С 30 мая 2025 года Роскомнадзор значительно усилил надзор за обработкой данных: запущены автоматические проверки сайтов с использованием ИИ. Специальные алгоритмы круглосуточно сканируют интернет-ресурсы и места хранения данных, сверяя текущее обращение с персональными данными с тем, что заявлено в документах. Даже мелкие нарушения (например, отсутствие нужных положений в политике конфиденциальности или неправильные формы согласия на сайте) теперь быстро выявляются. Обычно РКН выдает предписание об устранении несоответствий и дает лишь 10 дней на исправление. Важно понимать, что даже если вы оперативно устраните нарушения, штрафы могут последовать за уже совершенные нарушения – исправление ситуации не гарантирует освобождения от ответственности. При этом санкции с конца мая 2025 резко возросли: максимальные штрафы за нарушения в сфере персональных данных теперь достигают миллионов рублей или даже блокировки сайта. Проще говоря, риск стал несоизмеримо выше. Вместо того чтобы надеяться «на авось» и потом в спешке исправлять недостатки под угрозой блокировки, гораздо безопаснее заблаговременно зарегистрироваться в реестре операторов ПДн и привести все в порядок. Это не только убережет от штрафов, но и продемонстрирует клиентам и партнерам вашу ответственность в сфере безопасности данных.

Ранее за несвоевременное уведомление в Роскомнадзор штрафы были символическими – максимум 3–5 тыс. рублей по общей статье 19.7 КоАП РФ. Многие предприятия откладывали регистрацию из-за такой незначительной ответственности. Однако с 30 мая 2025 года введена новая статья (ч.10 ст.13.11 КоАП РФ) специально за неуведомление Роскомнадзора, и наказания стали несоизмеримо строже. Теперь отсутствие регистрации оператора ПДн грозит штрафом до 300 000 ₽. Конкретные размеры штрафов дифференцированы по статусу нарушителя:

• Юридические лица и индивидуальные предприниматели: от 100 000 до 300 000 руб.. Именно компании и ИП несут максимальную ответственность, так как их деятельность затрагивает данные множества людей.
  
  
• Должностные лица организации: от 30 000 до 50 000 руб.. Руководители и ответственные сотрудники компании могут быть оштрафованы персонально, если не обеспечили соблюдение закона.
  
  
• Физические лица: от 5 000 до 10 000 руб.. Эта категория относится, например, к самозанятым гражданам, которые работают с данными без образования юрлица.
  
  

Таким образом, игнорировать уведомление больше нельзя: штрафы выросли в десятки раз. Причем это лишь часть изменений. Помимо самой регистрации, ужесточились наказания и за другие нарушения правил работы с данными. Например, неправильное оформление согласий или отсутствие политики ПДн теперь тоже чреваты крупными штрафами вплоть до сотен тысяч рублей. А утечка или незаконная передача персональных данных – до миллионов рублей штрафа, вплоть до 15 млн ₽ за первое нарушение и до 3% годовой выручки за повторное. В КоАП введено восемь новых составов правонарушений, связанных с персональными данными. Проще говоря, начиная с 2025 года регистрация оператора ПДн – обязательный минимум. Без нее ваша работа с данными изначально вне закона, а дальнейшие шаги (сбор данных без нужных документов, хранение за рубежом и т.п.) могут повлечь еще более серьезные санкции.

Процедура регистрации оператора персональных данных упрощена – ее можно выполнить полностью онлайн. Роскомнадзор принимает уведомления в электронном виде, а также традиционно на бумаге. Рассмотрим основной порядок действий:

1. Авторизация и выбор способа подачи. Зайдите на официальный портал Роскомнадзора по персональным данным (pd.rkn.gov.ru) или на портал госуслуг под учетной записью организации. Для электронного обращения необходима подтвержденная учетная запись на Госуслугах; если заявление подает сотрудник от имени компании, его аккаунт должен быть привязан к организации. Имеется три способа подачи на выбор: (a) заполнить электронную форму на сайте РКН, распечатать и доставить ее в территориальное управление любым удобным способом; (b) заполнить и отправить форму непосредственно на портале Роскомнадзора, подписав ее усиленной квалифицированной электронной подписью; (c) подать уведомление через портал Госуслуг онлайн. Онлайн-способ через портал удобен тем, что все данные сразу поступают в ведомство, но требует электронной подписи.

2. Заполнение формы уведомления. В уведомлении требуется указать подробные сведения об операторе и обрабатываемых данных. В том числе заполняются следующие разделы:

• Реквизиты оператора: полное наименование организации или ФИО ИП/самозанятого, ОГРН/ИНН, адрес юридический и фактический, контактные данные. Обязательно указывается актуальный email для связи с Роскомнадзором.
  
  
• Цели обработки данных: перечислите, для каких целей собираются персональные данные – например, кадровый учет, исполнение договоров с клиентами, рекламная рассылка, обеспечение пропускного режима и т.д. Каждую цель нужно формулировать отдельно, без объединения разных процессов в одну фразу. РКН предлагает справочник типовых целей, из которого можно выбрать подходящие формулировки.
  
  
• Категории персональных данных и субъектов: перечислите, какие категории ПДн вы обрабатываете (например, ФИО, контактный телефон, email, ИНН) и чьи данные это будут (клиентов, сотрудников, пользователей сайта и пр.).
  
  
• Правовые основания обработки: на каком основании вы собираете данные – обычно это согласие субъекта, договор с участием субъекта, требования закона и пр. (Этот пункт связан с целями: для каждой цели должно быть законное основание обработки).
  
  
• Меры защиты данных: опишите, как вы защищаете персональные данные – используемые информационные системы, антивирусы, шифрование, доступ по паролям, назначение ответственного лица и т.п. Важно показать, что выполнены требования по защите ПДн.
  
  
• Места хранения и обработки ПДн: укажите адреса баз данных, где хранится информация. Если используете облачные сервисы или сторонние дата-центры, нужно указать их название, страну расположения серверов и владельца сервиса. Также отмечаются регионы, где фактически происходит обработка (например, РФ или конкретные области). Учтите, что по закону персональные данные россиян должны храниться на серверах на территории РФ (см. закон о локализации данных).
  
  

3. Отправка уведомления и регистрация. После заполнения всех разделов проверьте данные и подпишите уведомление электронной подписью, если подаете онлайн. Затем отправьте форму через портал. Роскомнадзор рассматривает уведомление до 30 дней. В течение этого срока могут связаться по указанному email для уточнения деталей. Если все в порядке, вашей организации присваивается регистрационный номер, и сведения вносятся в открытый Реестр операторов персональных данных. Проверить успешную регистрацию можно на сайте РКН, введя ИНН или название организации в поиске реестра – появятся данные вашего уведомления. Если же в заявке найдены ошибки или неточности, Роскомнадзор может отказать во внесении в реестр, указав причины отказа, и вам придется подать исправленное уведомление заново. Поэтому важно с первого раза заполнить все корректно и полно.

4. Корректировка сведений и прекращение обработки. Регистрация оператора ПДн проводится один раз – повторно уведомлять при продолжении той же деятельности не требуется. Однако если у вас изменились данные, нужно отправить уточненное (корректирующее) уведомление. По закону на это дается время до 15-го числа месяца, следующего за месяцем изменений. Например, сменили юрадрес или ответственного за ПДн в июле – подайте обновление до 15 августа. Аналогично, если расширились цели или виды данных – добавьте их через изменение в реестр. Если же вы вовсе прекращаете обработку ПДн (ликвидировали организацию либо больше не работаете с персональными данными), требуется подать уведомление о прекращении обработки. Сделать это нужно не позднее 10 рабочих дней после фактического прекращения работы с данными. РКН после получения такого уведомления исключит вашу запись из реестра в течение 30 дней. Игнорировать уведомление о прекращении нельзя: формально, пока вы числитесь в реестре как оператор, на вас распространяются требования закона и проверки.

Отдельно стоит упомянуть трансграничную передачу персональных данных, то есть отправку информации за пределы России. С 1 сентября 2022 правила ужесточились: теперь при передаче данных за границу необходимо уведомлять Роскомнадзор заранее для любого государства. Ранее такие уведомления требовались только если данные уходили в страны без адекватной правовой защиты ПДн, но сейчас уведомление нужно в любом случае, ещё до начала передачи. Это касается самых разных ситуаций: хранение данных на зарубежном сервере или хостинге, использование иностранных облачных сервисов (Google Analytics, Dropbox и т.д.), отправка информации о сотрудниках иностранному контрагенту (например, бронирование гостиницы за рубежом для командировки), передача клиентских данных через мессенджеры вроде WhatsApp, и т.д.. Если вы планируете трансграничную передачу, подготовьте и подайте отдельное уведомление о трансграничной передаче ПДн (через тот же портал РКН) перед началом такой деятельности.
Невыполнение этих требований грозит еще более серьезными санкциями. Нарушение правил трансграничной передачи (например, использование зарубежных сервисов без уведомления РКН) наказывается штрафом до 6 млн руб. для компаний за первое нарушение, а при повторном нарушении или полном отсутствии уведомления – уже от 6 до 18 млн руб.. Фактически, без специального разрешения (уведомления) любые автоматические передачи данных за рубеж теперь вне закона. Роскомнадзор подчеркивает, что первичный сбор данных должен происходить на территории РФ, и запрещен прямой сбор через иностранные службы до сохранения в России. Например, если на сайте подключен счетчик Google Analytics или форма, отправляющая данные сразу на иностранный сервер, – это нарушение, даже если вы формально храните копии баз в РФ. За такое может грозить штраф вплоть до 18 млн ₽, а при злостном игнорировании предписаний – вплоть до блокировки ресурса. Вывод: проверьте, куда могут утекать данные с вашего сайта или CRM. При необходимости – отключите некомплаентные внешние сервисы либо оформите уведомление о трансграничной передаче и дождитесь решения Роскомнадзора. В уведомлении указываются страны, куда планируется передача, категории передаваемых данных и принимающая сторона; РКН в течение ~10 дней рассмотрит его и может запретить передачу, если сочтет, что права субъектов не будут защищены. Без такого уведомления лучше не рисковать работать с зарубежными сервисами.

Многие предприниматели обнаруживают новые требования уже после того, как давно собирают персональные данные (например, запустили интернет-магазин, принимают заявки с сайта или хранят базу клиентов). Если вы узнали, что до начала обработки надо было подать уведомление, а вы этого не сделали, – действовать нужно немедленно. Не пытайтесь “затаиться”: отсутствие регистрации теперь легко выявляется автоматическими проверками, и со временем вероятность инспекции только растет. Следует как можно скорее привести работу с персональными данными в соответствие закону:

1. Подготовьте документы и систему защиты данных. Проведите аудит своего сайта и бизнес-процессов: где и какие данные вы собираете, есть ли на всех формах необходимые флажки согласия, опубликована ли на сайте актуальная политика конфиденциальности, не отправляются ли незаметно данные на внешние сервисы. Одновременно разработайте недостающие локальные акты: Политику обработки ПДн, формы согласий, приказы о назначении ответственного, журнал учёта обращений и пр. Все эти документы должны соответствовать требованиям 152-ФЗ и реальным процессам вашей компании.
   
   
2. Немедленно подайте уведомление в Роскомнадзор. Регистрация оператора ПДн не терпит отлагательств, если вы уже начали работу. Даже если полностью собрать документы сразу сложно, отправьте уведомление как можно быстрее, чтобы хотя бы формально попасть в реестр. В случае проверки факт того, что вы уже подали уведомление (пусть и с опозданием), лучше, чем полное отсутствие регистрации. Возможно, надзорное ведомство ограничится предупреждением за нарушение срока, если вы проявили инициативу и устранили нарушение самостоятельно. Штраф за опоздание все еще возможен, но его вероятность и размер будут намного меньше, чем если вы продолжите работать “в тени”.
   
   
3. Устраните выявленные нарушения в указанный срок. Если Роскомнадзор уже обнаружил ваше отсутствие в реестре (например, через мониторинг сайта) и выдал предписание, главное – уложиться в отведенные 10 дней на исправление. Срочно выполните требования: подайте уведомление, добавьте на сайт недостающие элементы (политику, соглашения), отключите запрещенные иностранные скрипты и т.д. Не паникуйте, а при необходимости привлекайте юриста – эксперт поможет грамотно подготовить ответ и избежать максимального штрафа. После того как вы отчитаетесь об устранении нарушений, РКН может провести повторную проверку. Ваша задача – к этому моменту соответствовать всем базовым требованиям, иначе возможны новые санкции.
   
   

Помните, пока уведомление не подано, ваша деятельность по обработке ПДн официально незаконна. Поэтому затягивать с регистрацией нельзя. Чем раньше вы “узаконите” обработку данных, тем меньше риск нарваться на крупные штрафы или блокировку веб-сервиса. Если вы чувствуете неуверенность в самостоятельном оформлении, лучше перестраховаться и обратиться к специалистам.

Правильное соблюдение всех требований 152-ФЗ может быть затруднительно для непосвященного человека. Нужно учесть множество нюансов (от формулировок целей в уведомлении до настроек cookie-баннера на сайте). Ошибки же обходятся дорого. Поэтому многие организации поручают регистрацию и настройку работы с персональными данными профессионалам. Специализированные юридические компании предлагают услугу по регистрации оператора ПДн «под ключ». Что входит в такую комплексную поддержку?

• Анализ и подготовка документов. Юристы проверят вашу текущую ситуацию и разработают полный пакет локальных актов, требуемых законом: Политику обработки персональных данных, образцы согласий, приказы о назначении ответственного, договоры о конфиденциальности с сотрудниками, журналы учета обращений и т.д. Все документы будут адаптированы под специфику вашего бизнеса, чтобы они соответствовали фактической обработке данных (это важно, так как Роскомнадзор часто сверяет содержание документов с реальностью).
  
  
• Подача уведомления в Роскомнадзор. Специалисты заполнят уведомление за вас, корректно укажут все сведения и цели, чтобы избежать отказа или лишних вопросов. Документ будет направлен в РКН в электронном виде и сопровождаться до внесения компании в реестр. Вам не придется разбираться в нюансах формы – всю работу сделают эксперты.
  
  
• Аудит сайта и ИТ-систем. В рамках услуги проводится юридический и технический аудит вашего сайта на соответствие новым требованиям. Проверяются формы обратной связи (наличие обязательных галочек и ссылок на политику), корректность работы cookie-баннера, отсутствие несанкционированной передачи данных зарубежным сервисам, актуальность сертификатов безопасности и т.п. Также анализируются ваши бизнес-процессы с данными: где они хранятся, кто имеет доступ, как выдают права. По итогам аудита даются рекомендации, что исправить, чтобы исключить риск утечки или блокировки.
  
  
• Сопровождение проверок и запросов. Если Роскомнадзор направит запрос или начнет проверку, юридическая компания поможет подготовить ответы и документы. В случае предписаний эксперты проконсультируют, как быстрее устранить замечания. Проще говоря, профессионалы берут на себя общение с надзорным органом, позволяя вам сосредоточиться на бизнесе. Это снижает вероятность того, что вы нечаянно наговорите лишнего или забудете предоставить важный документ при проверке.
  
  

Такой комплексный подход гарантирует, что все аспекты работы с ПДн у вас закрыты: и документы в порядке, и технические меры приняты, и регистрация пройдена. Вы существенно снижаете риск штрафов. Тем, кто не хочет вникать во все тонкости закона или боится допустить ошибку, действительно стоит рассмотреть помощь специалистов. Например, команда R-Exp (roskom.expert) предлагает услугу регистрации оператора ПДн под ключ: от подготовки документов до подачи уведомления и настройки сайта. По данным их сайта, регистрацию в реестре операторов можно пройти за 1 день, получив при этом защиту от штрафов до 1,5 млн ₽ и подробный чек-лист новых требований. Разумеется, на рынке есть и другие квалифицированные консультанты – важно выбрать тех, кто имеет опыт взаимодействия с Роскомнадзором и актуально следит за изменениями законодательства.

(Примечание: данная статья носит информационный характер; конкретную юридическую помощь вы можете получить, обратившись к профессионалам.)