Новые штрафы: о чем нужно уведомить Роскомнадзор?

В последние годы законодатель предъявляет все больше требований к компаниям и ИП при работе с персональными данными сотрудников, клиентов, подрядчиков и иных лиц. Если раньше компании могли ограничиться получением согласия на обработку персональных данных и Положением об обработке персональных данных, то сейчас этого недостаточно.

Контролирующим органом является Роскомнадзор. Именно на его адрес нужно направлять все ключевые уведомления о работе с персональными данными, обязанность подачи которых предписывает законодатель.

Кроме того, с 30.05.2025 вступили в силу новые размеры штрафов за нарушения работы с персональными данными. Размер штрафов заставляет более внимательно относиться к этому вопросу.

Уведомление Роскомнадзора обязательно, если:

• начали обрабатывать персональные данные;

• изменили цель обработки данных;

• изменились сведения об операторе и его работе;

• осуществляете передачу данных за границу либо используете иностранные сервисы для хранения или обработки данных;

• произошла утечка данных;

• прекратили обрабатывать персональные данные.

Уведомление о начале обработки данных

Все операторы персональных данных¹ должны подать уведомление о начале обработки персональных данных, после чего Роскомнадзор внесет компанию в Реестр операторов по обработке этих данных.

Только за первые три дня после вступления в силу новых штрафов в Реестр операторов были внесены сведения более чем по 160 тыс.² компаний, которые подали уведомления о начале обработки данных.

Если в компании есть хотя бы один работник или осуществляется сбор данных клиентов из формы на сайте, значит, компания обрабатывает персональные данные и обязана подать уведомление о начале обработки данных.

Кто подает?

Ответственное лицо компании (например, HR, бухгалтер, работник службы безопасности). Такое лицо нужно назначить соответствующим приказом, а если его нет, то уведомление подается от лица генерального директора компании.

Штрафы

С 30 мая 2025 г. за сбор данных в отсутствие уведомления Роскомнадзора компания получит штраф (ст. 13.11 КоАП РФ):

• 100—300 тыс. руб. — для организаций;

• 30—50 тыс. руб. — для должностных лиц.

Компания подавала уведомление ранее

Если компания подавала уведомление до 26.12.2022, то необходимо обновить данные по форме уведомления об изменении сведений, даже если никаких изменений не произошло.

Уведомление об изменении сведений

После подачи в Роскомнадзор уведомления о начале обработки персональных данных могут измениться сведения, которые содержатся в направленном ранее уведомлении.

Например: изменились сведения о компании или об ответственном лице, добавились новые цели обработки персональных данных, которых раньше не было.

В этом случае оператор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли такие изменения, обязан уведомить Роскомнадзор обо всех произошедших за указанный период изменениях.

Уведомление о трансграничной передаче данных

Трансграничная передача данных — это передача данных через границу России иностранному гражданину, органу власти, компании или на иностранный сервер.

Операторам необходимо уведомить Роскомнадзор о трансграничной передаче данных, даже если они: просто хранят персональные данные в иностранных облачных сервисах Google (Docs, Forms) или обрабатывают данные пользователей сайта в Google Analitycs; передают данные в страны СНГ; сервера находятся за пределами территории РФ; бронируют номера для сотрудников в гостинице другой страны на время командировки; передают контактные данные работников иностранным контрагентам.

После подачи уведомления Роскомнадзор одобряет или запрещает такую передачу.

Если компания не уведомила Роскомнадзор о трансграничной передаче данных или уведомила не вовремя, он может получить два штрафа.

• 3—5 тыс. руб. — за непредставление сведений госорганам;

• 60—100 тыс. руб. — за нарушение Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ).

Уведомление об утечке данных

По этому виду уведомления, в связи с важностью вопроса, внимание законодателя повышено, поэтому начисляются высокие штрафы.

Компании, обрабатывающие персональные данные на компьютере, дополнительно обязаны работать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Если у компании произошла утечка данных (внешняя атака или работник/контрагент незаконно распространил информацию третьим лицам), то компания должна сообщить об этом обстоятельстве в Роскомнадзор.

Для информирования о неправомерной передаче данных или случайной передаче нужно подать два уведомления:

• Первичное. В нем сообщается о факте утечки, предполагаемом вреде и его причинах. Должно быть подано в течение 24 часов с момента обнаружения утечки.

• Дополнительное уведомление об инциденте, в котором необходимо отчитаться о результатах внутреннего расследования инцидента.

• Если компания не уведомила Роскомнадзор об утечке данных (ч. 11 ст. 13.11 КоАП РФ):

• 400—800 тыс. руб. — для должностных лиц;

• 1—3 млн руб. — для организаций.

Плюс за такие нарушения — штрафы за утечку данных в зависимости от количества субъектов и типа данных.

Уведомление о прекращении обработки персональных данных

Случаи, при наступлении которых нужно направить уведомление о прекращении обработки персональных данных:

• ликвидация или реорганизация оператора — полное прекращение обработки данных;

• аннулирование лицензии на осуществление лицензируемой деятельности оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

• наступление срока или условия прекращения обработки персональных данных, указанного в уведомлении;

• вступление в законную силу решения суда.

В зависимости от основания прекращения обработки данных различаются сроки выполнения оператором обязанности фактически прекратить обработку персональных данных:

• в течение 30 дней с момента, когда оператор достиг цели обработки или субъект отозвал свое согласие;

• 10 рабочих дней с момента, когда выявлен случай неправомерной обработки данных;

• незамедлительно в случае, если устранены причины обработки специальных персональных данных.

В силу ч. 7 ст. 22 Закона № 152-ФЗ в течение 10 рабочих дней с момента прекращения обработки сведений оператор обязан уведомить об этом Роскомнадзор.

Как избежать штрафов?

Чек-лист для срочной проверки:

• Проверить, подано ли уведомление в РКН (срок — три дня с начала обработки данных).

• Обновить политику конфиденциальности на сайте.

• Разработать Положение об обработке персональных данных.

• Заключить договоры с подрядчиками (на передачу данных), закрепить их обязанности и ответственность за полученные персональные данные.

• Вести внутренний учет организаций, которым передаются персональные данные работников, с указанием целей передачи.

• Получить согласия на обработку персональных данных в соответствии с целями и типами обрабатываемых данных.

• Если вы оформляете пропуска работникам с фотографией — получить согласие на обработку биометрических данных.

• Для соцсетей: добавить форму согласия на сбор cookies.

¹ Оператор персональных данных — государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

² На 30.05.2025 в реестре содержатся сведения о 1 176 636 операторах персональных данных, на 04.06.2025 — 1 342 368.