Уведомление об обработке персональных данных: что нужно знать бухгалтеру
Если вы работаете с личной информацией граждан в своем бизнесе, то вы оператор персональных данных и сведения о вас должны быть в Реестре Роскомнадзора. Рассказываем в статье, как подать уведомление об обработке персональных данных, когда и в какие сроки его нужно обновлять. За невыполнение этой обязанности с 30 мая 2025 года есть штраф до 300 000 рублей.
Что будет, если не подать уведомление в Роскомнадзор
Если вы работаете с личной информацией граждан (сотрудников, исполнителей-самозанятых и даже ИП), то считаетесь оператором персональных данных, а значит, сведения о вас должны быть в реестре Роскомнадзора. Для этого нужно подать уведомление об обработке персональных данных, иначе грозит штраф до 300 000 рублей, а в сочетании с другими нарушениями в области персональных данных штрафы могут доходить до нескольких миллионов.
Как ужесточилась ответственность за нарушения с персональными данными
30 мая 2025 года вступили в силу поправки в ст. 13.11 КоАП РФ, которые ужесточили санкции за нарушения в области персональных данных (ПД). Смотрите ниже, за какие нарушения теперь штрафуют и на какую сумму.
Индивидуальные предприниматели за нарушения из ч. 10-18 ст. 13.11 КоАП РФ несут ответственность как юридические лица. Поэтому им также придется платить многомиллионные штрафы или процент с оборота.
Обратите внимание, что с 30 мая 2025 года есть отдельная административная ответственность за неподачу уведомления в Роскомнадзор об обработке ПД. Причем если предприниматель не сообщит о себе в РКН, а потом у него найдут нарушение с защитой личной информации клиентов, штрафы будут выше в несколько раз: до 3 млн руб. вместо 300 тыс. руб.
Обратите внимание, что с 30 мая 2025 года есть отдельная административная ответственность за неподачу уведомления в Роскомнадзор об обработке ПД. Причем если предприниматель не сообщит о себе в РКН, а потом у него найдут нарушение с защитой личной информации клиентов, штрафы будут выше в несколько раз: до 3 млн руб. вместо 300 тыс. руб.
Можно ли не подавать уведомление в Роскомнадзор
Есть всего три случая, когда оператор персональных данных может не сообщать о себе в Роскомнадзор (п. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- Данные граждан обрабатывают в государственных информационных системах, созданных в целях защиты безопасности государства и общественного порядка. Речь идет не о Госуслугах, а специальных базах данных МВД или ФСБ, например, с дактилоскопией.
- Оператор обрабатывает персональные данные исключительно без использования средств автоматизации. ИП и компании часто ссылаться на это основание как повод не сообщать о себе в Роскомнадзор, но есть подводные камни, о них чуть ниже.
- Персональные данные обрабатывают в случаях, предусмотренных законодательством РФ о транспортной безопасности. Речь идет о записях с камер видеонаблюдения вокзалов, аэропортов, портов, а также других мерах защиты от террористов.
Первый и третий случай не имеют отношения к обычному бизнесу — это вопросы безопасности граждан и государства. Второй пункт ИП или самозанятые могут использовать как повод не подавать уведомление, но есть риск.
Согласно Постановлению Правительства от 15.09.2008 № 687, обработка без средств автоматизации в информационной системе — это «если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека».
На наш взгляд, сдача электронной отчетности, хранение данных на гаджетах с доступом в интернет — это уже автоматизация. Есть риск, что Роскомнадзор посчитает так же и оштрафует за неподачу уведомления.
Не стоит думать, что Роскомнадзор ничего не узнает об ИП или компании, если те не заявили о себе в Реестр операторов. РКН может получить информацию из баз данных ФНС и СФР или просто из интернета, если у вас есть сайт. И он может сравнить базы ЕГРИП, ЕГРЮЛ со своим реестром. Вопрос только в том, будет ли РКН назначать штрафы за неуведомление «вручную» или автоматически, как это делает СФР.
Как подготовиться к подаче уведомления
Чтобы корректно сообщить о себе в Роскомнадзор, следуйте алгоритму.
Составьте карту персональных данных
Подготовьте список всех персональных данных, которые вы сейчас собираете. Далее вы будете исключать из него избыточные данные, чтобы не нарушить закон. В таблице со штрафами есть ответственность за обработку ПД, несовместимую с целями обработки, — это как раз про «лишнюю» личную информацию граждан. Подсказка: больше всех ПД обрабатывают кадровики и менеджеры по работе с клиентами.
Составьте список целей обработки. Это то, для чего вы собираете и используете ПД

Не рекомендуем ориентироваться только на всплывающий список в форме уведомления Роскомнадзора — лучше формулировать свои цели в соответствии с бизнес-процессами, чтобы было проще найти правовое основание обработки
Соберите все цели, которые соответствуют вашей деятельности. Например, самозанятый редактор сотрудничает с ИП — субъектом ПД и ведет блог для продвижения услуг и сбора заказов. В качестве целей он может указать:
Для бизнеса с наемными работниками список целей будет больше. Например:
Под каждую цель составьте список категорий (общие, биометрические, специальные) и видов ПД (ФИО, адрес, фото, СНИЛС, запись голоса и т.д.), которые вам нужны для достижения цели. Рекомендуем идти от целей, а не подгонять цели под личную информацию, которая у вас уже есть. Уже на этом этапе вы можете выявить избыточные ПД. Для этого просто сравните данные, которые вам нужны для достижения цели, с тем, что собираете на самом деле.
Например, для приема сотрудника на работу в общем случае нужны только паспорт, СНИЛС и трудовая книжка (сведения о трудовой деятельности). В отдельных ситуациях перечень может быть больше: например, у военнообязанных нужно запросить военный билет или приписное свидетельство, а у кандидатов на должность с требованиями к квалификации — диплом или иной документ об образовании. Список документов, которые можно требовать при трудоустройстве, есть в ст. 65 Трудового кодекса. Сравните его с тем, что вы запрашиваете у кандидатов, — нет ли там лишних?
Всегда задавайте себе вопрос: «Разрешает ли мне закон обрабатывать эти персональные данные?». Если не можете точно на него ответить, лучше исключайте обработку.
Список правовых оснований для обработки ПД смотрите в ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ. Обратите внимание, что согласие субъекта ПД получать не нужно, если оператор собирает персональные данные в соответствии с ситуациями, описанными в п. 2-11 этой нормы.
Под каждую цель обработки составьте список субъектов, чьи данные вы собираете. Например: работники, соискатели на вакансии, клиенты, посетители сайта, представители подрядчика и т.д. Также определите перечень действий с ПД и способы обработки.
В итоге у вас должна получиться карта, которая выглядит примерно так:
Соберите все цели, которые соответствуют вашей деятельности. Например, самозанятый редактор сотрудничает с ИП — субъектом ПД и ведет блог для продвижения услуг и сбора заказов. В качестве целей он может указать:
- подготовка, заключение и исполнение гражданско-правового договора на оказание услуг по написанию и редактуре текстов;
- продвижение товаров, работ, услуг на рынке через личный сайт.
Для бизнеса с наемными работниками список целей будет больше. Например:
- ведение бухгалтерского и налогового учета;
- добровольное медицинское страхование;
- содействие работникам в трудоустройстве, получении образования и продвижении по службе;
- обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и сохранности имущества.
Под каждую цель составьте список категорий (общие, биометрические, специальные) и видов ПД (ФИО, адрес, фото, СНИЛС, запись голоса и т.д.), которые вам нужны для достижения цели. Рекомендуем идти от целей, а не подгонять цели под личную информацию, которая у вас уже есть. Уже на этом этапе вы можете выявить избыточные ПД. Для этого просто сравните данные, которые вам нужны для достижения цели, с тем, что собираете на самом деле.
Например, для приема сотрудника на работу в общем случае нужны только паспорт, СНИЛС и трудовая книжка (сведения о трудовой деятельности). В отдельных ситуациях перечень может быть больше: например, у военнообязанных нужно запросить военный билет или приписное свидетельство, а у кандидатов на должность с требованиями к квалификации — диплом или иной документ об образовании. Список документов, которые можно требовать при трудоустройстве, есть в ст. 65 Трудового кодекса. Сравните его с тем, что вы запрашиваете у кандидатов, — нет ли там лишних?
Всегда задавайте себе вопрос: «Разрешает ли мне закон обрабатывать эти персональные данные?». Если не можете точно на него ответить, лучше исключайте обработку.
Список правовых оснований для обработки ПД смотрите в ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ. Обратите внимание, что согласие субъекта ПД получать не нужно, если оператор собирает персональные данные в соответствии с ситуациями, описанными в п. 2-11 этой нормы.
Под каждую цель обработки составьте список субъектов, чьи данные вы собираете. Например: работники, соискатели на вакансии, клиенты, посетители сайта, представители подрядчика и т.д. Также определите перечень действий с ПД и способы обработки.
В итоге у вас должна получиться карта, которая выглядит примерно так:
Составьте список центров обработки данных (ЦОД)
Это все адреса, по которым оператор или третьи лица по его поручению работают с личной информацией граждан. Например, фирма 1С для своих клиентов сделала памятку с адресами ЦОД для разных своих сервисов. Также в перечне ЦОД указывают адреса деятельности самого оператора, т.е. компании или ИП, где физически стоят серверы или компьютеры, другие электронные устройства с базами ПД, и есть выход сотрудников в интернет.
На этом этапе рекомендуем проанализировать, с помощью каких программ вы обрабатываете персональные данные. Некоторые иностранные мессенджеры или программы ЭДО передают сведения в материнскую компанию в другой стране. Например, WhatsApp ещё в 2021 году объявил, что отправляет в материнскую компанию Facebook (сейчас — Meta Platforms, Inc.) регистрационные данные аккаунта, информацию о транзакциях и использовании услуг, данные о мобильных устройствах, IP-адреса и другую информацию. Во-первых, это уже трансграничная передача ПД, о которой надо уведомлять отдельно и в разрешительном порядке (ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ). Во-вторых, здесь легко можно нарушить требование о локализации баз данных граждан РФ на территории России (ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ).
Опасно использовать и Google Analytics. Вы не сможете установить, в какую страну попадают ПД из этой программы. Кроме того, сам Роскомнадзор плохо относится к использованию этого сервиса. А компанию Google неоднократно штрафовали в России за нарушения законодательства в области персональных данных.
Назначьте ответственного за организацию обработки ПД
Данные ответственного нужно указать в уведомлении.
Самозанятые и ИП без сотрудников в качестве ответственного и контактного лица в форме уведомления в РКН указывают свои данные. Компании обязаны назначить отдельного работника, который организует работу по защите ПД. ИП с наемными работниками тоже могут делегировать полномочия по организации обработки персональных данных кому-то из сотрудников или оставить их за собой.
Назначить ответственного — это не просто издать приказ, а включить соответствующие обязанности в трудовой договор и должностную инструкцию, если она есть. Иначе спрашивать будет не с кого.
Примерный перечень обязанностей ответственного за организацию обработки ПД можно посмотреть в ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ и Приказе Роскомнадзора от 15.12.2022 № 201.
Примите меры по защите персональных данных
Примерный перечень мер смотрите в ст. 18.1 и ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ.
Оператор должен разработать Политику в отношении обработки персональных данных и разместить ее в открытом доступе. Это обязательно не только для юрлиц, но и для ИП, самозанятых (ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Политику можно разместить:
- на официальном сайте компании;
- личной странице в соцсетях;
- на стенде в пункте, где ИП принимает клиентов.
Если у оператора есть сайт, он дополнительно разрабатывает и публикует Политику в отношении обработки ПД посетителей сайта.
В разработке Политики и других документов могут помочь:
- Приказ Роскомнадзора от 15.12.2022 № 201. В нем есть правила обработки ПД в самом Роскомнадзоре — их можно взять за образец, но учитывайте, что это документ федерального органа исполнительной власти и его надо адаптировать под свой бизнес.
- Рекомендации Роскомнадзора по разработке Политики ПД
- Приказ Роскомнадзора от 27.10.2022 № 178 — в части оценки вреда.
- Приказ Роскомнадзора от 28.10.2022 № 179 — как подтвердить уничтожение ПД.
- Рекомендации Роскомнадзора от 08.08.2023 операторам персональных данных.
Окончательного списка других локальных актов и документов, которые нужно издать, нет. Все зависит от того, в какой сфере работает оператор, какой объем ПД он обрабатывает, какие есть риски вреда при утечке личной информации его контрагентов и т.п. Мы не готовы утверждать, что локальные акты разрабатывает только юрлицо, а ИП ничего делать не нужно.
Как заполнить и подать уведомление в Роскомнадзор
Если вы выполнили рекомендации из предыдущего раздела, у вас не должно возникнуть проблем с заполнением уведомления в РКН. Но на всякий случай рекомендуем посмотреть список типичных ошибок, который составил Роскомнадзор: список 1, список 2.
Подать уведомление в РКН можно тремя способами:
- В бумажном виде. Форму можно заполнить на компьютере, распечатать и отправить Почтой России в местное отделение Роскомнадзора. Это не слишком удобно, но надежно, если бывают перебои с интернет-сервисами. Например, перед 30 мая 2025 года другие способы отправки уведомления часто были недоступны.
- В электронном виде на сайте Роскомнадзора. Понадобится квалифицированная электронная подпись. Для этого нужен настроенный плагин КриптоПро ЭП Browser plug-in.
- Через Госуслуги. С помощью сервиса, если есть подтвержденная учетная запись. Если документ отправляет сотрудник компании, его учетная запись должна быть привязана к учетной записи организации.
Важно. Дату начала обработки ПД в форме уведомления рекомендуем указывать по дате начала деятельности из выписки ЕГРЮЛ / ЕГРИП. Роскомнадзор будет ориентироваться на эти данные. Если вы работаете давно, а уведомление не подавали, то вы уже нарушили закон. Но срок давности по ст. 13.11 КоАП РФ (о нарушениях в области ПД) составляет один год. Так что к ответственности вас, скорее всего, не привлекут. А вот если произойдет утечка ПД или на вас пожалуется в РКН кто-то из работников или клиентов, за неподачу уведомления можно получить миллионный штраф.
Что делать после подачи уведомления
Вы можете проверить статус своего сообщения на специальном сервисе Роскомнадзора, если подавали уведомление в электронном виде. Если подавали на бумаге — звоните в местное отделение и уточняйте у них про получение либо отслеживайте письмо через Почту России.
Кроме того, вы можете проверить информацию о себе в Реестре операторов. У Роскомнадзора есть 30 дней, чтобы внести ее туда после получения вашего уведомления.
Регулярно проверяйте актуальность информации о себе в реестре. Обо всех изменениях надо сообщать в Роскомнадзор до 15-го числа месяца, следующего за изменением. Например, в мае вы открыли сайт для продвижения своих услуг. Значит, до 15 июня вам нужно сообщить в Роскомнадзор, что теперь вы обрабатываете и ПД посетителей страницы в интернете.
О прекращении обработки ПД подайте уведомление в РКН в течение 10 рабочих дней (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Например, вы закрыли свой бизнес и больше не работаете с личными данными граждан. Увольнение отдельного работника или отказ от сотрудничества с физическими лицами напрямую — это не прекращение обработки ПД.
! Важно. Обязательно подайте уведомление об изменении сведений, если сообщали о себе в Роскомнадзор до 26 декабря 2022 года. С этой даты действует Приказ Роскомнадзора от 28.10.2022 № 180 с новой формой уведомления.
Главное про уведомление Роскомнадзора об обработке персональных данных
Оператор ПД обязан сообщить о себе в Роскомнадзор. Подайте уведомление как можно быстрее, если не сделали этого раньше. Не нужно думать, что вас все равно оштрафуют, раз вы опоздали сообщить о себе. Если истек срок давности в один год, то санкций не будет. Кроме того, штрафы могут быть меньше или вообще не назначаться, если:
- это первое нарушение, и оно не причинило никому вреда — штраф могут заменить предупреждением — ст. 4.1.1 КоАП РФ;
- есть смягчающие обстоятельства — «явка с повинной», добровольное прекращение нарушения (сами обнаружили, сами перестали нарушать) — ст. 4.2 КоАП РФ.
А вот при выявлении других нарушений с персональными данными неподача уведомления будет отягчающим обстоятельством. И штраф для ИП или юрлица составит уже до 3 млн рублей, а не максимальные 300 тысяч.