Нужно ли подавать уведомление в Роскомнадзор об обработке персональных данных

Вопрос «нужно ли подавать уведомление в Роскомнадзор» стал одним из самых частых для бизнеса. Многие компании думают, что уведомление нужно только крупным операторам или IT-сервисам. На практике обязанность может возникнуть у обычной организации или ИП, если они обрабатывают персональные данные клиентов, пользователей сайта, сотрудников, кандидатов, контрагентов или подписчиков.

Уведомление — это не согласие и не политика. Это отдельное сообщение Роскомнадзору о том, что оператор осуществляет или намерен осуществлять обработку персональных данных. Документы на сайте не заменяют уведомление. Политика может быть идеальной, но если оператор должен был уведомить Роскомнадзор и не сделал этого, остается отдельный риск.

Оператор — это лицо, которое самостоятельно или совместно с другими лицами организует обработку персональных данных, определяет цели обработки, состав данных и действия с ними. Для бизнеса это означает: если компания решает, какие данные собрать через сайт, зачем они нужны и как использовать базу клиентов, она, как правило, выступает оператором.

Оператором может быть юридическое лицо, ИП, некоммерческая организация, частная школа, клиника, онлайн-сервис, агентство, юридическая компания, интернет-магазин, сервис бронирования или работодатель.

• на сайте есть формы заявки, обратной связи, записи или регистрации;
• компания ведет клиентскую базу или CRM;
• обрабатываются данные сотрудников и кандидатов;
• идет рассылка или маркетинговая коммуникация;
• данные передаются подрядчикам;
• используются автоматизированные системы обработки;
• компания оказывает услуги физическим лицам и хранит их контактные данные.

Даже если компания небольшая и в базе мало людей, это не отменяет статус оператора. Важен сам факт обработки, цели, средства и наличие исключений.

Закон предусматривает случаи, когда уведомление не требуется. Но исключения нужно применять осторожно. Например, если данные обрабатываются исключительно без средств автоматизации, ситуация может отличаться от сайта с CRM и электронными заявками. Если компания использует сайт, почту, таблицы, CRM или электронные базы, ссылаться на исключение без анализа рискованно.

Ошибка бизнеса — считать, что обработка только сотрудников автоматически освобождает от уведомления. После изменений и практики последних лет безопаснее проверять каждую категорию данных отдельно: сотрудники, клиенты, пользователи сайта, кандидаты, представители контрагентов.

С 2025 года штрафы за нарушения в сфере персональных данных стали заметно выше. Непредставление уведомления о начале обработки персональных данных теперь является самостоятельным риском. Кроме штрафа, отсутствие уведомления может усилить позицию проверяющего органа, если одновременно обнаружены проблемы с политикой, согласиями, формами сайта или безопасностью данных.

Нужно составить карту обработки: какие данные собираются, у кого, где, в каких целях, с использованием каких систем, кому передаются и на каком основании. После этого можно оценить, подпадает ли оператор под исключения. Если исключения сомнительны, безопаснее подготовить и подать уведомление, чем ждать запроса Роскомнадзора.

В уведомлении указываются сведения об операторе, цели обработки, категории персональных данных, категории субъектов, правовые основания, перечень действий с данными, описание мер защиты, сроки обработки, сведения о трансграничной передаче при наличии и данные лица, ответственного за организацию обработки.

Ошибки в уведомлении тоже опасны. Если указать слишком мало целей, не описать сайт или забыть категории субъектов, потом может потребоваться уточнение. Если написать слишком широко, возникнет вопрос, почему оператор собирает больше данных, чем нужно.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.