Уведомление Роскомнадзора о работе с персональными данными по 152-ФЗ

С 30 мая 2025 года неуведомление (или несвоевременное уведомление) о намерении обрабатывать персональные данные — самостоятельный состав нарушения по ч. 10 ст. 13.11 КоАП РФ. Для юридических лиц и ИП штраф составляет от 100 000 до 300 000 рублей. Прежде всего обратите внимание: отсутствие записи в реестре операторов проверяется автоматически — это значит, что вы в зоне риска прямо сейчас.

Если в момент обнаружения нарушения выяснится, что ранее произошла утечка персональных данных, а уведомление в РКН так и не было подано — штраф вырастает до 3 000 000 рублей (ч. 11 ст. 13.11 КоАП РФ). Это уже серьезный материальный ущерб, который может поставить под угрозу деятельность компании.

Нарушением считается не только отсутствие уведомления, но и неполный перечень целей обработки, устаревшие сведения или ошибки в описании способов. Если, например, ваша компания ведет email-рассылку, но это не отражено в уведомлении — вы уже нарушитель, даже имея запись в реестре операторов.

Роскомнадзор проверяет не факт наличия документа, а его соответствие вашей реальной деятельности. Чужой шаблон описывает чужой бизнес и при проверке это фиксируется как нарушение. С 1 сентября 2025 года согласие на обработку персональных данных обязано быть отдельным документом под вашу специфику, отражать цели и способы вытекающие из вашего бизнес процесса. Штраф за ненадлежащую политику — до 60 000 руб., за нарушение правил согласия — до 300 000 руб. (13.11 КоАП РФ).

Если на вашем сайте подключен счетчик Google Analytics, форма на базе Google Forms или виджет для приема заявок через WhatsApp и Telegram — данные посетителей уходят на зарубежные серверы раньше, чем фиксируются в России. Это нарушение, даже если вы о нем не знаете. Роскомнадзор с 1 июля 2025 года сканирует сайты автоматически — запрещенные скрипты выявляются без жалоб и проверок. Штраф для юрлиц и ИП по ч. 8 ст. 13.11 КоАП РФ — от 1 до 6 млн рублей.

Административная ответственность по ст. 13.11 КоАП РФ предусматривает значительно более высокие санкции при повторном нарушении — до 18 000 000 рублей для юридических лиц. Например если ранее вы были уличены в сборе и хранении персональных данных на серверах Google, Amazon и др.

Поводом для проверки Роскомнадзора может стать обращение любого физического лица — уволенного сотрудника, недовольного клиента или вашего конкурента. Роскомнадзор обязан отреагировать на жалобу, и в ходе проверки контролеры проверят весь объем работы с персональными данными, а не только то, что указано в жалобе.

Субъект персональных данных — любое физическое лицо, чьи данные вы обрабатываете, — вправе требовать возмещения морального вреда и убытков в судебном порядке. Отсутствие уведомления в РКН лишает вас правовой защиты при таких претензиях и существенно ослабляет позицию в гражданском споре.

Компании, допустившие нарушения в сфере обработки персональных данных, все чаще попадают в публичные реестры нарушителей. Для B2B-клиентов, особенно крупных корпораций и государственных организаций, отсутствие соответствия требованиям 152-ФЗ становится основанием для отказа от сотрудничества.

Да. Обработка персональных данных сотрудников — трудовые договоры, приказы, личные карточки — обязывает вас уведомить РКН. Исключения по ст. 22 152-ФЗ касаются очень узкого круга случаев и к большинству работодателей не применяются.

Стоимость зависит от объема работы: структуры бизнеса, количества видов обработки, необходимости разработки документов. Подача уведомления — от 10 000 рублей. Консультация по телефону — бесплатно.

Роскомнадзор вносит оператора в реестр в течение 30 дней с момента получения уведомления. Это установленный законом срок по ч. 4 ст. 22 Федерального закона № 152-ФЗ.

При любых изменениях, в частности изменении целей, способов или категорий обрабатываемых персональных данных вы обязаны уведомить РКН об изменениях не позднее 15-го числа следующего месяца. Непредставление обновленных сведений — самостоятельное нарушение, влекущее штраф.

Да, форма размещена на сайте Роскомнадзора. Однако любая ошибка или некорректность, неполнота сведений это самостоятельное нарушение. Мы рекомендуем привлечь юриста, чтобы учесть все нюансы, способы, цели,  категории обработки т.д.

Узкий перечень исключений предусмотрен ч. 2 ст. 22 152-ФЗ: обработка данных исключительно без средств автоматизации, в рамках транспортного устава и ряд других. На практике большинство компаний под исключения не подпадают.

Проверяется наличие уведомления и его актуальность, политика конфиденциальности, форма согласия на обработку данных на сайте, порядок хранения и защиты персональных данных, наличие назначенного ответственного лица, его должностных инструкций, формы отзыва ПДн и порядок прекращения их обработки и уничтожения, алгоритмы действия либо регламент на случай утечки данных и тд.

Да. Любое физическое лицо, чьи данные вы обрабатываете, либо иное лицо вправе обратиться в Роскомнадзор с жалобой. Это становится основанием для внеплановой проверки, в ходе которой проверяется вся работа с персональными данными.

Если сайт не собирает персональные данные и вы не обрабатываете данные иным способом (счетчики метрики и тд) — уведомление не требуется. Но наличие хотя бы одной формы или счетчика уже означает обработку данных.

Да, мы оказываем услуги по всей России. Уведомление в Роскомнадзор подается в электронном виде через портал РКН — место нахождения клиента значения не имеет.