Подача уведомления об обработке персональных данных в Роскомнадзор

Любой бизнес, который работает с данными физических лиц, обязан уведомить об этом Роскомнадзор. Таково требование п. 1 ст. 22 закона от 27.07.2006 № 152-ФЗ. Если его нарушить, можно получить крупный штраф — с 30 мая 2025 года в размере до 300 тыс. рублей для организаций и ИП.

Узнайте самую важную информацию про уведомление Роскомнадзора об обработке персональных данных: зачем и кому нужно подавать, что указать в форме и как его направить.

Зачем подавать уведомление и почему это важно

Персональные данные (ПД) — это любая информация, которая позволяет определить конкретное физическое лицо. Это не только, скажем, ФИО и телефон или информация из паспорта. К ПД может быть отнесено что угодно, например, записи видеонаблюдения или даже сведения о действиях пользователя в сервисе.

ПД напрямую связаны с правами и безопасностью человека, поэтому закон требует защищать их от неправомерного доступа, использования и утечки. Регулятором этой сферы государство назначило Роскомнадзор (РКН). Среди прочего ведомство следит за тем, как организации и ИП соблюдают требования закона № 152-ФЗ: правильно ли ведут обработку ПД, для каких целей их собирают, соблюдают ли права физлиц, обеспечивают ли безопасность своих информационных систем и т. д.

Месяц бухгалтерского обслуживания в подарок

РКН обязан вести Реестр операторов, осуществляющих обработку персональных данных (п. 4 ст. 22 закона № 152-ФЗ). Он служит базой, через которую регулятор получает сведения и оценивает риски. Большая часть информации в Реестре открыта, её может получить любое заинтересованное лицо. Сейчас в него включены более 2,5 млн операторов. 

Когда РКН получает уведомление о намерении осуществлять обработку персональных данных, он включает организацию или ИП в этот Реестр. Без уведомления регулятор просто не узнает, что вы работаете с ПД и должны соблюдать закон № 152-ФЗ.

Примечание. Не стоит думать, что можно избежать каких-то обязанностей по обработке данных, просто не уведомив РКН. Если нарушение всплывёт, может быть наложен штраф в сотни тысяч рублей.

Кто уведомляет РКН

Подавать уведомление о сборе персональных данных в Роскомнадзор должны все операторы. 

Официально оператор ПД — это орган, юридическое или физическое лицо, самостоятельно или совместно с другими организующее или осуществляющее обработку ПД, а также определяющее цели этой обработки, состав ПД, и совершаемых с ними операций. На практике под это понятие подпадает практически любая организация, а также очень многие ИП.

Даже если вы не ведёте клиентский сервис и не собираете данные пользователей, вы всё равно получаете и храните информацию о физлицах. Бизнес обрабатывает данные работников, соискателей, контрагентов-физлиц или представителей организаций, частных клиентов, посетителей офисов, пользователей сайта, участников мероприятий, подписчиков рассылок. В общем, разных физических лиц. Во всех этих случаях вы работаете с ПД.

Когда подаётся уведомление об обработке персональных данных? Точных сроков нет, но это нужно сделать до начала обработки.

Когда можно не уведомлять РКН

Есть исключения — они перечислены в п. 2 ст. 22 закона № 152-ФЗ. Не нужно уведомлять РКН, если:

  1. Обрабатываются ПД, уже включённые в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка.
  2. Ведётся обработка ПД строго без использования средств автоматизации. Например, вы храните бумажные анкеты без переноса в электронную систему. Но как только данные появляются в электронной таблице, CRM, почте или облаке — это уже автоматизированная обработка. 
  3. Ведётся обработка ПД в рамках законодательства о транспортной безопасности для обеспечения работы транспортного комплекса.

Если ваша деятельность не подпадает под эти исключения, вы обязаны направить уведомление в РКН.

Важно: уведомление направляют однократно, в РКН сообщают только общие параметры обработки. Сами ПД физлиц не передаются.

Бесплатная консультация по налогам

Подберём оптимальную систему налогообложения

Форма уведомления

Форма документа утверждена приказом Роскомнадзора от 28.10.2022 № 180. На самом деле форм несколько:

  • Уведомление о намерении осуществлять обработку персональных данных. (Приложение № 1 к приказу). Это то самое уведомление, которое нужно подать до начала обработки ПД.
  • Уведомление об изменении сведений, содержащихся в ранее направленном уведомлении (Приложение № 2). 
  • Уведомление о прекращении обработки персональных данных (Приложение № 3).

Способы подачи

Теперь о том, как направить в Роскомнадзор уведомление об обработке персональных данных. Есть несколько вариантов – они перечислены на сайте РКН:

  • На бумажном носителе — заполнить и отправить в территориальный орган Роскомнадзора. Куда подаётся уведомление об обработке персональных данных в вашем регионе, узнайте в сервисе Роскомнадзора.
  • В электронном виде на портале РКН с применением усиленной квалифицированной электронной подписи.
  • В электронном виде через аутентификацию ЕСИА, то есть в личном кабинете на Госуслугах.
  • Через функционал некоторых сервисов, например, из программ “1С”.

Предварительно проверьте, не включена ли ваша компания в Реестр операторов ПД. Искать проще всего  по ИНН – введите его в соответствующей строке и нажмите “Найти”. Если не найдёте себя в Реестре, подайте уведомление из Приложения № 1. Если найдёте, проверьте, вся ли информация актуальна. Если что-то нужно исправить, подайте уведомление из Приложения № 2. Если всё в порядке — поздравляем, ничего делать не нужно.

Получив уведомление, РКН вносит данные оператора в Реестр в течение 30 дней. 

Если регулятор выявит в данных ошибки, то до включения в Реестр потребует внести уточнение.

Что указать в уведомлении

Будем ориентироваться на электронную форму на сайте Роскомнадзора, потому что подача уведомления об обработке персональных данных таким способом самая простая. В форме приводятся готовые формулировки и есть подсказки.

Прежде всего нужно выбрать регион регистрации, а далее заполнить все обязательные поля (помечены звёздочкой).

Сведения об операторе

Сведения об операторе

В этом блоке нужно заполнить поля, указать тип оператора (юрлицо, ИП и так далее). Полное наименование обязательно, сокращённое — по желанию.

Адрес отражают в специальной форме, выбирая нужные объекты и указывая их параметры.

Адрес

Из контактов необходимо указать адрес электронной почты, остальное — по желанию. 

Далее нужно указать регионы обработки информации — это перечень субъектов РФ, на территории которых будет осуществляться обработка ПД. 

Ещё из обязательных параметров нужен ИНН и ОГРН, а также дата регистрации. 

Цель обработки ПД 

Цель выбирается из выпадающего списка.

Цель обработки ПД

Цели нужно выбирать именно для своего случая. Не стоит перечислять всё, что есть в списке. Но нужно указать все цели, для которых компания будет реально собирать ПД.

Примечание. Обычно рядовой организации достаточно включить в документ несколько целей, в том числе заключение исполнения договора, кадровый и бухгалтерский учёт, обеспечение соблюдения трудового / налогового / пенсионного законодательства, обеспечение пропускного режима, подбор персонала.

Месяц бухгалтерского обслуживания в подарок

Для каждой цели нужно выбрать:

  • категорию персональных данных, в том числе специальные категории и биометрические ПД;
  • категории субъектов персональных данных, то есть чьи именно ПД будете обрабатывать (работники, контрагенты, клиенты и т. д.);
  • правовое обоснование обработки;
  • перечень действий: сбор, запись, систематизация, накопление, хранение и т. д.
  • способ обработки: автоматизированная, неавтоматизированная, смешанная; без передачи или с передачи по внутренней сети; без передачи или с передачей по интернету. 

Чтобы добавить новую цель, нужно нажать соответствующую кнопку.

добавление новой цели ркн

Далее следует отразить меры, которые реализует оператор. Меры по обеспечению им своих обязанностей есть в ст. 18.1 закона № 152-ФЗ. А в ст. 19 приводятся меры по обеспечению безопасности ПД. Нужно выбрать и вписать в поле формы только такие меры, которые реально применяются или будут применяться.

Здесь же отражаются средства обеспечения безопасности, если они применяются. Если их нет, нужно отметить “не используются”.

Далее приводятся сведения об ответственном за безопасную обработку ПД лице. ИП должен вписать себя, организация — специалиста, на которого возложила такую функцию.

В конце блока отражают дату начала обработки ПД — она может отличаться от даты регистрации бизнеса.

В строке “Срок и условия прекращения обработки” лучше выбрать “Условие” и указать “до ликвидации”.

Если трансграничной передачи ПД нет, нужно выбрать в меню соответствующий пункт.

трансграничной передачи ПД нет

Сведения о местонахождении базы данных

Оператор указывает страну и фактический адрес, где находятся серверы и архивы с персональными данными. Если данные хранятся в собственном ЦОДе — отражается адрес, по которому размещено оборудование и бумажные носители. Если используется сторонний ЦОД, нужно указать сведения о провайдере.

Сведения о местонахождении базы данных

Сведения о мерах безопасности

Также под “звёздочкой” сведения о том, какие реальные меры компания осуществляет для безопасности данных.

Например: утверждённый перечень сотрудников, которые работают с персональными данными; круглосуточная охрана помещений или система контроля доступа; использование сертифицированных средств защиты информации; антивирусная защита; идентификация и аутентификация пользователей и другое.

Сведения о мерах безопасности

Официальная инструкция по заполнению формы уведомления есть на сайте РКН.

Типичные ошибки в уведомлении

РКН информирует операторов о том, какие ошибки встречаются в уведомлениях. Если обобщить, можно выделить следующие группы нарушений:

  • Данные оператора не совпадают с ЕГРЮЛ / ЕГРИП.
  • Не заполнены обязательные поля: наименование, адрес, ИНН, ОГРН и прочие.
  • Цели обработки ПД не привязаны к деятельности оператора.
  • Перечень действий с персональными данными содержит лишнее, без привязки к фактической обработке.
  • В описании мер и средств безопасности приводится шаблонный текст из примеров: нет конкретных мер, сведений о СКЗИ, уровнях защиты и т. д.
  • Дата начала обработки указана неверно или произвольно.

В бумажных уведомлениях дополнительно встречаются такие ошибки:

  • документ оформлен не на фирменном бланке или без реквизитов оператора, не имеет исходящего номера, даты (или дата некорректна);
  • нет подписи уполномоченного лица или не приложена доверенность;
  • не указан исполнитель обеспечения безопасности ПД и его контактная информация и другие.

Изменение параметров обработки ПД

При изменении сведений, указанных в уведомлении, требуется сообщить об этом в Роскомнадзор. Применяется уведомление из Приложения № 2 к приказу № 180. Срок — не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

Важно: оператор обязан следить за актуальностью сведений в Реестре.

Бесплатная консультация по регистрации бизнеса

Прекращение обработки ПД

О прекращении обработки нужно уведомить РКН в течение 10 рабочих дней с даты прекращения. Регулятор исключит оператора из Реестра в течение 30 дней с даты получения уведомления.

Оператор считается завершившим обработку ПД, когда возникает одно из следующих обстоятельств:

  • юридическое лицо ликвидировано либо ИП утратил статус предпринимателя;
  • деятельность прекращена в результате реорганизации, и новый субъект не продолжает обработку данных;
  • аннулирована лицензия, позволяющая осуществлять деятельность, в рамках которой оператор имел право работать с персональными данными, а условия лицензии требовали письменного согласия субъекта для передачи данных третьим лицам;
  • вынесено и вступило в силу судебное решение, обязывающее оператора прекратить обработку персональных данных;
  • наступил срок или выполнено условие, которые сам оператор указал как момент окончания обработки в уведомлении.

Меры ответственности

С 30 мая 2025 года действует специальный штраф за неуведомление или несвоевременное уведомление РКН. Это часть 10 статьи 13.11 КоАП РФ. Поскольку уведомление следует подавать до начала обработки, то работа с ПД без него всегда будет являться нарушением.

Согласно новой норме, штрафы за отсутствие или несвоевременную подачу уведомления составят:

  • для граждан — от 5 000 до 10 000 рублей;
  • для должностных лиц государственных и муниципальных органов, а также НКО — от 30 000 до 50 000 рублей;
  • для организаций и индивидуальных предпринимателей — от 100 000 до 300 000 рублей.

Обратите внимание! На ИП по этому нарушению накладывается ответственность наравне с организацией. Это прямо указано в п. 1 Примечание к ст. 13.11 КоАП РФ.

В ч. 1 ст. 4.1.1 КоАП РФ есть правило смягчения наказания. Оно должно распространяться на неподачу уведомления в РКН либо опоздание с этим.
Замена штрафа на предупреждение возможна, если правонарушение совершено в первый раз и не повлекло вреда людям / имуществу / окружающей среде.

Примечание. До введения отдельной нормы КоАП РФ за неподачу уведомления налагался небольшой штраф по ст. 19.7 КоАП РФ. Максимальная сумма для организаций составляла 5 000 рублей.

Мы рассказали, как уведомить Роскомнадзор об обработке персональных данных. Это несложно, но без этого работа с ПД считается нарушением. Проверьте сведения в Реестре и при необходимости подайте уведомление — так вы выполните требования закона.

Бесплатная консультация по налогообложению