Уведомление в Роскомнадзор об обработке персональных данных в 2025 году: образец, сроки подачи

В 2025 году работодатели должны подавать уведомление в Роскомнадзор об обработке персональных данных. Уведомлять ведомство нужно как в начале проведения обработки, так и по ее завершению. В статье есть подробная инструкция про уведомление в Роскомнадзор об обработке персональных данных: как заполнить, в каких случаях, в какой срок подать и как отправить - образец смотрите ниже, его можно скачать.  

Подробнее о том, как подать персонифицированные сведения о физических лицах, рассказали эксперты журнала "Главбух".

Как организовать обработку персданных

О какой информации отчитываться в Роскомнадзор

Согласно Федеральному закону от 27.07.2006 г. № 152-ФЗ под персональными подразумевают сведения, связанные с физическим лицом. Примеры персональных данных и пояснения к ним изложены в Указе Президента РФ и методических рекомендациях Роскомнадзора.

Разрешение на обработку персональных данных (ПД) — это документальное подтверждение того, что гражданин добровольно согласен раскрыть личные сведения для осуществления с ними ряда операций. Когда предоставляется такое разрешение, человек может определять, какую именно информацию о нем будут использовать и для чего.

Забирайте в журнале “Главбух” чек-лист для работы с персданными, чтобы снизить связанные риски

Кто и зачем направляет уведомление об обработке персональных данных

Работа с ПД играет ключевую роль и является необходимостью при проведении различных гражданских и коммерческих операций. Лица, получившие доступ к личной информации других людей, называются операторами персональных данных. Они имеют право распоряжаться полученной информацией, собирая и накапливая ее, регистрируя в базах данных; могут хранить данные, изучать их, применять и передавать, а также при необходимости блокировать и даже удалять.

Предприниматели постоянно сталкиваются с необходимостью работы с личными сведениями. Данные поступают от сотрудников компании, от клиентов и партнеров при заключении договоров. Также нередко организации собирают базы с контактной информацией потенциальных клиентов.

Утечка личных данных недопустима, поскольку те могут попасть к посторонним и использоваться в противозаконных целях. Поэтому для правильного управления такой информацией операторам необходимо подать уведомление в Роскомнадзор. Обработка данных личного характера считается законной только после этого извещения.

Операторами, уведомляющими орган надзора, являются госучреждения, муниципалитеты, компании и физические лица, занимающиеся обработкой персональных данных (в том числе работодатели).

Политика защиты и обработки персональных данных – обязательный документ, если оператор обрабатывает данные пользователей сайта. Например, клиенты регистрируются на сайте организации. В политике необходимо указать категории данных, способы и цели их обработки, способы защиты данных, а также каким образом субъект персональных данных может изменить или удалить эти данные. Скачайте в Системе Главбух пример такого документа.

Скачать образец

Отметим, что организации и индивидуальные предприниматели, работающие с ПД, должны подать соответствующее уведомление в Роскомнадзор и стать оператором. 

Отсутствие открытого документа, который описывает политику обработчика по управлению и защите данных, влечет административное наказание в виде штрафа до 300 000 рублей согласно п. 3 ст. 13.11 Кодекса об административных правонарушениях.

Когда подается уведомление, оператор должен иметь набор документов, который удовлетворяет требованиям Федерального закона № 152-ФЗ и применим для работы с информацией личного характера на разных этапах. Для каждого клиента пакет документов определяется индивидуально, учитывая специфику работы, тип обработки и передачи данных, а также цели их использования.

Кто освобожден от подачи уведомления

По закону от регистрации освобождаются в случаях если:

• обработка ПД производится не автоматически, а вручную;
• ПД являются частью государственных информационных систем, разработанных в целях реализации безопасности страны и поддержания общественного порядка;
• ПД обрабатываются в рамках требований российского законодательства, регулирующего обеспечение транспортной безопасности.

Порядок и сроки подачи уведомления в Роскомнадзор

Четких временных рамок для извещения органа надзора нет. Оператор должен зарегистрироваться в реестре Роскомнадзора прежде чем приступить к обработке личной информации клиентов.

Регистрация подразумевает заполнение уведомительного бланка стандартного образца. Есть три варианта его подачи:

• В электронном виде с цифровой подписью через сайт Роскомнадзора.
• На бумажном носителе. Форму можно заполнить на сайте Роскомнадзора, распечатать ее, подписать и отнести лично либо направить почтовым отправлением в региональное отделение органа.
• Через подтвержденную учетную запись на портале “Госуслуги”.

В течение 30-ти дней с момента получения извещения Роскомнадзор добавляет информацию в реестр операторов ПД. Если извещение поступает в бумажном виде, срок считают со дня его получения соответствующим региональным управлением. Отправка извещения в Роскомнадзор осуществляется один раз. Если организация уже занесена в реестр, в повторной подаче нет необходимости, однако рекомендуется проверить внесенную информацию. Особое внимание следует обратить на виды персональных данных и субъекты, отраженные в ранее направленном извещении.

Если информация оказалась неполной, следует добавить изменения в уведомление Роскомнадзора. Скорректированные данные отправляют теми же способами, что и исходное извещение. Сроки уведомления в Роскомнадзор составляют 15 дней после окончания того месяца, когда произошли изменения.

Если оператор больше не работает с ПД в связи с ликвидацией или реорганизацией, уведомить об этом необходимо в течение 10 рабочих дней после прекращения управления данными.

Скачайте в Системе Главбух образец согласия сотрудника на обработку персональных данных

Образец согласия сотрудника на обработку персональных данных Скачать

Как заполняется форма уведомления в Роскомнадзор

Уведомительный документ заполняют онлайн на сайте Роскомнадзора.

Далее разберем важные аспекты заполнения формы, которую распечатывают и затем сдают в бумажном виде.

В первой части уведомления необходимо выбрать тип оператора, а затем ввести данные заявителя.

После полей с обязательными реквизитами заполняют основной раздел, связанный с обработкой персональной информации. В полях для удобства предусмотрены всплывающие подсказки, помогающие расшифровать формулировки.

В поле «Цель обработки ПД» уточняют в каких сферах деятельности используют личную информацию. Дополнительные цели можно добавить при помощи кнопки внизу раздела:

В графе «Правовое основание обработки персональных данных» перечисляют нормативные акты, касающиеся компании, внутренние документы и договоры.

В разделе «Описание мер, предусмотренных статьями 18.1 и 19 Закона № 152-ФЗ», указывают выдержки из этих статей, адаптированные к обстоятельствам компании.

Поле «Средства обеспечения безопасности» должно содержать предпринятые меры по защите личных сведений, с использованием формулировок, указанных в статье 19 Закона № 152-ФЗ.

В конце бланка оставляют данные исполнителя — лица, заполнившего форму. Это лицо может отличаться от того, кто отвечает за обработку ПД, и быть просто заполняющим бланк. При отправке электронного уведомления с ЭЦП, требуется оставить данные владельца электронной подписи. В реестре ОПД будет указана информация о лице, отвечающем за управление обработкой персональных данных.

Неподача уведомления в Роскомнадзор: таблица штрафов

На данном этапе нет отдельного закона, регламентирующего штрафные санкции за отсутствие извещения в Роскомнадзор. Административное наказание применяют согласно статье 19.7 КоАП. В конце 2023 года в Госдуму внесли на рассмотрение законопроект № 502104-8, значительно увеличивающий размеры штрафов при нарушении порядка обработки ПД (в настоящее время в него вносятся поправки).

Изменения в ответственности за отсутствие уведомления:

Уведомление об обработке персональных данных

Случаи, когда нужно проводить обработку персональных данных:

• получить персданные для того, чтобы выполнить требования закона и иных нормативных правовых актов. Например, заполнить трудовой договор, подать сведения в СФР и другие госорганы и пр.;
• содействовать сотрудникам в трудоустройстве, получении образования и продвижении по службе;
• обеспечить личную безопасность сотрудников;
• контролировать количество и качество выполняемой работы;
• обеспечить сохранность имущества.

Информацию, которая не относится к таким целям, работодатель получать не вправе. Это правило применяется даже в случае, если сотрудник не против обработки этих данных.

До начала обработки персональных данных сотрудников, работодатель обязан уведомить об этом территориальный орган Роскомнадзора. Работодатель обязан уведомлять о начале обработки персданных, даже если он обрабатывает данные в целях трудового законодательства.

Как составить уведомление об обработке персональных данных

Форма уведомления об обработке персональных данных утверждена приказом Роскомнадзора от 28.10.2022 № 180. Перечень сведений, которые нужно указать в уведомлении, приведен в части 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ.

В уведомлении нужно указать дату, с которой фактически началась обработка данных физлиц. Специалисты Роскомнадзора пояснили, что датой начала обработки персональных данных считается дата государственной регистрации компании (информация пресс-службы Роскомнадзора от 25.08.2022). Значит, в уведомлении ставьте дату регистрации компании.

В уведомлении о начале обработки персданных указывают:

• наименование или фамилию, имя, отчество, адрес работодателя;

• цель обработки персональных данных;

• описание мер, которые принимаете для защиты персданных и выполнения обязанностей закона о персданных;

• фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

• дату начала обработки персональных данных;

• срок или условие прекращения обработки персональных данных;

• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

• сведения о месте нахождения базы данных информации;

• сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных.

Для каждой цели обработки перечисляют категории персональных данных и субъектов, чьи данные обрабатывают. Также указывают правовое основание их обработки и перечень действий с этими персданными. Такие правила установили в частях 3 и 3.1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ.

Образец уведомления об обработке персональных данных

Посмотреть образец

Когда уведомление об обработке подавать не нужно

Есть только три исключения, когда подавать уведомление в Роскомнадзор не нужно. Это случаи, когда:

• обрабатываете персданные сотрудника, которые включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

• обрабатываете персданные исключительно без использования средств автоматизации, то есть при непосредственном участии человека. При этом обработка персональных данных в текстовых редакторах, в кадровых программах – это автоматизированная обработка;

• обрабатываете персональные данные в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Таким образом, в исключениях речь идет об обработке персональных данных в госсистемах, а не работодателями. Такие правила установили в части 2 статьи 22.2 Федерального закона от 27.07.2006 № 152-ФЗ.

Уведомление о прекращении обработки персональных данных

Если работодатель прекратил обработку персональных данных, он должен уведомить об этом Роскомнадзор. Сделать это нужно в течение 10 дней с момента прекращения обработки персональных данных. Такие правила указаны в части 7 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ.

Как составить уведомление о прекращении обработки персональных данных

Уведомление составляют в соответствии с правилами приказа Роскомнадзора от 28.10.2022 № 180. При составлении используют приложение 3 из этого приказа. В бланке указывают данные о компании, которая прекращает обработку данных, а также причины завершения такого процесса. Уведомление подписывает руководитель и проставляет дату окончания обработки.

Образец уведомления о прекращении обработки персональных данных

Посмотреть образец

Важно! Федеральные законы № 420-ФЗ и № 421-ФЗ от 30.11.2024 вносят изменения в Административный и Уголовный кодекс. С 30 мая 2025 года Роскомнадзор будет штрафовать за утечку персональных данных виновных должностных лиц на сумму до 2 миллионов рублей, а компании на сумму до 3 процентов выручки.

Важно! Федеральный закон от 28.12.2024 № 516-ФЗ повысит штрафы за неподачу уведомлений в Роскомнадзор с 27 июня 2025 года. Подавать уведомление нужно при открытии и при закрытии бизнеса.

Ответы на вопросы по работе с персданными от экспертов Системы Главбух

Срочные изменения по вашему ИНН

• ТОП-5 меток от ФНС, которые приводят к встречным проверкам
• Инструкция, как подготовиться к налоговой реформе-2025
• Список компаний с меткой «дробление бизнеса» от ФНС
• Проверьте по ИНН, дадут ли вашей компании новые льготы

Уже треть работодателей интересуют навыки бухгалтера в Excel

Пройдите тест, который оценит, умеете ли вы работать с программой так, как это нужно работодателю.

Перейти к короткому тесту