Давайте вместе проанализируем ситуацию и разберем по шагам: когда самозанятый обязан подавать уведомление в Роскомнадзор (РКН), какие именно штрафы возможны, как быстро снизить риски, и что сделать «вокруг уведомления», чтобы проверка (если она случится) прошла спокойнее.
Важно: речь пойдет именно про уведомление о намерении осуществлять обработку персональных данных (до начала обработки) и ответственность за неподачу или подачу с опозданием.
Начнем с базовой логики закона: оператор персональных данных обязан до начала обработки уведомить уполномоченный орган (Роскомнадзор) о намерении осуществлять обработку персональных данных. Эта обязанность закреплена в статье 22 закона о персональных данных (152-ФЗ).
Теперь самое важное: у обязанности уведомлять есть исключения, и именно они чаще всего определяют ответ для самозанятого. В актуальной редакции статьи 22 152-ФЗ в качестве реально работающих «поблажек» обычно рассматривают только узкий перечень исключений, среди которых для большинства самозанятых ключевое — обработка без использования средств автоматизации (то есть «вручную»).
Давайте проверим себя по шагам. Рассмотрим подробнее, когда уведомление нужно, а когда можно не подавать.
Посмотрим на бытовые признаки автоматизированной обработки. Если мы хоть как-то используем электронные инструменты для работы с клиентами/заказчиками, почти всегда это считается обработкой с использованием средств автоматизации, а значит — обязанность уведомления возникает.
С высокой вероятностью уведомление нужно, если мы:
Ведем клиентскую базу в Excel/Google Sheets/таблицах, в CRM, в любой программе учета.
Используем учетные системы (в том числе 1С) для хранения карточек клиентов, договоров, актов, счетов, переписки, контактных данных.
Получаем заявки через сайт, формы (Яндекс/Google формы), чат-боты, мессенджеры и затем сохраняем контакты.
Принимаем оплату онлайн и фиксируем данные плательщика/заказчика в электронном виде.
Отправляем документы по электронной почте и храним их в почте/облаке (договоры, счета, акты с ФИО, телефоном, адресом, ИНН физлица и т.п.).
Обратите внимание: даже если мы «не делаем ничего сложного», а просто выписываем документы и переписываемся, это часто означает, что персональные данные мы обрабатываем (собираем, записываем, храним, используем, передаем).
Разберем «позитивный сценарий» — когда уведомление можно не подавать. На практике для самозанятого чаще всего обсуждают именно исключение: обработка персональных данных без средств автоматизации (вручную).
Чтобы это исключение действительно работало, нам важно одновременно соблюсти смысл: мы не только «вводим руками», но и не используем компьютер/сервисы как инструмент обработки в том виде, который позволяет систематизировать, искать, сортировать, хранить и быстро извлекать данные по алгоритму.
Пример «скорее подходит под исключение»:
Мы ведем записи клиентов исключительно на бумаге (тетрадь/картотека),
не дублируем их в электронных таблицах/заметках/контактах телефона,
не используем CRM/программы учета/облачные сервисы для базы клиентов,
не храним документы с персональными данными в электронном архиве.
Пример «скорее НЕ подходит под исключение»:
Мы записываем контакты в телефонную книгу смартфона и потом ищем/сортируем их,
фиксируем данные в заметках,
храним договоры в почте/облаке,
ведем даже маленькую табличку «ФИО — телефон — сумма — дата».
Практическая рекомендация: если у нас есть хоть минимальная электронная «база», проще и безопаснее исходить из того, что уведомление нужно, и подать его. Это обычно дешевле и спокойнее, чем потом спорить о том, был ли смартфон/почта/облако «средством автоматизации» в нашем конкретном случае.
Давайте разберем «вилку» ответственности и привяжем ее к датам и статусу самозанятого.
С 30 мая 2025 года в КоАП РФ появилась отдельная норма за неуведомление или несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных — это часть 10 статьи 13.11 КоАП РФ.
По ч.10 ст.13.11 КоАП РФ штрафы установлены так:
для граждан — от 5 000 до 10 000 рублей;
для должностных лиц — от 30 000 до 50 000 рублей;
для юридических лиц — от 100 000 до 300 000 рублей.
И вот здесь появляется тот самый вопрос из обсуждений на 1С-форумах: самозанятый — это кто для КоАП?
Давайте проанализируем ситуацию аккуратно и без «магии»:
Если мы самозанятый без ИП (просто физлицо на НПД), то для КоАП мы, как правило, попадаем в категорию «граждане». Тогда ориентир штрафа за неподачу уведомления по ч.10 ст.13.11 — 5 000–10 000 рублей.
Если мы ИП на НПД (ИП применяет режим НПД), то в разных разъяснениях встречаются разные подходы к квалификации, потому что в ч.10 ст.13.11 КоАП РФ ИП прямо не выделены отдельной строкой (в отличие от многих других частей ст.13.11, где ИП указаны явно). Поэтому в практике обсуждений встречается трактовка, что ИП могут «притягивать» к категории должностных лиц. В таком сценарии ориентир будет 30 000–50 000 рублей.
Как действовать безопасно: если мы самозанятый без ИП — берем за основу диапазон для граждан (5–10 тыс.). Если мы ИП на НПД — закладываем более строгий риск-сценарий (30–50 тыс.) и подаем уведомление как можно быстрее.
Дополнительно важно понимать: «штраф за неподачу уведомления» — это не единственный возможный штраф в теме персональных данных. Если мы вообще работаем без базовых документов и процедур, могут всплыть и другие составы. Например, отдельно наказывается отсутствие опубликованной политики обработки персональных данных (это другая часть ст.13.11 КоАП РФ, с отдельными суммами). Поэтому разумно закрывать вопрос комплексно.
Если мы читаем старые разборы (или обсуждения на форумах), там нередко упоминается, что ранее за неподачу уведомления применяли общую статью КоАП за непредставление сведений в госорган (ст.19.7 КоАП РФ) с небольшими штрафами. Действительно, до введения ч.10 ст.13.11 КоАП РФ вопрос часто «приземляли» в ст.19.7.
С 30 мая 2025 логика изменилась: появился прямой состав именно «про уведомление РКН о намерении обрабатывать персональные данные», и штрафы стали выше для некоторых категорий.
Практический вывод: если уведомления нет до сих пор, откладывать дальше — плохая идея, потому что для контролера ситуация выглядит как «обязанность есть, уведомления нет».
Да, и это как раз то, что нам стоит сделать первым делом. Разберем по шагам, почему подача «сейчас» лучше, чем ожидание.
Даже если формально нарушение уже произошло (обработка началась, а уведомление не подали), подача уведомления:
показывает добросовестность и снижает шанс, что нарушение будет выявляться «на фоне игнора»;
помогает привести в порядок все остальные элементы соответствия 152-ФЗ (политика, согласия, сроки хранения, доступы);
в реальной жизни часто становится тем действием, после которого вопросы «затухают», если не было жалоб и утечек.
При этом важно не питать ложных ожиданий: сам факт подачи уведомления не гарантирует отсутствие штрафа, потому что состав ч.10 ст.13.11 — это «неуведомление или несвоевременное уведомление». Но на практике «исправились сами» обычно выглядит лучше, чем «ждали, пока поймают».
Перейдем к практической части. Чтобы решить задачу, нам нужно подготовить информацию и корректно заполнить форму уведомления.
Давайте разберем по шагам типовой алгоритм:
Шаг 1. Определим себя как оператора
Уточним статус: самозанятый без ИП или ИП на НПД. Подготовим идентификаторы (ФИО, ИНН; для ИП — ОГРНИП, адрес регистрации).
Шаг 2. Опишем категории персональных данных
Составим список того, что мы реально получаем от клиентов: ФИО, телефон, email, адрес, реквизиты, ИНН физлица, данные для доставки, ник в мессенджере, фото/видео (если применимо). Важно не «переборщить» и не «забыть» типичное.
Шаг 3. Опишем цели обработки
Обычно у самозанятого цели простые: заключение и исполнение договора (оказание услуг/выполнение работ), оформление первичных документов, связь по заказу, расчеты и учет.
Важно: мы не просто перечисляем «красивые слова», а фиксируем то, что реально делаем.
Шаг 4. Опишем действия с данными
Сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача (например, банку/платежному сервису, курьеру), удаление/уничтожение.
Шаг 5. Опишем меры защиты
Здесь важно показать разумные меры: ограничение доступа, пароли, двухфакторная аутентификация, разграничение прав, резервное копирование, антивирус, хранение на устройствах с блокировкой, контроль доступов к облаку/почте.
Если используем учетную систему (например, 1С), логично указать организационные и технические меры, связанные с учетными записями и правами доступа.
Шаг 6. Выберем способ подачи
Чаще всего уведомление подают в электронном виде: через сервисы Роскомнадзора или через учетную запись ЕСИА (Госуслуги), иногда с использованием электронной подписи (в зависимости от сценария).
Шаг 7. Проверим себя в реестре и сохраним доказательства подачи
После подачи фиксируем номер/дату, сохраняем подтверждения, и затем отслеживаем появление записи в реестре операторов (обычно это занимает время).
Отдельно обратим внимание на типичную «форумную» ситуацию: в обсуждениях встречается кейс, когда уведомление мог подать кто-то другой, указав чужую электронную почту, и на почту пришло сообщение о регистрации. Если мы сталкиваемся с таким, действуем прагматично: проверяем себя по ИНН/идентификаторам в реестре и, если обнаруживаем некорректные сведения, оформляем обращения на уточнение/исключение записи и фиксируем, что почта не принадлежит заявителю. При этом не паникуем: сам по себе факт «пришло письмо» еще не означает, что оператором зарегистрировали именно нас.
Теперь посмотрим шире: даже если вопрос пользователя звучит «какой штраф за уведомление», на практике проверка часто цепляет соседние обязательства. Давайте закрывать их сразу — это реальная экономия нервов.
Рассмотрим подробнее обязательные элементы, которые чаще всего проверяют или по которым чаще всего жалуются:
Политика обработки персональных данных
Если мы собираем данные через сайт/форму/публично, обычно ожидается, что политика доступна для неограниченного круга лиц (в реальной жизни — опубликована на сайте/странице, где собираем данные). Отсутствие политики — отдельный состав и отдельные штрафы (другая часть ст.13.11 КоАП РФ).
Если сайта нет, это не всегда означает автоматическое нарушение, но если мы ведем публичный сбор через интернет-каналы, логично иметь текст политики в доступном виде (например, на публичной странице, в описании формы, в закрепленном документе/странице сервиса, где идет сбор).
Согласия на обработку (когда они действительно нужны)
Не будем усложнять: согласие нужно не всегда «в отдельной бумажке», но когда мы выходим за рамки исполнения договора или начинаем маркетинговые рассылки/публикации/передачи третьим лицам без правового основания — согласие становится критичным. Если мы сомневаемся, лучше описать законное основание обработки и не собирать лишнего.
Минимизация данных
Собираем только то, что нужно для конкретной цели. Например, если для оказания услуги достаточно телефона и имени, не просим паспортные данные.
Сроки хранения и уничтожение
Заранее определяем, сколько храним документы и переписку. Для финансовых документов могут быть обязательные сроки хранения по налоговым правилам, а вот «вечная» клиентская база без необходимости — лишний риск.
Ограничение доступа и безопасность
Если у нас один человек (мы сами), все равно важны элементарные меры: надежные пароли, 2FA, отдельные учетные записи, блокировка устройств, аккуратность с пересылкой документов.
Так мы снижаем вероятность, что даже при обнаружении опоздания с уведомлением к нам «прицепят» еще несколько составов.
Вопрос: «Я самозанятый, у меня всего 10 клиентов в год. Это тоже персональные данные?»
Ответ: давайте рассуждать по определению: персональные данные — это информация, относящаяся к прямо или косвенно определяемому физическому лицу. Телефон, email, ФИО, адрес доставки — это персональные данные. Количество клиентов не отменяет обязанность, если нет исключений.
Вопрос: «Я храню только переписку в мессенджере. Это обработка?»
Ответ: да, это как минимум хранение и использование, а зачастую еще и систематизация (если мы ищем, закрепляем, сортируем). Значит, безопаснее считать это обработкой с использованием средств автоматизации.
Вопрос: «Я вообще не делаю сайт. Политика не нужна?»
Ответ: если мы не публикуем сбор данных публично, риск по «неопубликованию политики» может быть ниже. Но если мы собираем данные через интернет-формы, публичные страницы, заявки — иметь доступный документ крайне желательно. Разберем это так: уведомление в РКН — это одно; «политика и информация субъекту» — это другое. И лучше закрыть оба вопроса.
Вопрос: «Могу ли я не подавать уведомление, если у меня все на бумаге?»
Ответ: давайте проверим строго: если действительно без автоматизации (без электронных таблиц, CRM, почты как архива, облака, электронных заметок), тогда исключение возможно. Но как только появляется электронная систематизация — исключение «ломается».
Чтобы не расползаться по теории, давайте зафиксируем совместный план, который закрывает вопрос «штрафы» и снижает риск реальных санкций.
Шаг 1. Фиксируем наш статус
Определяем: самозанятый без ИП (категория «гражданин» для ч.10 ст.13.11) или ИП на НПД (закладываем более строгий сценарий по штрафу).
Шаг 2. Быстро решаем: есть ли у нас исключение «без автоматизации»
Если хоть что-то ведем электронно — считаем, что уведомление нужно.
Шаг 3. Подаем уведомление в РКН
Заполняем сведения корректно, сохраняем подтверждения подачи.
Шаг 4. Готовим «минимальный комплект соответствия»
Политика обработки (если есть публичный сбор), описанные цели, состав данных, меры защиты, сроки хранения.
Шаг 5. Приводим в порядок каналы, где реально храним данные
Почта, облако, CRM/таблицы, учетная система: включаем 2FA, меняем слабые пароли, ограничиваем доступ, убираем лишние выгрузки.
Результат: даже если «идеально вовремя» уже не получилось, мы минимизируем риски и показываем добросовестность: уведомление подано, документы и процессы приведены к разумному уровню.
Давайте зафиксируем окончательный вывод именно под вопрос «каковы штрафы Роскомнадзора для самозанятого, который не подал уведомление»:
Если вы самозанятый без ИП (физлицо на НПД), то за неподачу или несвоевременную подачу уведомления о намерении обрабатывать персональные данные с 30 мая 2025 года применяется ч.10 ст.13.11 КоАП РФ: штраф 5 000–10 000 рублей (как для граждан).
Если вы ИП на НПД, то из-за особенностей формулировки ч.10 ст.13.11 КоАП РФ и разночтений в разъяснениях на практике встречается подход, при котором риски оценивают как 30 000–50 000 рублей (как для должностных лиц). Поэтому действуем консервативно: подаем уведомление и приводим процессы в порядок.
И отдельно подчеркнем: штраф по ч.10 — это только «про уведомление». Если помимо уведомления отсутствуют базовые обязательные вещи (например, политика обработки при публичном сборе), могут быть дополнительные составы и штрафы по другим частям ст.13.11 КоАП РФ.
Финальная рекомендация: не пытаемся «угадать, оштрафуют или нет», а действуем на опережение: подаем уведомление, фиксируем доказательства, минимизируем сбор данных и настраиваем безопасность хранения.
Информация носит справочный характер и не является юридической консультацией; за точной квалификацией вашей ситуации и применимыми санкциями целесообразно обращаться к профильному юристу с учетом фактических обстоятельств.