или информационных систем для обработки данных, даже для их хранения или систематизации, может быть расценено как автоматизированная обработка.
Где можно найти актуальную форму уведомления?
Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180. Ее можно найти на официальном сайте Роскомнадзора.
Нужно ли уведомлять Роскомнадзор об изменениях в обработке персональных данных?
Да, если изменились сведения, содержащиеся в ранее поданном уведомлении (например, цели обработки, категории обрабатываемых данных, места хранения баз данных), необходимо подать уведомление об изменении сведений. Оператор обязан уведомить Роскомнадзор о любых изменениях в обработке персональных данных не позднее 15 числа месяца, следующего за месяцем изменений, а о прекращении обработки — в течение 10 рабочих дней.
Можно ли избежать штрафов, если быстро подать уведомление после 30 мая?
Да, это настоятельно рекомендуется. Хотя вы уже нарушили срок подачи, при первом нарушении есть шанс получить предупреждение вместо штрафа. Затягивание процесса только увеличивает риски.
Несоблюдение требований законодательства о персональных данных, особенно с учетом ужесточения штрафов, может привести к серьезным финансовым потерям и репутационным рискам для вашего бизнеса. Своевременное принятие мер по приведению своей деятельности в соответствие с законом является ключевым для безопасной и успешной работы.
