Оператор персональных данных (ОПД) должен уведомить Роскомнадзор о своем намерении обрабатывать персданные до начала их обработки (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). С 1 сентября 2022 года уведомлять не нужно только в трех случаях (Федеральный закон от 14.07.2022 № 266-ФЗ):
- оператор обрабатывает ПД без автоматизации;
- ПД включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
- обработка ПД в случаях, предусмотренных законодательством РФ о транспортной безопасности.
Это означает, что подавляющее большинство ОПД (ИП, юрлица, самозанятые), в том числе все работодатели, должны уведомить Роскомнадзор. До выполнения этой обязанности они не имеют права работать с личной информацией граждан.
Как подать уведомление
Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180 (действует с 26 декабря 2022 года). Его можно подать одним из трех способов:
- Распечатать и подать в бумажном виде в территориальное отделение Роскомнадзора по месту своей регистрации.
- Через сайт Роскомнадзора в виде электронного документа, подписанного усиленной квалифицированной электронной подписью. У оператора должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.
- Через Госуслуги. Для этого нужна подтвержденная учетная запись. Если подается уведомление за организацию, то учетная запись должна быть привязана к данной организации на портале Госуслуг.
Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если вы отправляли бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения территориальным отделением.
Уведомление Роскомнадзора — разовая акция. Если ваша компания уже есть в реестре, подавать заявку повторно не нужно. Но вам следует проверить сведения, которые есть в Роскомнадзоре. В частности, категории ПД и категории субъектов ПД, которые вы указывали в ранее поданном уведомлении. Если какие-то виды личной информации отсутствуют, например, из трудовых правоотношений, то нужно уведомить Роскомнадзор об изменении сведений (п. 7 ст. 22 152-ФЗ).
Рекомендуем обязательно направить корректировку, если вы уведомляли Роскомнадзор до 26 декабря 2022 года. С этой даты изменилась форма уведомления, поэтому почти наверняка сведения о вас в реестре операторов ему не соответствуют.
Информационное письмо о корректировке сведений в реестре направляют теми же способами, что и уведомление. Это нужно сделать до 15-го числа (включительно) месяца, следующего за месяцем изменений (п. 7 ст. 22 152-ФЗ).
Как проверить, есть ли вы в реестре Роскомнадзора
- Зайти на портал Роскомнадзора.
- Ввести ИНН либо название компании.
- Если сведений в реестре нет — необходимо срочно направить уведомление.
Новые штрафы за неуведомление РКН в 2025 году
С 30 мая 2025 года действуют поправки в ст. 13.11 КоАП РФ по Федеральному закону от 30.11.2024 № 420-ФЗ. С этой даты за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных предусмотрен штрафы:
— для физических лиц / самозанятых — от 5 000 до 10 000 рублей;
— для должностных лиц — от 30 000 до 50 000 рублей;
— для ИП / юридических лиц — от 100 000 до 300 000 рублей.
До появления этих санкций Роскомнадзор штрафовал за неуведомление как за непредставление информации по ст. 19.7 КоАП РФ. Максимальное наказание по ней для компании — 5 000 рублей.
С мая 2025 года неуведомление Роскомнадзора переходит в разряд критических рисков для предпринимателя.
