Обязательное уведомление о работе с персональными данными: что нужно сделать до 30 мая 2025 года

С 30 мая 2025 года вступают в силу новые правила, обязывающие всех лиц, работающих с персональными данными физических лиц, уведомлять об этом контролирующий орган — Роскомнадзор.

Несоблюдение этого требования может повлечь значительные штрафы — от 100 000 рублей до 300 000 рублей для юридических лиц.

1. Кто обязан подавать уведомление?

Подавать уведомление должны все, кто так или иначе обрабатывает персональные данные. Это касается:

• Физических лиц, ведущих предпринимательскую деятельность.
• Индивидуальных предпринимателей.
• Юридических лиц.
• Государственных органов.

Если личная информация физических лиц собирается, хранится или используется лицом (например, через формы на сайте, электронную почту, анкеты), то такое лицо автоматически становится оператором персональных данных и обязано соблюдать установленные законом требования.

• Какие данные считаются персональными?

К персональным данным относится любая информация, позволяющая идентифицировать человека. В их число входят:

• ФИО, дата и место рождения.
• Контактные данные (телефон, email, адрес).
• Паспортные данные, ИНН, СНИЛС.
• Сведения о работе, образовании, финансовом положении.
• Данные банковских карт и счетов.
• Cookie-файлы, собираемые через сайт.

Даже если хранятся только email-адреса клиентов для рассылки, это уже означает, что лицо обрабатывает персональные данные.

• Когда нужно подавать уведомление?

Идеальный вариант — уведомить контролирующий орган до начала обработки данных.

Однако если вы уже работаете с такой информацией, у вас есть время до 30 мая 2025 года. После этой даты за отсутствие уведомления или его несвоевременную подачу будут налагаться штрафы.

• Куда и как подавать документы?

Уведомление направляется в Роскомнадзор — уполномоченный орган по защите персональных данных. Сделать это можно тремя способами:

1. Бумажный вариант — лично или почтой в территориальное отделение.
2. В электронной форме с ЭЦП — через усиленную квалифицированную подпись.
3. Через ЕСИА — с использованием системы госуслуг.

Госпошлина за подачу не взимается.

• Что будет после подачи?

Роскомнадзор рассмотрит уведомление в течение 30 дней. Если всё оформлено верно, вас внесут в реестр операторов персональных данных.

Однако важно понимать: подача уведомления — это лишь первый шаг. После этого необходимо соблюдать все требования закона, включая защиту данных и правильное оформление согласий от пользователей.

• Какие штрафы грозят за нарушение?

С 30 мая 2025 года за отсутствие уведомления или его несвоевременную подачу предусмотрены штрафы:

• Для граждан — 5 000–10 000 рублей.
• Для должностных лиц — 30 000–50 000 рублей.
• Для юридических лиц — 100 000–300 000 рублей.
• Кому можно не подавать уведомление?

Закон предусматривает несколько исключений. Уведомление не требуется, если:

1. Данные обрабатываются в госсистемах, связанных с безопасностью.
2. Обработка ведётся без использования автоматизированных средств (например, только в бумажном виде).
3. Деятельность связана с транспортной безопасностью.

До 30 мая 2025 года всем, кто работает с персональными данными, необходимо подать уведомление в Роскомнадзор. Это не просто формальность, а обязательное требование, за нарушение которого грозят серьёзные штрафы.

При наличии сомнений в правильности оформления документов, лучше обратиться к юристам, чтобы избежать ошибок и дополнительных проверок.