Новые правила Роскомнадзора: какие документы нужны для подачи уведомления с 30 мая

Фото: Владимир Андреев / ТАСС

30 мая 2025 года для всех организаций и предпринимателей России вводятся увеличенные штрафы за нарушение требований законодательства о персональных данных. Для юридических лиц и ИП они составят до 300 тыс. рублей только за отсутствие регистрации в надзорном ведомстве.

Кто обязан подавать уведомление в Роскомнадзор

Регистрация в Роскомнадзоре обязательна для всех юридических лиц, обрабатывающих персональные данные: организаций, ИП, самозанятых и юридических лиц без наемных сотрудников (например, только с директором). Исключение составляют те случаи, когда вся обработка ведется исключительно на бумаге без применения любых средств автоматизации.

Форма уведомления официально утверждена приказом Роскомнадзора №180 от 28 октября 2022 года.

Процедура выполнения требований РКН

1. Разработать и утвердить Политику обработки персональных данных.
2. Принять локальные акты и иные внутренние документы.
3. Сформировать и подать уведомление о начале обработки персональных данных в Роскомнадзор.
4. Пройти регистрацию.
5. Организовать систему постоянного контроля актуальности внедренных документов и соответствия всем требованиям.
6. Обеспечить обучение сотрудников требованиям по работе с персональными данными — в каждом подразделении (бухгалтерия, кадры, ИТ, маркетинг и т.д.).

Важно: первым шагом является не отправка уведомления в Роскомнадзор. Оно подается последним, когда уже подготовлен и утвержден пакет соответствующих документов: локальные нормативные акты, журналы, приказы по работе с персональными данными. В зависимости от специфики компании в этот пакет могут входить от 30 до 60 документов.

Какие документы размещать на сайте, чтобы успешно пройти проверку РКН

Особое внимание теперь уделяется сайтам: на них должны быть опубликованы актуальные политики по обработке персональных данных и конфиденциальности, все формы на сайте обязаны содержать корректные согласия пользователей. Также необходимо информировать посетителей о наличии файлов cookie, публиковать данные владельца сайта, а услуги и товары должны соответствовать видам деятельности по ОКВЭД.

Для всех коммерческих сайтов теперь обязательна публикация:

• политики обработки персональных данных и политики конфиденциальности;
• формы-согласия на обработку данных и файлов cookies при любой коммуникации через сайт;
• контактных данных владельца сайта.

Что такое трансграничная передача данных

С 1 марта 2023 года в России действуют строго определенные правила для трансграничной передачи персональных данных, то есть передачи личной информации граждан РФ за пределы страны иностранным компаниям или государственным органам. Основной закон, регулирующий этот вопрос, — №152-ФЗ «О персональных данных». Согласно определению, трансграничной передачей считается только та ситуация, когда данные действительно отправляются за границу и оказываются в распоряжении зарубежных организаций или физических лиц.

Например, если российская компания бронирует отели для сотрудников за рубежом и передает список с их ФИО, — это классическая трансграничная передача. Если компания пользуется иностранным ПО, где информация хранится на иностранных серверах, это тоже считается передачей данных за рубеж, даже если пользователь этого напрямую не видит.

Особое внимание в законе уделяется тому, как именно и куда передаются данные. Страны делятся на предоставляющие «адекватную защиту прав субъектов персональных данных» и те, что эту защиту не предоставляют. «Адекватными» считаются государства, где уровень защиты информации официально признан достаточным — это, например, Турция, Китай, Беларусь, Казахстан и ряд других стран, входящих в специальный список Роскомнадзора. Передача данных туда разрешена при соблюдении прочих требований закона. В остальных случаях (если страна не входит в этот список) к организатору передачи предъявляются дополнительные требования по обеспечению безопасности данных и получению согласия от гражданина.

Какие штрафы будут введены за нарушение закона о персональных данных

• За отсутствие регистрации: до 300 тыс. рублей.
• За повторное нарушение: до 300 тыс. рублей.
• На сайте не опубликована политика обработки персональных данных: до 60 тыс. рублей.
• Обработка данных на сайте происходит без разрешения пользователя: до 700 тыс. рублей.

Организациям необходимо регулярно проводить аудит своих ресурсов — юридический и технический. С 30 мая у компаний, попавших в поле зрения надзорного органа, будет всего 10 дней с момента получения предписания на то, чтобы предоставить документы или внести исправления.

Рост штрафов происходит не впервые: обязанность подавать уведомления об обработке персональных данных действует уже почти 20 лет, но до этого санкции составляли от 3 тыс. до 5 тыс. рублей. Теперь, по новым правилам, если компания впервые допустила ошибку, ей могут объявить предупреждение, но только при условии быстрого устранения. При повторном обнаружении несоблюдения требований штраф неотвратим.

Как соблюсти все требования и избежать штрафов

Необходимо регулярно поддерживать документы в актуальном состоянии. Любые изменения — смена направления деятельности, появление нового сайта — должны быть своевременно отражены в локальных актах и уведомлении в Роскомнадзор.

• Нельзя указывать неверные или неполные цели и категории персональных данных.
• В уведомлении обязательно должны быть отражены все меры по обеспечению безопасности данных.
• Изменения на сайте организации (открытие нового сайта, подключение новых сервисов и т.п.) требуют внесения изменений в уведомление. Если информация устарела, это повод для наложения штрафа.

Реестр операторов персональных данных доступен онлайн. Если организация или ИП не отображается в поиске по ИНН/наименованию — она не зарегистрирована. Это же правило действует и для самозанятых.