Подать уведомление в Роскомнадзор: пошаговая инструкция

Подача уведомления в Роскомнадзор – важный шаг для любой организации, которая собирает и обрабатывает персональные данные. Ниже инструкция, которая поможет вам с заполнением и подачей уведомления.

Но очень важно понимать, что все, что вы вписываете в анкету, должно будет исполняться вашей организацией в обязательном порядке. За заполнение неточных, заведомо ложных сведений - есть штраф.

🔸 Шаг 1: Проверка необходимости подачи уведомления

Не всем компаниям нужно уведомлять Роскомнадзор. Уведомление подают, если ваша организация собирает и обрабатывает данные:

• клиентов (например, в заявках, анкетах, формах обратной связи);
• сотрудников и кандидатов на работу;
• пользователей сайтов, мессенджеров, приложений;
• покупателей в магазинах или на маркетплейсах.

Особенно внимательно отнеситесь к уведомлению, если ваша компания:

• ИП или компания с сайтом, соцсетями, формами сбора заявок;
• занимается рассылками или использует CRM;
• применяет Google Таблицы или зарубежные сервисы (это трансграничная передача данных);
• обрабатывает данные сотрудников;
• медицинская организация, собирающая данные пациентов;
• образовательный проект, работающий со студентами, родителями, учениками.

По сути, для компаний существует только 1 вариант, когда не нужно подавать уведомление – компании, осуществляющие всю обработку персональных данных вручную на бумаге. Но тем не менее они должны соблюдать требования 152-ФЗ.

🔸 Шаг 2: Проверка ранее поданных уведомлений

Определите, какое уведомление вам нужно подать:

• Делаете это впервые?
• Или ранее уже подавали уведомление и хотите его обновить?

Это можно проверить в реестре операторов персональных данных: https://pd.rkn.gov.ru/operators-registry/operators-list/. В форме поиска достаточно ввести ИНН вашей организации.

🔸 Шаг 3: Подготовка документов

Соберите следующие данные для уведомления:

• Название и юридический адрес организации.
• Информацию о том, чьи персональные данные обрабатываете (клиенты, сотрудники).
• Цели обработки персональных данных (например, трудовые отношения, маркетинг).
• Перечень обрабатываемых данных (ФИО, телефоны, адреса и т.д.).
• Информацию о мерах защиты данных.
• Ответственного за обработку персональных данных (ФИО, должность, контакты).

🔸 Шаг 4: Заполнение формы уведомления

Форму можно заполнить на сайте Роскомнадзора

Потребуется ЭЦП (электронная цифровая подпись). Если её нет, форму можно распечатать и отправить почтой.

При заполнении формы следуйте инструкциям:

• Регион регистрации: выберите субъект РФ, где зарегистрирован ИП или организация. Для самозанятых – регион постановки на учет. В поле «Наименование оператора» вводится полное название с организационно-правовой формой. ИП дополнительно могут указать паспортные данные (не обязательно).
• Сведения об операторе: обязательно заполните все поля, отмеченные *.
• Адрес оператора: введите индекс, остальные поля выбираются из выпадающих списков. Формат ввода помещений – через дробь (например, 3/1/12). Если адрес местонахождения и почтовый адрес совпадают, отметьте галочкой. ИП рекомендуется ограничиваться улицей и домом, чтобы не раскрывать домашний адрес.
• Регионы обработки: выберите регионы, где происходит обработка данных, или отметьте «Все субъекты РФ», особенно если у вас есть сайт.
• Адрес электронной почты: введите электронную почту оператора.
• ИНН и ОГРНИП: обязательные поля для заполнения.

Цель обработки это то, зачем вы обрабатываете персональные данные. Целей в компании может быть много и у каждой компании они разные. Обязательно позаботьтесь о том, чтобы все цели, которые видны на вашем сайте были отражены в уведомлении — например, аналитика поведения пользователей на сайте — это цель, оформление заказа на сайте — это цель, подписка на email-рассылку — это цель и так далее.
Обозначьте их в поле «Цель обработки ПД». Выбирайте как цели, предлагаемые Роскомнадзором, из выпадающего списка, так и вводите свои — через выбор категории «иная». В дополнительном поле необходимо будет написать формулировки целей обработки персональных данных. Например, в качестве целей могут быть указаны обработка обратной связи, поступающих через формы сбора данных на сайте или ведение бухгалтерского учета. Можете описать столько целей, сколько требуют ваши процессы.

Для каждой цели кроме нее самой необходимо указать:

Категории персональных данных

Здесь необходимо указать, какие персональные данные обрабатываются для реализации конкретной цели.

Категории — это группы данных, которые вы собираете у разных людей. Они показывают, насколько эти данные чувствительные и какие обязанности у вас возникают при их обработке.

Простыми словами

Если вы собираете просто ФИО и телефон — это базовые данные, почти у всех они есть. Если вы собираете, например, диагноз, фото паспорта или зарплату — это уже чувствительные данные, которые требуют особой защиты и письменного согласия.

Роскомнадзор по этим данным смотрит, какие риски у вас есть. Чем «тяжелее» категории — тем жестче требования к безопасности и выше риск получить штраф, если что-то не так.

Если вы не укажете, что обрабатываете, например, медданные, а на деле будете это делать — это нарушение.

На проверке вас могут поймать на несоответствии и оштрафовать.

Типы категорий:

1. Общие — ФИО, телефон, email, паспорт.
2. Специальные — здоровье, судимость, религия.
3. Биометрические — фото, видео, отпечатки.

Отмечайте категории данных, которые указаны в форме. Также можете ввести категории данных, которые формой не предусмотрены.

Категории субъектов

Аналогично необходимо отметить те категории субъектов, которые уже указаны в форме, можно добавить свои при необходимости, отметив галочкой графу «Иные категории субъектов персональные данные которых обрабатываются». Субъекты — это люди, чьи персональные данные вы собираете, храните или используете в своих целях. Это не про то, что вы собираете (ФИО, телефон и т. д.) — это про то, с кого вы это собираете.

Примеры типичных субъектов

• Работники — все, кто у вас работает сейчас: сотрудники, ИП по договорам, временные подрядчики.
• Соискатели — если собираете резюме, анкеты на вакансии.
• Уволенные работники — если храните их документы или приказы.
• Родственники работников — если у вас есть их контактные или паспортные данные (например, для ДМС, соцпакета).
• Контрагенты и их представители — если у вас есть контактные данные юристов, менеджеров и др. Клиенты / Пациенты / Пользователи — те, кому вы оказываете услуги или продаете что-то.
• Посетители сайта — если вы собираете заявки, поведение на сайте, куки.
• Выгодоприобретатели — например, лица, которым оформляются страховые выплаты, компенсации.
• Учащиеся, Студенты — если вы образовательная организация.

Правовое основание обработки персональных данных

Перечень оснований является закрытым — необходимо отметить галочками те основания, которые применимы к конкретной цели обработки данных. Оснований может быть несколько для одной цели.

Перечень действий

Выбирайте те действия, которые вы осуществляете в рамках реализации цели обработки данных. Ниже представлен базовый перечень действий, но ваш может быть и иным.

• Сбор — когда человек оставляет вам данные (заполняет форму, подписывает договор, присылает анкету).
• Запись — когда вы эти данные куда-то записываете: в CRM, таблицу, в почту.
• Систематизация — когда вы как-то структурируете данные: раскладываете по папкам, в базы, CRM.
• Накопление — когда вы храните данные долгое время (например, база клиентов или сотрудников).
• Хранение — когда держите данные на компьютерах, серверах, в облаках.
• Уточнение (обновление, изменение) — когда кто-то сообщает новые данные или вы их меняете (например, человек сменил номер телефона).
• Извлечение — когда достаете данные для работы (например, ищете номер клиента в базе).
• Использование — когда применяете данные по назначению (например, отправляете рассылку, выставляете счет).
• Передача (предоставление, доступ) — когда даёте доступ к данным другим сотрудникам, подрядчикам, сервисам (например, в бухгалтерию, в маркетинговую платформу).
• Обезличивание — если убираете из данных личную информацию, чтобы использовать их в статистике или отчетах.
• Блокирование — временно запрещаете использовать данные (например, по запросу человека).Удаление — стираете данные из систем.
• Уничтожение — физически уничтожаете носители или файлы без возможности восстановления.

Способы обработки

Необходимо указать, как вы обрабатываете персональные данные. Рекомендуем отметить следующим образом:

• смешанная (это значит, что вы обрабатываете данные и вручную и с помощью автоматизированных систем)
• с передачей по внутренней сети (это значит, что вы используете корпоративную рабочую сеть для обмена данными с коллегами или контрагентами)
• с передачей по сети Интернет (это значит, что вы используете для обработки данных в том числе и внешние сервисы в интернет - например, Яндекс Диск и прочее)

Аналогичным образом необходимо заполнить информацию по всем необходимым целям обработки данных, добавляя их путем нажатия кнопки «Добавить цель обработки».

Когда вы завершили заполнение целей — необходимо перейти к заполнению информации о  средствах защиты.

Мы подготовили для вас формулировку, которую вы можете использовать:

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»: назначение лица, ответственного за организацию обработки персональных данных; издание Положения в отношении обработки персональных данных; применение правовых, организационных и технических мер по обеспечению безопасности персональных данных; осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных; ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных; применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; учет машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в ИСПДн; контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

Важно - Все меры, которые вы укажете, должны выполняться в компании. За заполнение неточных, заведомо ложных сведений - есть штраф.

Средства обеспечения безопасности

Здесь необходимо указать средства защиты, которые обеспечивают безопасность персональных данных.

Минимальный набор, который должен быть и действительно использоваться: средства антивирусной защиты информации, средства защиты информации от несанкционированного доступа и межсетевой экран).

• Средства антивирусной защиты информации
• Средства защиты информации от несанкционированного доступа
• Средства межсетевого экранирования (фаерволы)
• Средства криптографической защиты информации (СКЗИ), включая шифрование
• Средства защиты каналов передачи данных (VPN, TLS/SSL)
• Средства обнаружения и предотвращения атак (IDS/IPS)
• Средства контроля и управления доступом пользователей
• Средства резервного копирования и восстановления данных
• Средства защиты от вредоносного кода (антивирусы, антишпионские программы)
• Средства защиты мобильных устройств и носителей информации
• Средства журналирования и мониторинга действий пользователей
• Средства идентификации и аутентификации пользователей (например, токены, смарт-карты)
• Средства ограничения физического доступа к серверам и рабочим станциям

Важно - Конечно заявленные средства защиты должны быть реально установлены и соответствующим образом настроены для использования.

Использование шифровальных (криптографических) средств

Если вы не знаете, используете ли вы шифровальные средства — то лучше укажите, что «не использует»

Ответственный за организацию обработки персональных данных

В качестве такого лица может быть указан как работник организации, так и сторонние физические и юридические лица. В случае указания сторонних лиц, со сторонними лицами должен быть договор с описанием обязанностей и ответственности. В зависимости от категории субъекта необходимо заполнить информацию о таком лице. Имейте в виду, что указанное лицо будет отражено в качестве ответственного в Реестре операторов персональных данных в публичном доступе.

Дата начала обработки персональных данных

В этом поле необходимо указать дату начала сбора и обработки персональных данных. Иногда она может совпадать с датой регистрации в качестве ИП, постановки на учет как самозанятого или датой регистрации юридического лица.

Срок или условие прекращения обработки данных

Необходимо выбрать «Условие окончания» и ввести в поле ниже.

Например: Достижение целей обработки персональных данных или прекращение деятельности оператора, отзыв согласия, утрата необходимости в обработке и т.д.

Осуществление трансграничной передачи персональных данных

Трансграничная передача — это когда вы передаете данные иностранному лицу на территорию иностранного государства. В зависимости от того, осуществляете ли вы трансграничную передачу данных, необходимо выбрать из выпадающего списка «осуществляется» или «не осуществляется».

Например использование Google Analytics – это трансграничная передача. А сбор данных (например, заполнение форм) через Google Form – считается нарушением требований по локализации.

Сведения о местонахождении базы данных, содержащей персональные данные граждан РФ

Необходимо заполнить сведения об используемых базах данных с указанием их местонахождения. База данных — это, например, 1С: ЗУП или СКУД, здесь вы указываете только те системы, которые вы сами администрируете и технически защищаете. Если арендуете сервера в ЦОД, то указываете сведения по ЦОД.

Сведения об обеспечении безопасности персональных данных

Рекомендуем заполнить это поле следующим образом:

а) Организационные меры по обеспечению безопасности персональных данных: учет лиц, допущенных к работе с персональными данными, а также назначение ответственных за обеспечение безопасности персональных данных; обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; описание системы защиты персональных данных; обеспечение сохранности носителей персональных данных и средств защиты информации; охрана помещений, в которых ведётся работа с персональными данными; учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним; разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

б) Технические меры по обеспечению безопасности персональных данных: разработка на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией

Важно - Это пример заполнения поля. Все меры, которые вы вписываете, должны исполняться у вас в обязательном порядке. За заполнение неточных, заведомо ложных сведений - есть штраф.

🔸 Шаг 6: Отправка уведомления

После заполнения формы уведомления необходимо проставить галочки в графах «Ознакомился с порядком подачи» и «Я подтверждаю свое согласие…» и нажать кнопку "Подписать и Отправить электронное уведомление". Для подписания потребуется наличие у вас квалифицированной электронно-цифровой подписи и у вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in. После этого сформируется код и ключ, которые потребуются для проверки статуса уведомления в дальнейшем.

🔸 Шаг 7: Получение подтверждения

После обработки уведомления ваша организация будет включена в реестр операторов персональных данных. Уведомление подлежит рассмотрению в течение 30 дней, затем информация об операторе вносится в Реестр: https://pd.rkn.gov.ru/operators-registry/operators-list/

Статус уведомления можно проверить по ссылке: https://pd.rkn.gov.ru/operators-registry/notification_check/

✅ Совет: Если при отправке уведомления сайт Роскомнадзора выдает ошибку, попробуйте позже (лучше после 20 часов по МСК). Сайт изрядно глючит из-за большой нагрузки.

✅ Совет: Сохраняйте подтверждение и копию уведомления для возможных проверок.

✅ Совет: В качестве контактов Ответственного лица не используйте персональные (личные или рабочие) контактные данные: номер телефона и почту. Данные об ответственном лице находятся в публичном доступе и по ним часто спамят. Вместо этого указывайте общий номер компании и специальную почту, созданные для этой задачи.

✅ Совет: В средства обеспечения безопасности не обязательно указывать конкретные средства защиты (название, бренд), указывайте их категорию, например «Средства антивирусной защиты» или «Средства межсетевого экранирования».

Следуя этому алгоритму, вы легко справитесь с подачей уведомления и избежите штрафов за нарушение законодательства о персональных данных.