Уведомление в Роскомнадзор: как избежать новых штрафов в 2025

30 мая 2025 года вступили в силу новые штрафные меры за отсутствие уведомления об обработке персональных данных (ПД). О них мы рассказывали раннее. Юридические лица, не сообщившие о работе с ПД в Роскомнадзор, рискуют получить штраф до 300 тыс. рублей. Новая редакция КоАП фиксирует отдельный состав правонарушения за неподачу сведений. Напоминаем о новых мерах, а также о том, как предотвратить получение штрафа. 

Уведомление об обработке ПД: что изменилось

До недавнего времени отсутствие уведомления в реестре Роскомнадзора влекло менее ощутимые санкции. С 30 мая ситуация существенно поменялась: появились отдельные составы правонарушений, а размер штрафов кратно вырос (Федеральный закон от 30.11.2024 № 420-ФЗ). 

Напомним, что откорректировали размеры штрафов и ввели новые составы: 

• обработка ПД в случаях, когда законом она не предусмотрена;
• неуведомление Роскомнадзора об обработке персональных данных;
• утечка персональных данных. В таких случаях размер штрафа будет определяться количество и категорией данных. 

Так, в соответствии со ст. 13.11 КоАП РФ за неуведомление Роскомнадзора: 

• для юридических лиц — от 100 до 300 тысяч рублей; 
• для должностных лиц — от 30 до 50 тысяч рублей;
• для ИП и физических лиц — от 5 до 10 тысяч рублей. 

За неоповещение РКН об утечке данных суммы штрафов теперь составляют: 

• для юридических лиц — от 1 до 3 млн рублей;
• для должностных лиц — от 400 до 800 тысяч рублей;
• для ИП и физических лиц — от 50 до 100 тысяч рублей. 

При этом Федеральный закон от 30. 11. 2024 № 420-ФЗ не имеет обратной силы. Он действует только за нарушения, установленные с 30 мая 2025 года. 

Как подать уведомление в Роскомнадзор

Перед подачей уведомления стоит уточнить, есть ли ваша организация в реестре операторов персональных данных, и актуальны ли размещённые сведения. Несоответствие информации между реестром и сайтом компании — дополнительный сигнал для внеплановой проверки. А с 30 мая 2025 года — ещё и риск значительного штрафа. 

Если уведомление подавалось ранее

Проверьте, отражены ли все цели обработки и категории ПД. Если есть расхождения или данные обновились, подайте обновлённое уведомление. Это можно сделать: 

1. Почтой. Направьте бумажное уведомление в региональное отделение Роскомнадзора. 

2. Через Госуслуги. Понадобится подтвержденная учётная запись. Уведомление от имени юрлица можно подать, только если у компании есть свой аккаунт. 

3. Через сайт Роскомнадзора. Электронное уведомление должно быть подписано УКЭП. 

Особое внимание — операторам, подавшим уведомление до 2023 года. С декабря 2022 вступила в силу новая форма уведомления (Приказ Роскомнадзора от 28.10.2022 № 180). Есть вероятность, что старые уведомления не соответствуют новым требованиям. 

Если уведомление не подавалось

Указывайте реальную дату начала обработки — например, с момента регистрации ИП или подписания первого договора. Даже если Роскомнадзор сочтёт подачу просроченной и привлечет вас к ответственности за несвоевременное уведомление, последствия у нарушения будут не такие серьезные, чем при выявлении РКН недостоверной информации. 

Что еще проверить по обработке персональных данных

Реализация требований по защите персональных данных требует не точечных действий, а системного подхода. Упор стоит делать на согласованность внутренних процессов компании с нормативными требованиями, чтобы обработка ПД была прозрачной на всех уровнях. 

С чего начать: 

1. Провести инвентаризацию данных. Определите, какие сведения собираются, на каком основании и в каких целях. 
2. Назначить ответственного. У сотрудника должно быть оформленное распоряжение с перечислением функций. 
3. Проверить сведения в реестре операторов ПД. Актуализировать уведомление, если компания уже зарегистрирована. 
4. Анализ локальных актов. Документы должны соответствовать новым требованиям и охватывать ключевые этапы работы с ПД. 
5. Оценить риски при сборе и хранении информации. Минимизировать объем собираемых данных, ограничить доступ и исключить дублирование. 
6. Проверить сайт. Проанализировать содержание сайта, в том числе порядок согласия на обработку данных, корректность политики и сообщения об использовании файлов cookie. 

Больше о том, как владельцу сайта соблюдать требования Закона о персональных данных

Рекомендации

Штрафы за нарушения в сфере персональных данных становятся все строже, а подход к проверкам — все более комплексным. Компании, которые продолжают относиться к требованиям формально, рискуют не только получить предписания, но и пострадать репутационно. 

Чтобы минимизировать риски, важно не просто закрыть «бумажные» вопросы, а выстроить устойчивую систему обработки ПД: от назначения ответственного до настройки корректных сценариев на сайте. Актуализируйте уведомление в Роскомнадзоре, пересмотрите политику, содержание и порядок получения согласий. 

Если вашей компании нужна консультация по соблюдению правил работы с персональными данными, обратитесь к экспертам КГ «Альпийский ветер» по электронной почте или по телефону +7 (495) 133-03-25. Или закажите разработку полного пакета документов.