Как подать уведомление об обработке персональных данных и избежать штрафов (инструкция для ресторанов, баров и других заведений)

⚠️ Внимание: с 30 мая 2025 года в России существенно повышаются штрафы за неподачу уведомления в Роскомнадзор о начале обработки персональных данных. Эта статья поможет заведениям выполнить требования закона о персональных данных. Мы разберём, какие новые штрафы грозят нарушителям, как проверить регистрацию в реестре операторов персональных данных, всеми возможными способами подать уведомление (с акцентом на онлайн-подачу через сайт Роскомнадзора). Информация изложена простыми словами для непрофессионалов.

Понятие персональных данных и правила их обработки содержатся в федеральном законе №152-ФЗ «О персональных данных». Если коротко: персональные данные — это любая информация, прямо или косвенно относящаяся к конкретному физическому лицу (субъекту персональных данных). Например:

• 🖊️ ФИО, паспортные данные
• 📱 Телефонный номер, адрес электронной почты
• 📍 Адрес проживания
• 💳 Банковские реквизиты
• 📅 Дата рождения
• 📸 Фото и видеоматериалы, позволяющие идентифицировать человека

Почти все компании в России становятся операторами персональных данных, потому что обрабатывают сведения хотя бы о своих сотрудниках. Оператором становится и каждая компания, которая собирает данные клиентов. Вот несколько примеров для заведений:

• 🍽️ Гость бронирует столик в ресторане и указывает имя и телефон.
• 🎤 Посетитель караоке-бара оставил заявку с именем и email для участия в акции.
• 🎳 Клиент боулинг-клуба записался на турнир, указав имя и номер телефона.

В тот момент, когда вы начинаете обработку персональных данных, вы становитесь оператором со всеми обязанностями и ответственностью.

Если ваше заведение обрабатывает хотя бы один из этих типов данных, вы обязаны уведомить Роскомнадзор. Под обработкой закон понимает любые действия: сбор, запись, систематизацию, накопление, хранение и т.д.

🔔С 30 мая 2025 года вводится новая часть 10 статьи 13.11 КоАП РФ, ужесточающая ответственность за непредставление уведомления о намерении обрабатывать персональные данные. Теперь за неподачу уведомления организации или индивидуальному предпринимателю грозит штраф от 💰100 000 до 300 000 рублей, а на должностное лицо (например, директора) — от 💰30 000 до 50 000 рублей. В случае повторного нарушения штраф для компании может достигать 💰500 000 рублей.

⚖ Для сравнения, до 30 мая 2025 года максимальный штраф за то же нарушение составлял всего 💰3 000−5 000 рублей (по ст. 19.7 КоАП РФ), и зачастую Роскомнадзор ограничивался предупреждением или предписанием устранить нарушение вместо штрафа. Таким образом, игнорировать требования больше нельзя — риск стал слишком высоким❗

Прежде чем подавать новое уведомление, удостоверьтесь, не зарегистрировано ли ваше заведение уже в реестре операторов персональных данных Роскомнадзора. Возможно, кто-то из руководства ранее уже отправлял уведомление (например, для соответствия закону №152-ФЗ «О персональных данных»), и организация числится в реестре. Роскомнадзор после получения уведомления вносит организацию или ИП в официальный реестр операторов, осуществляющих обработку персональных данных.

☝️ Учтите, что Роскомнадзор не присылает автоматических уведомлений о включении в реестр – проверять статус нужно самостоятельно. Для быстрой проверки:

• 📌 Перейдите на сайт Роскомнадзора: pd.rkn.gov.ru.
• 🔍 Введите название или ИНН заведения в поисковой строке.

Если ваша компания есть в реестре, значит вы уже уведомили РКН и законно обрабатываете персональные данные. В этом случае повторно подавать уведомление не нужно, при условии что ранее поданные сведения актуальны. Если же в реестре данных о вашей организации нет, необходимо подать уведомление как можно скорее (подробнее — в инструкции далее).

Закон позволяет несколько способов подать уведомление о начале обработки персональных данных. Выберите тот, который вам удобнее, но самым быстрым и предпочтительным является подача через интернет на сайте Роскомнадзора. Вот основные варианты:

• 🌐 Через электронную форму на сайте Роскомнадзора (pd.rkn.gov.ru). Этот способ рекомендован, так как позволяет отправить данные онлайн. Потребуется электронная цифровая подпись организации (усиленная квалифицированная ЭЦП) для подписания заявления. Рассмотрим этот способ подробнее в следующем разделе.
• 🖥️ Через портал Госуслуг. В личном кабинете на портале Госуслуги также можно заполнить и отправить уведомление. Для этого у вас должна быть подтверждённая учётная запись, привязанная к организации. Обычно доступ к корпоративным услугам Госуслуг есть у директора или уполномоченного сотрудника; важно решить, от чьего имени отправлять уведомление.
• 📬 На бумаге (лично, через МФЦ или почтой). Вы можете скачать или сформировать форму уведомления, распечатать, подписать вручную (подпись руководителя или доверенного лица) и направить в Роскомнадзор в физическом виде. Это можно сделать, отправив заказное письмо с документами в территориальное управление Роскомнадзора либо подав документы через ближайший МФЦ или напрямую при личном визите в приёмную Роскомнадзора. В этом случае датой подачи будет дата получения письма или дата приема документов Роскомнадзором. Учтите, что бумажный способ занимает больше времени.

Все перечисленные методы являются официальными и допустимыми. Однако наиболее удобным для большинства предприятий будет электронная подача через сайт Роскомнадзора – она не требует походов в ведомства или на почту и сокращает сроки обработки. Ниже приводится пошаговая инструкция по подаче уведомления онлайн через сайт pd.rkn.gov.ru.

Подавать уведомление через интернет-портал Роскомнадзора относительно несложно. Вам понадобится компьютер с доступом в интернет и усиленная квалифицированная электронная подпись (ЭЦП) вашей организации или ИП. Обычно такую ЭЦП оформляют в удостоверяющем центре (часто она уже есть у директора для сдачи отчетности или работы на Госуслугах). Если ЭЦП готова, следуйте таким шагам:

📑 Шаг 1. Соберите данные для уведомления:

• Название компании или ИП, адрес
• Цель обработки персональных данных
• Ответственное лицо (ФИО, контакты)
• Меры по защите данных (в том числе шифрование)
• Дата начала и условия прекращения обработки
• Категории данных и субъектов
• Способы обработки и основания
• Наличие трансграничной передачи
• Где хранятся базы данных
• Сторонние лица с доступом к данным (если есть)

Полная форма утверждена приказом Роскомнадзора №180 от 28.10.2022

🖥️ Шаг 2. Зайдите на официальный сайт Роскомнадзора для операторов ПД.
🔗 Перейдите по ссылке на форму уведомления. Для доступа к форме регистрация на сайте не требуется, она открыта для заполнения всем операторам.

✏️ Шаг 3. Заполните электронную форму уведомления.
На экране отобразится веб-форма, состоящая из нескольких блоков. Поля, помеченные звёздочкой, обязательны к заполнению. Форма соответствует требованиям приказа Роскомнадзора №180 и включает подсказки и готовые варианты на выбор, что облегчает её заполнение. Ниже перечислим основные сведения, которые нужно указать:

• Реквизиты оператора персональных данных. Введите полное название вашей организации (или ФИО индивидуального предпринимателя) и юридический адрес. Также укажите ИНН/ОГРН и контактные данные. Отдельно нужно отметить регионы, в которых обрабатываются персональные данные – можно выбрать конкретные субъекты РФ или указать всю Россию, если данные собираются от граждан по всей стране
• Цели обработки персональных данных. Укажите, с какой целью вы собираете и используете личные данные. Форма предлагает типовые формулировки на выбор из выпадающего списка. Например, для большинства заведений подойдет цель «Ведение кадрового и бухгалтерского учета» (если у вас есть сотрудники) и «Продвижение товаров, работ, услуг на рынке» (если вы собираете данные клиентов для рассылок, программ лояльности и пр.). Вы можете выбрать несколько целей из списка – главное, чтобы они отражали вашу деятельность.
• Категории персональных данных. Отметьте галочками, какие именно данные вы будете обрабатывать. Для ресторанов и подобных заведений сюда обычно входят: ФИО, контактный телефон, e-mail, возможно дата рождения (для акций с днем рождения), данные банковской карты (если принимаете онлайн-оплату депозитов или билетов), сведения о сотрудниках (паспортные данные, ИНН, должность и т.д.). Выбирайте все категории данных, с которыми вы реально работаете.
• Категории субъектов данных. Укажите, чьи персональные данные обрабатываются. Типичные категории: сотрудники (персонал заведения), клиенты/гости (например, данные посетителей для бронирования столиков, участников бонусных программ), контрагенты (если храните данные поставщиков), учредители и т.п. Отметьте все соответствующие категории субъектов.
• Правовое основание обработки. Здесь нужно выбрать на основании чего вы собираете данные – например, согласие самого человека, исполнение договора (когда обработка нужна для выполнения договора с субъектом, например, оказания услуг гостю), требование закона (например, для ведения бухгалтерии храните данные сотрудников согласно Трудовому кодексу). Выберите все подходящие варианты оснований.
• Перечень действий с персональными данными. Отметьте, какие операции будете выполнять с данными: сбор, запись, хранение, использование, передача (предоставление третьим лицам), уничтожение и пр.. Обычно ставится несколько галочек – практически все организации выполняют целый комплекс действий с данными.
• Способы обработки данных. Укажите, как именно обрабатываются данные: автоматизированно (с помощью компьютеров) либо неавтоматизированно (на бумаге), либо смешанным способом. В современных условиях у большинства будет смешанная обработка (частично в информационных системах, частично на бумаге). В форме можно выбрать вариант "смешанная".
• Меры защиты персональных данных. Опишите, какие меры безопасности вы применяете для защиты данных от утечки или кражи. В форме есть поле, куда можно вписать меры: например, наличие локальных актов (политика конфиденциальности, положение о персональных данных), ограничение доступа сотрудников к данным, использование антивируса и средств защиты информации, резервное копирование, обучение ответственного лица и т.д. Укажите те меры, которые реализованы в вашем заведении.
• Сведения о местонахождении базы данных. В этом блоке заведению необходимо указать точный физический адрес, где размещены серверы или компьютеры, на которых фактически хранятся персональные данные (адрес ЦОДа). Обычно это юридический или фактический адрес самого заведения. Если вы используете облачный сервис, то нужно указать адрес дата-центра или юридический адрес провайдера облачных услуг. Эти сведения необходимы для того, чтобы Роскомнадзор мог при необходимости проверить соблюдение требований по защите персональных данных непосредственно по месту их хранения.

Также в форме есть ряд других полей, которые нужно заполнить: например, сведения о ответственном лице за обработку (ФИО и контактный телефон/e-mail сотрудника, назначенного ответственным за организацию обработки ПДн), информация о трансграничной передаче данных (если вы планируете передавать данные за пределы РФ, указываются страны передачи), и т.п. В большинстве случаев у небольших заведений трансграничной передачи нет – тогда просто отмечается, что данные обрабатываются на территории РФ. Если же вы используете иностранные сервисы или передаете данные зарубежным партнерам, это нужно отразить. Обратите внимание: в форме может присутствовать раздел про обработку данных в государственных информационных системах – он предназначен для организаций, работающих с госорганами, и чаще всего обычным заведениям не требуется. Если такой раздел есть и к вам не относится, его можно пропустить или удалить из формы.

В целом, электронная форма довольно понятна: многие поля заполняются выбором из готовых списков, без необходимости придумывать формулировки самостоятельно. Вы всегда можете нажать кнопку «Сохранить черновик», чтобы сохранить промежуточные результаты и вернуться позже. Тщательно проверьте все внесенные данные – они должны соответствовать фактической практике обработки персональных данных в вашем заведении и вашим внутренним документам (политике конфиденциальности, соглашению с пользователями и др.).

🔑 Шаг 4. Подпишите уведомление электронной подписью
После заполнения всех обязательных полей и проверки данных потребуется подписать форму уведомления вашей ЭЦП. Как правило, на сайте Роскомнадзора есть кнопка «Подписать и отправить», которая при нажатии откроет диалог с выбором сертификата электронной подписи. Убедитесь, что ваша ЭЦП установлена на компьютер (например, через КриптоПро CSP) и действительна. Выберите нужный сертификат (обычно выпущенный на организацию или ИП) и подтвердите подписание. Шаг с ЭЦП обязательный – без электронной подписи отправить уведомление через сайт не получится.

Если электронной подписи нет — уведомление можно распечатать, подписать и передать в ведомство по почте или лично.

🖥️ Шаг 5. Отправьте уведомление и дождитесь подтверждения
Подписав форму, отправьте её в Роскомнадзор (это происходит автоматически сразу после успешного наложения подписи). Отправка через интернет происходит мгновенно – ваша информация сразу поступает в информационную систему Роскомнадзора. На экране должно появиться подтверждение, что уведомление принято. С этого момента уведомление официально подано. Роскомнадзор присвоит ему входящий номер и в течение 30 дней рассмотрит и внесёт сведения о вашей организации в реестр операторов персональных данных. Как правило, через несколько недель вы уже сможете найти свою компанию в реестре на сайте (иногда сведения появляются даже раньше срока). РКН не высылает специального уведомления о включении, поэтому самостоятельно проверьте реестр спустя некоторое время, как описано выше, чтобы убедиться, что организация добавлена.
Если после отправки вы обнаружили ошибку в данных или забыли что-то указать, нельзя исправить уже отправленное уведомление. В таком случае потребуется заново подать корректировочное уведомление с правильной информацией (процедура та же самая). Поэтому важно сразу все заполнить внимательно и верно.

По закону уведомление в Роскомнадзор подается до начала обработки персональных данных. То есть, идеальный вариант – до того, как вы начнёте собирать данные клиентов или сотрудников, отправить уведомление. На практике, если ваше заведение уже работает и персональные данные обрабатываются (например, вы ведёте базу гостей для бронирования столов, храните данные сотрудников для зарплат и налогов), а уведомление ещё не подавалось – сделайте это немедленно. 2025 год – крайний срок для тех, кто откладывал: постарайтесь успеть до 30 мая 2025 года, чтобы не подпасть под новые крупные штрафы. Даже после 30 мая, если вдруг не успели, всё равно подайте как можно скорее – это смягчит возможные последствия.

☝️ Обратите внимание, что если после подачи уведомления у вас изменятся сведения (например, вы начнёте собирать новые категории данных, измените цели обработки, сменится адрес организации или ответственное лицо), вы обязаны в течение 10 дней подать актуализированное уведомление об изменении сведений. Форма изменения сведений также доступна на сайте Роскомнадзора (там же в разделе электронных форм). А когда вы вовсе прекратите обработку персональных данных (например, закрыли бизнес или перестали работать с данными клиентов), необходимо направить уведомление о прекращении обработки ПДн. Поддерживайте информацию в реестре в актуальном состоянии, чтобы не возникло претензий при проверках.

Уведомление вправе подать оператор персональных данных – то есть юридическое лицо (организация) или индивидуальный предприниматель. На практике это делает руководитель организации (генеральный директор) либо уполномоченный сотрудник по доверенности. Если уведомление отправляется через электронную форму, то используется ЭЦП организации – как правило, она выпускается на директора или на лицо, имеющее официальное право действовать от имени компании. Таким образом, обычно подписывает и отправляет уведомление сам директор. Если же планируется поручить это, например, системному администратору или юристу, убедитесь, что у него есть нотариально заверенная доверенность на право подавать уведомление в Роскомнадзор от имени вашей организации, и выпущена соответствующая ЭЦП.

При подаче через Госуслуги ситуация аналогична: организация должна действовать через аккаунт, привязанный к ее руководителю либо к сотруднику с ролью, позволяющей подавать заявления. У обычных рядовых сотрудников доступа к таким услугам может не быть. Поэтому чаще всего и на Госуслугах такую подачу осуществляет директор (или кто-то по доверенности, используя соответствующий профиль).

При подаче на бумаге уведомление подписывается руководителем организации (или опять же доверенным лицом). Документ заверяется печатью (если есть) и направляется в Роскомнадзор. В сопроводительном письме желательно перечислить вложенные документы. Имейте в виду, что Роскомнадзор может запросить у вас предоставить доверенность, если подпись принадлежит не директору.

Рекомендации: заранее определите, кто отвечает за эту процедуру у вас в компании. Чаще всего ответственность несёт директор, но фактически подготовкой документов может заниматься, скажем, менеджер или бухгалтер. В таком случае подготовьте доверенность и получите ЭЦП для этого сотрудника. Не откладывайте подачу уведомления, особенно учитывая рост штрафов. Даже если у вас небольшое кафе и вы собираете минимум данных, требования закона распространяются практически на всех (исключения – редки, например, полностью неавтоматизированная обработка данных на бумаге без использования компьютеров, что в современной работе встречается нечасто). Проще выделить один день на оформление необходимых бумаг, чем потом отвлекаться на проверки и штрафы.

После подачи уведомления и заполнения всех документов (политики, согласия и др.) можно работать спокойно. Ваше заведение будет выполнено ключевое требование закона о персональных данных: уведомление подано, организация включена в реестр, пользователи информированы через Политику конфиденциальности. Далее следует лишь соблюдать обещанные меры защиты данных и поддерживать документацию в актуальном состоянии. Если в будущем Роскомнадзор проведёт проверку, у вас будут все основания считать, что закон вы соблюдаете, и вашему ресторану или клубу не грозят штрафы.

Соответствие закону о персональных данных – это не разовая акция, а часть ответственного ведения бизнеса. Благодаря данной инструкции и возможностям Restoplace, выполнить требования стало гораздо проще. Подайте уведомление в Роскомнадзор уже сегодня, обновите документы на сайте – и продолжайте радовать гостей, не опасаясь внезапных санкций со стороны регулятора!

Если вы используете сервис бронирования Рестоплейс, помимо подачи уведомления в Роскомнадзор (его необходимо подавать не зависимо от того используете вы Рестоплейс или нет), для полного соблюдения закона о персональных данных вашему заведению необходимо иметь правильно оформленные локальные акты и документы: в частности, Политику конфиденциальности и Пользовательское соглашение на вашем сайте или виджете бронирования. Сервис Restoplace предоставляет шаблоны необходимых документов, но их необходимо дозаполнить данными.

Важно: заполните реквизиты вашей организации в Restoplace.
Их нужно заполнить на стороне сервиса, чтобы переменные вставились в текст политики конфиденциальности и соглашения.

Где заполнить реквизиты в Рестоплейс?
Авторизуйтесь в админ панели с правами доступа «Создатель» или «Управляющий». Перейдите в адрес, в котором будете заполнять реквизиты, в раздел «Настройки адреса». На вкладке «Реквизиты» введите основные данные о вашей организации: полное наименование юрлица, юридический адрес, ИНН, ОГРН, контактный e-mail и т.д. Процесс упрощен – можно воспользоваться автозаполнением по ИНН: начните вводить свой ИНН, и система сама предложит вашу организацию из базы

Зачем это нужно?

1. Во-первых, эти реквизиты требуются для подключения платёжной системы и интернет-эквайринга в вашем виджете онлайн-бронирования Restoplace (без них вы не сможете принимать предоплату депозитов за столики, онлайн-оплату билетов и т.п.).
2. Во-вторых, введённые данные автоматически подставляются в шаблоны Политики конфиденциальности и Пользовательского соглашения для вашего заведения. Restoplace использует введённые вами название компании, адрес, контакты и другие сведения, чтобы сгенерировать тексты документов, соответствующие вашей организации.

Если вы не заполните реквизиты до публикации документов, шаблонные Политика и Соглашение не будут содержать корректных данных о вашей компании (там могут остаться пустые места или общие фразы). Это сделает документы недействительными с точки зрения закона. Например, в Политике конфиденциальности обязательно должно быть указано, кто является оператором персональных данных (название организации, адрес, ответственное лицо и контакты).

Кроме того, данные о вашей организации, внесённые в Restoplace, могут пригодиться и для других разделов соблюдения 152-ФЗ. Например, в будущем сервис может использовать эти сведения для формирования договора оферты, соглашения на обработку ПДн для клиентов или других автоматизированных юридических документов. Поэтому поддерживайте ваши реквизиты в актуальном состоянии.


После подачи уведомления и заполнения всех документов (политики, согласия и др.) можно работать спокойно. Ваше заведение будет выполнено ключевое требование закона о персональных данных: уведомление подано, организация включена в реестр, пользователи информированы через Политику конфиденциальности. Далее следует лишь соблюдать обещанные меры защиты данных и поддерживать документацию в актуальном состоянии. Если в будущем Роскомнадзор проведёт проверку, у вас будут все основания считать, что закон вы соблюдаете, и вашему заведению не грозят штрафы.

Соответствие закону о персональных данных – это не разовая акция, а часть ответственного ведения бизнеса. Подайте уведомление в Роскомнадзор уже сегодня, обновите документы на сайте и виджете бронирования – и продолжайте радовать гостей, не опасаясь внезапных санкций со стороны регулятора! 💖