Нет, не поздно. Даже если вы не подали уведомление раньше, это лучше сделать сейчас, как можно скорее. Закон не установил конкретного крайнего срока подачи уведомления – уведомлять Роскомнадзор нужно при начале обработки персональных данных, и если этого не сделано вовремя, требование остается в силе. В 2022 году вступили поправки, после которых уведомление стало обязательным почти для всех операторов (с 1 сентября 2022 отменили большинство прежних исключений), но конкретной даты «после которой уже нельзя» нет.

С 30 мая 2025 года, правда, значительно повышены штрафы за отсутствие уведомления. Однако за первое нарушение обычно выносится предупреждение вместо штрафа, так что лучше поздно, чем никогда: подайте уведомление сейчас, чтобы избежать серьёзных последствий.

Подавать уведомление обязаны все операторы персональных данных – то есть организации и предприниматели, которые в своей деятельности обрабатывают персональные данные физических лиц. Сюда относятся любые юридические лица (ООО, АО и т.д.), индивидуальные предприниматели (ИП), а также самозанятые и частные специалисты, если они собирают и используют персональные данные других людей (например, клиентов). Даже физические лица, если они выступают в роли оператора вне сугубо личных нужд, формально подпадают под эту обязанность. Проще говоря, практически любой, кто работает с персональными данными не для сугубо домашних целей, должен направить уведомление.

Исключения из этого правила сейчас крайне ограничены. Можно не уведомлять Роскомнадзор лишь в отдельных случаях, прямо указанных в законе. Например, не требуется уведомление при обработке персональных данных исключительно без средств автоматизации (т.е. полностью вручную, на бумаге), а также если данные собираются только для личных, семейных нужд самого гражданина. Кроме того, уведомление не нужно, если обработка ведётся в государственных интересах (например, в целях обеспечения безопасности государства или транспортной безопасности и правопорядка). Во всех остальных ситуациях (то есть практически для любой коммерческой или профессиональной деятельности) отправлять уведомление обязательно.

Уведомление подается до начала обработки персональных данных либо не позднее момента, когда вы фактически приступили к обработке. Проще говоря, как только вы решили собирать и использовать персональные данные (например, запустили сайт с формой для пользователей или наняли первых сотрудников, начав вести их личные дела), вы должны уведомить об этом Роскомнадзор.

Формально закон не устанавливает конкретный срок в днях для подачи, но подразумевается, что уведомление должно быть отправлено заранее или сразу при начале работы с персональными данными. Если вы уже начали обработку, а уведомление не подали, это считается нарушением – поэтому затягивать нельзя. Лучше выполнить требование как можно скорее, не дожидаясь санкций.

Неподача уведомления – это административное правонарушение. До недавнего времени штрафы за такое нарушение были относительно небольшими: для организаций и ИП – всего около 3–5 тысяч рублей. Однако с 30 мая 2025 года вступили в силу поправки, резко повышающие ответственность: теперь за непредставление уведомления грозит штраф от 100 тысяч до 300 тысяч рублей для организаций и индивидуальных предпринимателей, а для должностных лиц (ответственных сотрудников) – от 30 до 50 тысяч.

В то же время для впервые совершивших нарушение предусмотрено смягчение. Как правило, при первом случае отсутствие уведомления влечёт не штраф, а официальный предупреждение с требованием устранить нарушение. Но если после предупреждения уведомление так и не подано, последует полноценный штраф. Таким образом, отсутствие уведомления может обернуться серьёзными санкциями. Лучше не доводить до проверки и штрафов, а подать уведомление добровольно как можно раньше.

Подача уведомления через наш сервис стоит 2500 руб. Роскомнадзор не взимает государственную пошлину и никакой платы за регистрацию не предусмотрено, вы платите за корректное заполнение формы, чтобы не получить штраф и экономите время. Если у вас есть компетенции в этом вопросе, можете подать уведомление самостоятельно https://pd.rkn.gov.ru/operators-registry/notification/form/

Да, можно и нужно, если обстоятельства изменились. Закон требует уведомлять Роскомнадзор о любом изменении сведений, указанных в ранее поданном уведомлении. Например, вы начали собирать новые категории персональных данных, изменили цели обработки, сменили адрес организации или ответственного за работу с данными – всё это значимые изменения, о которых надо сообщить регулятору.

Внести изменения несложно: фактически подаётся обновлённое уведомление с корректировками. На портале Роскомнадзора для этого предусмотрена функция подачи уведомления об изменении ранее представленных сведений. Сделать это нужно не позднее 15-го числа месяца, следующего за месяцем, когда произошли изменения. Таким образом, ваше первоначальное уведомление дополняется актуальной информацией, и в реестре операторов будут отражены все новые данные.

Если вы начинаете использовать данные для новой цели, не указанной в изначальном уведомлении, то да – об этом нужно уведомить Роскомнадзор. Добавление новой цели обработки считается изменением условий, а такие изменения подлежат сообщению. Но это не значит, что вы подаёте совершенно новое уведомление «с нуля». Достаточно направить уведомление об изменении, в котором перечислить новую цель обработки и связанные с ней сведения (категории данных, субъектов, правовое основание и пр.). Иными словами, вы обновляете своё существующее уведомление, дополнив его новой информацией, вместо повторной подачи всего документа заново

В большинстве случаев – да, нужно. Видеоизображение людей считается биометрическими персональными данными, а система видеонаблюдения, записывающая посетителей или сотрудников, является обработкой персональных данных. Если камера устанавливается организацией или ИП в рабочих или публичных местах (офис, магазин, производственное помещение, подъезд и т.д.) в целях безопасности или контроля, то такую обработку необходимо отразить в уведомлении. В целях можно указать, например, «обеспечение безопасности посредством видеонаблюдения», в категориях субъектов – сотрудники, посетители (или жильцы, если речь о ЖКХ), а в перечне данных – видеоизображения (записи с камер).

Если же камера ставится вами как физическим лицом у себя дома исключительно для личных нужд (скажем, наблюдение за своим двором или квартирой для собственной безопасности), то уведомлять Роскомнадзор не требуется. Закон о персональных данных не распространяется на случаи сугубо личного использования данных, когда вы не выступаете в роли оператора для широкой категории субъектов.

На практике операторы нередко допускают ряд типичных ошибок при заполнении уведомления. Вот основные из них:

• Отправка не на фирменном бланке или без печати: При бумажной подаче некоторые оформляют уведомление на обычном листе. Правильно подготавливать документ на бланке организации с указанием реквизитов; подпись руководителя обязательна, а печать нужна, если у вас она используется.
• Неправильный адрес оператора: В форме нужно указывать юридический адрес компании/ИП, и нередки ошибки в этом поле. Следует писать полный адрес точно как в регистрационных документах (ЕГРЮЛ/ЕГРИП) — с индексом, регионом, городом, улицей, домом и офисом.
• Неверное указание правовых оснований: Часто в графе про правовые основания пишут лишь «в соответствии с ФЗ №152» или вообще оставляют общую формулировку. Это неправильно – требуется перечислить конкретные основания: например, согласие субъекта, трудовой договор с ним, выполнение требований закона, устав компании либо иной локальный акт.
• Расплывчатые цели обработки: Ошибкой будет указать слишком общую цель вроде «ведение деятельности». Цели должны быть более конкретными и соответствовать вашей ситуации – например, «кадровый учёт сотрудников», «оказание медицинских услуг», «маркетинговая рассылка рекламы» и т.п.
• Неправильное перечисление персональных данных: Операторы путают категории субъектов с видами данных или перечисляют названия документов вместо самих данных. Нельзя писать общие фразы или «и т.д.» – нужно конкретно указать, какие именно данные вы обрабатываете (например, ФИО, дата рождения, адрес, телефон, сведения о доходе).
• Пропущены категории субъектов: Другая частая ошибка – не перечислить всех, чьи данные вы собираете, либо использовать непонятные сокращения. В уведомлении нужно явно перечислить категории физических лиц, персональные данные которых обрабатываются: сотрудники, клиенты, пациенты, учащиеся, члены клуба и т.д.
• Лишние действия с данными: Некоторые заявители по шаблону отмечают все возможные действия с данными (сбор, хранение, передача, уничтожение и пр.), даже если на практике не выполняют половину из них. Рекомендуется указывать только те операции, которые вы действительно осуществляете с данными.
• Шаблонное описание мер защиты: В разделе про меры безопасности нельзя ограничиваться общими фразами «для галочки». Роскомнадзор ожидает увидеть именно те меры, которые реально внедрены у оператора (например, антивирусная защита, шифрование баз данных, резервное копирование, система контроля доступа и т.д.).
• Некорректная дата начала обработки: Неверно указывать дату регистрации компании вместо реальной даты, когда вы начали работать с персональными данными. Если обработка началась сразу с созданием организации, ставится дата государственной регистрации; но если данные начали собираться позже – укажите фактическую дату начала обработки.
• Подпись неуполномоченного лица: Уведомление должен подписывать руководитель организации либо официально уполномоченный представитель (по доверенности). Если подпись ставит сотрудник без соответствующих полномочий, уведомление могут не принять. Убедитесь, что документ подписан верно, с указанием Ф.И.О. и должности подписанта, а также контактов исполнителя (того, кто заполнил форму)