Роскомнадзор рекомендует подать уведомление об обработке персональных данных до 30 мая 2025 года. С этой даты вступает в силу закон, многократно повышающий штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, а также об их утечках

Всем российским компаниям, которые ранее по каким-либо причинам не проинформировали Роскомнадзор о произошедших утечках данных, стоит сделать это до 30 мая. После этой даты вступят в силу поправки в законодательство, существенно увеличивающие штрафы за такие инциденты, напомнил замглавы Роскомнадзора Милош Вагнер на пресс-конференции в ТАСС, посвященной новому регулированию в сфере защиты персональных данных.

«Датой совершения правонарушения будет являться та дата, когда стало известно об утечке. С 30 мая, если станет известно об этой утечке, а это, в первую очередь, случаи, когда размещается скомпрометированная информация на интернет-ресурсах, административная ответственность уже будет существенно выше. Поэтому у компаний есть чуть больше месяца для того, чтобы проинформировать уполномоченные органы о возможных утечках», — сказал замглавы Роскомнадзора Милош Вагнер.

Отметим, с 30 мая 2025 года будут введены только повышенные штрафы за непредставление уведомлений о начале обработки персональных данных в Роскомнадзор (Федеральный закон от 30.11.2024 №420-ФЗ). Сама обязанность по направлению в Роскомнадзор уведомлений о намерении начать обработку персональных данных введена и действует уже почти что 20 лет — с момента принятия и вступления в силу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Если ваша компания осуществляет обработку персональных данных физлиц, вы в любом случае обязаны направить в Роскомнадзор такое уведомление либо до, либо после 30 мая 2025 года.

«Защита персональных данных – вопрос национальной безопасности и суверенитета, и государство будет стремиться определять, кому и в каких объемах нужны данные», – подчеркнул Вагнер, добавив, что государство видит свою важнейшую функцию в защите всего общества. Заместитель главы РКН заявил, что в случаях незаконного сбора персональных данных граждане обращаются именно к государству, требуя защиты, и в ситуациях, когда становятся жертвами мошенников, надеются на действия МВД, ФСБ и Роскомнадзора. «Поэтому в данном случае это наша земля, наша страна, наши граждане, и мы будем предпринимать все усилия, чтобы их защитить», – подчеркнул Вагнер.

Новый закон не только увеличивает сами штрафы, но и несколько расширяет своё действие. Раньше подать заявление о работе с персональными данными (ПДн) в Роскомнадзор (РКН) можно было уже после сбора информации. Теперь же уведомлять ведомство нужно заранее. Нарушивших это правило граждан могут оштрафовать на 5–10 тыс. рублей, должностных лиц — на 30–50 тыс., компании — на 100–300 тыс.

Ещё более суровое наказание грозит за утечки собранных персональных данных. В случае такого инцидента компания или предприниматель должны в течение 24 часов уведомить РКН, сообщив о причинах, масштабах и принятых мерах. Затем, в течение 72 часов, передаются итоги внутренней проверки, включая информацию о возможных виновных лицах (при их наличии). Несоблюдение этих норм может грозить штрафом до 3 млн рублей.

Ну а самые большие санкции предусмотрены за саму утечку (точнее за действия или бездействие, её повлёкшие). Гражданам грозит штраф до 400 тыс. рублей, организациям — до 15 млн, а в случае рецидива — 1–3% от выручки.

Проект закона о выплатах домохозяйкам внесли в Госдуму

Самые популярные вопросы по представлению уведомлений о начале обработки персональных данных и действии нового закона

В какие сроки нужно подавать уведомление об обработке персональных данных и что будет за неподачу уведомления в Роскомнадзор до 30 мая 2025 года?

Конкретных сроков для представления уведомлений о намерении начать обработку персональных данных действующее законодательство не устанавливает. В законе есть лишь одно ограничение – представить уведомление необходимо до начала обработки персональных данных (ч.1 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ).

С 30 мая 2025 года вступит в действие новая ч.10 ст.13.11 КоАП РФ, в соответствии с которой непредставление уведомления будет наказываться штрафом в размере от 30 000 до 50 000 рублей – для должностных лиц организаций, и от 100 000 до 300 000 рублей – для ИП и организаций. До 30 мая за то же самое нарушение организации и ИП штрафуют на сумму от 3 000 до 5 000 рублей по ст.19.7 КоАП РФ.

Как Роскомнадзор узнает, что уведомление не подавали?

Вас нет в реестре операторов. Проверить это можно самостоятельно — РКН не рассылает оповещения. Для быстрой проверки зайдите в реестр, введите свои данные: название компании, ИНН, регистрационный номер. Если вас внесли в реестр, то вы увидите запись об этом.

Обработку персональных данных организация начала в 2021 году, но уведомление об обработке не представляла. Оштрафуют ли ее за неподачу уведомления, если направить его до 30 мая 2025 года?

Нет, в этом случае штрафа не будет. Непредставление уведомления о начале обработки персональных данных квалифицируется в качестве административного правонарушения по ст.19.7 КоАП РФ, а с 30 мая 2025 года станет квалифицироваться в качестве такового уже по ч.10 ст.13.11 КоАП РФ. В то же самое время в соответствии с ч.1 ст.4.1.1 КоАП РФ штрафы за впервые совершенное административное правонарушение, в том числе в сфере персональных данных, подлежат обязательной замене на предупреждение. Таким образом, если компания представит уведомление уже после начала обработки персональных данных, то штрафовать ее не будут, а вынесут в ее адрес предупреждение.

Зачем с 30 мая вводятся повышенные штрафы за неподачу уведомлений в Роскомнадзор, если штрафовать за это нарушение все равно не будут?

Замена штрафа на предупреждение на основании ч.1 ст.4.1.1 КоАП РФ применяется только в отношении впервые совершенного административного правонарушения в виде несвоевременного представления уведомления о начале обработки персональных данных.

Установив, что компания своевременно не представила уведомление, Роскомнадзор вынесет в ее адрес предупреждение о недопустимости совершения данного правонарушения. Если, получив предупреждение, компания все равно не направит в Роскомнадзор уведомление о начале обработки персональных данных, то ее оштрафуют по ч.10 ст.13.11 КоАП РФ на сумму от 100 000 до 300 000 рублей.

Появился сайт — нужно ли подавать уведомление в Роскомнадзор?

Если у компании появился сайт, через который собираются персональные данные, то нужно подать уведомление об изменении сведений в реестре операторов ПД Роскомнадзора. При этом, если это будущие клиенты можно выбирать дополнительную цель, например: «формирования базы контрагентов для заключения и исполнения договоров».

Под ПД понимаются: полные ФИО, номера телефонов, электронная почта, ИНН, СНИЛС, домашний и рабочий адрес, номер паспорта, состояние здоровья, размер зарплаты и т. д. То есть любая информация, которая позволяет идентифицировать человека.

ИП на УСН подал уведомление об обработке персональных данных в начале 2025 года, сразу же после регистрации и постановки на налоговый учет. Из Роскомнадзора никакого сообщения о принятии уведомления не поступало. Как ИП узнать, считается ли его обязанность по сдаче уведомления исполненной?

На основании получаемых от организаций и ИП уведомлений Роскомнадзор регистрирует их в реестре операторов персональных данных. Поэтому, если ведомство приняло к учету поступившее уведомления, ИП официально приобрел статус оператора, осуществляющего обработку персональных данных, и сведения о нем должны появиться в данном реестре.

Проверить, присутствует ли информация о том или ином операторе в реестре РКН, можно на главной странице реестра, где представлены поисковые строки для указания сведений об организациях и ИП. Найти оператора в реестре можно по его ИНН, регистрационному номеру или наименованию (ФИО предпринимателя). Если в ответ на поисковый запрос реестр выдаст сведения об ИП, то его обязанность по представлению уведомления считается исполненной, и повторно подавать уведомление не требуется.

Как в уведомлении правильно заполнить поле «Правовое основание обработки персональных данных»?

В данном поле компания должна перечислить правовые акты и прочие документы, в соответствии с которыми ей приходится собирать и обрабатывать данные физлиц. Указанные акты не включают в свой состав нормы Федерального закона от 27.07.2006 № 152-ФЗ, поскольку он не обязывает компании обрабатывать персональные данные, а всего лишь устанавливает правила такой обработки.

В данном поле нужно указать ТК РФ (требует работников предоставлять информацию о себе при трудоустройстве), НК РФ (требует указывать сведения о работниках при сдаче отчетности), другие законы, касающиеся персонифицированной отчетности работников, устав организации и ее локальные акты (например, политику обработки персональных данных). Также в этом поле нужно указать договоры, заключаемые с контрагентами (не каждый в отдельности, а просто – сослаться на заключаемые договоры).

Как исправить ошибку уже в отправленном уведомлении в РКН?

Чтобы исправить ошибку в реестре ПД, который ведет Роскомнадзор, нужно подать уведомление об изменении персональных данных. Это можно сделать через сайт ведомства. Роскомнадзор сначала предупреждает об ошибке. Если не исправить ошибку, только тогда налагают штраф. В реестр операторов вносят только после проверки Роскомнадзора, она длится 30 дней с момента получения уведомления от оператора ПД.

ИП формирует на компьютере в адрес клиентов только платежные требования. Всю остальную информацию (заказы) с указанием персональных данных он учитывает на бумажных носителях вручную, без средств автоматизации. В такой ситуации нужно подавать уведомление в Роскомнадзор?

Нужно. Без подачи уведомления обработка персональных данных может осуществляться только в тех случаях, когда сбор, хранение и использование всех личных сведений ИП осуществляет исключительно без использования средств автоматизации (п.8 ч.2 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ). Если какая-либо часть персональных данных, пусть самая незначительная, обрабатывается на компьютере (в вашем случае – формирование платежных требований), то подача уведомления в Роскомнадзор является обязательной.

На каких работников подавать уведомление о начале обработки персональных данных – на уже действующих или только на вновь трудоустраиваемых? Надо ли подавать уведомление, если ИП больше не планирует принимать на работу новых работников?

При трудоустройстве любых наемных работников осуществляется обработка их персональных данных, поскольку для заключения договора они должны предоставить работодателю паспорт, СНИЛС, трудовую книжку и иные сведения, указанные в ст.65 ТК РФ. Соответственно, перед трудоустройством работников любой работодатель обязан направить в Роскомнадзор уведомление о начале обработки персональных данных. Это уведомление подается однократно – перед трудоустройством первого работника. При трудоустройстве новых работников повторно подавать уведомление не требуется.

Наша организация подавала в Роскомнадзор уведомление о начале обработки персональных данных в 2022 году. Должны ли мы направить еще одно уведомление до 30 мая 2025 года?

Нет, вы не должны представлять такое уведомление. Уведомление о намерении начать обработку персональных данных организации и ИП представляют только для того, чтобы их внесли в реестр операторов персональных данных. Ни для чего другого данное уведомление не нужно. Если организация ранее уже направляла в Роскомнадзор уведомление о намерении начать обработку персональных данных, это значит, что ее уже внесли в реестр операторов. Поэтому смысл в подаче повторного уведомления отсутствует, и подавать его не требуется.

Должны ли самозанятые без зарегистрированного статуса ИП подавать уведомления о начале обработке персональных данных, или это требование распространяется только на организации и предпринимателей?

Да, должны. Требование о представлении в Роскомнадзор уведомления о начале обработки персональных данных распространяется не только на организации, ИП, но также и на самозанятых. По закону операторами персональных данных наряду с организациями и ИП признаются также физлица без статуса ИП, в том числе и самозанятые (п.2 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ). Поэтому, если самозанятый планирует осуществлять обработку персональных данных, то он должен уведомить об этом Роскомнадзор.

В организации нет работников, и деятельность она не ведет. Нужно ли подавать уведомление об обработке персональных данных?

В любой зарегистрированной в ЕГРЮЛ организации имеется как минимум ее единоличный исполнительный орган – директор, назначаемый на должность при ее создании. При этом директор является точно таким же наемным работником организации, как и все другие сотрудники. Поэтому организация выступает в данном случае оператором персональных данных в отношении ее директора и должна подать соответствующее уведомление в Роскомнадзор.

Как подать уведомление в Роскомнадзор, если ИП живет за границей?

Если ИП проживает за границей и обрабатывает персональные данные, то он должен подать уведомление в Роскомнадзор. Указывать нужно официальный адрес в РФ. Иначе будет проблемы, так как передача за границу ПД требует согласия каждого человека, специально оформленного по форме. Это оформить нереально, да и если отчетность сдается в РФ, лучше тот адрес и указать. Именно туда будет направлять Роскомнадзор письма или запросы, а вы их должны получать. Если указать ЦОД за границей, то может быть ответственность вплоть до уголовной, лучше так не делать.

Какие цели обработки персональных данных нужно указать в уведомлении Роскомнадзора? Можно ли указать в одном уведомлении сразу несколько целей обработки данных?

Цели обработки персональных данных, указываемые в уведомлении, зависят, как правило, от вида осуществляемой оператором деятельности. Если у оператора персональных данных имеются работники, то в уведомлении как минимум нужно указать такие цели, как ведение кадрового и налогового учета и сдачу обязательной отчетности в государственные органы.

Если организация при этом занимается, например, оказанием бытовых услуг населению, то в уведомлении нужно указать в качестве цели – заключение и исполнение договоров на оказание соответствующих услуг.

Если компания занимается сразу несколькими видами деятельности, то в уведомлении нужно указать в качестве цели – заключение и исполнение договоров по всем видам деятельности, указанным в ее учредительных документах. При этом в одном уведомлении можно указать сразу все цели обработки персональных данных.

Являются ли селлеры маркетплейсов операторами персональных данных и обязаны ли они сейчас подать заявление на регистрацию в Роскомнадзор?

Да, селлеры являются зачастую операторами персональных данных. Клиенты могут работать по доверенностям, данные в доверенностях — это тоже персональные данные. Селлер может получать, например, полное ФИО. Даже если есть только имя и фамилия, это может расцениваться как ПД.

Оператором ПД является лицо, которое обрабатывает ПД в электронном виде, с помощью компьютера и даже смартфона. Нужно учитывать, что под обработкой персональных данных понимается даже простое хранение информации в памяти компьютера или на другом электронном средстве. Подать уведомление нужно один раз, сделать это можно через Интернет, через портал ПД Роскомнадзора.

ИП без работников работает только с юрлицами. Никаких договоров с ИП и физлицами он не заключает и дел не ведет. Должен ли он уведомлять Роскомнадзор об обработке персональных данных?

Да, должен. В договорах и прочих первичных документах, получаемых от контрагентов – организаций, также фигурируют персональные данные руководителей данных контрагентов и прочих их должностных лиц. Например, ФИО директора контрагента, является персональными данными на основании п.1 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ. Поэтому, получая и обрабатывая документацию, поступающую от контрагентов, ИП в любом случае должен быть зарегистрирован в реестре операторов персональных данных, а для этого ему необходимо направить уведомление в Роскомнадзор.