Важно для всех: от крупных компаний до ИП и самозанятых.
С 30 мая 2025 года вступили в силу изменения по Федеральному закону № 420‑ФЗ от 30.11.2024. Теперь штрафы за отсутствие уведомления в Роскомнадзор станут ещё серьёзнее.
Что нужно знать?
Если вы работаете с персональными данными — собираете номера телефонов клиентов, ведёте базы, используете мессенджеры или формы на сайте — вы обязаны уведомить об этом Роскомнадзор.
Это касается всех:
✔ компаний;
✔ ИП;
✔ самозанятых.
Даже если вы просто записали номер клиента и написали ему в Telegram или WhatsApp — вы уже оператор персональных данных.
Штрафы с 30 мая 2025 года:
- Самозанятые — от 5 000 до 10 000 ₽
- ИП — от 100 000 до 300 000 ₽
Не откладывайте — проверьте, подано ли у вас уведомление в РКН.
Как правильно заполнить заявление
Подробный пошаговый образец для заполнения уведомления в Роскомнадзор со скриншотами и подсказками.
- Регион регистрации: определяем по месту прописки.
- Тип оператора: Индивидуальный предприниматель или физическое лицо (для самозанятых).
- Наименование оператора: Индивидуальный предприниматель ФИО или ФИО (для самозанятых).
- Документ, удостоверяющий личность: паспорт гражданина РФ (при входе через ЕСИА (госуслуги) подтягивается автоматически — проверяйте).
У самозанятых (физлиц) будет поле со СНИЛС — проверьте.
Адрес оператора: заполняем по прописке. Если возникнут вопросы или не будет давать нужного варианта, идем в поисковик и выясняем регион (по субъекту РФ ищем), район и т.п. Можно попробовать поискать на сайте адресов ФИАС.
Если вдруг адрес не подгружается, впишите его в «Иные сведения».
- Почтовый адрес:
Если совпадает с адресом местонахождения, то выбираем – совпадает.
Если не совпадает и вы указывали адрес проживания на госуслугах – вносите почтовый адрес по факту.
Если не совпадает, но вы нигде это не указывали – можете выбрать совпадает.
- Телефон – желательно указать свой.
- Регионы обработки – все субъекты Российской Федерации.
Если у вас нет под рукой даты ОГРНИП — зайдите на сайт налоговой → наберите свой ИНН → на выпавшей плашке будет дата присвоения ОГРНИП:
Остальное заполнять не надо (необязательные графы).
Чтобы заполнить этот раздел, вам нужно определить, в каких целях у вас оседают персональные данные. Это может быть:
- оказание услуг,
- рассылка,
- статистика и т.п.
Если вы оказываете услуги физлицам, то выбираем из списка (Цели обработки ПД) – подготовка, заключение и исполнение гражданско-правового договора (Цель № 1).
Категории персональных данных по цели № 1: указываем по факту. Как правило, это:
- ФИО,
- адрес электронной почты,
- номер телефона.
Категории субъектов, персональные данные которых обрабатываются по цели № 1: Клиенты. Если у вас есть помощники (самозанятые и ИП на договорах), тут добавляем: Контрагенты.
Правовое основание обработки персональных данных по цели № 1 (ищем 6-й сверху): обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
Перечень действий тоже подбирается в соответствии с реальностью. Садимся и смотрим, а что мы делаем. Изучаем, что значит каждое действие.
Перечень действий чаще всего встречающийся: сбор, систематизация, хранение, передача (предоставление, доступ), блокирование, уничтожение, запись, накопление, уточнение (обновление, изменение), использование, удаление
Распространение — добавляется, если вы, например, публикуете на сайте отзывы с данными клиентов. Так можно, НО. На распространение (публикацию отзывов) нужно брать отдельное согласие.
Способы обработки по цели № 1:
- смешанная: и в блокноте, и в компьютерной программе какой-нибудь;
- без передачи по внутренней сети юридического лица: у вас нет локальных внутренних сетей;
- с передачей по сети интернет: без этого и не получится.
Если у вас есть ещё какие-то цели: нажимаем под способами на кнопку «Добавить цель обработки».
Форма поднимет вас наверх и надо будет ещё раз заполнить блок уже по цели № 2 (цели, категории, правовое основание, перечень действий, способы обработки).
Например, у вас есть рассылка по базе ПДн и сайт, который собирает куки.
Если у вас есть рассылка по базе ПДн и сайт, который собирает куки, выбираем из списка (Цели обработки ПД*) – продвижение товаров, работ, услуг на рынке.
Это будет Цель № 2.
Категории персональных данных по цели № 2: Указываем по факту.
Как правило, это:
- ФИО;
- адрес электронной почты;
- номер телефона;
- сведения, собираемые посредством метрических программ;
- иные — аккаунт в Телеграм, ID Телеграм, никнейм Телеграм.
Это и есть сбор куки. Тильда имеет встроенный сбор этих сведений.
Категории субъектов, персональные данные которых обрабатываются по цели № 2: посетители сайта. Исходя из того, что вы получаете ПДн на сайте.
Правовое основание обработки персональных данных по цели № 2: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных
Учитывайте, что на сайте нужно размещать документы, корректно брать согласия и уведомлять о сборе куки.
Перечень действий тоже подбирается в соответствии с реальностью. Изучаем, что значит каждое действие.
Перечень действий чаще всего встречающийся: сбор, систематизация, хранение, передача (предоставление, доступ), блокирование, уничтожение, запись, накопление, уточнение (обновление, изменение), использование, удаление.
Способы обработки по цели № 2:
- смешанная: и в блокноте, и в компьютерной программе какой-нибудь;
- без передачи по внутренней сети юридического лица: у вас нет локальных внутренних сетей;
- с передачей по сети интернет.
Соблюдение мер — обязанность Оператора при работе с персональными данными. То есть нам в любом случае в этом блоке надо что-то указывать:
В общих чертах написать можно вот так:
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
- назначение оператором лица, ответственного за организацию обработки персональных данных;
- издание оператором документов, определяющих политику оператора в отношении обработки персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Могут ли при проверке спросить за каждый из этих пунктов?
Да, могут. За каждым пунктом стоит, как правило, действие+документ и если вы хотите быть готовыми к проверке заранее, то нужно обратиться к юристу за составлением пакета. И определите, что у вас происходит и что вам на самом деле нужно. При необходимости внести потом корректировки в поданное уведомление.
Вы можете услышать или прочесть, что самозанятый и даже ИП не могут выпускать локальные нормативные акты и не назначают ответственного. Напишу так: запретов каких-то прямых нет на этот счёт, практики по проверкам самозанятых, а в некоторых ситуациях и ИП, крайне мало.
Средства обеспечения безопасности:
- использование антивирусных средств защиты информации (___________).
- ограничен доступ посторонних лиц в помещения, предназначенные для обработки персональных данных.
В первой строке можно добавить название антивирусника, стоящего на компьютере. Но! Это должен быть антивирусник, сертифицированный в РФ. Например, Касперский.
Использование шифровальных (криптографических) средств:
- Если у вас нет чего-то вроде КриптоПро, указываете НЕ ИСПОЛЬЗУЕТСЯ.
- Если вы ИП и есть КриптоПро, то указываете ИСПОЛЬЗУЕТСЯ.
КриптоПро ищем на своем компьютере через поиск. Вам нужно найти версию, изготовителя и класс (это КС1). КС2 и КС3 ставить не надо, это к ИП не относится.
Например, может быть так: КриптоПро CSP Версия 5.0.139000. КС1. Изготовитель ООО КРИПТО-ПРО.
Если не найдёте, запутаетесь, оставьте здесь НЕ ИСПОЛЬЗУЕТСЯ. Но разберитесь после внесения и подайте уточнения.
Дата начала обработки: дата регистрации ИП или самозанятости.
Срок или условие прекращения обработки персональных данных: УСЛОВИЕ до достижения целей обработки, прекращения статуса ИП/самозанятого, отзыва согласия или истечения срока согласия.
Осуществление трансграничной передачи персональных данных: не осуществляется. Но! Если у вас подключены сервисы вроде Гугл Аналитикс, Гугл Формы, reCaptcha и аналогичные, это ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА.
Что делать? Убрать сервисы, подать уведомление. Запросить у РКН разрешение, вернуть сервисы. Или просто сходить к юристу.
ЦОД — центр обработки персональных данных.
Если у вас нет сайтов, ботов, рассыльщиков, планировщиков, каких-то сервисов, облаков в которых есть персональные данные ваших клиентов, посетителей сайтов, подписчиков и т.п., вы указываете СВОЙ АДРЕС.
Собственный ЦОД: да
Если у вас есть сервисы, сайты, боты, нужно искать СЕРВЕРЫ. И именно их указывать в ЦОД.
Например, где находится сервер вашего сайта (который собирает ПДн) — выясняем у хостера. Где находится сервер вашего рассыльщика/CRM/конструктора ботов – выясняем у них напрямую.
При этом. Если ваш, например, конструктор ботов или рассыльщик иностранные — это трансграничная передача данных. Что делать? Убрать сервисы, подать уведомление. Запросить у РКН разрешение, вернуть сервисы. Или просто сходить к юристу.
Этот блок удаляем, так ак вы не работаете с ГИС:
После этого ставим обе галочки и нажимаем “Отправить электронное уведомление”:
Появится Номер и Ключ. Обязательно сохранить!
И сохранить само уведомление. Система работает криво, нажмите и на распечатать, и на сохранить ПДФ. Если закинет уведомление куда-то неизвестно куда, ищите на компьютере через поиск по слову “printForm”.
Что надо будет сделать еще:
Ваши документы (политика на сайте, согласия и т.п.) должны отражать ту информацию, что вы указываете в уведомлении. В уведомление можно вносить корректировки. Штраф за некорректные сведения в уведомлении 500 рублей. Но! Если там будет совокупность (например, у вас нет политики или она некорректная), штраф будет больше.
