В 2024-м мы все обсуждали ужесточение контроля над искусственным интеллектом и cookie-файлами, а теперь внимание бизнеса переключается на, казалось бы, «старую» тему — персональные данные. Однако очередная «бумажная» формальность внезапно превратилась в твёрдый финансовый риск: начиная с 30 мая 2025 года Роскомнадзор больше не предупреждает, а сразу штрафует тех, кто не уведомил ведомство о любых автоматизированных операциях с данными граждан. Размер санкций вырос в десятки раз и способен обнулить прибыль небольшого проекта или сорвать маркетинговый бюджет крупной компании.

Кто попадает под новые правила (спойлер: почти все, у кого есть CRM, рассылка или даже Excel-таблица с контактами), какие нюансы проверяет РКН и как за один вечер оформить уведомление без ошибок — разбираемся пошагово.

 

Почему эта тема внезапно стала жизненно важной?

С 30 мая 2025 года вступили в силу поправки к ст. 13.11 КоАП РФ: за неподачу уведомления о начале обработки персональных данных (ПДн) теперь грозит штраф от 100 000 до 300 000 рублей для ИП и юридических лиц. При повторном нарушении санкции возрастают до 500 000 рублей без каких-либо «предписаний на исправление» — Роскомнадзор (РКН) сразу выписывает постановление о штрафе.

Раньше наказание ограничивалось 3 000–5 000 руб., поэтому многие компании откладывали формальность «на потом». С 2025-го такой роскоши у бизнеса больше нет — и это уже не вопрос бухгалтерии, а репутационной и финансовой безопасности.

 

Кто обязан уведомлять РКН?

На языке Закона № 152-ФЗ оператор — это любое лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку ПДн. На практике уведомление должны подать:

• Все работодатели (даже если персональные данные собираются только у собственных сотрудников).
• Онлайн-сервисы, e-commerce-площадки, маркетплейсы, рекламообменные сети.
• B2B-компании, которые ведут CRM-базы клиентов или партнёров.
• Оффлайн-ритейл, собирающий e-mail/телефон для программ лояльности.
• Самозанятые и ИП, если используют электронные формы/чат-боты/сайты для сбора заявок.

Проще говоря, если вы хоть раз сохраняете данные человека в Excel, CRM, Google-таблицу или облако, а потом фильтруете, сортируете или отправляете рассылку — вы «обрабатываете ПДн с автоматизацией» и попадаете под требование.

 

Кому уведомление не нужно?

Из ст. 22 Закона № 152-ФЗ сейчас осталось всего три узких исключения:

1. Ручная (неавтоматизированная) обработка, например карточный каталог в библиотеке.
2. Обработка в госинформационных системах, созданных для обеспечения государственной или общественной безопасности.
3. Деятельность в рамках транспортной безопасности.

Если вы частная компания, ИП или самозанятый и не попадаете под эти случаи — уведомление обязательно.

 

Когда подавать и как обновлять сведения?

• Первичное уведомление — строго до начала любой автоматизированной обработки.
• Корректировка — если меняются цели, перечень ПДн, местонахождение серверов, перечень мер безопасности и т.д. Подать нужно не позднее 15-го числа месяца, следующего за изменениями.
• Уведомление о прекращении обработки — в течение 10 рабочих дней после удаления/обезличивания данных.

 

Что считается «обработкой»?

Сбор, хранение, систематизация, использование, передача, обезличивание, блокирование, удаление — любое из этих действий, даже одно, уже образует «обработку». Распространённый миф: «если база не продаётся, уведомление не нужно». Закон отделяет обработку от распространения; уведомлять обязаны все, кто обрабатывает, даже если не публикует данные в сети.

Пошаговая инструкция: подаём уведомление без паники

Шаг 1. Выбираем способ подачи

Что делаем: 
1) Электронно через портал РКН с УКЭП.
2) Через Госуслуги.
3) Заполняем форму, распечатываем и отправляем почтой/приносим лично.
Практические советы: Электронный вариант быстрее (ответ до 30 дней) и сразу выдаёт номер в реестре.

 

Шаг 2. Готовим информацию заранее

Что делаем: 

ОГРН/ИНН, адресы серверов, цели и правовые основания обработки, перечень категорий ПДн, описание мер безопасности (ст. 18.1 и 19 152-ФЗ), ФИО и контакты ответственного лица.

Практические советы:

На портале нельзя сохранить черновик; сеанс ограничен по времени, поэтому копируем ответы в документ-рыбу.

Шаг 3. Заполняем форму

Что делаем: Указываем «первичное» либо «корректирующее» уведомление

Практические советы: Если уже есть уведомление и нужно исправить только один пункт, используйте кнопку «Заполнить данными из ранее отправленного».

Шаг 4. Проверяем и подписываем

Что делаем:  Для УКЭП установите плагин CryptoPro; в бумажном виде подпись ставит руководитель.

Практические советы: Проверяем, что указали действующий e-mail: туда придёт регистрационный номер.

Шаг 5. Отслеживаем статус

Что делаем:  Портал РКН или Госуслуги покажут «Принято»/«Требует уточнений».

Практические советы: Если пришёл запрос на уточнение, ответьте в течение 30 дней, иначе поданное уведомление аннулируют.

 

Частые ошибки, которые приводят к штрафам даже при поданной форме

1. Неполные цели обработки («маркетинг» — слишком общее).
2. Неуказанные серверы — если храните резервную копию в другом дата-центре, его адрес тоже нужен.
3. Необновлённые данные после переезда офиса или смены CRM.
4. Отсутствие приказа о назначении ответственного за ПДн — РКН запрашивает его чаще, чем политику конфиденциальности.
5. Смешение обычных и биометрических данных в одном уведомлении — для биометрии теперь требуется отдельная процедура.

 

Что будет, если проигнорировать или затянуть?

• Первое нарушение: штраф до 300 000 руб. + общественная огласка в ежемесячных пресс-релизах РКН.
• Повторное: до 500 000 руб. + внеплановая проверка, которую оплачивает сам оператор, + возможная блокировка сайта.
• Утечка до уведомления: отдельный протокол (до 3 млн руб. за несвоевременное сообщение об инциденте).

 

Пять советов от CPAExchange:

1. Сделайте «аудит данных»: опишите, откуда и зачем поступают ПДн, кто имеет доступ, где хранятся.
2. Разведите обычные и чувствительные данные (финансовые, биометрия) по разным целям и базам.
3. Назначьте ответственного и включите его контакты в уведомление — это снижает риск, что запрос РКН «потеряется».
4. Проверьте реестр операторов: убедитесь, что ваше уведомление действительно внесено.
5. Заведите календарь обновлений — фиксируйте бизнес-изменения, влияющие на уведомление, и высылайте корректировку до 15-го числа следующего месяца.

 

Новое законодательство «обнулило» прежнюю практику, когда уведомление в РКН считалось необязательной формальностью. Сегодня — это часть «гигиены» бизнеса, сравнимая с регистрацией товарного знака или кассовой дисциплиной.

Если вы успеете оформить уведомление до первой проверки, штрафа не будет, а клиенты увидят, что ваши процессы соответствуют российским стандартам.

 

Юлия Захарченко, руководитель по маркетингу CPAExchange.