До 30 мая нужно подать уведомление в Роскомнадзор: кому нужно, как сделать и какой штраф
С 30 мая 2025 года в России повысятся штрафы за отсутствие уведомления в Роскомнадзор о начале обработки персональных данных. Эти изменения затронут всех, кто работает с персональными данными граждан.
Раньше в законе были исключения, которые позволяли найти различные лазейки и не подавать данные. В 2022 году всё изменилось: исключения убрали. А теперь вырастут и штрафы — всё это сигнализирует о том, что Роскомнадзор усиливает контроль, а значит, следует отнестись к требованиям внимательно. За штрафом может последовать разбирательство и более серьёзные санкции.
Как это касается арбитражников?
Федеральный закон «О персональных данных» (152-ФЗ) обязывает всех операторов, обрабатывающих персональные данные, уведомлять об этом Роскомнадзор. Не важно, кто вы — подавать данные должны все, кто взаимодействует с чужими персональными данными: физические лица, юридические лица, самозанятые, индивидуальные предприниматели.
Под обработкой понимается любое действие с личной информацией, которая позволяет идентифицировать человека.
Персональные данные — это любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу. Она включает:
- ФИО, дата рождения, место жительства.
- Телефонный номер, адрес электронной почты.
- IP-адрес, cookie-файлы (если они позволяют идентифицировать пользователя).
- Платежные данные, паспортные данные, ИНН.
- Другая информация, которую вы собираете для идентификации пользователя или выполнения своих задач.
Даже если вы собираете данные временно, не храните их долгосрочно или передаете третьим лицам, вы осуществляете обработку и подпадаете под действие закона.
Давайте разберемся, как это может выглядеть на практике:
- Вы собираете лиды через лендинги, квизы, формы обратной связи.
- Используете трекеры, CRM-системы, аналитику, где хранятся или обрабатываются данные пользователей.
- Любая активность, где вы взаимодействуете с ФИО, телефонами, email-адресами, данными о геопозиции или другими сведениями, позволяющими идентифицировать физическое лицо.
Все эти действия делают вас оператором персональных данных. А значит, вы обязаны уведомить Роскомнадзор.
Какой штраф грозит за непредставление уведомления с 30 мая 2025 года
- Физические лица: от 5 000 до 10 000 рублей
- Юридические лица и ИП: от 100 000 до 300 000 рублей
Подробнее о величине штрафов можно узнать здесь.
Когда и в какой форме подавать уведомление
Уведомление в Роскомнадзор подается однократно
- Проще всего - напрямую на сайте Роскомнадзора. Заполнить форму можно по ссылке: Форма уведомления на сайте Роскомнадзора (нужна авторизация через Госуслуги)
- Заполнить форму на бумаге и отправить в территориальный орган.
- Можно отправить электронную версию, но нужна усиленная подпись
Каких вертикалей это касается
Всех. Если в вашей вертикали происходит сбор и обработка любых данных, которые могут идентифицировать физическое лицо, вы подпадаете под действие закона. Давайте посмотрим категории персональных данных, которые обычно собирают в популярных вертикалях.
- Финансы: ФИО, паспортные данные, ИНН, банковские реквизиты, сведения о доходах.
- E-commerce: ФИО, адрес доставки, телефон, email, данные о покупках.
- Лидогенерация: ФИО, телефон, email.
- Гемблинг / Беттинг: регистрационные данные пользователей, история транзакций.
Что делать, если вы уже обрабатываете данные?
- Подайте уведомление.
- Проверьте процессы. Убедитесь, что ваши методы сбора и обработки данных соответствуют законодательству.
- Обновляйте информацию. Если какие-либо сведения, указанные в вашем уведомлении, изменятся (например, цели обработки, категории данных), вы обязаны уведомить Роскомнадзор об изменениях в течение 10 рабочих дней. Точно так же, при прекращении обработки данных, необходимо подать уведомление об этом.
Соблюдайте законы и берегите себя! При возникновении вопросов обязательно проконсультируйтесь с юристами.