Уведомление об обработке персональных данных: что нужно знать бухгалтеру
Уведомление об обработке персональных данных: что нужно знать бухгалтеру
Если вы работаете с личной информацией граждан в своем бизнесе, то вы оператор персональных данных и сведения о вас должны быть в Реестре Роскомнадзора. Рассказываем в статье, как подать уведомление об обработке персональных данных, когда и в какие сроки его нужно обновлять. За невыполнение этой обязанности с 30 мая 2025 года есть штраф до 300 000 рублей.
Что будет, если не подать уведомление в Роскомнадзор
Если вы работаете с личной информацией граждан (сотрудников, исполнителей-самозанятых и даже ИП), то считаетесь оператором персональных данных, а значит, сведения о вас должны быть в реестре Роскомнадзора. Для этого нужно подать уведомление об обработке персональных данных, иначе грозит штраф до 300 000 рублей, а в сочетании с другими нарушениями в области персональных данных штрафы могут доходить до нескольких миллионов.
Как ужесточилась ответственность за нарушения с персональными данными
30 мая 2025 года вступили в силу поправки в ст. 13.11 КоАП РФ, которые ужесточили санкции за нарушения в области персональных данных (ПД). Смотрите ниже, за какие нарушения теперь штрафуют и на какую сумму.
Нарушение
Где прописано
Штраф (в скобках — за повторное нарушение)
Примеры, за что могут наказать
Незаконная обработка персональных данных, либо обработка, несовместимая с целями сбора ПД (кроме случаев, предусмотренных ч. 2, 11-18 ст. 13.11 и ст. 17.13 КоАП)
Ч. 1 ст. 13.11 КоАП
Для граждан: 10 – 15 тыс. руб (15 – 30 тыс. руб.);
Для должностных лиц: 50 – 100 тыс. руб. (100 – 200 тыс. руб.)
Для юридических лиц и ИП: 150 – 300 тыс. руб. (300 – 500 тыс. руб.)
Работодатель хранит копии документов работника или членов его семьи (паспорт, свидетельство о рождении с указанием национальности и т.д.)
Компания закрыла вакансию, но в течение 30 дней не уничтожила резюме кандидатов, а держит их в базе
Невыполнение или несвоевременное выполнение обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных
Ч. 10 ст. 13.11 КоАП РФ
Для граждан: 5 – 10 тыс. руб.
Для должностных лиц: 30 – 50 тыс. руб.
Для юридических лиц и ИП: 100 – 300 тыс. руб.
Компания обрабатывает ПД, но не подала уведомление в Роскомнадзор (РКН)
Работодатель внедрил систему видеонаблюдения за работниками, но не изменил цели в уведомлении РКН
У ИП есть свой сайт, а он не указал в уведомлении РКН категории субъектов ПД — посетители сайта
Невыполнение или несвоевременное выполнение обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов ПД
Ч. 11 ст. 13.11 КоАП РФ
Для граждан: 50 – 100 тыс. руб.
Для должностных лиц: 400 – 800 тыс. руб.
Для юридических лиц и ИП: 1 – 3 млн руб.
Компания не подала уведомление в Роскомнадзор, а ее клиенты пожаловались в РКН, что она разгласила их личную информацию
Действия (бездействие), повлекшие утечку информации с персональными данными от 1 000 до 10 000 субъектов персональных данных и (или) от 10 000 до 100 000 идентификаторов, если нет признаков уголовно наказуемого деяния
Ч. 12 ст. 13.11 КоАП РФ
Для граждан: 100 – 200 тыс. руб.
Для должностных лиц: 200 – 400 тыс. руб.
Для юридических лиц и ИП: 3 – 5 млн руб.
В интернете в свободном доступе появилась база данных клиентов компании. Утечку допустили сотрудники
Справочно: Идентификатор — это единица сведений о физическом лице. Например, фамилия, если она занимает отдельную ячейку в таблице с ПД.
Утечка персональных данных от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 000 000 идентификаторов, если нет признаков уголовно наказуемого деяния
Ч. 13 ст. 13.11 КоАП РФ
Для граждан: 200 – 300 тыс. руб.
Для должностных лиц: 300 – 500 тыс. руб.
Для юридических лиц и ИП: 5 – 10 млн руб.
В интернете в свободном доступе появилась база данных клиентов компании. Утечку допустили сотрудники
Справочно: Идентификатор — это единица сведений о физическом лице. Например, фамилия, если она занимает отдельную ячейку в таблице с ПД.
Утечка персональных данных более 100 000 субъектов и (или) более 1 000 000 идентификаторов, если нет признаков уголовно наказуемого деяния
Ч. 14 ст. 13.11 КоАП РФ
Для граждан: 300 – 400 тыс. руб.
Для должностных лиц: 400 – 600 тыс. руб.
Для юридических лиц и ИП: 10 – 15 млн руб.
В интернете в свободном доступе появилась база данных клиентов компании. Утечку допустили сотрудники
Справочно: Идентификатор — это единица сведений о физическом лице. Например, фамилия, если она занимает отдельную ячейку в таблице с ПД.
Повторная утечка данных, если уже было административное наказание за это
Ч. 15 ст. 13.11 КоАП РФ
Для граждан: 400 – 600 тыс. руб.
Для должностных лиц: 800 – 1 200 тыс. руб.
Для юридических лиц и ИП: 1 – 3 % от годовой выручки за прошлый год, но не менее 20 млн руб. и не более 50 млн руб.
Компанию ранее штрафовали за утечки персональных данных, но ее базы данных опять попали в интернет
Утечка информации из специальной категории персональных данных
Ч. 16 ст. 13.11 КоАП РФ
Для граждан: 300 – 400 тыс. руб.
Для должностных лиц: 1 – 1,3 млн руб.
Для юридических лиц и ИП: 10 – 15 млн руб.
Компания допустила утечку базы с данными медосмотров работников
Утечка биометрических персональных данных, за исключением случаев, предусмотренных ст. 13.11.3 КоАП РФ
Ч. 17 ст. 13.11 КоАП РФ
Для граждан: 400 – 500 тыс. руб.
Для должностных лиц: 1,3 – 1,5 млн руб.
Для юридических лиц и ИП: 15 – 20 млн руб.
В сеть попали сканы первых страниц паспортов с фото клиентов риэлтерского агентства
Повторная утечка биометрических персональных данных или из специальной категории, если, уже было административное наказание
Ч. 18 ст. 13.11 КоАП РФ
Для граждан: 500 – 800 тыс. руб.
Для должностных лиц: 1,5 – 2 млн руб.
Для юридических лиц и ИП: 1 – 3 % от выручки за прошлый год, но не менее 25 млн руб. и не более 500 млн руб.
Компанию ранее штрафовали за утечку ПД, но она выложила на сайт фотографии с корпоратива, где подписала каждое фото ФИО и должностью сотрудников, не собрав согласия
Индивидуальные предприниматели за нарушения из ч. 10-18 ст. 13.11 КоАП РФ несут ответственность как юридические лица. Поэтому им также придется платить многомиллионные штрафы или процент с оборота.
Обратите внимание, что с 30 мая 2025 года есть отдельная административная ответственность за неподачу уведомления в Роскомнадзор об обработке ПД. Причем если предприниматель не сообщит о себе в РКН, а потом у него найдут нарушение с защитой личной информации клиентов, штрафы будут выше в несколько раз: до 3 млн руб. вместо 300 тыс. руб.
Данные граждан обрабатывают в государственных информационных системах, созданных в целях защиты безопасности государства и общественного порядка. Речь идет не о Госуслугах, а специальных базах данных МВД или ФСБ, например, с дактилоскопией.
Оператор обрабатывает персональные данные исключительно без использования средств автоматизации. ИП и компании часто ссылаться на это основание как повод не сообщать о себе в Роскомнадзор, но есть подводные камни, о них чуть ниже.
Персональные данные обрабатывают в случаях, предусмотренных законодательством РФ о транспортной безопасности. Речь идет о записях с камер видеонаблюдения вокзалов, аэропортов, портов, а также других мерах защиты от террористов.
Первый и третий случай не имеют отношения к обычному бизнесу — это вопросы безопасности граждан и государства. Второй пункт ИП или самозанятые могут использовать как повод не подавать уведомление, но есть риск.
Согласно Постановлению Правительства от 15.09.2008 № 687, обработка без средств автоматизации в информационной системе — это «если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека».
На наш взгляд, сдача электронной отчетности, хранение данных на гаджетах с доступом в интернет — это уже автоматизация. Есть риск, что Роскомнадзор посчитает так же и оштрафует за неподачу уведомления.
Не стоит думать, что Роскомнадзор ничего не узнает об ИП или компании, если те не заявили о себе в Реестр операторов. РКН может получить информацию из баз данных ФНС и СФР или просто из интернета, если у вас есть сайт. И он может сравнить базы ЕГРИП, ЕГРЮЛ со своим реестром. Вопрос только в том, будет ли РКН назначать штрафы за неуведомление «вручную» или автоматически, как это делает СФР.
Как подготовиться к подаче уведомления
Чтобы корректно сообщить о себе в Роскомнадзор, следуйте алгоритму.
Составьте карту персональных данных
Подготовьте список всех персональных данных, которые вы сейчас собираете. Далее вы будете исключать из него избыточные данные, чтобы не нарушить закон. В таблице со штрафами есть ответственность за обработку ПД, несовместимую с целями обработки, — это как раз про «лишнюю» личную информацию граждан. Подсказка: больше всех ПД обрабатывают кадровики и менеджеры по работе с клиентами.
Составьте список целей обработки. Это то, для чего вы собираете и используете ПД
Не рекомендуем ориентироваться только на всплывающий список в форме уведомления Роскомнадзора — лучше формулировать свои цели в соответствии с бизнес-процессами, чтобы было проще найти правовое основание обработки
Соберите все цели, которые соответствуют вашей деятельности. Например, самозанятый редактор сотрудничает с ИП — субъектом ПД и ведет блог для продвижения услуг и сбора заказов. В качестве целей он может указать:
подготовка, заключение и исполнение гражданско-правового договора на оказание услуг по написанию и редактуре текстов;
продвижение товаров, работ, услуг на рынке через личный сайт.
Для бизнеса с наемными работниками список целей будет больше. Например:
ведение бухгалтерского и налогового учета;
добровольное медицинское страхование;
содействие работникам в трудоустройстве, получении образования и продвижении по службе;
обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и сохранности имущества.
Под каждую цель составьте список категорий (общие, биометрические, специальные) и видов ПД (ФИО, адрес, фото, СНИЛС, запись голоса и т.д.), которые вам нужны для достижения цели. Рекомендуем идти от целей, а не подгонять цели под личную информацию, которая у вас уже есть. Уже на этом этапе вы можете выявить избыточные ПД. Для этого просто сравните данные, которые вам нужны для достижения цели, с тем, что собираете на самом деле.
Например, для приема сотрудника на работу в общем случае нужны только паспорт, СНИЛС и трудовая книжка (сведения о трудовой деятельности). В отдельных ситуациях перечень может быть больше: например, у военнообязанных нужно запросить военный билет или приписное свидетельство, а у кандидатов на должность с требованиями к квалификации — диплом или иной документ об образовании. Список документов, которые можно требовать при трудоустройстве, есть в ст. 65 Трудового кодекса. Сравните его с тем, что вы запрашиваете у кандидатов, — нет ли там лишних?
Всегда задавайте себе вопрос: «Разрешает ли мне закон обрабатывать эти персональные данные?». Если не можете точно на него ответить, лучше исключайте обработку.
Список правовых оснований для обработки ПД смотрите в ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ. Обратите внимание, что согласие субъекта ПД получать не нужно, если оператор собирает персональные данные в соответствии с ситуациями, описанными в п. 2-11 этой нормы.
Под каждую цель обработки составьте список субъектов, чьи данные вы собираете. Например: работники, соискатели на вакансии, клиенты, посетители сайта, представители подрядчика и т.д. Также определите перечень действий с ПД и способы обработки.
В итоге у вас должна получиться карта, которая выглядит примерно так:
Цель обработки
Виды и категории ПД
Категории субъектов ПД
Основания обработки
Способы обработки
Перечень действий
Содействие в трудоустройстве, получении образования, продвижении по службе
Общие ПД:
- ФИО
- ИНН
- СНИЛС
- Образование
- Стаж работы
- Квалификация
- Данные документов воинского учета
- Адрес регистрации
- Адрес фактического проживания
- Номер телефона
Биометрические ПД:
- Фото в паспорте
Специальные ПД:
- Данные о состоянии здоровья по итогам обязательного медосмотра
- Соискатели
- Работники
- Практиканты (стажеры)
Согласие субъекта ПД
п. 2 ч. 1 ст. 6 Закона № 152-ФЗ
Это все адреса, по которым оператор или третьи лица по его поручению работают с личной информацией граждан. Например, фирма 1С для своих клиентов сделала памятку с адресами ЦОД для разных своих сервисов. Также в перечне ЦОД указывают адреса деятельности самого оператора, т.е. компании или ИП, где физически стоят серверы или компьютеры, другие электронные устройства с базами ПД, и есть выход сотрудников в интернет.
На этом этапе рекомендуем проанализировать, с помощью каких программ вы обрабатываете персональные данные. Некоторые иностранные мессенджеры или программы ЭДО передают сведения в материнскую компанию в другой стране. Например, WhatsApp ещё в 2021 году объявил, что отправляет в материнскую компанию Facebook (сейчас — Meta Platforms, Inc.) регистрационные данные аккаунта, информацию о транзакциях и использовании услуг, данные о мобильных устройствах, IP-адреса и другую информацию. Во-первых, это уже трансграничная передача ПД, о которой надо уведомлять отдельно и в разрешительном порядке (ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ). Во-вторых, здесь легко можно нарушить требование о локализации баз данных граждан РФ на территории России (ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ).
Опасно использовать и Google Analytics. Вы не сможете установить, в какую страну попадают ПД из этой программы. Кроме того, сам Роскомнадзор плохо относится к использованию этого сервиса. А компанию Google неоднократно штрафовали в России за нарушения законодательства в области персональных данных.
Назначьте ответственного за организацию обработки ПД
Данные ответственного нужно указать в уведомлении.
Самозанятые и ИП без сотрудников в качестве ответственного и контактного лица в форме уведомления в РКН указывают свои данные. Компании обязаны назначить отдельного работника, который организует работу по защите ПД. ИП с наемными работниками тоже могут делегировать полномочия по организации обработки персональных данных кому-то из сотрудников или оставить их за собой.
Назначить ответственного — это не просто издать приказ, а включить соответствующие обязанности в трудовой договор и должностную инструкцию, если она есть. Иначе спрашивать будет не с кого.
Оператор должен разработать Политику в отношении обработки персональных данных и разместить ее в открытом доступе. Это обязательно не только для юрлиц, но и для ИП, самозанятых (ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Политику можно разместить:
на официальном сайте компании;
личной странице в соцсетях;
на стенде в пункте, где ИП принимает клиентов.
Если у оператора есть сайт, он дополнительно разрабатывает и публикует Политику в отношении обработки ПД посетителей сайта.
В разработке Политики и других документов могут помочь:
Приказ Роскомнадзора от 15.12.2022 № 201. В нем есть правила обработки ПД в самом Роскомнадзоре — их можно взять за образец, но учитывайте, что это документ федерального органа исполнительной власти и его надо адаптировать под свой бизнес.
Окончательного списка других локальных актов и документов, которые нужно издать, нет. Все зависит от того, в какой сфере работает оператор, какой объем ПД он обрабатывает, какие есть риски вреда при утечке личной информации его контрагентов и т.п. Мы не готовы утверждать, что локальные акты разрабатывает только юрлицо, а ИП ничего делать не нужно.
Как заполнить и подать уведомление в Роскомнадзор
Если вы выполнили рекомендации из предыдущего раздела, у вас не должно возникнуть проблем с заполнением уведомления в РКН. Но на всякий случай рекомендуем посмотреть список типичных ошибок, который составил Роскомнадзор: список 1, список 2.
Подать уведомление в РКН можно тремя способами:
В бумажном виде. Форму можно заполнить на компьютере, распечатать и отправить Почтой России в местное отделение Роскомнадзора. Это не слишком удобно, но надежно, если бывают перебои с интернет-сервисами. Например, перед 30 мая 2025 года другие способы отправки уведомления часто были недоступны.
В электронном виде на сайте Роскомнадзора. Понадобится квалифицированная электронная подпись. Для этого нужен настроенный плагин КриптоПро ЭП Browser plug-in.
Через Госуслуги. С помощью сервиса, если есть подтвержденная учетная запись. Если документ отправляет сотрудник компании, его учетная запись должна быть привязана к учетной записи организации.
Важно. Дату начала обработки ПД в форме уведомления рекомендуем указывать по дате начала деятельности из выписки ЕГРЮЛ / ЕГРИП. Роскомнадзор будет ориентироваться на эти данные. Если вы работаете давно, а уведомление не подавали, то вы уже нарушили закон. Но срок давности по ст. 13.11 КоАП РФ (о нарушениях в области ПД) составляет один год. Так что к ответственности вас, скорее всего, не привлекут. А вот если произойдет утечка ПД или на вас пожалуется в РКН кто-то из работников или клиентов, за неподачу уведомления можно получить миллионный штраф.
Что делать после подачи уведомления
Вы можете проверить статус своего сообщения на специальном сервисе Роскомнадзора, если подавали уведомление в электронном виде. Если подавали на бумаге — звоните в местное отделение и уточняйте у них про получение либо отслеживайте письмо через Почту России.
Кроме того, вы можете проверить информацию о себе в Реестре операторов. У Роскомнадзора есть 30 дней, чтобы внести ее туда после получения вашего уведомления.
Регулярно проверяйте актуальность информации о себе в реестре. Обо всех изменениях надо сообщать в Роскомнадзор до 15-го числа месяца, следующего за изменением. Например, в мае вы открыли сайт для продвижения своих услуг. Значит, до 15 июня вам нужно сообщить в Роскомнадзор, что теперь вы обрабатываете и ПД посетителей страницы в интернете.
О прекращении обработки ПД подайте уведомление в РКН в течение 10 рабочих дней (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Например, вы закрыли свой бизнес и больше не работаете с личными данными граждан. Увольнение отдельного работника или отказ от сотрудничества с физическими лицами напрямую — это не прекращение обработки ПД.
! Важно. Обязательно подайте уведомление об изменении сведений, если сообщали о себе в Роскомнадзор до 26 декабря 2022 года. С этой даты действует Приказ Роскомнадзора от 28.10.2022 № 180 с новой формой уведомления.
Главное про уведомление Роскомнадзора об обработке персональных данных
Оператор ПД обязан сообщить о себе в Роскомнадзор. Подайте уведомление как можно быстрее, если не сделали этого раньше. Не нужно думать, что вас все равно оштрафуют, раз вы опоздали сообщить о себе. Если истек срок давности в один год, то санкций не будет. Кроме того, штрафы могут быть меньше или вообще не назначаться, если:
это первое нарушение, и оно не причинило никому вреда — штраф могут заменить предупреждением — ст. 4.1.1 КоАП РФ;
есть смягчающие обстоятельства — «явка с повинной», добровольное прекращение нарушения (сами обнаружили, сами перестали нарушать) — ст. 4.2 КоАП РФ.
А вот при выявлении других нарушений с персональными данными неподача уведомления будет отягчающим обстоятельством. И штраф для ИП или юрлица составит уже до 3 млн рублей, а не максимальные 300 тысяч.