Обработка персональных данных в бизнесе неизбежна: заключение договоров, оформление платежей, ведение клиентской базы или приём сотрудников — всё это требует работы с личной информацией. Закон обязывает заранее уведомлять Роскомнадзор о таких действиях, иначе грозят серьёзные штрафы. В 2025 году порядок подачи уведомлений остался прежним, но ответственность за нарушения выросла. Точка Банк поможет разобраться в требованиях и сроках подачи документов.
Общие сведения об уведомлении в Роскомнадзор в 2025 году
Кто обязан подавать уведомление
Если бизнес собирает и использует персональные данные — например, принимает заказы на сайте, ведёт клиентскую базу или оформляет сотрудников, — он автоматически становится оператором персональных данных. Это касается всех: организаций, ИП и самозанятых.
Оператором считают любого, кто работает с персональными данными клиентов, партнёров, сотрудников: фамилиями, телефонами, адресами, паспортными данными, электронной почтой и прочее. Даже если вы самозанятый, работаете без сотрудников и продаёте товары через маркетплейс, уведомление Роскомнадзору всё равно может понадобиться.
В большинстве случаев продавцам на маркетплейсах уведомление не нужно, если вы пользуетесь стандартной системой площадки и не получаете персональные данные клиентов напрямую.
Но если вы собираете данные сами — например, при своей доставке или хранении информации в собственных системах, — уведомление в Роскомнадзор подавать обязательно.
Важно! Уведомление требуется, даже если вы не видите данные клиентов напрямую. Если данные проходят через вашу систему — например, логируются, передаются или временно хранятся, — это уже считается обработкой.
Марина — самозанятая. Она вяжет свитеры и продаёт их через маркетплейс. Все заказы оформляются на площадке, и данные покупателей — имя, телефон, адрес ей не передают. Марина решила, что уведомление в Роскомнадзор ей не нужно.
Когда и в какой срок подаётся уведомление
Уведомление подают до начала обработки персональных данных. Это не рекомендация, а требование Федерального закона № 152-ФЗ. Кроме того, уведомление необходимо обновлять не позднее 15-го числа месяца, следующего за тем, в котором произошли изменения (п. 7 ст. 22 № 152-ФЗ), в случае изменения следующих сведений:
- цели обработки данных;
- ответственный за безопасность и другие сведения, перечисленные в ч. 3 ст. 22 № 152-ФЗ;
Уведомление подаётся в течение 10 рабочих дней (ч. 7 ст. 22 № 152-ФЗ), если организация прекратила обрабатывать ПД.
При этом обработка — это не только сбор, но и хранение, передача, обезличивание, систематизация, удаление, составление электронных документов с персональными данными и любые другие действия и операции с ПД. Даже если ИП или самозанятый просто формирует клиенту платёжное поручение на компьютере, он обрабатывает его ПД.
Уведомление заполняется через личный кабинет на сайте Роскомнадзора. В нём указывают, кто обрабатывает данные, с какой целью, где и как они хранятся и какие меры защиты применяются.
После подачи организация или ИП попадают в реестр операторов персональных данных. И могут разместить на своём сайте информационный баннер с указанием, что является оператором персональных данных. Проверить наличие записи можно по ИНН. Если запись есть — второй раз подавать уведомление не нужно.
Разобравшись с уведомлением в Роскомнадзор, важно не забывать и о бухгалтерских обязанностях. Чтобы не тратить время на отчёты и налоги, можно воспользоваться готовыми решениями для бизнеса Онлайн-бухгалтерия от Точка Банк.
Кого освободили от подачи уведомления
Есть три случая, когда уведомление в Роскомнадзор можно не подавать. Они перечислены в п. 2 ст. 22 Федерального закона № 152-ФЗ:
- Обработка данных ведётся только вручную, без использования компьютеров.
- Данные обрабатываются в государственных информационных системах — например, для защиты госбезопасности.
- Обработка проводится в целях транспортной безопасности.
Во всех остальных случаях уведомление обязательно. Даже если у вас нет сотрудников, но вы ведёте деятельность через маркетплейс, заключаете договоры с юридическими лицами или просто составляете счета в Excel, вы уже обрабатываете персональные данные и обязаны уведомить Роскомнадзор.
Как заполнить и подать уведомление в РКН
Чтобы стать оператором персональных данных, бизнесу нужно пройти регистрацию в Роскомнадзоре. Это касается всех — организаций, ИП и самозанятых, которые обрабатывают данные хотя бы одного клиента или сотрудника. Для регистрации нужно отправить в РКН специальное уведомление. Его форма и правила заполнения утверждены приказом Роскомнадзора от 28 октября 2022 года № 180.
С формой можно ознакомиться на официальном сайте РКН.
Бланк уведомления стандартный и состоит из пяти разделов. Заполнить его несложно — в большинстве пунктов достаточно просто поставить галочки или выбрать нужный вариант из выпадающего списка.
Удобнее всего заполнить уведомление на сайте Роскомнадзора. Даже если вы подаёте его на бумаге, форму необходимо заполнить онлайн, затем распечатать с сайта, подписать от руки и отправить по почте. Если у вас есть электронная подпись, можно сразу подать уведомление через сайт, без печати и почтовой отправки.
С печатной версией формы можно ознакомиться в приказе от 28.10.2022 №180.
Как подать уведомление о работе с персональными данными
Уведомление можно подать одним из трёх способов:
- Через Госуслуги — в электронном виде с подтверждённой учётной записью на Госуслугах. Авторизуйтесь, заполните форму и отправьте её онлайн.
- На бумаге — распечатайте форму, заполните и направьте в территориальный орган Роскомнадзора по месту регистрации.
- С электронной подписью — заполните форму на сайте и подпишите её усиленной квалифицированной подписью. Перед отправкой установите плагин КриптоПро ЭЦП Browser plug-in и настройте его.
При заполнении уведомления на сайте Роскомнадзора – нажмите на гиперссылку «Перейти к форме».
Рассмотрим подробнее, как правильно заполнить уведомление в РКН.
Форма и образец уведомления
Сведения об операторе
В этом разделе нужно указать регион регистрации компании, её полное наименование, а для ИП, самозанятых и физических лиц — фамилию, имя и отчество. Также потребуется внести ИНН, ОГРН, фактический адрес ведения деятельности (он может отличаться от адреса регистрации), контактный e-mail и перечень регионов, на территории которых осуществляется обработка персональных данных.
Поле «Адрес оператора» состоит из двух строк:
- «Адрес местонахождения» — сюда нужно вписать адрес из ЕГРЮЛ (для организаций) или ЕГРИП (для ИП). Его можно узнать, заказав выписку через сайт ФНС.
- «Почтовый адрес» — если он совпадает с адресом местонахождения, достаточно просто поставить галочку.
Если организация зарегистрирована в одном регионе, а обрабатывает персональные данные в других, тогда нужно отметить:
- в поле «Регион регистрации» — регион, где находится головной офис или основное место работы компании;
- в поле «Регионы обработки» выбрать конкретные регионы, где оператор работает с персональными данными. Или просто поставить галочку «Все субъекты Российской Федерации». Это удобно, если у вас есть сайт, ведь люди могут заходить на него из любой точки страны.
Цели обработки персональных данных
В этом разделе нужно указать, зачем вашей компании нужны персональные данные физлиц — для чего вы их собираете, храните и используете. Целей может быть несколько, но уведомление подаётся одно.
Что нужно указать для каждой цели
Для каждой цели обработки нужно заполнить отдельный блок, в котором указываются:
- какие категории персональных данных вы обрабатываете;
- чьи именно данные вы собираете (например, клиентов или сотрудников);
- на каком основании работаете с этими данными (договор, закон, согласие и т. д.);
- какие действия выполняете с данными (сбор, хранение, передача и пр.);
- каким способом обрабатываете данные (автоматически или вручную).
В законе нет точного списка целей. Зато на сайте Роскомнадзора есть готовые формулировки — можно выбрать подходящую из них.
Каждая компания или ИП определяет цели самостоятельно. Сайт предлагает на выбор более 30 целей обработки. Если ни одна не подходит, выберите в списке вариант «иная» и впишите свою формулировку вручную.
Например, если у вас нет сотрудников и сайта, можно указать цель — формирование базы клиентов и контрагентов для заключения и исполнения договоров. Если вы ИП без сотрудников и оказываете бухуслуги, то в уведомлении можно указать такие цели обработки:
- ведение основной деятельности;
- заключение договоров и выполнение обязательств перед контрагентами.
Категории персональных данных
Здесь указывается, какие именно персональные данные вы будете обрабатывать и зачем. Для каждой цели обработки заполняется отдельный блок с нужными категориями данных.
Если в уведомлении вы указали, например, три цели, значит, нужно оформить три блока с категориями персональных данных. При этом одни и те же данные могут повторяться в разных целях — это не считается ошибкой.
Все персональные данные делятся на три группы:
- общие — например, ФИО, паспорт, номер телефона, адрес проживания;
- специальные — сведения о здоровье, инвалидности, судимости;
- биометрические — фото, отпечатки пальцев, изображение лица.
Нужно указать все данные, которые вы действительно собираете и используете. Например, если цель — ведение кадрового и бухгалтерского учёта, то в этом разделе можно указать такие данные: ФИО, дата и место рождения, адреса проживания и регистрации, СНИЛС, ИНН, паспортные данные, номер телефона, адрес почты, профессия, должность, сведения о зарплате и трудовой деятельности, реквизиты банковской карты, номер счёта, образование и воинский учёт.
Собирать можно только те персональные данные, которые действительно нужны для выбранной цели.
Например, если цель — заключение и выполнение договоров, то запрещено запрашивать информацию о национальности, религии, политических взглядах или других личных убеждениях человека.
Дата начала обработки данных
Укажите, с какого числа вы начали или начнёте обрабатывать персональные данные.
Иногда пользователи не могут определиться с датой. Например, если данные вы уже давно обрабатываете, а уведомление подаёте только сейчас. Или наоборот — только собираетесь начать, но точной даты ещё нет.
Вот как действовать в разных случаях:
- Если вы уже давно обрабатываете данные — укажите фактическую дату начала. Обычно это день регистрации вашей компании или ИП.
- Если открыли новую компанию и планируете нанять сотрудников позже — можно указать предполагаемую дату, когда начнёте работать с персональными данными. Например, вы зарегистрировали компанию 1 августа, подаёте уведомление 5 августа, а нанимать сотрудников планируете с 1 сентября. В этом случае в уведомлении можно указать 1 сентября как дату начала обработки данных.
Способы обработки данных
В этом разделе нужно описать, каким способом компания будет обрабатывать персональные данные: вручную, с помощью компьютеров или и тем, и другим одновременно.
Если в компании есть внутренняя локальная сеть, в уведомлении нужно выбрать вариант «с передачей по внутренней сети». Даже если у вас всего 10 компьютеров, но они не объединены в общую сеть, указывайте «без передачи по внутренней сети». Здесь важно наличие самой сети, а не количество техники.
Последний вариант: «с передачей по сети Интернет», как правило, подходит всем.
Сведения о местонахождении базы данных, содержащей персональные данные граждан РФ
Центр обработки данных (ЦОД) — это место, где оператор хранит и обрабатывает персональные данные, например офис или сервер. На сайте Роскомнадзора сведения состоят из строк: «Страна», «Адрес ЦОДа», «Собственный ЦОД». Например, организация хранит персональные данные на бумаге (в офисе или архиве) и в электронном виде — в программах «1С:ЗУП» и БИТ. Использует «коробочную» версию, самостоятельно устанавливает программы, настраивает защиту и контролирует, где находятся данные.
Тогда в уведомлении ей нужно указать:
- в поле «Адрес ЦОДа» — адрес, где сотрудники работают с персональными данными и принимают на их основе решения. Обычно это офис;
в поле «Собственный ЦОД» — выберите вариант «да».
Если же организация арендует сервер у другой компании, то в поле «Адрес ЦОДа» нужно поставить её адрес. Его можно взять из договора.
Сведения об обеспечении безопасности персональных данных
В уведомлении об обработке персональных данных есть обязательное поле — «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных». Здесь нужно указать, какие меры вы принимаете для защиты данных.
- Статья 18.1 обязывает оператора обеспечить безопасность персональных данных при их обработке.
- Статья 19 описывает, какие именно меры нужны — как технические, так и организационные.
Опишите, какие меры вы принимаете, чтобы защитить персональные данные. Например, можно указать, что:
- помещение, где обрабатываются данные, защищено;
- носители с персональной информацией хранятся в безопасности;
- при работе в информационных системах применяются меры защиты. Например, к базе имеют доступ только сотрудники с правом обрабатывать персональные данные. Для каждого такого сотрудника есть индивидуальный логин и пароль.
Впишите ФИО, должность и контактные данные человека, который оформлял уведомление.
Чем конкретнее будет описание, тем проще Роскомнадзору оценить, что вы соблюдаете закон.
Что делать после заполнения уведомления
Когда заполните все поля, не забудьте подписать уведомление и отправить его удобным способом.
После этого вы получите номер и ключ уведомления.
Номер и ключ уведомления Роскомнадзора — это уникальные идентификаторы, присваиваемые каждому уведомлению об обработке персональных данных, направленному оператором в Роскомнадзор. Они используются для внесения корректировок в ранее поданные сведения и для отслеживания статуса уведомления в реестре.
Если вы потеряете номер или ключ, восстановить их через сайт не получится. Придётся обращаться в то подразделение Роскомнадзора, куда вы отправляли уведомление.
Как узнать, приняли ли уведомление
Проверить, зарегистрировано ли ваше уведомление, можно в любое время через реестр Роскомнадзора. Просто введите в поиске:
- название организации;
- ФИО индивидуального предпринимателя или самозанятого;
- ИНН или ОГРН.
Если уведомление зарегистрировано, вы сразу увидите его в списке. Если записей нет, под кнопкой «Найти» появится сообщение «Записей не найдено».
В этом случае лучше не ждать и подать уведомление заново — так вы избежите претензий со стороны Роскомнадзора.
Уведомление о трансграничной передаче данных
Если собираетесь передавать персональные данные физических лиц за границу, заранее сообщите об этом в Роскомнадзор. Уведомление нужно подать до начала передачи — отдельно от обычного уведомления о том, что вы обрабатываете персональные данные.
Форму для уведомления можно найти на сайте Роскомнадзора. Пока она не утверждена официально, но можно использовать размещённый образец. Подайте уведомление отдельным документом.
Уведомление о трансграничной передаче можно подать в двух вариантах: бумажном или электронном. Электронное уведомление нужно подписать усиленной квалифицированной электронной подписью и отправить через сайт Роскомнадзора — для этого понадобится установить специальный плагин. Бумажный вариант подписывает руководитель, затем его отправляют в региональное отделение Роскомнадзора.
Если не подать уведомление или сделать это с ошибками, компанию могут оштрафовать. Для директора — от 300 до 500 рублей, для юрлица — от 3 000 до 5 000 рублей (ст. 19.7 КоАП).
Работа с персональными данными — это не только уведомление в РКН, но и ответственность за их защиту. То же самое касается и бухгалтерской информации.
Штрафы за неподачу уведомления
С 30 мая 2025 года выросли штрафы за то, что компания, самозанятые (НПД) или ИП не отправили уведомление в Роскомнадзор о начале работы с персональными данными. Суммы зависят от того, кто нарушил правило — физлицо, ИП или организация.
Вот какие штрафы сейчас действуют:
| Статус | Размер штрафа |
| Физические лица, НПД | От 5 000 до 10 000 рублей |
| Должностные лица организаций | От 30 000 до 50 000 рублей |
| ИП или ООО | От 100 000 до 300 000 рублей |