About Teletype
Join
Яна Пучковская Бизнес-наставник экпертов, продажи
@yananutri
May 12, 2025

КОГО ЖДЁТ ШТРАФ 300 ТЫС. С 30 МАЯ ИНФОРМАЦИЯ ОТ РОСКОМНАДЗОРА

Если до 30 мая не подать уведомление в Роскомнадзор об обработке персональных данных, то можно получить штраф до 300 000 рублей. Но теперь есть новая информация от Роскомнадзора, кому всё-таки нужно подавать уведомление.

Кому нужно подать уведомление?

Всем физическим лицам, самозанятым, ИП и юридическим лицам, если вы обрабатываете персональные данные с использованием средств автоматизации.

Что это значит?

Вы используете средства автоматизации, если:

• У вас есть сайт, таплинк или чат-бот с формой сбора данных.

• Вы вбиваете данные клиента куда угодно, например, в таблицу или CRM.

• Даже если вам прислали данные в мессенджере или соцсетях, и вы вбили их в договор.

Штрафы увеличиваются с 30 мая 2025 года:

• Для физических лиц: от 5 до 10 тысяч рублей.

• Для индивидуальных предпринимателей: от 30 до 50 тысяч рублей.

• Для юридических лиц: от 100 до 300 тысяч рублей.

Сколько стоит?

• Подача уведомления — 0 рублей.

Если на сайте будут другие нарушения, то штрафы могут доходить до нескольких миллионов рублей.

Как заполнить уведомление в Роскомнадзор

Уведомление в РКН необходимо всем компаниям, ИП и самозанятым, которые обрабатывают персональные данные сотрудников, клиентов или партнеров.

Что нужно указать в уведомлении

  • Данные организации:
    • ФИО ИП или наименование юрлица
    • Адрес организации
  • Ответственный сотрудник:
    • ФИО ответственного за обработку данных
    • Контактные данные для связи
  • Цели обработки:
    • Причины, по которым обрабатываются данные (например, для соблюдения трудового законодательства)
  • Меры защиты:
    • Используемые шифровальные средства
    • Методы обеспечения безопасности данных
    • Способы защиты от утечек
  • Сроки обработки:
    • Дата начала обработки
    • Условия прекращения обработки (например, ликвидация компании)
  • Трансграничная передача:
    • Информация о передаче данных за границу (если есть)

Сроки подачи уведомления

  • Первичное уведомление - до начала обработки данных
  • Изменения - до 15 числа следующего месяца после внесения изменений
  • Прекращение обработки - в течение 10 рабочих дней

Способы подачи уведомления

  1. Через официальный сайт Роскомнадзора:
    • Сформировать уведомление онлайн
    • Распечатать и отправить почтой
    • Отправить электронно с квалифицированной электронной подписью
  2. Самостоятельное заполнение:
    • Найти форму уведомления
    • Заполнить и принести лично в местное отделение РКН
    • Отправить почтой
  3. Через :
    • Сформировать уведомление в облачных версиях 1С
    • Распечатать и отправить одним из способов выше

Важное предупреждение

С 30 мая 2025 года значительно увеличиваются штрафы за неподачу уведомления. Если раньше максимальный штраф составлял 5000 рублей, то теперь он может достигать 300 000 рублей.

Уведомление достаточно подать один раз, но необходимо подавать уточнения при изменении данных (например, при смене ответственного сотрудника или адреса организации).

Как заполнить уведомление в РКН

Первичное уведомление или корректировка

В самом начале нужно выбрать тип уведомления – первичное или корректирующее. Если вы нажмете кнопку «Заполнить уведомление данными из ранее составленного письма», то откроется окошко, где нужно ввести номер и ключ предыдущего уведомления. В этом случае все ранее заполненные данные автоматические подтянутся.

Рис. 1

Сведения об операторе

Регион. Если вы зарегистрированы в одном регионе, а деятельность ведете в другом, укажите регион фактического местонахождения.

Адрес электронной почты. Красными звездочками отмечены поля, обязательные к заполнению. Адрес электронной почты как раз относится к таким обязательным полям. Он нужен для оперативного взаимодействия с вами по вопросам подачи уведомлений и обработки персональных данных.

Регионы обработки. Регионы обработки – это та территория, на которой вы как оператор непосредственно работаете с персональными данными. Например, у вас есть филиалы, в которых обрабатывается личная информация сотрудников. Это может быть и несколько территорий, и вся Российская Федерация. На сегодня нет судебной практики, когда Роскомнадзор привлек бы к ответственности за то, что в Регионах обработки была указана Российская Федерация, а не конкретный субъект. Здесь важно не перепутать с территориями субъектов, чьи данные вы обрабатываете, потому что субъект может находиться в любом регионе.

Рис. 2

Цели обработки данных

Далее в уведомлении необходимо указать каждую цель, с которой компания планирует обрабатывать персональные данные. В зависимости от объемов обработки данных у организации может быть различное количество целей. Указать в одном поле несколько целей через запятую нельзя. Например, ведение кадрово-бухгалтерского учета, заключение договоров с клиентами и организация пропускного режима на территорию оператора – это три разные цели.

В справочнике на портале Роскомнадзора предложены более 30 целей. Вы можете выбрать из имеющихся или добавить вручную свой вариант.

Есть близкие по смыслу процессы, которые можно объединить в одну цель. Например, в рамках трудовых отношений это оформление трудоустройства, внесение персональных данных сотрудников в информационные системы, например СРМ, и направление персональных данных в банки для выплаты зарплаты.

Бухпросвет

То же самое при подборе персонала, который складывается из различных процессов: поиск соискателей с помощью различных сервисов, взаимодействие с соискателями, прием от них документов, формирование кадрового резерва. Для каждой цели определяем установленную ч.3.1 ст.22 Федерального закона №152-ФЗ информацию. Выбираем из предложенного Справочника или добавляем вручную через выбор кнопки «Иные». При выборе «Иные» в любом из разделов в форме уведомления появятся дополнительные поля, где нужно дописать вручную недостающие сведения (категории ПДн, субъектов, правовые основания и т.д.). Заполнять эти сведения нужно обязательно.

Далее под каждую цель обработки нужно указать категории персональных данных и категории субъектов. Например, при подборе персонала категории сведений, которые обрабатываются, это ФИО, сведения об образовании и предыдущих местах работы, паспортные данные и т.д.

Далее под каждую цель обработки нужно указать категории персональных данных и категории субъектов. Например, при подборе персонала категории сведений, которые обрабатываются, это ФИО, сведения об образовании и предыдущих местах работы, паспортные данные и т.д.

Рис. 3

Если мы не распространяем данные соискателей, то это действие указывать не нужно. Распространение, возможно, например, в случае, когда персональные данные сотрудников размещены на сайте.

Способы обработки данных

Обработка может быть автоматизированная, неавтоматизированная и смешанная. Способ указывается относительно каждой цели. Редко какие компании используют исключительно автоматизированный способ, поэтому не будет ошибкой указать по всем целям смешанную обработку. Кроме того, нужно конкретизировать: передача данных происходит через интернет, или в рамках внутренней сети, или используются оба варианта.

Меры по защите персональных данных

Полный перечень мер содержится в ст. 18.1 и 19 Федерального закона №152-ФЗ. Те данные, которые вы укажете в уведомлении, могут быть проверены Роскомнадзором. Поэтому нужно указывать исключительно достоверную информацию. То же самое касается и сведений об использовании шифровальных криптографических средств. В электронной форме уведомления помимо наименования нужно указать изготовителей, серийные номера средств шифрования и класс из КЗИ. Если у вас нет полных сведений, то достаточно будет указать их наименование.

Ответственный за организацию обработки персональных данных

Ответственным за организацию обработки персональных данных в компании может быть только один сотрудник. Внутри организации вы можете распределить обязанности между несколькими работниками, но ответственность перед проверяющими органами будет нести только человек, указанный в приказе.

Если для целей обработки данных вы привлекаете компанию, то указываете наименование юридического лица. Индивидуальный предприниматель может как сам отвечать за этот процесс, так и назначить ответственного из лица сотрудников. В первом случае можно поле не заполнять.

Обратите внимание, для ответственных лиц важно указывать исключительно рабочие телефоны и электронные адреса, поскольку эти данные будут открытыми. При этом убедитесь, что с человеком можно легко связаться по указанным контактам.

Дата начала и окончания обработки персональных данных

Укажите в качестве даты начала обработки персональных данных день регистрации компании или ИП в Росреестре. Иначе у сотрудников Роскомнадзора возникнет вопрос о том, почему именно указанная дата была выбрана в качестве начального момента обработки данных. В качестве окончания обработки персональных данных можно выбирать не дату, а событие: ликвидация юрлица или окончание регистрации ИП.

Места нахождения баз данных

Помимо страны (РФ) здесь указывается полный адрес ЦОДа: город, улица, дом, номер офиса или квартиры. Под ЦОДом в уведомлении в Роскомнадзор понимается любой сервер и любое место хранения бумажных носителей. Если у вас ЦОД не собственный, а, например, арендованный, хостинг сайта или Яндекс.Диск, то нужно указать, кто обеспечивает хранение. То есть заполнить наименование организации, ИНН, ОГРН и адрес.

Номер и ключ уведомления

После завершения формирования и отправки уведомления вы получите номер и ключ документа. Его необходимо сохранить, он понадобится вам для последующей подачи корректирующих сведений.

Рис. 4

Если номер и ключ были утеряны, можно связаться с территориальным органом Роскомнадзора, в который вы подавали уведомление, и спросить у сотрудников варианты восстановления утерянных сведений. Сделать это самостоятельно на портале уже не получится.

Дарья Бизнес Асисстент
May 12, 2025, 20:47
0 views
0 reactions
0 replies