Уведомление в РКН об обработке персональных данных: ответы на частые вопросы

Что такое уведомление в Роскомнадзор и нужно ли его подавать по каждому человеку?

Ключевой тезис: уведомление подается не по каждому физлицу, а по факту начала обработки персональных данных (ПДн).

Уведомление — это официальный документ, которым организация или ИП сообщает в РКН:

• какие персональные данные обрабатываются;
• каких категорий лиц (сотрудники, клиенты, контрагенты и т. д.);
• с какими целями;
• где и как хранятся данные;
• какие меры защиты применяются;
• осуществляется ли передача через интернет;
• возможность передачи ПДн третьим лицам;
• используются ли информационные системы.

Это разовое уведомление. Повторно его подают, только если:

• изменились сведения (например, появился сайт или новая цель обработки);
• прекращена обработка ПДн (ликвидация).

Наша услуга распространяется в том числе и на такие случаи.

Нужно ли подавать уведомление, если компания «нулевая»?

Да, нужно. Даже если:

• нет сотрудников;
• нет договоров;
• директор сам сдает нулевые отчеты;

ООО передает в Федеральную налоговую службу и Социальный фонд России данные директора (паспорт, СНИЛС, адрес). Это уже считается обработкой ПДн в электронном виде. Следовательно — уведомление нужно.

Появился сайт — нужно ли подавать новое уведомление?

Если через сайт собираются:

• ФИО;
• телефон;
• email;
• заявки;
• электронные пользовательские данные (в т. ч. cookies).

В этом случае нужно подать уведомление об изменении сведений.

Под персональными данными понимается любая информация, позволяющая идентифицировать человека: ФИО, телефон, email, ИНН, СНИЛС, паспорт, адрес, зарплата и т. д.

Что будет, если не подать уведомление?

С 30 мая 2025 года ответственность за непредставление уведомления в Роскомнадзор существенно ужесточена.

Размеры штрафов:

• для физических лиц — от 5 000 до 10 000 рублей;
• для должностных лиц — от 30 000 до 50 000 рублей;
• для ИП — от 100 000 до 300 000 рублей;
• для организаций — от 100 000 до 300 000 рублей.

Обратите внимание: теперь ИП фактически несут ответственность на уровне юридических лиц.

Важно понимать, что отсутствие уведомления — это формальное нарушение, которое легко фиксируется: организация просто отсутствует в реестре операторов ПДн.

Кроме штрафа возможны:

• запросы и требования о представлении пояснений;
• предписания об устранении нарушений;
• внеплановые проверки;
• повышенное внимание к обработке персональных данных в целом.

То есть риск — не только финансовый, но и репутационный и административный.

Как РКН узнает, что уведомление не подавали?

Компания просто отсутствует в реестре операторов ПДн. Как это проверить:

1. Зайти в реестр РКН.
2. Ввести ИНН или название.
3. Если записи нет — уведомление не подано.

РКН не рассылает напоминания и не предупреждает заранее. Отсутствие записи в реестре — уже объективный факт нарушения.

Дополнительно: если ранее уведомление подавалось, но было оформлено с ошибками, организация также может долго не попадать в реестр. Формально деятельность ведется, а в реестре записи нет — и это создает риски.

Уже подавали уведомление в 2017 году — нужно ли что-то делать?

Нужно проверить форму. С 01.02.2023 действует новая форма уведомления (приказ РКН № 180 от 28.10.2022).

Если в карточке в реестре есть раздел «Список информационных систем и их параметры» — это старая форма. Нужно подать корректирующее уведомление.

Если есть раздел «Цели обработки персональных данных» — форма актуальная.

Но все равно важно проверить корректность сведений.

ИП живет за границей — как подавать уведомление?

Если ИП зарегистрирован в РФ, но живет за рубежом:

• указывать нужно официальный российский адрес;
• ЦОД должен быть в РФ.

Если указать иностранный ЦОД, может возникнуть вопрос трансграничной передачи ПДн, что требует специальных согласий. Это создает серьезные риски.

Как исправить ошибку в уведомлении?

Подается уведомление об изменении сведений. РКН сначала направляет предупреждение. Штраф накладывается только если ошибку не исправить.

Срок проверки уведомления — до 30 дней.

Почему услуга стоит 25 000 рублей? Разве сложно подать самостоятельно?

Да, технически форму можно заполнить самостоятельно. Сложность не в нажатии кнопок, а в корректном определении и описании процессов обработки персональных данных.

Основные рисковые зоны при самостоятельной подаче:

• неправильное определение целей обработки;
• некорректная формулировка категорий субъектов;
• противоречия между видами обработки и мерами защиты;
• непонимание трансграничной передачи данных;
• указание неполных или избыточных сведений.

Типичная ошибка — уведомление подано, но в реестр организация не внесена из-за ошибок.

Реальный кейс: Компания подала уведомление самостоятельно в мае. К январю запись в реестре так и не появилась. После уточнения выяснилось, что сведения были заполнены некорректно. Полгода деятельность велась без регистрации в реестре операторов ПДн.

Наша услуга — это не просто заполнение формы, а еще:

• анализ процессов клиента;
• живая консультация специалиста перед отправкой уведомления;
• выявление всех точек обработки ПДн;
• корректные формулировки;
• снижение рисков штрафов и проверок;
• экономия времени руководителя.

Итог

Клиенты часто воспринимают уведомление как формальность или думают, что речь идет о передаче данных каждого конкретного человека в Роскомнадзор.

Наша задача — спокойно и профессионально объяснить:

• уведомление подается один раз по факту обработки ПДн;
• оно обязательно практически для любого бизнеса, который работает с физическими лицами;
• отсутствие записи в реестре — формальное нарушение;
• штрафы значительные и уже применяются;
• ошибки при самостоятельной подаче могут привести к затяжной ситуации и дополнительным рискам.

Мы не «продаем форму». Мы закрываем для вас риски и помогаем выстроить процесс корректно и безопасно.

Задать вопрос менеджеру