Что будет, если не подать уведомление в Роскомнадзор?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Роскомнадзор не штрафует автоматически за сам факт отсутствия уведомления об обработке персональных данных, однако неподача уведомления рассматривается как самостоятельное нарушение требований законодательства в тех случаях, когда оператор обязан был его подать.

На практике отсутствие уведомления не является «формальностью без последствий»: оно резко повышает риск внеплановой проверки, усложняет позицию оператора при выявлении иных нарушений и почти всегда выявляется при первом же контроле. При этом ответственность наступает не за «бумагу», а за несоблюдение установленного порядка начала обработки персональных данных.

Обязательна ли подача уведомления в Роскомнадзор

Обязанность по подаче уведомления в Роскомнадзор возникает не у всех операторов персональных данных автоматически, а только в случаях, прямо предусмотренных законодательством. Именно неверное понимание этой обязанности чаще всего приводит либо к избыточной подаче уведомлений, либо к нарушениям.

Кто обязан подавать уведомление

Уведомление об обработке персональных данных обязаны подавать операторы, которые:

осуществляют обработку персональных данных, не подпадающую под установленные законом исключения;
обрабатывают персональные данные с использованием средств автоматизации (в том числе через сайты, CRM, базы данных);
передают персональные данные третьим лицам;
обрабатывают данные не только в рамках трудовых отношений.

Проще говоря: подавляющее большинство коммерческих организаций и ИП, имеющих сайт, клиентов, сотрудников и использующих ИТ-системы, обязаны подавать уведомление.

Кто освобожден от подачи уведомления

Закон предусматривает ряд исключений, при которых уведомление можно не подавать. К ним относятся случаи, когда персональные данные:

обрабатываются только в рамках трудовых отношений с работниками;
обрабатываются исключительно для исполнения договора с субъектом ПДн без дальнейшего распространения;
обрабатываются без использования средств автоматизации;
обрабатываются в иных случаях, прямо указанных в законе.

Если оператор выходит за пределы этих исключений (например, помимо кадрового учета ведёт клиентскую базу или использует сайт), обязанность по подаче уведомления возникает.

Связь уведомления с фактической обработкой персональных данных

Ключевым является не формальный статус оператора, а фактическая обработка данных.
Если персональные данные реально обрабатываются, но уведомление не подано — это рассматривается как нарушение установленного порядка начала обработки персональных данных.

Что считается нарушением: отсутствие уведомления или обработка без законных оснований

Важно разграничивать два разных состава нарушений, которые часто смешивают на практике: неподача уведомления и незаконная обработка персональных данных. Это разные основания ответственности, хотя они нередко выявляются одновременно.

Отсутствие уведомления как самостоятельный состав

Если оператор обязан подать уведомление, но не сделал этого, нарушение заключается в том, что:

не выполнен установленный законом порядок начала обработки персональных данных;
Роскомнадзор не был уведомлён о факте обработки ПДн;
оператор не включён в реестр операторов персональных данных.

Даже если сами данные обрабатываются корректно, отсутствие уведомления может рассматриваться как самостоятельное административное правонарушение.

Когда уведомление обязательно

Уведомление обязательно, если оператор:

не подпадает под законные исключения;
использует автоматизированную обработку данных;
обрабатывает данные клиентов, пользователей, контрагентов;
передает персональные данные третьим лицам;
использует сайт, CRM, системы аналитики и т.п.

В этих случаях отсутствие уведомления уже образует нарушение независимо от того, были ли другие проблемы.

Когда отсутствие уведомления не является нарушением

Отсутствие уведомления не считается нарушением, если оператор:

подпадает под исключения, установленные законом;
обрабатывает персональные данные строго в рамках этих исключений;
не выходит за пределы допустимых целей и способов обработки.

Таким образом, штрафуют не за сам «факт неподачи», а за нарушение установленного порядка обработки персональных данных в тех случаях, когда уведомление было обязательным.

Не уверены, обязаны ли вы подавать уведомление в Роскомнадзор?

Ошибка здесь может стоить штрафа и проверки

Проверим вашу ситуацию и подскажем, нужно ли уведомление именно вам

Какие последствия возможны, если уведомление не подано

Отсутствие уведомления в Роскомнадзор редко рассматривается изолированно — чаще всего оно выявляется в рамках комплексной проверки и становится одним из элементов общей картины нарушений. Тем не менее, последствия могут быть вполне ощутимыми.

Административная ответственность

Если установлено, что оператор обязан был подать уведомление, но не сделал этого, он может быть привлечён к административной ответственности за нарушение установленного порядка обработки персональных данных.

При этом ответственность наступает независимо от того, были ли допущены иные нарушения, связанные с обработкой данных.

Штрафы для юридических лиц, ИП и должностных лиц

В зависимости от статуса нарушителя возможны штрафы:

для юридических лиц — наиболее значительные по суммам;
для индивидуальных предпринимателей — в среднем диапазоне;
для должностных лиц — персональные штрафы, назначаемые отдельно от штрафов организации.

Штрафы могут суммироваться, если вместе с отсутствием уведомления выявлены иные нарушения (отсутствие ОРД, согласий, политики и т.п.).

Предписания об устранении нарушений

Помимо штрафов, Роскомнадзор выдает предписание:

подать уведомление в установленный срок;
привести сведения в соответствие с фактической обработкой данных;
устранить сопутствующие нарушения.

Неисполнение предписаний само по себе является отдельным основанием для усиления ответственности.

Повышенный риск внеплановой проверки

Отсутствие уведомления существенно увеличивает вероятность:

внеплановой проверки;
углубленного анализа всех процессов обработки ПДн;
проверки сайта, кадровых процессов, договоров с подрядчиками.

Таким образом, даже если штраф удалось минимизировать, неподача уведомления почти всегда запускает цепочку дальнейших контрольных мероприятий.

Когда отсутствие уведомления не приводит к ответственности

Несмотря на то что обязанность по подаче уведомления в Роскомнадзор возникает у большинства операторов, существуют ситуации, при которых отсутствие уведомления не влечёт административной ответственности.

Оператор освобожден от подачи уведомления

Если деятельность оператора полностью подпадает под исключения, предусмотренные законом, уведомление может не подаваться без последствий. Это возможно, когда персональные данные:

обрабатываются исключительно в рамках трудовых отношений с работниками;
обрабатываются только для исполнения договора с субъектом ПДн без их распространения и передачи третьим лицам;
обрабатываются без использования средств автоматизации;
обрабатываются в иных случаях, прямо предусмотренных законодательством.

Ключевое условие — оператор не выходит за пределы этих исключений.

Отсутствие фактической обработки персональных данных

Если оператор формально существует, но фактически:

не собирает персональные данные;
не ведёт клиентских и пользовательских баз;
не использует сайт и иные инструменты для сбора данных,

то обязанность подавать уведомление не возникает, а значит, отсутствие уведомления не образует нарушения.

Устранение нарушения до проверки

Если оператор самостоятельно выявил, что уведомление не подано, и:

подал его до начала проверки;
привёл сведения в соответствие с реальной обработкой;

основания для привлечения к ответственности, как правило, отсутствуют, поскольку нарушение устранено до момента контроля.

Отсутствие состава правонарушения

В отдельных случаях Роскомнадзор может установить, что уведомление не требовалось по закону, и тогда привлечение к ответственности невозможно из-за отсутствия события правонарушения.

Таким образом, ответственность наступает не за сам факт отсутствия уведомления, а только тогда, когда оно было обязательным и реально не подано.

Уведомление подано, но сомневаетесь в его корректности?

Недостоверные сведения — такой же риск, как и его отсутствие

Приведём уведомление и документы в соответствие требованиям 152-ФЗ

Типовые ошибки при подаче уведомления

Даже при формальной подаче уведомления в Роскомнадзор у операторов нередко возникают проблемы, связанные не с самим фактом подачи, а с качеством и актуальностью сведений, указанных в уведомлении.

К наиболее распространённым ошибкам относятся следующие.

Указание недостоверных или неполных сведений

В уведомлении часто:

не отражаются все цели обработки персональных данных;
не указываются реально обрабатываемые категории данных;
отсутствуют сведения о передаче данных третьим лицам;
не указаны используемые информационные системы.

Такие несоответствия рассматриваются как предоставление недостоверной информации, что является самостоятельным нарушением.

Несоответствие уведомления фактической обработке

Даже корректно поданное уведомление теряет юридическое значение, если:

изменился функционал сайта;
добавлены новые формы сбора данных;
подключены CRM, сервисы рассылок, онлайн-чаты;
появились новые категории субъектов ПДн.

Если уведомление не обновляется, оно перестаёт отражать реальную обработку данных.

Отсутствие актуализации при изменениях в деятельности

Оператор обязан актуализировать уведомление при изменении:

целей обработки;
состава персональных данных;
категорий субъектов;
способов обработки и защиты данных.

Игнорирование этих изменений приводит к тому, что уведомление формально есть, но юридически считается некорректным.

Формальный подход к подаче уведомления

Распространённая ошибка — подача уведомления «для галочки», без увязки с реальными бизнес-процессами и документацией.
В таких случаях уведомление не защищает оператора при проверках, а лишь выявляет дополнительные несоответствия.

Для достижения полного соответствия требованиям 152-ФЗ необходимо разработать организационно-распорядительной документацию по защите персональных данных.

Как избежать проблем с Роскомнадзором из-за уведомления

Чтобы уведомление действительно выполняло свою юридическую функцию и защищало оператора при проверках, его подача должна быть частью системного подхода к обработке персональных данных, а не разовой формальностью.

Корректная первичная подача уведомления

Перед подачей уведомления необходимо:

провести анализ фактической обработки персональных данных;
определить все цели, категории данных и субъектов;
выявить используемые информационные системы и сервисы;
установить передачи данных третьим лицам.

Только после этого уведомление будет соответствовать реальной деятельности оператора.

Регулярная актуализация уведомления

Уведомление должно обновляться при любых значимых изменениях, в том числе при:

изменении функционала сайта;
внедрении CRM, рассылок, онлайн-чатов;
расширении категорий данных или целей обработки;
изменении мер защиты персональных данных.

Отсутствие актуализации фактически приравнивает уведомление к отсутствию.

Связка уведомления с ОРД и сайтом

Уведомление должно быть согласовано:

с организационно-распорядительной документацией по ПДн;
с политикой конфиденциальности и согласиями;
с фактическими процессами обработки на сайте и в компании.

Любые противоречия между этими элементами почти гарантированно выявляются при проверке.

Проверка сайта и процессов обработки ПДн

Перед подачей или актуализацией уведомления целесообразно провести аудит сайта на соблюдение законодательства по защите информации.

Это позволяет:

выявить скрытые точки сбора данных;
устранить нарушения до подачи уведомления;
избежать внесения в Роскомнадзор недостоверных сведений.

На практике

На практике Роскомнадзор крайне редко ограничивается проверкой только факта подачи уведомления. Как правило, именно уведомление становится отправной точкой для анализа всей системы обработки персональных данных у оператора.

Опыт проверок показывает:

чаще штрафуют не за сам факт отсутствия уведомления, а за то, что фактическая обработка данных не соответствует сведениям, указанным в уведомлении;
отсутствие уведомления почти всегда выявляется при первой же проверке, даже если изначально контроль начинался по другому поводу;
формально поданное, но неактуальное уведомление нередко создаёт больше проблем, чем его отсутствие, поскольку фиксирует недостоверные сведения.

В то же время корректно оформленное и актуальное уведомление, согласованное с ОРД, сайтом и реальными процессами обработки персональных данных, существенно снижает количество претензий со стороны Роскомнадзора и упрощает прохождение любых проверок.

Не хотите рисковать штрафами из-за уведомления в Роскомнадзор?

Доверьте защиту персональных данных профессионалам

Оформим уведомление и выстроим систему обработки ПДн под ваш бизнес под ключ

Последние статьи

3 февраля, 2026

Персональные данные 2026: изменения 2025 и что срочно проверить

Нужна подробная консультация?

Оформите заявку, мы свяжемся с вами в ближайшее время и ответим на все интересующие вас вопросы.

Я ознакомлен(а) с политикой и даю согласие на обработку персональных данных

Заявка успешно отправлена

Произошла ошибка