Роскомнадзор проверяет бизнес на соблюдение требований Федерального закона № 152-ФЗ «О персональных данных». Как правило, такие проверки происходят после поступления жалобы в Роскомнадзор от граждан. Первые судебные решения по части 10 статьи 13.11 КоАП РФ уже вынесены. Разбираем реальное дело, в котором компанию оштрафовали на 50 000 рублей за неподачу уведомления в Роскомнадзор.
Первое судебное дело: что произошло
Арбитражный суд города Москвы рассмотрел дело № А40-342666/25, в котором Роскомнадзор привлек ООО "Правовые Новости" к административной ответственности за неподачу уведомления об обработке персональных данных.
Как выявили нарушение
Роскомнадзор провел проверку сайта организации и обнаружил:
- Формы обратной связи для сбора персональных данных (ФИО, email, телефон, должность, место работы)
- Использование систем веб-аналитики (Яндекс.Метрика и Google Analytics)
- Автоматический сбор cookies
При этом на момент проверки (01.12.2025) организация не направила обязательное уведомление в Роскомнадзор о том, что является оператором персональных данных.
Позиция сторон
Роскомнадзор настаивал:
- Общество осуществляет обработку персональных данных
- Обязанность по уведомлению регулятора до начала обработки не выполнена
- Нарушена статья 22 Федерального закона № 152-ФЗ
ООО "Правовые Новости" возражало:
- Нарушение признано и устранено (уведомление подано)
- Вред никому не причинен
- Общество ранее не привлекалось к ответственности
- Просило применить статью 2.9 КоАП РФ (малозначительность) или снизить штраф
Решение суда
Суд отклонил все доводы защиты и вынес решение:
- Привлечь ООО "Правовые Новости" к административной ответственности по части 10 статьи 13.11 КоАП РФ
- Назначить штраф в размере 50 000 рублей
Ключевые выводы из решения
1. Что признали обработкой персональных данных:
Суд установил, что на сайте размещены формы сбора персональных данных (фамилия, имя, отчество, адрес электронной почты, номер телефона, сведения о должности и месте работы), а также осуществляется обработка персональных данных с использованием метрических программ Яндекс.Метрика и Google Analytics.
2. Об обязанности подать уведомление:
Согласно статье 22 Федерального закона № 152-ФЗ, ООО выступает оператором, осуществляющим обработку персональных данных, и обязано было направить уведомление в Роскомнадзор до начала обработки.
3. Почему отказали в признании малозначительности:
Суд указал, что совершенное правонарушение не может быть признано малозначительным в соответствии с положениями статьи 2.9 КоАП РФ, а назначенное наказание не подлежит замене на предупреждение.
4. Почему штраф снизили до 50 000 рублей:
Суд применил пункт 2 статьи 4.1.2 КоАП РФ для субъектов малого и среднего предпринимательства и назначил наказание в размере половины минимального размера административного штрафа, предусмотренного санкцией части 10 статьи 13.11 КоАП РФ.
Таблица штрафов за неподачу уведомления
По части 10 статьи 13.11 КоАП РФ предусмотрены следующие санкции:
| Категория нарушителя | Размер штрафа |
|---|---|
| Физические лица и самозанятые | от 5 000 до 10 000 рублей |
| Должностные лица | от 30 000 до 50 000 рублей |
| Индивидуальные предприниматели | от 30 000 до 50 000 рублей |
| Юридические лица | от 100 000 до 300 000 рублей |
| Субъекты МСП (при первом нарушении) | 50 000 рублей (половина минимального штрафа) |
Кто обязан подать уведомление в Роскомнадзор
Согласно статье 22 Федерального закона № 152-ФЗ, оператор обязан уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных до начала обработки.
Бизнес является оператором персональных данных, если:
- На вашем сайте есть формы обратной связи, заявки, подписки
- Вы используете CRM-системы для учета клиентов
- Вы устанавливаете на сайт системы аналитики (Яндекс.Метрика, Google Analytics)
- Вы собираете cookies посетителей сайта
- Вы ведете кадровый учет сотрудников в электронном виде
- Вы обрабатываете данные контрагентов (поставщиков, партнеров)
Когда уведомление НЕ требуется
Согласно части 2 статьи 22 Федерального закона № 152-ФЗ, уведомление не направляется в случаях:
- Обработка персональных данных осуществляется исключительно без использования средств автоматизации (только бумажный документооборот без компьютеров)
- Обработка данных включена в государственные информационные системы, созданные в целях защиты безопасности государства
- Случаи, предусмотренные законодательством о транспортной безопасности
Важно: Если вы используете компьютер, смартфон, Excel, CRM или любые электронные системы для работы с персональными данными, то вы обязаны подать уведомление.
Пошаговая инструкция как заполнять уведомление в Роскомнадзор для оператора по обработке персональных данных (ПДн)
Пошаговая инструкция: как избежать штрафа
Шаг 1. Проведите аудит обработки персональных данных
Определите, какие персональные данные вы собираете и обрабатываете:
- Данные сотрудников (кадровый учет)
- Данные клиентов (заявки, заказы, договоры)
- Данные посетителей сайта (cookies, IP-адреса)
- Данные контрагентов (поставщики, партнеры)
Шаг 2. Подайте уведомление в Роскомнадзор
Уведомление подается один раз до начала обработки данных. Способы подачи:
- Через личный кабинет на сайте Роскомнадзора (требуется усиленная квалифицированная электронная подпись)
- Через портал Госуслуги (с учетной записью ЕСИА)
- На бумажном носителе в территориальный орган Роскомнадзора
Важно: Срок внесения в реестр операторов - 30 дней с момента подачи уведомления.
Шаг 3. Разработайте обязательные документы
Для законной обработки персональных данных необходимо:
- Политика обработки персональных данных
- Согласие на обработку персональных данных (если требуется по закону)
- Приказ о назначении ответственного за обработку персональных данных
- Положение об обработке и защите персональных данных
Шаг 4. Обновите сайт
На сайте должны быть:
- Политика конфиденциальности (обязательно опубликована и доступна)
- Чекбоксы согласия на обработку ПДн во всех формах
- Информация об использовании cookies
- Ссылка на страницу с политикой в футере сайта
Шаг 5. Обеспечьте безопасность хранения данных
Согласно статье 19 Федерального закона № 152-ФЗ, оператор обязан принимать меры по защите персональных данных:
- Ограничить доступ к базам данных
- Использовать средства защиты информации
- Вести учет действий с персональными данными
- Своевременно обновлять программное обеспечение
Чек-лист для бизнеса
Проверьте себя по этим пунктам:
- Подано уведомление в Роскомнадзор
- Компания внесена в реестр операторов персональных данных
- Разработана и опубликована Политика конфиденциальности
- На сайте установлены чекбоксы согласия на обработку ПДн
- Назначен ответственный за обработку персональных данных
- Разработаны внутренние положения и приказы
- Обеспечена безопасность хранения данных
- Настроены права доступа к базам данных
Практические выводы
Судебная практика показывает, что Роскомнадзор перешел от предупреждений к реальным штрафам. Дело № А40-342666/25 одно из первых, но далеко не последнее.
Ключевые выводы:
- Использование форм обратной связи или систем аналитики автоматически делает вас оператором персональных данных
- Подача уведомления в Роскомнадзор: обязательное требование, а не рекомендация
- Ссылка на малозначительность нарушения не работает: суды не признают это основанием для освобождения от ответственности
- Устранение нарушения после проверки не освобождает от штрафа
- Для субъектов МСП действует льготный режим: штраф снижается до 50 000 рублей при первом нарушении
Часто задаваемые вопросы
Нужно ли подавать уведомление, если у меня нет сотрудников?
Да, если вы обрабатываете персональные данные клиентов, посетителей сайта или контрагентов с использованием компьютера или электронных систем.
Я самозанятый, у меня простой сайт-визитка. Нужно ли регистрироваться?
Если на сайте есть форма обратной связи, установлены счетчики аналитики или собираются cookies - да, нужно подать уведомление. Штраф для самозанятых - от 5 000 до 10 000 рублей.
Можно ли подать уведомление после того, как пришла проверка?
Да, можно, но это не освободит от штрафа. Суд учтет устранение нарушения как смягчающее обстоятельство, но ответственность наступит в любом случае.
Как Роскомнадзор узнает, что я обрабатываю персональные данные?
Роскомнадзор проводит мониторинг сайтов, проверяет наличие форм обратной связи и систем аналитики. Также проверки могут быть инициированы по жалобам пользователей.
Что будет, если не подавать уведомление?
Штраф по части 10 статьи 13.11 КоАП РФ: для юридических лиц и ИП: от 100 000 до 300 000 рублей, для физических лиц: от 5 000 до 10 000 рублей.
Нужно ли обновлять уведомление, если изменились данные?
Да, при изменении целей обработки, категорий данных или способов обработки необходимо уведомить Роскомнадзор до 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
***
В моем Телеграм-канале вы всегда сможете получить ответы по вашим кейсам, найти свежую информацию и экспертизу по рекламному сбору 3%, маркировке рекламы, а также научиться оформлению отчетности в ОРД, чтобы избежать штрафов от ФАС и Роскомнадзора
