Уведомление об обработке персональных данных. Кому и как надо подать до 30 мая 2025, чтобы не получить штраф до 300 000 рублей.
Привет, я — Александра, юрист для digital-агентств, онлайн-бизнеса и представителей креативных индустрий. В рамках данной статьи расскажу об очередных нововведениях в законодательстве о персональных данных.
С 30 мая 2025 вступает в силу Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в КоАП РФ», пунктом 10 которого устанавливается ответственность за невыполнение или несвоевременное выполнение оператором персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных.
А теперь перевожу с юридического на человеческий все важные нюансы указанного нововведения ↓
01. Кто должен подать уведомление, о котором идёт речь?
Все операторы персональных данных, то есть те лица [физические лица, индивидуальные предприниматели, юридические лица, гос. органы], которые каким-либо образом взаимодействуют с персональными данными физических лиц. Например:
- собирают их любым способом: через формы на сайте, через чат-бота, через электронную переписку, через анкету предзаписи, иное
- хранят их у себя: на личном и (или) рабочих устройствах, в электронной почте, в облачном хранилище, в административной части сайта, иное.
- используют их в разных целях: заключение и исполнение договора, направление информационных и (или) рекламных рассылок, направление бесплатных материалов, регистрация на мероприятие, иное.
[!] Есть исключения, информация о которых будет ниже в статье.
02. Что относится к персональным данным?
Любая информация, которая прямо или косвенно относится к физическому лицу и позволяет как-то связаться с ним. В частности, к персональным данным относятся следующие данные:
- ФИО
- Месяц рождения
- Место рождения
- Социальное положение
- Адрес электронной почты
- Адрес регистрации
- СНИЛС
- Гражданство
- Данные водительского удостоверения
- Данные из свидетельства о рождении
- Номер расчётного счёта
- Профессия
- Сведения о трудовой деятельности
- Сведения об образовании
- Год рождения
- Дата рождения
- Семейное положение
- Имущественное положение
- Пол
- Адрес места жительства
- Номер телефона
- ИНН
- Данные паспорта
- Реквизиты банковской карты
- Должность
- Куки-файлы, собираемые через сайт.
03. Что нужно сделать, чтобы стать оператором персональных данных?
Если вы каким-либо образом взаимодействуете с персональными данными, то автоматически становитесь оператором, который должен соблюдать требования Федерального закона «О персональных данных от 27.07.2006 № 152-ФЗ».
То есть вы становитесь оператором не с момента подачи уведомления, о котором идёт речь. Подача уведомления — это лишь исполнение обязанности оператора, которая предусмотрена ст. 22 Федерального закона «О персональных данных от 27.07.2006 № 152-ФЗ».
04. Когда нужно подавать уведомление?
Согласно положениям Закона [в идеале] подать такое уведомление ДО начала обработки персональных данных, потому что ответственность вводится не только за не подачу, но и за несвоевременную подачу.
Если вы УЖЕ взаимодействуете с персональными данными, то [в идеале] подать такое уведомление до 30 мая 2025, то есть до введения больших административных штрафов.
05. В какой уполномоченный орган по защите прав субъектов персональных данных нужно подавать уведомление?
Уполномоченным органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций [Роскомнадзор, РКН] согласно ч. 1 ст. 23 Федерального закона «О персональных данных от 27.07.2006 № 152-ФЗ» и п. 1 постановления Правительства РФ от 16.03.2009 № 228.
06. Какие есть способы подачи уведомления?
Есть 3 способа подачи такого уведомления:
- способ № 1: заполнить уведомление и направить его оригинал в бумажном виде в территориальный орган РКН
- способ № 2: заполнить уведомление и направить его в электронном виде в территориальный орган РКН с использованием усиленной квалифицированной электронной подписи
- способ № 3: заполнить уведомление и направить его в электронном виде в территориальный орган РКН с использованием средств аутентификации ЕСИА
07. Предусмотрена ли какая-то государственная пошлина за подачу и рассмотрение уведомления?
Нет. Рассмотрение РКН поданного вами уведомления и внесение сведений о вас, как об операторе персональных данных, в общедоступный реестр операторов, является бесплатным.
Однако если вы захотите воспользоваться услугами юриста по корректному заполнению уведомления, они, конечно же, будут платными.
08. Через сколько времени после подачи уведомления я узнаю решение по нему?
У РКН есть 30 дней с даты поступления уведомления для принятия решения по нему.
09. Можно ли подать уведомление самостоятельно без привлечения юриста?
Конечно же, можно, но не рекомендуется. Основная причина — это то, что вы можете заполнить уведомление некорректно, тем самым нарушив иные обязанности оператора, предусмотренные Законом, что может повлечь за собой иные административные штрафы по КоАП РФ.
Для того, чтобы корректно заполнить такое уведомление необходимо, как минимум:
- провести аудит вашей деятельности, то есть ОТ и ДО понять, как в рамках вашей деятельности, проекта или компании происходит взаимодействие с персональными данными на всех этапах от сбора до уничтожения
- исправить все те моменты, где взаимодействие с персональными данными происходит не так, как это нужно [например, отключить Google Analytics с вашего сайта / сменить сервис для рассылок на тот, что принадлежит российской организации / сделать правильные чек-боксы на сайте / иное]
- разработать документы по персональным данным в соответствии с требованиями Закона, которые требуются именно вам [например, политика в отношении обработки персональных данных / согласие на обработку персональных данных / согласие на распространение персональных данных / иные]
- организовать правильное согласие посетителей ваших интернет-ресурсов [например, сайтов или чат-ботов] с документами, чтобы они не просто висели на сайте, а закрывали ваши риски
- и огромное количество иных моментов, которые важно учитывать всем операторам персональных данных.
Вы должны понимать, что внесение вас в реестр операторов персональных данных — это исполнений всего лишь одной из обязанностей оператора.
При этом подача уведомление = уведомление РКН о том, что вы существуете и работаете с персональными. То есть повышение вероятности проверок соблюдения вами требований Закона.
То есть просто подать уведомление недостаточно.
10. Какая конкретно ответственность будет предусмотрена за не подачу или несвоевременную подачу уведомления?
Наложение административного штрафа:
- на граждан в размере от 5 000 до 10 000 рублей
- на должностных лиц от 30 000 до 50 000 рублей
- на юридических лиц от 100 000 до 300 000 рублей.
11. Когда такое уведомление подавать не нужно?
В ч. 2 ст. 22 Федерального закона «О персональных данных от 27.07.2006 № 152-ФЗ» предусмотрено несколько исключений, а именно:
- исключение № 1: когда речь идёт об обработке персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка
- исключение № 2: в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации
- исключение № 3: когда речь идёт об обработке персональных данных в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Надеюсь, после прочтения данной статьи у вас не осталось каких-либо вопросов, связанных с подачей уведомления об обработке персональных данных. А если остались, то приглашаю вас в комментарии ↓
Если вас интересует консультация, аудит вашей деятельности или корректное заполнение и подача уведомления, то можете писать автору статьи через Telegram-канал, в котором я легко и просто пишу о том, как легально вести свою деятельность.