Со всех социальных сетей на нас летит информация, что с 30 мая 2025 года начнут массово привлекать к ответственности за нарушения в сфере обработки персональных данных.
На самом деле сами требования давно сформированы. Но теперь с 30 мая 2025 года вступают в силу изменения в КоАП РФ, которые значительно увеличивают штрафы за несоблюдение закона о персональных данных.
Давайте с этим разбираться: кому действительно нужно подавать уведомление, а кому — нет. И как сделать это правильно.
В этой статьей я подготовила пошаговую инструкцию, как подать уведомление в Роскомнадзор.
Кому необходимо подавать уведомление в Роскомнадзор
Следует четко различать ситуации, когда уведомление Роскомнадзора о начале обработки персональных данных является обязательным, и когда в этом нет необходимости. Если вы собираете персональные данные исключительно для исполнения договора и не осуществляете никаких дополнительных действий с этими данными, например, не вносите их в свою базу для дальнейшего использования в маркетинговых целях, то уведомление в Роскомнадзор, как правило, не требуется.
Давайте разберемся на примере службы доставки цветов:
Клиент оформил заказ, указал свой адрес и телефон. Эти данные нужны вам только, чтобы доставить букет в нужное место и позвонить получателю.
После выполнения заказа вы больше с этими данными ничего не делаете — не сохраняете их, не анализируете, не рассылаете спецпредложения.
В таком случае уведомление в Роскомнадзор подавать НЕ нужно.
Вы обрабатываете персональные данные только для исполнения договора — и сразу с ними “прощаетесь”.
А теперь другая ситуация:
Вы не просто доставили букет, а сохранили данные клиента и дату заказа для маркетинговых исследований, например:
- Внесли клиента в базу;
- Изучили, какие категории людей покупают розы или в какое время года спрос выше;
- Начали этим клиентам делать рекламные рассылки с предложениями вроде: “Розы в мае — 100 штук за 5000 рублей”.
В таком случае вы становитесь оператором персональных данных, осуществляющим обработку в маркетинговых целях.
А значит — вы обязаны уведомить Роскомнадзор о том, что обрабатываете персональные данные.
Что такое персональные данные и когда возникает обязанность уведомлять Роскомнадзор?
Персональные данные – это любая информация, которая позволяет идентифицировать конкретного человека.
К таким данным относятся:
— ФИО;
— Дата рождения;
— Адрес проживания;
— Номер телефона;
— Адрес электронной почты;
— Паспортные данные;
— Ссылки на аккаунты в социальных сетях;
— Фотография;
— Информация о состоянии здоровья с указанием личности.
В каких случаях нужно подавать уведомление
Если вы где-то собираете и обрабатываете чужие данные — вы уже оператор персональных данных.
Вот типичные ситуации, когда это происходит (и за которые потом приходят штрафы):
- Форма обратной связи на сайте или в боте: человек оставил имя и телефон, чтобы вы ему перезвонили или прислали информацию — это уже сбор персональных данных.
- Подписка на рассылку или получение лид-магнитов: человек ввёл email, чтобы получить полезные материалы (гайды, чек-листы) — это обработка данных.
- Оформление заказа в интернет-магазине: клиент оставляет ФИО, телефон, адрес — всё это персональные данные.
- Регистрация личного кабинета: создание личного аккаунта на вашем сайте или в приложении обычно требует ввода персональных данных.
- Регистрация на вебинар: Для участия в онлайн-мероприятиях пользователи часто предоставляют свои имя и адрес электронной почты.
- Использование Яндекс Форм и других анкет для сбора данных: если вы используете онлайн-формы для сбора информации, и эти формы запрашивают персональные данные (например, имя, контактные данные для предзаписи на курс или для уточнения деталей услуги) — значит, вы оператор данных.
- Общение с клиентами в мессенджерах: Если в процессе общения с клиентами в мессенджерах вы запрашиваете и используете их персональные данные для дальнейшего взаимодействия в маркетинговых целях, это также считается обработкой персональных данных.
- Платформы вроде GetCourse, Tilda, Prodamus: если вы выгружаете оттуда клиентскую базу и используете её — вы обрабатываете данные. Даже если технически данные собирает платформа — ответственность за обработку может лечь и на вас.
- Заключение договора: если вы просто берёте данные для подписания договора — это может быть исключением. Но если вы эти данные потом как-то используете дополнительно — Роскомнадзор может посчитать, что уведомление всё же нужно.
Важно: не имеет значения, кто вы — физлицо, ИП, самозанятый или юридическое лицо. Закон одинаково распространяется на всех, кто обрабатывает персональные данные.
Пошаговая инструкция по подаче уведомления в Роскомнадзор
Для того чтобы уведомить Роскомнадзор о начале обработки персональных данных для целей маркетинговых исследований и рекламных рассылок, необходимо выполнить следующие шаги:
Шаг 1: Перейдите на сайт Роскомнадзора. Откройте в браузере официальный сайт Роскомнадзора, раздел, посвященный реестру операторов персональных данных: https://pd.rkn.gov.ru/operators-registry/notification/form/
Шаг 2: Перейдите по ссылке "Заполнить форму уведомления". На данной странице вы найдете различные способы подачи уведомления: в бумажном виде, в электронном виде с использованием квалифицированной электронной подписи (КЭП) и в электронном виде с использованием учетной записи на портале Госуслуг (ЕСИА). Для подачи уведомления в электронном виде через портал Госуслуг, необходимо нажать на гиперссылку "Перейти к сервису ЕСИА". При выборе другого способа электронной подачи, например, с использованием КЭП, необходимо будет нажать на соответствующую ссылку "перейти к форме".
Шаг 3: Внимательно заполните все обязательные поля электронной формы уведомления. Форма уведомления содержит ряд разделов, которые необходимо заполнить. К основным полям относятся:
- Сведения об операторе: Укажите свои данные (для физического лица – ФИО, адрес регистрации и фактического проживания, контактные данные; для юридического лица или ИП – наименование, ИНН, ОГРН/ОГРНИП, юридический и фактический адрес, контактные данные).
- Цель обработки персональных данных: В данном разделе необходимо указать конкретные цели, для которых вы осуществляете обработку персональных данных.
- Категории персональных данных: Перечислите типы персональных данных, которые вы обрабатываете. Например, "фамилия, имя, отчество", "адрес электронной почты", "номер телефона".
- Категории субъектов персональных данных: Укажите категории лиц, чьи персональные данные вы обрабатываете.
- Правовое основание обработки персональных данных: Укажите правовое основание, на котором вы осуществляете обработку. Для маркетинговых целей таким основанием, как правило, является "согласие субъекта персональных данных".
- Сведения о мерах по обеспечению безопасности персональных данных: Опишите меры, которые вы принимаете для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
- Регионы обработки персональных данных: (Часто указывается "Российская Федерация").
- Дата начала обработки персональных данных: Укажите дату начала фактической обработки персональных данных.
Шаг 4: Отправьте заполненную форму уведомления в Роскомнадзор в электронном виде. После проверки нажмите кнопку "Отправить". В зависимости от выбранного способа отправки (через Госуслуги или с использованием КЭП) процесс может немного отличаться, но общая логика заключается в передаче заполненной формы в Роскомнадзор в электронном виде.
Шаг 5: После отправки уведомления дождитесь подтверждения о его получении от Роскомнадзора. Обычно подтверждение приходит на указанный вами адрес электронной почты. Рекомендуется сохранить копию отправленного уведомления и полученное подтверждение.
Шаг 6: Периодически проверяйте реестр операторов персональных данных на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/, чтобы убедиться, что ваше уведомление зарегистрировано. Через некоторое время после отправки уведомления (это может занять несколько рабочих дней) проверьте реестр операторов персональных данных, размещенный на сайте Роскомнадзора, чтобы убедиться, что ваша организация или вы как индивидуальный предприниматель были включены в данный реестр.
На сайте Роскомнадзора отсутствует отдельный шаблон заявления для скачивания. Уведомление подается исключительно через заполнение электронной формы непосредственно на портале ведомства или через портал Госуслуг.
Что еще важно знать оператору персональных данных
Помимо подачи уведомления в Роскомнадзор, оператор персональных данных обязан соблюдать и другие требования законодательства. К ним относятся:
- Разработка и публикация "Политики конфиденциальности": Необходимо разработать и разместить на своем сайте, в приложении или иным доступным способом документ "Политика конфиденциальности", который будет информировать пользователей о том, как вы обрабатываете их персональные данные, какие меры принимаете для их защиты и какие права есть у субъектов персональных данных.
- Получение "Согласия на обработку персональных данных": Перед началом обработки персональных данных необходимо получить у субъекта персональных данных (клиента, пользователя) согласие на такую обработку. Согласие должно быть конкретным, информированным и сознательным.
- Получение отдельного "Согласия на рекламную рассылку": Если вы планируете использовать персональные данные для отправки рекламных материалов, вам необходимо получить отдельное согласие на получение такой рассылки. Отсутствие такого согласия может привести к штрафам.
- Способы получения согласий: Согласие может быть получено различными способами, например, путем проставления галочки в чек-боксе на сайте, в форме подписки или регистрации, путем предоставления отдельного письменного документа.
Ответственность за нарушение законодательства о персональных данных (новые штрафы с 30 мая 2025 года)
С 30 мая 2025 года значительно возрастают штрафы за нарушения в сфере персональных данных. За следующие нарушения предусмотрены штрафы:
Непредоставление уведомления в Роскомнадзор (ч. 10 ст. 13.11 КоАП РФ):
- Для физических лиц — от 5 000 до 10 000 рублей.
- Для индивидуальных предпринимателей — от 100 000 до 300 000 рублей.
- Для организаций — от 100 000 до 300 000 рублей.
Отсутствие политики конфиденциальности на сайте или в сервисах (ч. 3 ст. 13.11 КоАП РФ):
- Для физических лиц — от 1 500 до 3 000 рублей.
- Для ИП — от 10 000 до 20 000 рублей.
- Для организаций — от 30 000 до 60 000 рублей.
Обработка персональных данных без согласия человека (ч. 2 ст. 13.11 КоАП РФ):
- Для физических лиц — от 10 000 до 15 000 рублей.
- Для ИП — от 100 000 до 300 000 рублей.
- Для организаций — от 300 000 до 700 000 рублей.
Отсутствие отдельного согласия на рекламную рассылку (ч. 4.1 ст. 14.3 КоАП РФ):
- Для физических лиц — от 10 000 до 15 000 рублей.
- Для ИП — от 20 000 до 100 000 рублей.
- Для организаций — от 300 000 до 1 000 000 рублей.
Важная информация о передаче персональных данных через мессенджеры
С 1 марта 2023 года ряду российских организаций запрещено использовать иностранные мессенджеры WhatsApp, Telegram, Viber и другие, для передачи персональных данных. Этот запрет распространяется на государственные компании, государственные и муниципальные унитарные предприятия, кредитные организации, субъекты национальной платежной системы.
За нарушение правил обработки персональных данных размеры штрафов могут достигать от 60 000 до 100 000 рублей за первичное нарушение и от 100 000 до 300 000 рублей за повторное нарушение для организаций.
Заключение
Если вы обрабатываете персональные данные для маркетинговый целей, исследований или рассылок, обязательно подайте уведомление в Роскомнадзор до 30 мая 2025 года.
Иначе штрафы могут серьезно ударить по вашему бизнесу.
Спасибо за внимание!
Если вы хотите грамотно оформить все документы для работы с персональными данными, мы можем подготовить для вас полный комплект:
— Политику конфиденциальности;
— Согласие на обработку персональных данных;
— Согласие на рекламную рассылку;
— А также помочь с регистрацией и подачей уведомления в Роскомнадзор.
Подробности и цены на сайте: aksenova.info
Если остались вопросы — пишите в комментариях или записывайтесь на консультацию.