- Уведомление Роскомнадзора о персональных данных: 5 обязательных уведомлений, о которых вы не знали
Уведомление Роскомнадзора о персональных данных: 5 обязательных уведомлений, о которых вы не знали #
Большинство предпринимателей и руководителей компаний знают лишь об одном уведомлении в Роскомнадзор — о намерении обрабатывать персональные данные. Между тем закон обязывает операторов подавать пять видов уведомлений, и за нарушение каждого из них предусмотрены административные штрафы. Разбираемся в деталях.
Кто обязан уведомлять Роскомнадзор? #
Согласно статье 22 Федерального закона № 152-ФЗ «О персональных данных», обязанность по подаче уведомления распространяется на все юридические лица и индивидуальных предпринимателей, обрабатывающих персональные данные с использованием средств автоматизации.
Единственное исключение — обработка исключительно без использования средств автоматизации. Определение этого понятия закреплено в Постановлении Правительства РФ № 687: каждое действие с персональными данными на каждом этапе должно происходить при непосредственном участии человека. На практике это крайне редкий случай: если в вашей учётной программе есть хотя бы элементы автоматического заполнения данных — вы уже обязаны уведомлять.
⚠️ Важно: Уведомление подаётся до начала обработки персональных данных — то есть практически сразу после государственной регистрации компании или ИП, а не в момент проверки и не «когда дойдут руки».
5 видов уведомлений: подробный разбор #
Уведомление № 1 — О намерении обрабатывать персональные данные #
Это первичное, основное уведомление. Подаётся до начала обработки персональных данных через официальный сайт Роскомнадзора. После получения уведомления регулятор вправе обрабатывать его до 30 дней, по итогам которых оператор вносится в Реестр операторов персональных данных. Отслеживать статус уведомления можно в специальном сервисе на сайте ведомства.
| Нарушение | Штраф для ИП / организации | Штраф для должностных лиц НКО | Срок давности |
|---|---|---|---|
| Неподача или подача с опозданием | до 300 000 руб. | до 50 000 руб. | 1 год |
Важный нюанс: Нарушение не является длящимся — оно определяется конкретной датой события (неподача до начала обработки), а значит, срок давности начинает течь с этого момента.
Уведомление № 2 — Об изменении ранее поданных сведений #
Если у оператора изменяются любые сведения, ранее внесённые в реестр — адрес компании, контактные данные, ответственное лицо за обработку персданных, местонахождение базы данных (например, смена ЦОД у облачного сервиса) — необходимо подать уточняющее уведомление.
Срок: до 15-го числа месяца, следующего за месяцем изменений.
| Нарушение | Штраф для ИП | Штраф для организации | Срок давности |
|---|---|---|---|
| Неподача уведомления об изменениях | 300–500 руб. | 3 000–5 000 руб. | 90 календарных дней (ст. 19.7 КоАП) |
Уведомление № 3 — О прекращении обработки персональных данных #
Подаётся при ликвидации или реорганизации компании, а также при добровольном (или по решению суда) прекращении обработки отдельных категорий персональных данных.
Срок: в течение 10 рабочих дней после наступления соответствующего события. Штрафы аналогичны уведомлению № 2 (ст. 19.7 КоАП РФ): до 5 000 руб. для организаций, до 500 руб. для ИП, срок давности — 90 дней.
Уведомление № 4 — Об инциденте (утечке персональных данных) #
При любом нарушении правил обработки персональных данных, которое могло привести к нарушению прав субъектов — разглашение, несанкционированный доступ, неправомерное использование — оператор обязан незамедлительно уведомить Роскомнадзор.
Срок: в течение 24 часов с момента обнаружения инцидента. Уведомление подаётся через сайт Роскомнадзора.
| Нарушение | Штраф для ИП / организации | Штраф для должностных лиц НКО |
|---|---|---|
| Неподача или несвоевременная подача уведомления об инциденте | от 1 000 000 до 3 000 000 руб. | до 800 000 руб. |
⚠️ Обратите внимание: Это штраф именно за неподачу уведомления, а не за саму утечку. За утечку предусмотрена отдельная ответственность.
Уведомление № 5 — О результатах внутреннего расследования #
После подачи уведомления об инциденте (№ 4) оператор обязан провести внутреннее расследование и в течение 72 часов направить в Роскомнадзор отчёт о его результатах. Даже предварительные результаты и информация о ходе расследования являются допустимым содержанием такого уведомления — главное показать, что работа ведётся. Штраф за непредставление — аналогичен уведомлению № 4.
Дополнительная обязанность: уведомление ФСБ через ГосСОПКА #
Если инцидент носит характер компьютерного преступления — взлом, хакерская атака, кража базы данных — оператор обязан дополнительно сообщить об этом через Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Порядок взаимодействия регулируется Приказом ФСБ России № 77. Сообщение передаётся через специальный портал в формализованном виде.
Сводная таблица: все 5 уведомлений оператора персональных данных #
| № | Вид уведомления | Срок подачи | Макс. штраф (организация / ИП) | Срок давности |
|---|---|---|---|---|
| 1 | О намерении обрабатывать персданные | До начала обработки | 300 000 руб. | 1 год |
| 2 | Об изменении сведений в реестре | До 15-го числа следующего месяца | 5 000 руб. | 90 дней |
| 3 | О прекращении обработки | В течение 10 рабочих дней | 5 000 руб. | 90 дней |
| 4 | Об инциденте (утечке) | В течение 24 часов | 3 000 000 руб. | Н/д |
| 5 | О результатах расследования инцидента | В течение 72 часов | 3 000 000 руб. | Н/д |
Практические рекомендации юриста #
- Подайте первичное уведомление сразу после регистрации компании или ИП — не откладывайте «на потом».
- Назначьте ответственного за персональные данные и включите в его обязанности мониторинг изменений, подлежащих отражению в реестре.
- Проверяйте актуальность данных в реестре ежеквартально: адрес, ответственное лицо, местонахождение базы данных.
- Утвердите внутренний регламент реагирования на инциденты — у вас есть только 24 часа на первое уведомление и 72 часа на отчёт по расследованию.
- При использовании облачных сервисов уточните у поставщика, в каком ЦОДе хранятся ваши данные, и при его смене незамедлительно подайте уведомление № 2.
- При компьютерных инцидентах — параллельно с Роскомнадзором уведомите ФСБ через портал ГосСОПКА.
