Наличие сайта или сотрудников вовсе не обязательно для статуса оператора. Важно именно само обращение с личными данными: даже если у ИП нет штатных работников, но он обрабатывает какие-то данные (например, данные директора, клиентов или подрядчиков), уведомлять Роскомнадзор всё равно нужно. Закон не делает скидок на размер штата: «Ни закон о ПД, ни ТК РФ не связывает наличие штата с статусом оператора».
При этом с 2022 года почти все предыдущие исключения из правил сняты. Теперь уведомлять РКН требуется и при обработке данных сотрудников, и данных клиентов (даже если только для оформления сделки), а также ФИО людей и данных посетителей (например, для пропускного режима). Исключение остаётся лишь одно – если вся обработка ведётся вручную на бумаге (без компьютеров), то уведомление не надо. Во всех остальных случаях, даже без сайта и без наёмных лиц, деятельность с любыми персональными данными подпадает под обязанность уведомить уполномоченный орган.

Нарушение требований закона об уведомлении Роскомнадзора теперь чревато большими штрафами. Согласно новым поправкам (вступают в силу с 30 мая 2025 г.), за неуведомление о начале обработки персональных данных штраф для компании или ИП составляет от 100 тыс. до 300 тыс. рублей. Если же организация не сообщила об утечке персональных данных (то есть о факте утечки в РКН), штраф может достигать 1–3 млн рублей. Эти суммы гораздо выше прежних: раньше за подобное нарушение полагался лишь незначительный штраф. Результат: игнорирование уведомления или его несвоевременная отправка при обнаружении персональных данных может обойтись бизнесу в сотни тысяч и даже миллионы рублей.

Процесс подачи уведомления в РКН состоит из нескольких этапов:

1. Подготовка уведомления. Нужно заполнить официальную форму (приложение №1 к Приказу РКН №180). В ней указывают наименование и адрес организации, цель обработки ПД, категории обрабатываемых данных и субъектов, дату начала и условие окончания обработки, а также сведения о мерах защиты данных. Все поля формы должны быть заполнены подробно: простыми сокращениями или словом «и др.» пользоваться нельзя.
   
   
2. Подача уведомления. Уведомление можно направить одним из способов:
   - Почтой – бумажным письмом в местное управление РКН по адресу регистрации организации.
   - Через сайт РКН – заполнить электронную форму на портале персональных данных (pd.rkn.gov.ru) и подписать её усиленной ЭЦП. Бумагу в этом случае посылать не нужно.
   - Через Госуслуги – заполнить электронную форму на портале Госуслуг (с подтверждённым аккаунтом) и отправить. Повторно бумажную копию тоже не присылают.
   
   
3. Получение результата. После подачи РКН проверяет уведомление и вносит данные в Единый реестр операторов. На это ведомству отводится до 30 дней. Уведомление подавать достаточно однократно – после включения в реестр организация считает себя официально зарегистрированным оператором ПД.
   
   

Обновление сведений. Если в будущем меняются данные из уведомления (например, расширился список целей или перенесена дата старта обработки), нужно направить в РКН уточнённое уведомление не позднее 15-го числа месяца, следующего за изменением. При прекращении обработки данных подаётся отдельное уведомление об этом в течение 10 рабочих дней. Несоблюдение сроков или предоставление неполной/неточной информации может вновь повлечь штраф.

Самостоятельно подготовка и подача уведомления часто вызывает проблемы. Вот распространённые ошибки, которых стоит избегать:

• Неверное оформление уведомления. Документ должен быть на бланке организации (с печатью), с указанием исходящего номера и даты. Нельзя оформлять его от руки или без реквизитов компании.
  
• Неточный адрес или наименование. В уведомлении указывайте полное юридическое название и полный фактический адрес в точности как в учредительных документах или ЕГРЮЛ. Часто оплошность – указать неполный адрес или сокращённое название, из-за чего РКН может не принять уведомление.
  
• Ошибки в категориях данных. Поля «Категории персональных данных» и «Категории субъектов» должны быть заполнены без сокращений и «и т. д.». Нельзя перечислять конкретные лица – нужно указывать классы данных (например, «фамилия, имя, отчество, дата рождения, телефон, e-mail» и т.п.). Аналогично, в списке субъектов нельзя писать «и т.п.» или упоминать внешние компании.
  
• Неверная подпись или отсутствие контактов. Уведомление обязан подписать уполномоченный руководитель (гендиректор, директор) или уполномоченное лицо по доверенности. Если подпись ставит неуполномоченный сотрудник, нужно приложить нотариальную доверенность. Также не забудьте указать в уведомлении контактные данные исполнителя (телефон, e-mail) – без них РКН может попросить уточнений.
  
  

За вышеперечисленные ошибки РКН может не принять уведомление и даже оштрафовать за недостоверные сведения. Чтобы избежать проблем, рекомендуется проверять все поля по образцам и консультироваться со специалистами.

Уведомление в Роскомнадзор – лишь первый шаг. Закон обязывает оператора выстроить систему защиты ПД. Каждая компания-доброволец должна иметь полный пакет локальных документов по ФЗ-152: политику (программу) обработки ПД, акты о мерах безопасности, приказы о назначении ответственного за ПД, инструкции и регламенты для сотрудников и т.д. «Каждый оператор персональных данных обязан иметь пакет документов, подтверждающих защищенность ПДн сотрудников и клиентов». Например, в состав документов входят положения об обработке и защите ПД, перечень сотрудников с доступом к ПД, должностные инструкции и регламенты процедур. Этот пакет нужен, чтобы подтвердить при проверке, что у вас организованы законные и безопасные процессы.
Кроме того, аудит сайта и IT-систем гарантирует реальное соблюдение требований. Специалисты проверят, есть ли на сайте политика конфиденциальности, актуализированы ли формы согласия на обработку ПД, правильно ли реализована защита при передаче данных (шифрование, SSL) и т.д. Это важно, потому что при встрече с контролёрами закон не спрашивает об уведомлении – он проверяет реальные меры защиты. Таким образом уведомление без пакета документов и технологической проверки – лишь «отметка», которая не избавляет от риска штрафов.

Специалисты компании «Роском 24» оказывают полный комплекс услуг «под ключ» для соблюдения ФЗ-152: регистрация операторов в Роскомнадзоре и подача уведомлений, подготовка всех необходимых документов (политик, приказов, локальных актов), юридический аудит сайта на соответствие требованиям закона, а также полный аудит бизнес-процессов по ПДн. Мы поможем подготовиться к проверке РКН и грамотно оформить ответы на их предписания. Ваш бизнес будет сопровождаться вплоть до результата – от первого уведомления до успешного прохождения контроля.

По закону ФЗ-152 «О персональных данных» оператором персональных данных считается любое лицо – государственное, муниципальное, юридическое или физическое, – самостоятельно или совместно организующее и осуществляющее обработку персональных данных. Проще говоря, оператором выступает любая компания или предприниматель, обрабатывающие информацию о клиентах, сотрудниках, партнёрах. Это не обязательно сайт или CRM: даже бумажный контакт с персональными данными (анкеты, реестры, кадровые документы) делает организацию оператором.Индивидуальный предприниматель (ИП), обрабатывающий данные своих сотрудников или клиентов (например, ведёт учёт зарплат или собирает контактные данные покупателей), формально становится оператором персональных данных. По общему правилу он должен уведомить Роскомнадзор о начале такой обработки (ст. 22 ФЗ-152). Важный вывод: даже без сайта или CRM ИП, работающий с любыми персональными данными, обязан зарегистрироваться у РКН. Исключением может быть строго ручная обработка без использования компьютерных баз: тогда по закону уведомлять не нужно, но все равные нормы конфиденциальности остаются в силе.

Оператору персональных данных потребуется сформировать базовый пакет документов. Прежде всего это документ о политике оператора в отношении ПДн (часто его называют «Политика персональных данных» или «Положение»). Он должен описывать цели и порядок обработки данных и обеспечивать принцип законности, конфиденциальности и безопасности. Оператор обязан обеспечить доступ субъектам ПДн к этому документу.
Кроме политики, нужны локальные акты и инструкции: приказы о назначении ответственных за обработку, правила и инструкции для сотрудников, перечни средств защиты и др. Например, это могут быть положения об обеспечении безопасности ПДн, положения о разграничении доступа, должностные инструкции сотрудников, имеющих доступ к ПДн. Все такие акты фиксируют, кто и как работает с персональными данными.
Также оператору необходимо собрать согласия субъектов данных (анкетные, договорные или электронные), если их обработка требует согласия. И, конечно, уведомление в Роскомнадзор – само заявление о начале обработки персональных данных (до 1 марта 2023 г. оно подавалось для трансграничных передач, сегодня это часть общего реестра операторов). В целом набор документов зависит от конкретики бизнеса, но базово каждая компания (или ИП) должна иметь политику ПДн, локальные приказы/инструкции и уведомление в РКН.

Игнорирование обязанности уведомить РКН чревато жёсткими штрафами. В 2025 году с 30 мая вступили в силу новые размеры ответственности (ст. 13.11 КоАП РФ). Теперь за неуведомление о начале обработки ПД штраф для юрлиц и ИП может достигать 300 000 руб.. Ранее эти суммы были существенно ниже: по ч.1 ст. 13.11 после изменения ФЗ-152 штрафы выросли до 150–300 тыс. руб. для организаций и до 50–100 тыс. руб. для должностных лиц и ИП. Для граждан штрафы за подобные нарушения обычно не превышают нескольких тысяч рублей.
Таким образом, если владелец малого бизнеса не направит уведомление в РКН вовремя, ему грозят штрафы от 30–50 тыс. руб. (для ИП и ответственных лиц) и до 300 тыс. руб. для компании. Кроме того, РКН может приостановить обработку данных или инициировать проверку. Соблюдение требований ФЗ-152 и своевременная регистрация в Роскомнадзоре помогают избежать этих рисков.

Трансграничная передача персональных данных означает их передачу за рубеж (в госорган, иностранную компанию или физлицо). Если оператор передаёт ПД за пределы России, в том числе при использовании зарубежных сервисов (например, Google Analytics), это считается трансграничной передачей и требует уведомления РКН. Новые правила (ФЗ-468 от 2021 г.) обязывают сообщать о намерении пересылать данные в иностранное государство. К тому же закон требует хранить базы данных с ПД граждан РФ преимущественно на территории России. Для передачи в другие страны необходимы специальные разрешения или согласие субъекта данных.
Работа сайта, собирающего персональные данные посетителей (в том числе через cookie-файлы), тоже регулируется ФЗ-152. По сути cookie с уникальными идентификаторами пользователя признаются персональными данными. В России владельцы сайтов обязаны получать согласие пользователей на обработку cookie. На практике это означает установку информативного баннера или поп-апа, где пользователь нажатием подтверждает согласие на использование cookies. Информацию о сборе и обработке cookie обычно указывают в Политике конфиденциальности (пополняя её разделом о cookies). Обратите внимание: хотя Верховный суд РФ в ряде дел указал, что изолированно cookie без ФИО могут не считаться ПД, на практике рекомендуется относиться к ним как к персональным данным и реализовывать механизм согласия. Это минимизирует риски претензий РКН.