Уведомление в Роскомнадзор об обработке персональных данных

Все операторы, включая работодателей, должны подавать уведомление в Роскомнадзор об обработке персданных. Кроме уведомления об обработке ПД, компаниям придется также отправлять информацию об изменениях с персданными, трансграничной передаче и утечке данных. Как и когда отчитываться в РКН с учетом всех изменений, о штрафах и способах подачи – расскажем в этой статье.

Бланк уведомления о трансграничной передаче персданных Бланк уведомления об изменении сведений в уведомлении об обработке персданных Бланк уведомления об обработке персданных Таблица новых штрафов за нарушения в работе с персданными (на декабрь 2025)

Когда нужно направлять уведомление в Роскомнадзор

Когда физлицо, компания или ИП начинают работать с персональными данными, практически во всех случаях они становятся оператором ПД и обязаны подать уведомление в Роскомнадзор. Исключений осталось всего три (ч. 2 ст. 22 Федерального закона от 27.07.2006 года № 152-ФЗ).

Это следующие случаи:

• оператор собирает информацию исключительно вручную, то есть средства автоматизации при обработке ПД не используются;
• обрабатываемая персональная информация уже есть в государственных инфосистемах, которые служат защите общественного порядка и госбезопасности;
• персональные данные относятся к сфере транспорта и требуется отдельный контроль по защите этого комплекса от незаконного вмешательства по закону о транспортной безопасности.

Способы подачи уведомления в РКН

О том, как можно подать уведомление в Роскомнадзор, написано на официальном сайте https://pd.rkn.gov.ru/operators-registry/notification/form/.

Всего существует три способа отправки документа:

1. Сформировать уведомление по утвержденной форме на бумажном носителе и отправить в отделение ведомства на территории, где базируется организация.

2. Допускается отправка электронного документа в РКН, но тогда необходимо подписать его усиленной квалифицированной электронной подписью (УКЭП).

3. Если у оператора подтвержден аккаунт в ЕСИА (Госуслуги), можно отправить уведомление в электронной форме через свою учетную запись. 

Обо всех существующих видах электронной подписи (ЭЦП) – читайте в нашей статье.

В реестр операторов РКН вносит заявителя не позднее чем через 30 дней с момента получения соответствующей информации.

Важно! Чтобы подавать сведения за работодателя, аккаунт оператора ПД на Госуслугах должен быть привязан к соответствующей организации.

Уведомление в Роскомнадзор: сроки

О том, что работодателю предстоит работать с персональными данными, в РКН нужно сообщать до начала их обработки (ч. 1 ст. 22 Закона № 152-ФЗ). Чтобы убедиться, что ваша компания уже содержится в перечне ведомства, проверьте это на портале Роскомнадзора. Поиск работает по ИНН (предпочтительно), названию компании или регистрационному номеру.

Если будущего оператора персданных нет в списке, необходимо сразу же отправить уведомление Роскомнадзор о начале обработки ПД. Учтите, что приступать к работе с личной информацией до включения в реестр чревато крупными штрафами.

Обратите внимание! Уведомление в Роскомнадзор об обработке ПД нужно подавать только один раз. При появлении каждого нового сотрудника новое уведомление по этой форме отправлять не требуется.

Изменение или окончание обработки ПД

В процессе работы с персданными, информация, указанная в уведомлении об обработке, может поменяться. Например, компания сменит название, адрес, ответственного и т. д. В этом случае, а также, если какая-то информация отсутствует (категории ПД, новая цель обработки), необходимо отправить письмо о корректировке сведений. 

Бланк формы уведомления об изменениях персональных данных скачать здесь

Изменение в уведомление Роскомнадзора необходимо вносить своевременно, в определенные сроки. Сообщать об обновлении информации нужно до 15 числа месяца следующего после месяца, когда произошли изменения. Если компания по каким-то причинам решит прекратить обрабатывать личную информацию, сообщить об этом в РКН нужно не позже, чем через 10 рабочих дней после завершения (ч. 7 ст. 22 Закона 152-ФЗ).

Утечка персданных

Начиная с сентября 2022 г. ответственный за персданные дополнительно должен направлять уведомление об утечке персональных данных в ФСБ и РКН (Закон 152-ФЗ, ст. 19, 21). 

Сроки для такого сообщения достаточно жесткие (ч. 3.1 ст. 21 Закона 152-ФЗ):

• через сутки с момента обнаружения неправомерного использования ПД или если оператор случайно распространил личную информацию необходимо направить в РКН первичное уведомление;
• через 72 часа нужно предоставить ведомствам итоги внутреннего расследования, обнаружить предположительных виновников происшествия.

Уведомление в Роскомнадзор об обработке ПД

Формы уведомлений о начале обработки, изменении и прекращении работы с персональными данными установлены Приказом Роскомнадзора от 28.10.2022 года № 180. Заполнить форму можно также на сайте РКН. 

Документ должен содержать следующие сведения (ч.3 ст.22  Закона 152-ФЗ):

• наименование ООО или ИП, юридический адрес;
• ФИО ответственного за персональные данные сотрудника, его контакты (телефон, электронная почта);
• цель обработки, включая категории ПД, субъектов и каким способом проводится процедура;
• с какого момента осуществляется обработка (проставить дату образования компании);
• передаются ли персданные в зарубежные страны (да/нет);
• в какой момент планируется прекращение обработки (можно указать «ликвидация организации», если не запланирована конкретная дата);
• где находится база данных компании (адрес дата-центра, собственные серверы или нет);
• как обеспечивается защита персданных (антивирус, шифровальные средства, защита помещения от доступа к нему посторонних).

Форма уведомления в Роскомнадзор об обработке ПД – скачать здесь

Образец заполнения формы уведомления — скачать здесь

Важно! Проверьте, достаточно ли защищена с технической стороны информационная система ПД (ИСПДн) вашей компании. Это можно сделать с помощью специального калькулятора.

Уведомление об утечке персональных данных

Формы к заполнению с информацией о неправомерной передаче (утечке) ПД находятся на сайте Роскомнадзора. Отправить отсюда заявление можно исключительно через Госуслуги. На этом портале у оператора должен быть подтвержденный аккаунт.

Порядок взаимодействия операторов и госслужб при утечке персональных данных утвержден Приказом Роскомнадзора от 14.11.2022 года № 187. Форма первичного уведомления должна содержать информацию об организации и операторе (полное название, ФИО ответственного, реквизиты – ИНН, адрес фактический и юридический, email). 

Также в письме необходимо изложить имеющиеся сведения об инциденте:

• что произошло (время, дата, из какой базы данных и какие сведения стали доступны для третьих лиц);
• какие причины могли вызвать утечку (предположительно);

• какой вред может принести утечка субъекту ПД;

• какие меры уже были приняты для устранения проблемы;

• о лице, которое будет взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

После отправки уведомления об утечке персональных данных ведомство пришлет на указанную электронную почту оператора письмо с номером сообщения и ключом. В дополнительном уведомлении (через 72 часа) указывают этот ключ и номер, а также результаты внутреннего аудита.

Это следующая информация:

• реквизиты решения компании начать расследование;
• причины утечки;
• какой ущерб оказался нанесен лицам, чьи данные оказались неправомерно распространены;
• что еще было предпринято, чтобы устранить последствия утечки;
• чьи действия по результатам расследования послужили причиной инцидента.

Уведомление о трансграничной передаче

Один из пунктов общего уведомления в Роскомнадзор об обработке ПД содержит вопрос о наличии в компании трансграничной передачи данных – то есть отправка личной информации о человеке контрагентам за рубежом. Если ответ будет утвердительный, оператор обязан заполнить еще одну форму уведомления – конкретно о трансграничной передаче.

Как должна проходить трансграничная передача личных данных – читайте в статье

Помимо общих сведений об операторе-организации и конкретно ответственным за обработку ПД. 

В этом уведомлении нужно прописать:

• цель и правовое основание для проведения трансграничной передачи;

• категория субъектов персональных данных;

• перечисление самих данных, которые передаются (например, ФИО, номер телефона, дата рождения);

• дату проведения оператором оценки соблюдения конфиденциальности и обеспечения безопасности персональных данных;

• перечень стран, в которые направят персданные.

Сообщение о намерении осуществлять трансграничную передачу можно заполнить сразу на сайте РКН. Там же его моно отправить в ведомство, используя учетную запись на Госуслугах.

Уведомление в Роскомнадзор — образец заполнения сведений о трансграничной передаче скачать здесь

Важно! РКН уведомляют об отправке ПД за рубеж однократно – для каждой страны, в которую будут направлены сведения. Если указанная страна подписала Конвенцию Совета Европы, отправлять данные можно сразу после направления уведомления. В остальных случаях нужно ждать 10 рабочих дней, так как ведомство может ограничить или запретить передачу информации.

Что будет, если не подать уведомление в Роскомнадзор

СС 30 мая 2025 действуют поправки в ст. 13.11 КоАП РФ по Федеральному закону от 30.11.2024 № 420-ФЗ. С этой даты за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных предусмотрены штрафы.

Их размеры в зависимости от категории:

• физлица – 500 – 10 000 руб.; 
• должностные лица – 30 000 – 50 000 руб.; 
• организации – от 100 000 до 300 000 руб.

До появления этих корректировок Роскомнадзор штрафовал за неуведомление как за непредставление информации по ст. 19.7 КоАП РФ. Максимальное наказание по ней для компании сейчас составляло  5 000 рублей.

Также с конца мая 2025 года согласно Закону № 420-ФЗ штрафы грозят тем организациям, которые не сообщат об утечке личной информации (ч. 11 ст. 13.11 КоАП РФ).

В этом случае:

• граждане могут заплатить от 50 000 до 100 000 руб.,
• штраф должностным лицам составит до 800 000 руб.,
• компании могут обязать заплатить вплоть до 3 млн руб..

Также в закон 420-ФЗ добавлены оборотные штрафы за повторные утечки персданных.  Юрлица и ИП могут отдать 1–3% годовой выручки, с ограничением минимум 20 млн и максимум 500 млн рублей. Должностные лица, допустившие утечку, могут быть оштрафованы на сумму до 2 млн рублей.

Кроме того, 30.11.2024 года Президент РФ подписал еще один закон о санкциях за нарушения работы с персданными (Федеральный закон от 30.11.2024 от 30.11.2024 № 421-ФЗ). Помимо административной, нарушителям грозит теперь также и уголовная ответственность – по новой статье 272.1 УК РФ.

Санкции по статье:

• кража ПД и их незаконное использование – штраф 300 000 рублей, возможно лишение свободы до трех лет;
• если украдены или использованы данные несовершеннолетних или биометрия – 700 000 рублей с возможностью тюремного срока до 5 лет;
• незаконное использование личной информации проводилось группой лиц или привело к тяжелым последствиям – штраф до 3 млн рублей и лишение свободы на 10 лет максимально.

Новая статья УК РФ начала действовать с 10.12.2024 года.

Если у вас остались вопросы по уведомлению Роскомнадзора об обработке персональных данных или вам нужна консультация по применению норм трудового права, позвоните нам по телефону 8 (800) 775 29 55 или напишите на почту: support@profkadrovik.ru 

Обратите внимание! Напоминаем, что с 23.12.2023 года увеличены штрафы за обработку ПД без согласия сотрудников. Теперь должностные лица при первичном нарушении максимально могут лишиться 300 000., а юрлица – до 700 000 рублей.

Читайте на сайте статьи по теме Ответственный за персональные данные: кого и как назначить Трансграничная передача персональных данных по новым требованиям Согласие на обработку персональных данных: последние требования закона Аудит персональных данных: как провести по новым правилам Ответственность за разглашение персональных данных Уничтожение персональных данных: как соблюсти новые требования Биометрические персональные данные: понятие и правила обработки Защита персональных данных работника: как обеспечить в организации Какие есть категории персональных данных