ИП — тоже оператор персональных данных? Как подать уведомление в Роскомнадзор и кто обязан это делать

С 30 мая 2025 года в силу всту­па­ют по­прав­ки в КоАП РФ, уже­сто­ча­ю­щие кон­троль за об­ра­бот­кой пер­со­наль­ных дан­ных. Те­перь ком­па­нии и лица, ко­то­рые во­вре­мя не по­да­ли уве­дом­ле­ние в Ро­с­ком­над­зор о том, что об­ра­ба­ты­ва­ют пер­со­наль­ные дан­ные, мо­гут быть оштра­фо­ва­ны на сум­му от 5000 до 300 000 руб­лей. По­пасть под штра­фы мо­гут даже фри­лан­се­ры и ма­лый биз­нес. Рас­ска­зы­ва­ем, о чем имен­но нуж­но уве­дом­лять Ро­с­ком­над­зор, кто обя­зан это де­лать и что нуж­но для по­да­чи уве­дом­ле­ния.

Что за уве­дом­ле­ния?

Для за­щи­ты кон­фи­ден­ци­аль­но­сти граж­дан в Рос­сии есть за­ко­но­да­тель­ство о пер­со­наль­ных дан­ных. К пер­со­наль­ным дан­ным от­но­сят­ся лю­бые све­де­ния, поз­во­ля­ю­щие иден­ти­фи­ци­ро­вать че­ло­ве­ка, от фа­ми­лии и ад­ре­са до ме­ста ра­бо­ты и груп­пы кро­ви.

Ком­па­нии, со­би­ра­ю­щие и об­ра­ба­ты­ва­ю­щие лич­ные дан­ные, ста­но­вят­ся опе­ра­то­ра­ми пер­со­наль­ных дан­ных. Речь идет не толь­ко о дан­ных кли­ен­тов, но и о со­труд­ни­ках — опе­ра­то­ра­ми пер­со­наль­ных дан­ных мо­гут быть даже са­мо­за­ня­тые.

В об­щем, уве­до­мить Ро­с­ком­над­зор (РКН) о сво­ем ста­ту­се опе­ра­то­ра долж­ны прак­ти­че­ски все, кто за­ни­ма­ет­ся биз­не­сом. При­чем сде­лать это нуж­но сра­зу при об­ра­зо­ва­нии юр­ли­ца или ИП. Если биз­нес не уве­до­мил РКН об об­ра­бот­ке дан­ных, он мо­жет столк­нуть­ся с про­вер­ка­ми РКН и штра­фа­ми от 3000 до 5000 руб­лей. На прак­ти­ке за­кон со­блю­да­ют да­ле­ко не все — боль­шин­ство биз­не­сме­нов ра­бо­та­ют, не по­да­вая этих уве­дом­ле­ний.

Но с 30 мая 2025 года штра­фы за непо­дан­ное в РКН уве­дом­ле­ние вы­рас­тут:

• штраф в раз­ме­ре от 5000 до 10 000 руб­лей для граж­дан,
• от 30 000 до 50 000 руб­лей для долж­ност­ных лиц,
• от 100 000 до 300 000 руб­лей — для ИП и ор­га­ни­за­ций.

Кто и за­чем дол­жен уве­дом­лять Ро­с­ком­над­зор?

Уве­дом­лять РКН обя­за­ны ор­га­ни­за­ции, пред­при­ни­ма­те­ли и са­мо­за­ня­тые, со­би­ра­ю­щие и об­ра­ба­ты­ва­ю­щие пер­со­наль­ные дан­ные:

• со­труд­ни­ков и кан­ди­да­тов на ра­бо­ту,
• контр­аген­тов,
• чле­нов об­ще­ствен­ных объ­еди­не­ний и ре­ли­ги­оз­ных ор­га­ни­за­ций,
• по­се­ти­те­лей, по­лу­чив­ших про­пуск на тер­ри­то­рию ком­па­нии.

По­че­му са­мо­за­ня­тые тоже долж­ны по­да­вать уве­дом­ле­ние?

Чаще все­го са­мо­за­ня­тые по­лу­ча­ют до­ход, ра­бо­тая с кли­ент­ской ба­зой, — ока­зы­вая услу­ги или про­да­вая то­ва­ры. То есть в про­цес­се сво­ей де­я­тель­но­сти они со­би­ра­ют пер­со­наль­ные дан­ные кли­ен­тов: на­при­мер, по­ку­па­тель ука­зы­ва­ет их в лич­ном ка­би­не­те на сай­те или при­сы­ла­ет для оформ­ле­ния до­став­ки. По­это­му са­мо­за­ня­тые тоже долж­ны уве­до­мить РКН о том, что они об­ра­ба­ты­ва­ют пер­со­наль­ные дан­ные.

Все ИП тоже обя­за­ны уве­дом­лять РКН, даже если в ком­па­нии нет шта­та со­труд­ни­ков и де­я­тель­ность она не ве­дет: в лю­бой за­ре­ги­стри­ро­ван­ной в ЕГРЮЛ ор­га­ни­за­ции есть как ми­ни­мум один со­труд­ник, чьи дан­ные на­хо­дят­ся в об­ра­бот­ке, — ди­рек­тор, на­зна­ча­е­мый на долж­ность при со­зда­нии ком­па­нии. Об об­ра­бот­ке пер­со­наль­ных дан­ных это­го ди­рек­то­ра ИП обя­за­но уве­дом­лять РКН, даже если ди­рек­тор и вла­де­лец биз­не­са — это один че­ло­век.

Кто мо­жет не по­да­вать уве­дом­ле­ние?

Есть толь­ко три слу­чая, в ко­то­рых ком­па­нии, ИП и са­мо­за­ня­тые мо­гут не по­да­вать уве­дом­ле­ние в РКН:

• Весь учет пер­со­наль­ных дан­ных ве­дет­ся на бу­ма­ге (если хотя бы часть ин­фор­ма­ции хра­нит­ся на элек­трон­ных но­си­те­лях, то уве­дом­ле­ние необ­хо­ди­мо по­дать).
• Ор­га­ни­за­ция вклю­че­на в го­су­дар­ствен­ные ин­фор­ма­ци­он­ные си­сте­мы и ра­бо­та­ет с пер­со­наль­ны­ми дан­ны­ми, раз­ме­щен­ны­ми ис­клю­чи­тель­но в этих го­су­дар­ствен­ных си­сте­мах.
• Дан­ные об­ра­ба­ты­ва­ют для обес­пе­че­ния без­опас­но­сти в сфе­ре транс­пор­та.

Как за­пол­нить уве­дом­ле­ние в РКН?

Пе­ред тем как со­став­лять уве­дом­ле­ние, про­верь­те — воз­мож­но, ком­па­ния уже есть в ре­ест­ре опе­ра­то­ров пер­со­наль­ных дан­ных. Для это­го необ­хо­ди­мо:

1. Зай­ти на пор­тал Ро­с­ком­над­зо­ра.

2. Вве­сти на­зва­ние ком­па­нии или ИНН.

Если све­де­ний в ре­ест­ре нет — на­правь­те уве­дом­ле­ние. Это мож­но сде­лать тре­мя спо­со­ба­ми:

1. За­пол­нить элек­трон­ную фор­му, рас­пе­ча­тать и от­пра­вить в РКН поч­той или лю­бым удоб­ным спо­со­бом.
2. Сфор­ми­ро­вать уве­дом­ле­ние и от­пра­вить его пря­мо на пор­та­ле РКН, под­пи­сав уси­лен­ной ква­ли­фи­ци­ро­ван­ной элек­трон­ной под­пи­сью.
3. Сфор­ми­ро­вать уве­дом­ле­ние на пор­та­ле РКН, прой­дя аутен­ти­фи­ка­цию че­рез пор­тал «Го­сус­лу­ги». В этом слу­чае у от­пра­ви­те­ля долж­на быть под­твер­жден­ная учет­ная за­пись на пор­та­ле.

Ка­кая ин­фор­ма­ция нуж­на для уве­дом­ле­ния?

• На­име­но­ва­ние ор­га­ни­за­ции или ИП, ИНН, ад­рес ор­га­ни­за­ции.
• Пе­ре­чень пер­со­наль­ных дан­ных, ко­то­рые вы пла­ни­ру­е­те со­би­рать и об­ра­ба­ты­вать. Все дан­ные де­лят­ся на три ка­те­го­рии: ос­нов­ные (фа­ми­лия, имя и от­че­ство, ад­рес про­жи­ва­ния, те­ле­фон, ад­рес элек­трон­ной по­чты), спе­ци­аль­ные (раса, на­ци­о­наль­ность, по­ли­ти­че­ские и ре­ли­ги­оз­ные убеж­де­ния, све­де­ния о здо­ро­вье и су­ди­мо­стях) и био­мет­ри­че­ские (фо­то­гра­фии, цвет глаз, вес, от­пе­чат­ки паль­цев, ДНК, груп­па кро­ви). Ука­зы­вать необ­хо­ди­мо кон­крет­ные дан­ные.
• С ка­ки­ми це­ля­ми вы бу­де­те об­ра­ба­ты­вать пер­со­наль­ные дан­ные. В спра­воч­ни­ке на пор­та­ле Ро­с­ком­над­зо­ра пред­ло­же­но бо­лее 30 це­лей, мож­но вы­брать из име­ю­щих­ся или до­ба­вить вруч­ную свой ва­ри­ант.
• Ко­гда вы нач­не­те об­ра­бот­ку пер­со­наль­ных дан­ных и ко­гда за­вер­ши­те. Что­бы у со­труд­ни­ков РКН не воз­ник­ло во­про­сов, мож­но ука­зать в ка­че­стве даты на­ча­ла день ре­ги­стра­ции ком­па­нии или ИП в Ро­сре­ест­ре. А в ка­че­стве за­вер­ше­ния ука­зать не дату, а со­бы­тие: лик­ви­да­цию юр­ли­ца или окон­ча­ние ре­ги­стра­ции ИП.
• Све­де­ния о ме­сте хра­не­ния дан­ных. По­ми­мо стра­ны (РФ) здесь ука­зы­ва­ет­ся пол­ный ад­рес: го­род, ули­ца, дом, но­мер офи­са или квар­ти­ры.
• Кто в ор­га­ни­за­ции бу­дет от­вет­стве­нен за хра­не­ние дан­ных. Это мо­жет быть толь­ко один со­труд­ник — в уве­дом­ле­нии нуж­но ука­зать его кон­так­ты. Ука­зы­вать нуж­но ра­бо­чий те­ле­фон и элек­трон­ный ад­рес, по­то­му что эти дан­ные бу­дут от­кры­ты­ми. Если вы ука­же­те лич­ные дан­ные со­труд­ни­ка, уве­дом­ле­ние мо­жет быть от­кло­не­но.
• Све­де­ния о ме­рах ин­фор­ма­ци­он­ной без­опас­но­сти дан­ных. Пол­ный пе­ре­чень этих мер со­дер­жит­ся в ст. 18.1 и 19 Фе­де­раль­но­го за­ко­на № 152-ФЗ, важ­но ука­зать толь­ко те меры, ко­то­рые ре­аль­но ис­поль­зу­ют­ся в ва­шей ком­па­нии.

Важ­но пом­нить, что все дан­ные, ко­то­рые вы ука­же­те в уве­дом­ле­нии, ве­ро­ят­нее все­го, бу­дут про­ве­ре­ны Ро­с­ком­над­зо­ром — по­это­му ука­зы­вать нуж­но толь­ко до­сто­вер­ную ин­фор­ма­цию.

Ос­нов­ные ошиб­ки при по­да­че уве­дом­ле­ния:

• Вы по­да­ли уве­дом­ле­ние уже по­сле на­ча­ла ра­бо­ты с пер­со­наль­ны­ми дан­ны­ми — за это вам на­зна­чат штраф.
• Вы пе­ре­чис­ли­ли не все цели об­ра­бот­ки дан­ных.
• Вы ука­за­ли не все ка­те­го­рии пер­со­наль­ных дан­ных, ко­то­рые об­ра­ба­ты­ва­е­те.
• Вы по­да­ли уве­дом­ле­ние, но не об­но­ви­ли по­ли­ти­ку кон­фи­ден­ци­аль­но­сти на сай­те ор­га­ни­за­ции.

Я по­дал уве­дом­ле­ние — что де­лать даль­ше?

Про­ве­ряй­те ре­естр на сай­те РКН — ин­фор­ма­ция по­явит­ся в те­че­ние 30 дней по­сле по­лу­че­ния уве­дом­ле­ния Ро­с­ком­над­зо­ром. Если вы от­прав­ля­ли уве­дом­ле­ние поч­той, вре­ме­ни мо­жет уйти боль­ше. Про­ве­рить себя в ре­ест­ре мож­но по на­име­но­ва­нию ком­па­нии (ФИО для са­мо­за­ня­тых) или ИНН.

Если у вас из­ме­ни­лась лю­бая ин­фор­ма­ция, ко­то­рая была ука­за­на в уве­дом­ле­нии, об этом необ­хо­ди­мо со­об­щить не позд­нее 15-го чис­ла ме­ся­ца, сле­ду­ю­ще­го за тем, в ко­то­ром воз­ник­ли из­ме­не­ния.

Об­лож­ка: кол­лаж «Цеха». Фото: © Alexan­draPopova, Vahe Tam­razyan / Shut­ter­stock / Fotodom