Разрабатываете SaaS, мобильное приложение, CRM, маркетплейс или просто собираете данные через сайт? Если ваша IT-компания или проект обрабатывают персональные данные (ПДн) пользователей или клиентов в России, подача уведомления в Роскомнадзор — не бюрократия, а обязательное требование закона (152-ФЗ). Игнорирование грозит штрафами и репутационными рисками. Разберем пошагово, как IT-специалистам и компаниям пройти этот процесс без ошибок. Шаг 1: Оцениваем необходимость (IT-фокус) Шаг 2: Готовим сведения (IT-специфика) Собираем информацию, уделяя особое внимание цифровым аспектам: Шаг 3: Подаем через Портал РКН (Электронно + КЭП) Шаг 4: Мониторим статус и актуализируем Подача уведомления в РКН — не просто формальность, а базовый элемент легальности вашего IT-проекта в части работы с персональными данными. Понимание IT-специфики при его подготовке критически важно. Не надейтесь на "авось" или "мы маленькие". РКН активно мониторит цифровую среду. Потратьте время на корректное оформление ув
Разрабатываете SaaS, мобильное приложение, CRM, маркетплейс или просто собираете данные через сайт? Если ваша IT-компания или проект обрабатывают персональные данные (ПДн) пользователей или клиентов в России, подача уведомления в Роскомнадзор — не бюрократия, а обязательное требование закона (152-ФЗ). Игнорирование грозит штрафами и репутационными рисками. Разберем пошагово, как IT-специалистам и компаниям пройти этот процесс без ошибок.
Почему это КРИТИЧНО важно для IT?
- Автоматизация = Обязанность: Практически любая автоматизированная обработка ПДн (сбор через формы, хранение в БД, аналитика) требует уведомления РКН. Ваши сайты, приложения и сервисы — это "средства автоматизации" по закону.
- Широкий охват ПДн: Для IT операторов ПДн — это не только ФИО и телефон, но и Email, логины, хеши паролей, IP-адреса, Cookie, данные User-Agent (если позволяют идентифицировать лицо), Данные аккаунтов (история действий, платежей, предпочтений), Данные для аналитики (при связке с идентификатором пользователя).
- Трансграничность: Использование зарубежных хостингов (AWS, Google Cloud и т.д.), сервисов аналитики (Google Analytics) или CRM (Hubspot) — это трансграничная передача ПДн, которую обязательно нужно указывать в уведомлении и иметь законные основания.
- Обработчики: Если вы используете внешние сервисы для хостинга, рассылок, поддержки (даже если это Mailchimp, Zendesk, Yandex.Cloud) — они ваши "Обработчики", их данные тоже вносятся в уведомление.
- Проверки РКН: IT-сектор — под пристальным вниманием регулятора. Неправильное уведомление или его отсутствие — частый повод для проверок и штрафов.
Инструкция для IT-компаний и проектов:
Шаг 1: Оцениваем необходимость (IT-фокус)
- Вам НЕ нужно уведомлять РКН, ТОЛЬКО если:
Вы обрабатываете исключительно ФИО (очень редкий случай в IT).
Обработка ведется полностью вручную на бумаге (практически нереально для IT). Данные строго для исполнения конкретного договора с пользователем и не выходят за эти рамки (например, данные только для входа в ваш личный кабинет SaaS, без аналитики и рассылок). - Вам ОБЯЗАТЕЛЬНО нужно уведомлять, если:
У вас есть регистрация/авторизация пользователей (логин/пароль/email/телефон).
Вы собираете данные форм (обратная связь, заказы).
Используете веб-аналитику, связывающую данные с пользователем.
Ведёте базу клиентов (CRM).
Отправляете email/SMS уведомления или маркетинговые рассылки.
Храните данные на серверах (любых, включая облачные).
Интегрируетесь со сторонними сервисами, передавая им ПДн (платежки, доставка, аналитика).
Шаг 2: Готовим сведения (IT-специфика)
Собираем информацию, уделяя особое внимание цифровым аспектам:
- Оператор: Реквизиты вашей IT-компании (ЮЛ/ИП).
- Цели обработки (Примеры для IT):
"Обеспечение функционирования и безопасности онлайн-сервиса [Название]".
"Регистрация и авторизация пользователей в системе".
"Исполнение договоров оказания IT-услуг (SaaS/PaaS/IaaS)".
"Обработка заказов и оплат в интернет-магазине/маркетплейсе".
"Проведение маркетинговых и рекламных кампаний".
"Анализ поведения пользователей для улучшения сервиса" (указывайте, если используется).
"Техническая поддержка пользователей". - Категории субъектов: Пользователи сайта/приложения, клиенты (физические лица), подписчики рассылки, соискатели вакансий.
- Категории ПДн (Типичные для IT):
Идентификационные данные (логин, email, телефон, ID аккаунта).
Данные для входа (хеши паролей).
Данные профиля (ФИО, аватар - если есть).
Данные устройства и соединения (IP-адрес, Cookie, User-Agent - если используются для идентификации или профилирования).
Данные заказов/транзакций.
Данные обращений в поддержку.
Данные для рассылок. - Правовое основание: Чаще всего для IT это:
Согласие субъекта ПДн (особенно для маркетинга, необязательных данных, аналитики за пределами функционала сервиса). Крайне важно иметь правильно оформленное согласие в интерфейсе!
Заключение/исполнение договора (данные, необходимые для работы сервиса: регистрация, оплата, доступ).
Законные интересы оператора (с осторожностью, например, безопасность сервиса, предотвращение мошенничества). Требует балансировки интересов и оценки рисков. - Действия с ПДн: Сбор, запись, хранение, систематизация, использование, передача (обработчикам), обезличивание, удаление.
- Меры безопасности (Ключевое для IT!):
Укажите соответствие требованиям Приказа ФСТЭК № 21 (угрозы 1-3 типов) и Приказа ФСБ № 378 (шифрование при передаче по открытым сетям).
Кратко опишите ключевые техмеры: использование СКЗИ (SSL/TLS), межсетевые экраны (Firewall), антивирусы, системы обнаружения вторжений (IDS/IPS), разграничение прав доступа, резервное копирование, политики паролей, шифрование дисков/БД (если используется).
Упомяните Политику обработки ПДн, размещенную на сайте. - Местонахождение БД: Адрес размещения серверов (ваш офис, дата-центр в России, или облачный провайдер + его юр. адрес в РФ, если есть). Если БД за границей - это трансграничка!
- Трансграничная передача (Очень важно для IT!):
ЕСТЬ, если данные хранятся/обрабатываются на серверах за пределами РФ (даже в "безопасных" юрисдикциях) или передаются иностранным сервисам (аналитика, рассылки, CDN, хостинг).
Укажите страну(-ы) передачи и правовое основание (чаще всего - письменное согласие субъекта, явно информирующее о такой передаче!). Без согласия - трансграничная передача запрещена! - Обработчики (Обязательно для IT!):
Хостинг-провайдеры (российские и иностранные).
Сервисы email/SMS рассылок (SendGrid, Mailchimp, UniSender и т.д.).
CRM-системы (Hubspot, Salesforce, amoCRM и т.д.).
Системы аналитики (Google Analytics 4, Яндекс.Метрика - если передаются ПДн или псевдонимизированные данные, позволяющие идентифицировать пользователя).
Платежные агрегаторы (CloudPayments, ЮKassa и т.д. - при передаче ПДн).
Сервисы поддержки (Zendesk, HelpDesk и т.д.).
Укажите для каждого: Наименование, ИНН/ОГРН (если есть у иностранца), страну, предмет поручения (например, "Хранение данных БД", "Организация email-рассылок", "Обработка обращений в техническую поддержку"). - Дата начала обработки: Дата запуска сервиса/сайта или начала сбора данных.
- Срок обработки: Обычно "До достижения целей обработки или до отзыва согласия субъектом ПДн".
Шаг 3: Подаем через Портал РКН (Электронно + КЭП)
- Ссылка: https://pd.rkn.gov.ru/operators-registry/notification/form/
- КЭП - Ваш ключ: Подача возможна только с усиленной квалифицированной электронной подписью (КЭП) руководителя компании или ИП. Получите ее в аккредитованном УЦ (например, Контур, Такском, КРИПТО-ПРО). Без КЭП - вход закрыт.
- Заполняем форму: Внимательно вносим все подготовленные данные. Поля для IT-специфики (обработчики, трансграничка, меры безопасности) заполняем особо тщательно.
- Подписываем и отправляем: Заверяем форму КЭП и отправляем.
Шаг 4: Мониторим статус и актуализируем
- Получаем электронную квитанцию с номером.
- Отслеживаем статус в реестре: https://pd.rkn.gov.ru/operators-registry/ (должен смениться на "Внесено в реестр").
- Актуализация ОБЯЗАТЕЛЬНА при любых изменениях в IT-инфраструктуре:
Сменили хостинг/облако (в т.ч. регион серверов!).
Подключили новый сервис-обработчик (новый CDN, аналитику, CRM).
Изменили состав собираемых данных или цели их использования.
Обновили меры безопасности.
Сменили юр. адрес/руководителя. - Срок: 10 рабочих дней с момента изменения.
- Как: В личном кабинете на портале РКН найти свое уведомление -> "Внести изменения".
IT-специфичные риски и советы:
- "Забытые" обработчики: Самый частый промах. Каждый SaaS, который видит ваши данные (хостинг, аналитика, рассылки, поддержка, CDN) - обработчик. Составьте полный список.
- "Невидимая" трансграничка: Использование зарубежных сервисов или облаков (даже если серверы "условно в РФ") = трансграничная передача. Требует согласия пользователя!
- Некорректные меры безопасности: Указать "Применяем ФСТЭК-21" недостаточно. Опишите ключевые реальные меры (шифрование, MFA, брандмауэр). Будьте готовы подтвердить это документами (Политика безопасности, настройки).
- Цели обработки: Разделяйте "необходимые для работы сервиса" (договор) и "маркетинг/аналитику" (согласие). Не пишите размыто.
- Согласие для трансгранички и обработчиков: Если передаете данные за рубеж или обработчику, это должно быть явно прописано в согласии пользователя, которое он подтверждает (галочка, кнопка).
- Аналитика ≠ Анонимность: Если данные из Google Analytics/Яндекс.Метрики можно связать с конкретным пользователем (через User ID, сохраненные логины и т.д.) - это ПДн, требующие уведомления и законного основания.
- Мобильные приложения: Требования те же + особенности политики конфиденциальности в App Store/Google Play.
Подача уведомления в РКН — не просто формальность, а базовый элемент легальности вашего IT-проекта в части работы с персональными данными. Понимание IT-специфики при его подготовке критически важно. Не надейтесь на "авось" или "мы маленькие". РКН активно мониторит цифровую среду. Потратьте время на корректное оформление уведомления и его актуализацию — это сэкономит вам нервы, деньги и репутацию в будущем. Убедитесь, что ваша Политика конфиденциальности на сайте полностью соответствует данным, указанным в уведомлении!