В профессиональной среде и медиапространстве давно поднят шум вокруг обязанности уведомлять Роскомнадзор (РКН) об обработке персональных данных. Заголовки предупреждают о резком ужесточении ответственности, и это не маркетинговый ход. В центре внимания – конкретная дата и существенные изменения законодательства, затрагивающие практически каждую компанию и индивидуального предпринимателя.
Действующая до настоящего момента норма (ст. 19.7 КоАП РФ) предусматривала относительно умеренные финансовые последствия за отсутствие требуемого уведомления – административные штрафы в диапазоне 3 000 – 5 000 рублей для юридических лиц и ИП. Подобные санкции зачастую серьезно не воспринимались бизнесом.
Ситуация кардинально изменилась с 30 мая 2025 года. В этот день вступила в силу часть 10 статьи 13.11 КоАП РФ, увеличивающая размер ответственности:
- Непредставление уведомления: Штрафные санкции для организаций и ИП составят от 100 000 до 300 000 рублей.
- Нарушение, повлекшее утечку данных: Если инцидент, связанный с компрометацией персональной информации, произошел до подачи обязательного уведомления, штрафы могут достигать 1 000 000 рублей.
Сфера обработки персональных данных (ПДн) не ограничивается большими корпорациями. Фактически, любая деловая активность, предполагающая:
- сбор контактных данных клиентов через онлайн-формы или офлайн-анкеты.
- ведение кадрового делопроизводства (данные сотрудников).
- хранение информации о контрагентах или поставщиках (физических лицах).
– автоматически относит субъекта (компанию, ИП, а в определенных случаях даже самозанятого) к категории оператора ПДн. Следовательно, обязанность уведомить надзорный орган распространяется на подавляющее большинство субъектов.
Законодательство (ФЗ-152 "О персональных данных") устанавливает, что уведомление в Роскомнадзор должно быть направлено с момента начала фактической обработки персональных данных. Для многих организаций это означает, что формальное требование возникло еще на этапе регистрации бизнеса или начала приема сотрудников. До сих пор оно часто игнорировалось из-за невысоких рисков.
Несмотря на серьезность предстоящих изменений, оснований для паники нет. Еще раз отметим:
- Временное окно для легализации: Законодательство в РФ, как правило, не имеет обратной силы (ч. 2 ст. 1.7 КоАП РФ). Это означает, что если оператор ПДн успел направить корректное уведомление в РКН до 30 мая 2025 года, к нему не будут применяться новые, значительно более строгие санкции, предусмотренные ч. 10 ст. 13.11 КоАП РФ, за период до этой даты.
- Приоритет предупреждения: Кодекс об административных правонарушениях (ч. 1 ст. 4.1.1. и ч. 2 ст. 3.4. КоАП РФ) допускает возможность вынесения предупреждения за первичное нарушение обязанности по подаче уведомления. Однако это не повод для бездействия: игнорирование последующего предписания РКН неминуемо приведет к наложению штрафа. Практика применения данной нормы будет формироваться, но рассчитывать исключительно на предупреждение – неверно.
Сама по себе подача уведомления – технически не сложная, но требующая внимательности процедура:
- Заполнение электронной формы: Основной способ – заполнение специальной формы на официальном портале РКН. В сети доступно множество инструкций, однако будьте готовы столкнуться с формулировками, требующими юридической или технической интерпретации (например, вопросы о местонахождении информационных систем, трансграничной передаче данных, категориях обрабатываемых ПДн). В случае сомнений настоятельно рекомендуется проконсультироваться со специалистом во избежание ошибок, которые могут повлечь отказ в регистрации или признание уведомления не соответствующим действительности.
- Выбор канала подачи:
Электронный: Через Единый портал государственных услуг (Госуслуги) для бизнеса или с использованием квалифицированной электронной подписи (КЭП) непосредственно на сайте РКН. Это самый оперативный и предпочтительный метод.
Бумажный: Заказным письмом с описью вложения по почтовому адресу территориального управления РКН. Учитывайте сроки доставки и обработки бумажных документов. - Контроль статуса: После отправки уведомления (электронно) система генерирует уникальный номер и ключ. С их помощью обязательно отслеживайте статус обработки вашего заявления в соответствующем разделе сайта РКН. Внесение сведений об операторе в реестр обычно происходит в течение 30 календарных дней.
- Актуализация информации: Если уведомление подавалось ранее (например, несколько лет назад), критически важно проверить его актуальность через реестр операторов на сайте РКН. Любые изменения в целях, составе данных, информационных системах, правовых основаниях обработки требуют своевременного внесения изменений в зарегистрированное уведомление.
Но не забывайте! Подача уведомления — не единственный шаг. Внутри компании должны быть:
- Локальные акты по обработке персональных данных
- Политика конфиденциальности
- Документы, регламентирующие доступ к информации
Отсутствие этих документов или их формальное наличие без реального внедрения в процессы может быть расценено контролирующими органами как нарушение требований законодательства о ПДн со всеми вытекающими последствиями.
Таким образом, штрафы за нарушение законодательства в сфере обработки и защиты персональных данных теперь несут реальный риск для бизнеса. Промедление или игнорирование требования об уведомлении Роскомнадзора перестает быть допустимой опцией.