ЭЛКОД: Действительно ли будут громадные штрафы с 30 мая 2025г. за непердоставление этого уведомления?

Прочла информацию в интернете что организации с 30 мая 2025 года будут облагать каким-то громадными штрафами - чуть ли не 500 тыс. рублей - за непердоставление какого-то уведомления в Роскомнадзор. 1.Действительно ли будут громадные штрафы с 30 мая 2025г. за непердоставление этого уведомления? Если это действительно так, то просьба ответить еще на несколько вопросов. 2. Под эти штрафы попадут только организации или и индивидуальные предприниматели тоже? 3.Есть ли какие-то льготы для субъектов малого предпринимательства? Например, на первый раз только предупреждение, а не штраф? 4.Если организация является субъектом малого предпринимательства, из сотрудников - только директор, зарплата не начисляется , выручки нет, то такую оргниазацию все равно отштрафуют за непредоставление этого уведомления? А вообще надо такой организации предоставлять это уведомление? 5.До какого числа надо подать подать это уведомление в Роскомнадзор? 6.Что это за уведомление и в каком виде его надо подать в Роскомнадзор? 7.Можно ли отправить это уведомление в Роскомнадзор по почте?

  •  24 апреля 2025 г.

С 30.05.2025 вступят в силу поправки в КоАП, вводящие новые штрафы для операторов персональных данных (Закон от 30.11.2024 N 420-ФЗ).

Так, например, невыполнение или несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении производить обработку персональных данных будет наказываться штрафом в размере от 30 000 до 50 000 руб. - для должностных лиц, от 100 000 до 300 000 руб. - для организаций. Помимо этого, вводятся крупные штрафы за утечку персональных данных.

Данные штрафы предусмотрены как для юридических лиц, так и для предпринимателей.

Все приведенные в новой ст. 4.1.2 КоАП РФ особенности не применяются при назначении административного штрафа за правонарушения, за совершение которых в соответствии со статьями разд. II названного Кодекса лица, осуществляющие предпринимательскую деятельность без образования юридического лица (ИП), несут административную ответственность как юридические лица. Это правонарушения, имеющие наибольшую общественную опасность, риск причинения вреда от совершения которых не зависит от объема осуществляемой деятельности и экономического положения правонарушителя, в частности составы, предусмотренные в т.ч. ст. 13.11 обозначенного Кодекса.

Соответственно, по таким статьям малые предприятия будут наказываться в полной мере, то есть как прочие юридические лица.

Уведомлять Роскомнадзор об обработке персональных данных не требуется только в трех ситуациях (ч. 2 ст. 22 Закона о персданных):

- если персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

- если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

- если оператор обрабатывает персданные в предусмотренных законодательством о транспортной безопасности случаях, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Во всех остальных случаях необходимо уведомлять ведомство до начала обработки, в том числе если обработка персданных осуществляется только в рамках трудовых отношений или для однократного пропуска на территорию.

Работодатели являются операторами персональных данных и обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников. Сформировать и направить уведомление можно на сайте Роскомнадзора (ст. 22 Закона N 152-ФЗ).

Если работодатель ведет учет персональных данных работников без использования компьютера, исключительно на бумажных носителях, тогда он по-прежнему может не уведомлять Роскомнадзор об обработке персданных. Хоть такую ситуацию сложно представить, но все-таки можно.

Если же работодатель на компьютере:

- собирает, записывает, систематизирует;

- накапливает, хранит;

- уточняет (обновляет, изменяет);

- извлекает, использует, передает (распространяет, предоставляет, дает доступ);

- обезличивает;

- блокирует, удаляет, уничтожает -

персональные данные работников, то это будет считаться автоматизированной обработкой.

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) "О персональных данных" {КонсультантПлюс}).
 

В случае установления факта неправомерной или случайной передачи (представления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан (ст. 21 Закона N 152-ФЗ):

- в течение 24 часов с момента выявления утечки уведомить Роскомнадзор о произошедшем инциденте, о предполагаемых причинах и вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий инцидента, а также представить сведения о лице, которое будет взаимодействовать с Роскомнадзором по данному вопросу;

- провести внутреннее расследование и в течение 72 часов с момента выявления инцидента сообщить в Роскомнадзор о его результатах, включая сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Уведомления вы можете направить в виде бумажного или электронного документа. Бумажный документ возможно направлять по почте.

Образец заполнения уведомления о намерении обрабатывать персональные данные направляем во вложении к ответу.

Как уведомить Роскомнадзор о неправомерной или случайной передаче (утечке) персональных данных, которая повлекла нарушение прав субъектов персональных данных подробнее в обосновании.

 

Обоснование

С 30 мая 2025 г. предусмотрены специальные составы и размеры штрафов для следующих нарушений:

  • оператор не уведомил (несвоевременно уведомил) Роскомнадзор о намерении осуществлять обработку персональных данных. Максимальный штраф для должностных лиц - 50 000 руб., для ИП, организаций - 300 000 руб. (ч. 10 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 N 420-ФЗ);
  • оператор не уведомил (несвоевременно уведомил) Роскомнадзор о неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, которая повлекла нарушение прав субъектов таких данных. Максимальный штраф для должностных лиц - 800 000 руб., для ИП, организаций - 3 000 000 руб. (ч. 11 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 N 420-ФЗ).

1. При назначении административного наказания в виде административного штрафа социально ориентированным некоммерческим организациям, включенным по состоянию на момент совершения административного правонарушения в реестр социально ориентированных некоммерческих организаций - получателей поддержки, а также являющимся субъектами малого и среднего предпринимательства юридическим лицам, отнесенным к малым предприятиям, в том числе к микропредприятиям, включенным по состоянию на момент совершения административного правонарушения в единый реестр субъектов малого и среднего предпринимательства, административный штраф назначается в размере, предусмотренном санкцией соответствующей статьи (части статьи) раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях для лица, осуществляющего предпринимательскую деятельность без образования юридического лица.

2. В случае, если санкцией статьи (части статьи) раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях не предусмотрено назначение административного наказания в виде административного штрафа лицу, осуществляющему предпринимательскую деятельность без образования юридического лица, административный штраф социально ориентированным некоммерческим организациям, включенным по состоянию на момент совершения административного правонарушения в реестр социально ориентированных некоммерческих организаций - получателей поддержки, а также являющимся субъектами малого и среднего предпринимательства юридическим лицам, отнесенным к малым предприятиям, в том числе к микропредприятиям, включенным по состоянию на момент совершения административного правонарушения в единый реестр субъектов малого и среднего предпринимательства, назначается в размере от половины минимального размера (минимальной величины) до половины максимального размера (максимальной величины) административного штрафа, предусмотренного санкцией соответствующей статьи (части статьи) для юридического лица, либо в размере половины размера административного штрафа, предусмотренного санкцией соответствующей статьи (части статьи) для юридического лица, если такая санкция предусматривает назначение административного штрафа в фиксированном размере.

3. Размер административного штрафа, назначаемого в соответствии с частью 2 настоящей статьи, не может составлять менее минимального размера административного штрафа, предусмотренного санкцией соответствующей статьи (части статьи) раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях для должностного лица.

4. Правила настоящей статьи не применяются при назначении административного наказания в виде административного штрафа за административные правонарушения, за совершение которых в соответствии со статьями раздела II настоящего Кодекса лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.

ч. 1 ст. 4.1.2, КоАП РФ {КонсультантПлюс}

Персональные данные работника - любая информация о человеке, имеющаяся у работодателя. Это Ф.И.О. и другие паспортные данные, ИНН, СНИЛС, номер телефона, сведения об образовании, зарплате и других доходах, и т.д. (ст. 3 Закона N 152-ФЗ, Письмо Минкомсвязи от 28.08.2020 N ЛБ-С-074-24059).

В российском законодательстве обязательство по уведомлению в Роскомнадзор (в рамках закона «О персональных данных») не зависит от размера бизнеса, количества сотрудников или оборота организации. То есть если деятельность организации (даже если это субъект малого предпринимательства, в составе которого имеется лишь директор) связана с обработкой персональных данных и предусмотрена обязанность по уведомлению, то непредоставление такого уведомления может повлечь за собой административную ответственность в виде штрафа.

Важно учитывать следующие моменты:

Обязанность уведомления возникает, если организация систематически осуществляет обработку персональных данных (например, данных клиентов, партнеров или даже данных самого директора, если они используются в оперативной деятельности). Отсутствие зарплат и выручки не освобождает от выполнения требований закона, если фактически ведётся обработка персональных данных.

Закон не предусматривает автоматического освобождения от уведомления для субъектов малого предпринимательства или для организаций с минимальным числом сотрудников.

Составьте уведомление по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем укажите, в частности (ч. 3, 3.1 ст. 22 Закона о персональных данных):
 

  • свое наименование (фамилию, имя, отчество), адрес;
  • цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
  • дату начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.

 

Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона о персональных данных).

Роскомнадзор на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов (ч. 4 ст. 22 Закона о персональных данных).
 

Если сведения, содержавшиеся в ранее поданном уведомлении, изменились, то нужно уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, обо всех произошедших за указанный период изменениях. Если вы прекратили обработку персональных данных, нужно уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона о персональных данных). Данные уведомления необходимо составлять по формам, приведенным соответственно в Приложениях N N 2 и 3 к Приказу Роскомнадзора от 28.10.2022 N 180.

 

Для учета информации об утечке персональных данных Роскомнадзор ведет специальный реестр, определяет порядок и условия взаимодействия с операторами в рамках его ведения (ч. 10 ст. 23 Закона о персональных данных).

Если вы, Роскомнадзор или другое заинтересованное лицо выявите неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, которая повлекла нарушение прав субъектов персональных данных, вы обязаны в течение 24 часов с момента выявления направить в Роскомнадзор первичное уведомление. В нем необходимо сообщить (п. 1 ч. 3.1 ст. 21 Закона о персональных данных, п. 2 Порядка, утв. Приказом Роскомнадзора от 14.11.2022 N 187):

  • о произошедшем инциденте, в частности о содержании базы данных, ставшей доступной неограниченному кругу лиц (скомпрометированная база данных);
  • предполагаемых причинах инцидента;
  • предполагаемом вреде, нанесенном правам субъектов персональных данных;
  • принятых мерах по устранению последствий;
  • лице, которое вы уполномочили взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

В первичном уведомлении вы также должны указать данные о себе, включая адрес электронной почты (при наличии). Помимо этого в Роскомнадзор следует представить и иные находящиеся в вашем распоряжении сведения и материалы, связанные с инцидентом (п. п. 2.2, 2.3 Порядка, утв. Приказом Роскомнадзора от 14.11.2022 N 187).

Кроме того, в течение 72 часов с момента выявления инцидента вы должны направить в Роскомнадзор дополнительное уведомление. В нем необходимо сообщить о результатах внутреннего расследования инцидента: предоставить информацию о причинах, нанесенном вреде, дополнительно принятых мерах по устранению последствий инцидента, решении о проведении внутреннего расследования (с реквизитами). Отразите сведения о лицах, действия которых стали причиной утечки данных (при их наличии) (п. 2 ч. 3.1 ст. 21 Закона о персональных данных, п. 3 Порядка, утв. Приказом Роскомнадзора от 14.11.2022 N 187).

При нарушении этого срока Роскомнадзор вправе направить вам требование о необходимости предоставить соответствующие сведения. Для ответа у вас есть один рабочий день со дня получения требования (п. п. 12, 13 Порядка, утв. Приказом Роскомнадзора от 14.11.2022 N 187).

Уведомления вы можете направить в виде бумажного или электронного документа. Во втором случае заполните специализированную форму, размещенную на портале персональных данных Роскомнадзора в Интернете. Для этого вам необходимо пройти идентификацию и аутентификацию в ЕСИА. Заполненную форму нужно подписать электронной подписью (п. п. 5, 7 Порядка, утв. Приказом Роскомнадзора от 14.11.2022 N 187).

Если представленные сведения окажутся неполными или некорректными, Роскомнадзор в течение трех рабочих дней со дня получения уведомления может затребовать у вас недостающие сведения или пояснения. Вы будете обязаны направить их в госорган одним из указанных способов. Срок - три рабочих дня со дня получения запроса (п. п. 10, 11 Порядка, утв. Приказом Роскомнадзора от 14.11.2022 N 187).

Уведомления также необходимо направлять в таких случаях (п. п. 14, 15, 17 Порядка, утв. Приказом Роскомнадзора от 14.11.2022 N 187):

  • Роскомнадзор выявил неправомерное распространение скомпрометированной базы данных;

вы, Роскомнадзор, любое заинтересованное лицо установили неправомерную или случайную передачу персональных данных, содержащихся в базе данных, характеристики которых полностью соответствуют ранее скомпрометированной.

 

Клиентский опыт

В дополнение к основному ответу мы хотели бы поделиться с Вами Клиентским опытом решения похожих задач. Вы можете ознакомиться с эффективной последовательностью действий в КонсультантПлюс по теме Вашего запроса в документе: «Безопасная работа с персональными данными в 2025 году».

 

Готовое решение: Кто и какую ответственность несет за нарушение законодательства о персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс}

Статья: Для малых, средних предприятий и НКО смягчается административная ответственность (Подкопаев М.В.) ("Бухгалтер Крыма", 2022, N 5) {КонсультантПлюс}

Типовая ситуация: Персональные данные работников: понятие, обработка, защита и передача (Издательство "Главная книга", 2025) {КонсультантПлюс}

Статья: Как работодателю уведомить Роскомнадзор об обработке персональных данных (Дячук М., Залюбовский К.) ("Кадровая служба и управление персоналом предприятия", 2022, N 10) {КонсультантПлюс}

Статья: Работа с персональными данными. Отвечаем на вопросы (Свистунова Н.) ("Юридический справочник руководителя", 2024, N 7) {КонсультантПлюс}

Статья: Изменения в законодательстве о персональных данных (Бекетова Н.А.) ("Кадровик-практик", 2022, N 7) {КонсультантПлюс}

Форма: Уведомление о намерении обрабатывать персональные данные (образец заполнения) (КонсультантПлюс, 2025) {КонсультантПлюс}

Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс}

 

Еще по этой теме

29 апреля 2025 г.

Ответственность за нарушение законодательства о персональных данных. Риски операторов и должностных лиц

17 июня 2025 г.

Готовимся к проверкам Роскомнадзора: возможные риски ответственности

21 мая 2025 г.

Готовимся к проверкам Роскомнадзора. Базовые понятия закона «О персональных данных» и основные обязанности оператора

КонсультантПлюс

СБИС

Образование

Новости

Мероприятия

Записи мероприятий

Подборки

Справочная информация

Библиотека

Гид по разделу «Образование»