С 30 мая 2025 года – новые обязанности операторов персональных данных: что изменится и как избежать штрафов

С 30 мая 2025 года вступает в силу Федеральный закон № 420-ФЗ, который усиливает ответственность всех, кто работает с персональными данными. Теперь за неподачу или несвоевременную подачу уведомления в Роскомнадзор введены серьезные штрафы. Разбираемся, кого коснутся нововведения, что нужно сделать, и как избежать санкций.

Кто должен отправить уведомление?

Абсолютно все операторы персональных данных – это физические лица, самозанятые, ИП, компании, государственные органы, которые хоть как-то взаимодействуют с данными физических лиц:

• собирают их (через сайт, чат-бот, опрос, соцсети, email и пр.),
• хранят (на своих устройствах, в почте, в облаке, «админке» сайта и пр.),
• используют (для договора, рассылок, регистрации на мероприятие и т.д.).
• маркируют рекламу (например, размещают рекламу по закону о рекламе и используют для этого данные клиентов или пользователей).

Исключения существуют, но их перечень ограничен (подробнее – ниже).

Что считается персональными данными?

Любая информация, прямо или косвенно относящаяся к физическому лицу: ФИО, дата рождения, адрес, email, телефон, ИНН, паспорт и даже куки-файлы, если они позволяют идентифицировать человека.

Когда возникает обязанность подать уведомление?

Если вы начали взаимодействовать с персональными данными – автоматически становитесь “оператором” и попадаете под действие закона. Подача уведомления – одна из обязанностей, наряду с соблюдением других требований по обработке и защите данных.

ВНИМАНИЕ! Уведомление нужно подать ДО начала обработки персональных данных. Если вы это уже делаете – успейте отправить документ до 30 мая 2025 года, чтобы не попасть под штрафы.

Куда и как подавать уведомление?

Куда: в Роскомнадзор (РКН).

Ссылка: https://pd.rkn.gov.ru/operators-registry/notification/form/

Как можно подать:

1. В бумажном виде – передать оригинал уведомления в территориальное отделение РКН.
2. Электронно с использованием усиленной квалифицированной электронной подписи (УКЭП).
3. Электронно через портал Госуслуг (с помощью аутентификации ЕСИА).

Нужно ли платить госпошлину?

Нет, подача и рассмотрение уведомления бесплатны. Однако услуги юриста по подготовке документов будут оплачиваемыми.

Как долго ждать ответа?

РКН рассмотрит уведомление и примет решение в течение 30 дней.

Можно ли заполнить самостоятельно?

Можно, но не рекомендуется: велик риск ошибок, которые могут привести к дополнительным штрафам. Необходимо провести аудит обработки персональных данных, исправить нарушения, правильно оформить политику, согласия, корректно настроить формы и чек-боксы на сайте и т.д.

Подача уведомления — это только один из этапов исполнения закона, его подача не освобождает от всех прочих обязанностей по 152-ФЗ.

Какой будет штраф за нарушение?

• Граждане — от 5 000 до 10 000 рублей,
• Должностные лица — от 30 000 до 50 000 рублей,
• Юридические лица — от 100 000 до 300 000 рублей.

В каких случаях уведомление НЕ требуется?

Есть исключения (ч. 2 ст. 22 152-ФЗ), в частности, если:

• Обрабатываете данные для государственных целей безопасности,
• Обработка ведется только без автоматизации,
• Обработка связана с транспортной безопасностью.

Итоги

Стать оператором персональных данных — не выбор, а обязанность, если вы хоть как-то используете чужие персональные данные. С 30 мая 2025 года Роскомнадзор усилит контроль, а штрафы станут серьезнее.

Чтобы не платить штрафы:

• Проводите аудит работы с персональными данными,
• Своевременно подавайте уведомления,
• Соблюдайте другие требования закона!

Появились вопросы — стоит проконсультироваться с юристом по персональным данным.