Подать уведомление об обработке персональных данных (ПДн) в Роскомнадзор обязаны почти все операторы — организации, ИП, самозанятые, даже физлица, если обработка ведётся с использованием техники.
Сложности чаще всего возникают не в подаче, а в заполнении формы.
Мы разберём каждый раздел — точно, по закону, без лишней теории.
Кто обязан подавать уведомление в Роскомнадзор
Согласно ст. 22 ФЗ-152, уведомление не нужно только в трёх случаях:
- ПДн обрабатываются для обеспечения транспортной безопасности;
- ПДн обрабатываются для целей государственной безопасности;
- Обработка ведётся без использования средств автоматизации (только на бумаге, без компьютеров, баз данных, Excel, CRM).
Во всех остальных случаях — уведомление обязательно.
Примеры, когда нужно подавать:
— Юридическая фирма собирает заявки с сайта и хранит их в CRM — да.
— Онлайн-школа получает ФИО и email учеников при оплате — да.
— Арендная платформа хранит сканы паспортов клиентов в облаке — да.
— Маркетинговое агентство собирает лиды через формы на сайте — да.
— Кофейня собирает номера телефонов клиентов через онлайн-анкету — да.
Если вы используете хоть один компьютер, телефон, облачный сервис или Excel — вы оператор. И вам нужно уведомление.
Как заполнить Уведомление: по разделам
1. Сведения об операторе
Заполняйте точно как в ЕГРЮЛ/ЕГРИП.
- Тип оператора: выберите «юридическое лицо», «ИП», «физлицо» — не ошибитесь.
- Наименование: полное, как в выписке.
- Сокращённое наименование: только если оно есть в учредительных документах.
- Регионы обработки: укажите все субъекты РФ, где вы собираете или храните ПДн.
- Адрес: почтовый — из ЕГРЮЛ/ЕГРИП. Фактический — если отличается. Если совпадают — поставьте галочку.
- ИНН, ОГРН, email — обязательны.
- Телефон: желательно указать — для связи с Роскомнадзором.
- ОКВЭД, ОКПО, ОКФС, ОКОГУ, ОКОПФ — по желанию, но рекомендуем — ускоряет проверку.
- Филиалы: если есть — добавьте через кнопку «Добавить». Укажите наименование и адрес каждого.
Важно: если филиал не имеет отдельного ИНН — он всё равно должен быть в уведомлении.
2. Цели обработки ПДн
Укажите все цели, для которых вы собираете данные.
Не пишите «для бизнеса» — это не подойдёт.
Обязательные цели для всех с сотрудниками:
— Ведение кадрового и бухгалтерского учета;
— Оплата труда, начисление отпускных, премий;
— Соблюдение трудового, налогового, пенсионного законодательства.
Дополнительные цели:
— Продвижение товаров, работ, услуг (рассылки, реклама);
— Заключение и исполнение гражданско-правовых договоров;
— Обеспечение соблюдения законодательства в сфере здравоохранения;
— Проведение исследований;
— Адвокатская деятельность;
— Иные — по форме.
Пример для ООО с маркетингом:
«Ведение кадрового и бухгалтерского учета; продвижение товаров, работ и услуг на рынке; обеспечение соблюдения трудового законодательства; подготовка, заключение и исполнение гражданско-правового договора; соблюдение налогового и пенсионного законодательства».
3. Категории ПДн
Выбирайте из списка — и дополняйте, если нужно.
Стандартные категории:
— ФИО;
— Данные документа, удостоверяющего личность (паспорт);
— Номер телефона;
— СНИЛС, ИНН;
— Реквизиты банковской карты;
— Адрес;
— Сведения об образовании, профессии, квалификации;
— Дата рождения;
— Сведения о семейном положении.
Если у вас есть другие — используйте пункт «Иные персональные данные»
Например:
— Фото сотрудника;
— Сведения о медицинской истории (для охраны труда);
— IP-адреса пользователей сайта;
— Данные из соцсетей (если собираете через формы).
Важно: категории должны соответствовать целям.
Если цель — «оплата труда» — не пишите «данные клиентов».
Если цель — «маркетинг» — не пишите «данные бухгалтерии».
4. Категории субъектов ПДн
Кто ваши субъекты?
Выбирайте только тех, чьи данные вы обрабатываете.
- Работники
- Соискатели
- Клиенты
- Потребители
- Поставщики
- Партнёры
- Посетители сайта
- Иные — укажите в текстовом поле
Нельзя:
Цель — «кадровый учёт» → субъект — «клиенты».
Это несоответствие — повод для отказа.
5. Правовое основание обработки
Самое частое — согласие субъекта — но не единственное.
Основания, когда согласие не нужно (ст. 6 ФЗ-152):
— Обработка необходима для исполнения закона (трудовой, налоговый, пенсионный);
— Для исполнения договора, заключённого по инициативе субъекта;
— Для исполнения судебного акта;
— Для реализации прав и законных интересов оператора (если это не противоречит правам субъекта).
Для большинства ИП и ООО — основание — исполнение трудового и налогового законодательства.
Согласие — только если вы делаете рассылки, маркетинг, аналитику.
6. Перечень действий с ПДн
Выберите все действия, которые вы совершаете:
— Сбор;
— Запись;
— Систематизация;
— Накопление;
— Хранение;
— Изменение;
— Извлечение;
— Использование;
— Обезличивание;
— Передача;
— Распространение;
— Блокирование;
— Уничтожение;
— Иные — укажите.
Обычно: сбор, хранение, использование, передача, уничтожение.
7. Способы обработки
Выберите один или несколько:
- Автоматизированная — через ПО, CRM, Excel, облачные сервисы.
- Неавтоматизированная — только на бумаге, без компьютеров.
- Смешанная — и то, и другое (самый частый вариант).
Дополнительно:
— С передачей по внутренней сети — если сотрудники получают доступ через локальную сеть.
— С передачей по Интернету — если данные уходят в облако, email, порталы.
— Без передачи — только на одном компьютере, без доступа в сеть.
Если вы используете 1С, Google Forms, Яндекс.Диск, CRM — ставьте «автоматизированная» + «с передачей по Интернету».
8. Описание мер защиты (ст. 18.1 и 19 ФЗ-152)
Опишите реальные меры, которые вы применяете — не шаблон!
Пример:
«Доступ в помещения, где хранятся бумажные документы, ограничен. Доступ к электронным данным осуществляется только через личные учётные записи с паролями. Бумажные носители хранятся в металлических шкафах в закрытых кабинетах. Электронные данные обрабатываются на рабочих станциях с установленными антивирусами и средствами контроля доступа. Ответственный за ПДн — юрист компании.»
Не пишите: «Мы соблюдаем требования закона».
Пишите: «Мы используем пароли, шкафы, журналы доступа, обучаем сотрудников».
9. Использование шифровальных средств (СКЗИ)
Если используете — укажите:
- Класс СКЗИ: КС1, КС2, КС3, КВ, КА (из реестра ФСТЭК);
- Наименование, изготовитель, серийный номер (например: «КриптоПро CSP 4.0»).
Если не используете — не ставьте галочку.
Если вы шифруете бэкапы, используете СКЗИ в 1С — укажите.
Если просто «установили антивирус» — это не СКЗИ.
10. Ответственный за организацию обработки ПДн
Для ИП — ответственный — вы сами.
Для ООО — укажите ФИО, должность, телефон, email сотрудника (юрист, ИБ-специалист, бухгалтер).
Если ответственность передана аутсорсеру — укажите:
— Наименование компании,
— ОГРН, ИНН,
— Адрес,
— Контакты.
Ответственный должен быть в штате или иметь договор с вами.
Нельзя: «ответственный — ФНС» или «ответственный — банк».
11. Дата начала обработки ПДн
Укажите дату регистрации ИП или ООО — из выписки ЕГРЮЛ/ЕГРИП.
Если вы регистрировались раньше, но начали обрабатывать ПДн позже — укажите фактическую дату начала (например, когда открыли сайт, начали собирать email).
Заказать выписку — бесплатно на сайте ФНС. Приходит за 2–3 минуты.
12. Местонахождение баз данных
Если данные храните у себя:
— Укажите фактический адрес вашей компании — там, где серверы и шкафы.
Если данные хранятся у партнёра (облако, хостинг):
— Укажите:
• Наименование компании-партнёра,
• ОГРН, ИНН,
• Организационно-правовую форму,
• Страну (РФ или иная).
Если используете Яндекс.Облако, AWS, Mail.ru Cloud — укажите их как хостера.
Не пишите: «хранится в облаке» — укажите имя компании.
13. Сведения об обеспечении безопасности ПДн
Перечислите конкретные меры, соответствующие постановлению №1119:
— Ограничен доступ в помещения, где хранятся ПДн;
— Утверждён перечень лиц с доступом к ПДн;
— Обеспечена сохранность бумажных и электронных носителей;
— Используются сертифицированные средства защиты (из реестра ФСТЭК);
— Проводится обучение сотрудников;
— Ведутся журналы инструктажей;
— Применяется двухфакторная аутентификация.
Чем конкретнее — тем меньше вопросов у инспектора.
Как подать уведомление
3 способа:
1. Через Госуслуги — только если у вас подтверждённая учётная запись и вы — владелец бизнеса.
2. В бумажном виде — распечатайте, подпишите, отправьте в территориальное подразделение РКН.
3. Электронно с ЭЦП — через сайт РКН с плагином КриптоПро.
После отправки — получите регистрационный номер.
Статус можно проверить на сайте РКН.
В реестр внесут в течение 30 дней.
Осторожно — штрафы!
Если вы не успели подать уведомление в Роскомнадзор об обработке персональных данных до начала сбора ПДн, вас могут оштрафовать по ч.10 ст.13.11 КоАП. Штраф для граждан может достигать 10 000, для должностных лиц — до 50 000, для организаций и ИП — до 300 000 рублей.
Юристы всероссийского сервиса «Роском Онлайн» помогут вам составить уведомление и оформить документы по персональным данным. Так вы сможете работать без нарушений ФЗ №152-ФЗ и снизить риски штрафов.