Уведомление в Роскомнадзор о сборе персональных данных и ответственность за их утечку: ужесточение закона, процесс подачи

С 30 мая 2025 года в российском законодательстве по защите персональных данных вступают в силу важные изменения, которые существенно ужесточают требования к операторам данных. В частности, новшества касаются обязательного уведомления Роскомнадзора о начале обработки персональных данных и обязанностей по информированию о любых случаях утечки этих данных. Нарушения в этих областях теперь караются значительно более суровыми штрафами, что вынуждает бизнес и организации внимательнее относиться к вопросам безопасности и прозрачности.

Логика законодателя в следующем. Рост цифровизации увеличил как объем персональных данных, так и риски злоупотреблений. Новые штрафы призваны сделать «дешевле» сообщить о факте обработки или инциденте, чем скрывать его. Это переход от символических санкций к экономически ощутимым.

Ранее операторы могли не всегда своевременно информировать Роскомнадзор о начале сбора и обработки персональных данных, что нередко приводило к «пробелам» в контроле. С 30 мая 2025 года законодатели четко закрепляют обязанность направлять уведомление о начале обработки в течение 24 часов с момента фактического запуска.

При этом форма уведомления становится более формализованной — потребуется использовать специализированные электронные сервисы Роскомнадзора с подтверждением подлинности. Это можно сделать непосредственно на сайте самого регулятора или перейдя на него с портала Госуслуг. Также допускается после заполнения формы распечатать ее и отправить по почте или иным способом в РКН.

Отсутствие такого уведомления или нарушение сроков подачи теперь считается серьезным административным правонарушением. Для индивидуальных предпринимателей и юридических лиц штрафы вырастают до 100–300 тысяч рублей, а должностные лица могут получить наказание в размере 30–50 тысяч рублей.

Перед подачей уведомления в Роскомнадзор о начале обработки персональных данных оператору важно провести предварительную подготовку, чтобы избежать ошибок, способных повлечь за собой необходимость повторной подачи.

1. Определите, действительно ли нужно уведомление

Если вы начинаете обработку персональных данных, не подпадаете под исключения (см. ниже), и у вас нет ранее поданного уведомления — подача обязательна.

2. Сформулируйте цели обработки данных

Четко пропишите, зачем вы собираете данные: для оформления заказов, обратной связи, ведения бухгалтерии и пр.

3. Определите категории обрабатываемых данных

ФИО, контакты, паспортные данные, ИНН, биометрия и т.д. — выберите те, которые применимы в вашей ситуации.

4. Уточните, будет ли передача данных третьим лицам

Например, курьерским службам, бухгалтерам, облачным сервисам. Это нужно будет указать в уведомлении.

5. Убедитесь, что у вас есть политика обработки персональных данных

Она должна быть размещена на сайте и соответствовать заявленным способам обработки.

6. Выберите способ подачи уведомления

Можно подать через электронную форму на сайте Роскомнадзора, через Госуслуги или отправить распечатанную форму удобным способом.

7. Сохраняйте подтверждение подачи

Сделайте скриншот, распечатайте уведомление или зафиксируйте дату подачи в своем внутреннем учете.

Подготовка занимает немного времени, но снижает риски отказа, штрафов и дополнительных запросов от РКН. Кроме того, при работе с формой уведомления на сайте вы столкнетесь с ограничением по времени и отсутствием возможности сохранить черновик. Поэтому рекомендуется подготовить все необходимые сведения и документы загодя.

Несмотря на общий порядок подачи уведомлений, законодательством предусмотрены исключения. В ряде случаев оператор может обрабатывать персональные данные без предварительного уведомления Роскомнадзора — но только при выполнении строго определенных условий.

1. Обработка ведется исключительно на бумаге

Если персональные данные фиксируются и используются только в бумажном виде — без применения компьютеров, смартфонов или других электронных устройств — уведомление в РКН можно не подавать. Но стоит учесть: если хотя бы часть информации обрабатывается в цифровом формате, освобождение от уведомления уже не действует.

2. Используются данные из государственных информационных систем

Организации, которые работают исключительно с персональными данными, размещенными в государственных ИС, и являются их частью, освобождаются от подачи уведомления. При этом важно, чтобы обработка не выходила за рамки предусмотренных функций системы.

3. Обработка связана с обеспечением транспортной безопасности

Если персональные данные обрабатываются исключительно в целях, связанных с выполнением требований законодательства о транспортной безопасности (например, в рамках контроля доступа или досмотра), уведомление не требуется. Однако если наряду с этим обрабатываются данные сотрудников, клиентов или контрагентов — подача уведомления становится обязательной.

Еще одна новинка в законе — четкий регламент реагирования на инциденты с утечкой персональных данных. При выявлении факта компрометации информации оператор обязан уведомить Роскомнадзор не позднее 24 часов. Но на этом обязанности не заканчиваются.

В течение следующих трех дней (то есть 72 часов после инцидента) оператор должен провести внутреннее расследование, выяснить причины и масштаб утечки, а также направить в Роскомнадзор дополнительное уведомление с итогами расследования и мерами по устранению последствий. Такое требование направлено на повышение прозрачности и оперативности реакции на угрозы безопасности.

В законодательство введены значительно более высокие штрафы за нарушения, связанные с утечками персональных данных. Для юридических лиц и предпринимателей штрафы за первую утечку могут достигать 3–15 миллионов рублей в зависимости от масштаба и тяжести инцидента. Повторные нарушения караются еще строже: сумма штрафа рассчитывается в процентах от годового оборота компании — от 20 миллионов и до полумиллиарда рублей.

Особое внимание уделяется биометрическим персональным данным — это сведения, которые позволяют идентифицировать человека по уникальным биологическим признакам. Утечка биометрии теперь считается особо серьезным нарушением, и штрафы за нее еще выше: от 15 до 20 миллионов рублей за первый случай и от 25 миллионов рублей и выше — за повторные инциденты.

Ответственность несут не только организации, но и должностные лица — с штрафами до 2 миллионов рублей, а также физические лица — до 800 тысяч рублей, если нарушение связано с их деятельностью.

Нововведения заставляют компании по-новому подходить к управлению персональными данными — от моментального уведомления Роскомнадзора о начале обработки до строгого контроля и быстрой реакции на утечки.

Технические и организационные меры, а также тщательное документирование всех процессов теперь становятся обязательными. Недооценка новых требований грозит серьезными финансовыми потерями и подрывает доверие клиентов.

Для кого риск особенно высок:

• E‑commerce и маркетинговые площадки — большой оборот данных клиентов.
• Сервисы B2B‑SaaS, где ПД хранятся у оператора‑поставщика.
• Медицина, финтех, HR‑платформы — чувствительные категории данных.
• Малые компании, использующие облачные CRM или таблицы за рубежом.