Уведомление об обработке персональных данных в Роскомнадзор

Если лицо собирает сведения о гражданине в заранее установленных целях, определяет состав сведений и действия с ними, то оно становится оператором ПДн.

Оператор может обратиться к другому лицу, которое возьмет на себя обработку этих данных. В таком случае обработчик заключает с оператором договор-поручение и действует только в интересах последнего. Обработчик не преследует свои цели.

Если оператор обрабатывает (собирает, обезличивает, уточняет, использует, хранит и так далее) ПДн с использованием сайта, веб-приложения или мобильного приложения, работающего в инфраструктуре облачного провайдера или стороннего ЦОДа, тогда в цепочке «субъект ПДн — оператор — провайдер облачных услуг/ЦОД» провайдеры и дата-центры выступают в качестве обработчиков. Данные таким компаниям поступают не напрямую от субъекта.

Если возникает необходимость в услугах облачных сервисов, проверьте реализуемые меры защиты ПДн и правильно оформите договор-поручение. Как выбрать облачную инфраструктуру, соответствующую 152-ФЗ, вы узнаете здесь.

Обязанность подать уведомление об обработке персональных данных

Операторы обязаны сообщить в Роскомнадзор (далее — РКН) о своем намерении осуществлять обработку сведений о физических лицах (статья 22 Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных»). Это необходимо сделать до начала работы с ПДн..

В некоторых ситуациях разрешено не состоять в реестре. Например, в РКН можно не обращаться в тех случаях, если:

• обработка происходит в государственных информационных системах, созданных для защиты безопасности государства и общественного порядка; 
• ПДн обрабатываются в бумажном виде, вы не дублируете их на электронные носители. При этом бумажные документы должны быть надежно защищены от посторонних лиц;
• ПДн обрабатываются в рамка законодательства о траспортной безопасности.

В ноябре 2024 в ст. 13.11 КоАП РФ появился пункт о том, что если оператор совсем не уведомил РКН о своем намерении осуществлять обработку персональных данных или сделал это несвоевременно, то на него может быть наложен штраф в размере до 300 тысяч рублей.

Чтобы избежать такой ситуации, разберем порядок подачи уведомления.

Порядок подачи уведомления

Уведомление РКН о намерении осуществлять обработку ПДн можно отправить несколькими способами.

1. В бумажном виде — пожалуй, самый привычный и популярный способ. Вы заполняете и отправляете форму на сайте, а затем распечатываете и отправляете еще раз уже на бумаге и с подписью руководителя. 
2. В электронном виде с использованием электронной подписи.
3. В электронном виде с использованием средств аутентификации ЕСИА. Для этого необходимо иметь подтвержденную учетную запись, привязанную к организации, от которой подается уведомление.

Актуальные ссылки на соответствующие формы всегда размещены в соответствующем разделе официального сайта Роскомнадзора.

Уведомление содержит следующую информацию:

наименование (фамилия, имя, отчество), адрес оператора;

цель обработки ПДн;

описание мер, предпринимаемых для соблюдения 152-ФЗ;

информация об ответственных за организацию обработки персональных данных;

дата начала обработки ПДн;

срок или условие прекращения обработки ПДн;

сведения о наличии или об отсутствии трансграничной передачи данных;

сведения об обеспечении безопасности ПДн.

Поговорим о том, как правильно заполнить каждое поле.

Рекомендации по заполнению. Общие сведения

Сначала выберите территориальный орган, в который направляется документ. Регион нужно выбрать на основании местонахождения оператора:

Далее следует указать общие сведения об операторе. Обязательные поля отмечены звездочкой.

Обратите внимание, что оператором может являться не только юридическое лицо, но и ИП, и даже физическое лицо.

Следом нужно внести дополнительную информацию об операторе. 

В поле «Регионы обработки» необходимо отметить те субъекты РФ, на территории которых вы планируете осуществлять обработку ПДн. Если вы не ограничены территориально — например, собираете на сайте и обрабатываете ПДн из любых регионов, то нужно поставить галочку в чекбоксе «Все субъекты РФ».

Также укажите адреса филиалов компании при наличии. Компании часто забывают об этом и приводят сведения только о головной организации.

Заполняем цели обработки персональных данных

Обновленная форма уведомления содержит новый подход к описанию обрабатываемых персональных данных, который определен в п.2 ч.1 ст. 18.1 152-ФЗ. Этот подход единый и должен быть использован оператором и при подаче уведомления, и при сборе согласий, и при формировании политики обработки персональных данных. Если раньше операторы выделяли и описывали любые свои информационные системы персональных данных (ИСПДн), которые могли содержать данные разных субъектов, обрабатываемые в разных целях (иногда несовместимых друг с другом), то сейчас используется принцип целеполагания обработки ПДн. Согласно этому принципу, для каждой цели обработки персональных данных отдельно формируется:

• перечень обрабатываемых категорий ПДн исключительно в рамках указанной цели; 
• категории субъектов, чьи персональные данные в рамках этой цели будут обрабатываться;
• правовые основания для обработки ПДн;
• перечень действий с ПДн;
• способы обработки ПДн. 

Важный момент на этом этапе — правильно определить все случаи обработки ПДн и описать их цели. В качестве целей могут быть рассмотрены случаи, когда обработка возложена на оператора законодательством или прописана в уставных документах как цель деятельности. Кроме того, следует обратить внимание на формы, с помощью которых собираются персональные данные, в том числе на сайтах.

РКН на данный момент предоставляет возможность выбрать цель из списка. 

В этом списке 37 целей. Если ни одна не подошла, то можно выбрать пункт «иная» и вписать свою.

При самостоятельном формулировании цели стоит обратить внимание на статью 5 152-ФЗ. В ней сказано о том, что цель обработки ПДн должна быть конкретной, заранее определенной и законной. Кроме того, содержание и объем обрабатываемых ПДн должен соответствовать цели обработки.

После того, как вы определили все цели, начинаем вносить каждую по отдельности. Для каждой цели нужно выбрать категории персональных данных, которые обрабатываются в рамках нее. Для удобства они разделены на виды — общие, специальные и биометрические. Если ничего не подходит, есть чекбокс «иные», с помощью которого можно в свободном виде перечислить дополнительные категории. 

Если вы хотели облегчить себе задачу и не отмечать нужные категории, а просто скопировать и вставить в поле сформированный перечень, хочу вас огорчить. Зачастую представители РКН не принимают такие уведомления, так как считают это нарушением порядка работы.

Далее необходимо отметить категории субъектов, чьи персональные данные вы обрабатываете в рамках обозначенной цели. Список в форме достаточно обширный, но на всякий случай также есть вариант «Иные».

Следующий блок в описании цели обработки персональных данных — правовое основание обработки. Тут стоит отметить унификацию всего подхода — все правовые основания сводятся к определенным к условиям обработки ПДн, перечисленным в статье 6 152-ФЗ. Самыми распространенными правовыми основаниями являются согласие и договор, но кроме них вы также можете выбрать другое или написать свое — например, если обработка связана с законодательством, которое не указано в списке. 

Один из последних блоков при описании целей — это перечень действий. Тут стоит отметить все, что вы делаете с персональными данными в процессе обработки. Заполняйте этот блок внимательно: часто здесь отмечают те действия, которые на самом деле не выполняются — например, обезличивание и распространение. 

Кроме того, в рамках той или иной цели перечень действий может быть очень ограниченным. Если говорить про Selectel, то с данными, которые клиенты обрабатывают на наших ресурсах на основании договора поручения, мы выполняем только следующие действия: 

Заключительный блок — это описание способов обработки персональных данных в рамках описываемой цели. 

Если ПДн хранятся только в электронной форме, то обработка является автоматизированной. Если ПДн обрабатываются только на бумажных носителях — неавтоматизированной 

Смешанная обработка возможна, если данные хранятся как в бумажной форме, так и в электронных базах. Например, сведения о работниках, как правило, хранятся в карточке Т-2, трудовой книжке и одновременно в электронных базах (СКУД, 1С, SAP) — следовательно, обработка смешанная. 

Также в данном блоке указывается, передаются ли ПДн внутри сети компании или по сети интернет. 

После заполнения всех данных по одной цели обработки мы нажимаем на кнопку «Добавить цель обработки», аналогично заполняем поля по следующей цели и так, пока не заполним каждую из них. 

Если вернуться в начало блока с целями, то мы легко можем переключаться между ними и корректировать при необходимости. 

Заполняем сведения о выполнении требований законодательства 

Статьями 18.1 и 19 152-ФЗ на каждого оператора персональных данных возложены определенные обязанности, и в уведомлении необходимо указать, как именно вы их выполняете. При описании предусмотренных Федеральным законом мер желательно перечислить их полный список. Предварительно ознакомьтесь с содержанием соответствующих статей, поскольку важно не только декларативно заявлять о применении мер, но и действительно внедрять их в компании. В противном случае может грозить привлечение к ответственности.

Приведу пример заполнения этого поля.

В графе о средствах безопасности укажите меры, которые позволяют вам следить за сохранностью ПДн. Обратите внимание, что речь именно о технических мерах (организационные перечисляем в поле выше). В каждой организации в зависимости от вероятности утечек и иных факторов используются свои средства обеспечения информационной безопасности. 

При заполнении этого поля можно использовать любую степень детализации. Информацию увидят только представители РКН, она не подлежит публикации.

Вот пример:

Отдельным блоком вносится информация об использовании средств криптографической защиты. Если они используются, то необходимо указать их класс, наименование, изготовителя и серийные номера. Эту информацию можно посмотреть в формуляре — документе, который сопровождает покупку и передачу СКЗИ.

Далее нужно указать информацию об ответственном за организацию обработки персональных данных в компании. На данный момент форма уведомления позволяет указать как физическое лицо (зачастую это сотрудник компании, назначенный приказом), так и юридическое лицо, когда полномочия переданы другой компании на основании договора. Для физического лица указывается ФИО, для юридического — наименование организации. Для того и другого — почтовый адрес, номера телефонов и адрес электронной почты. Рекомендуется указывать достоверную контактную информацию, поскольку Роскомнадзор может связаться с ответственным.

Следующее поле — дата начала обработки. Чаще всего она совпадает с датой регистрации компании. Маловероятно, что компания не обрабатывает данные граждан с самого начала своей деятельности. Обычно сразу появляется информация о клиентах, о представителях сторонних организаций (например, курьеров, ремонтных служб, служб доставки).

Следующее поле, на которое РКН обращает пристальное внимание, касается прекращения обработки ПДн. Здесь можно указать конкретную дату или условие. Дату окончания обработки определить затруднительно, но иногда она может быть определена в договоре, на основании которого вы осуществляете обработку ПДн. Однако чаще используется поле с условиями, при которых вы прекращаете обработку ПДн. 

Вариант заполнения:

Если компания передает данные в другие страны, нужно также уведомить об этом РКН. Так как уведомление о трансграничной передаче данных происходит в соответствии со статьей 12 152-ФЗ и оно отделено от процесса подачи уведомления об обработке ПДн, то в рамках него нужно указать только осуществляется трансграничная передача или нет. 

Указание адреса ЦОДа

Важно правильно указать адреса ЦОДов, в которых размещены базы данных с ПДн. Стоит обратить внимание на несколько моментов.

• Если для хранения данных и иной обработки используются ресурсы сторонних организаций, то до передачи информации в ЦОД или облако необходимо заключить договор-поручение на обработку ПДн с ЦОДом или облачным провайдером. 
• ПДн российских граждан должны обрабатываться на территории России. Под обработкой здесь понимается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение. Это требование (п. 5 ст. 18 152-ФЗ) было уточнено в 2025 году.  
• Трансграничная передача ПДн не запрещена, но необходимо выполнить все меры, указанные в статье 12 152-ФЗ.

Если вы размещаете одну часть данных у себя, а другую в Selectel, то этот блок можно было бы заполнить так:

Сведения об обеспечении безопасности ПДн

В этом разделе необходимо перечислить меры, реализуемые в целях исполнения требований, установленных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». 

Предварительно рекомендуем определить уровень защищенности систем, в которых вы обрабатываете ПДн.  Его можно определить исходя из:

• типов угроз (первый, второй или третий тип);
• категорий ПДн (специальные, биометрические, общедоступные, иные);
• количества субъектов ПДн (менее 100000, более 100000).

Для каждого уровня из четырех есть отдельные требования к безопасности. Нужный уровень защищенности ПДн поможет определить калькулятор (см. раздел «определить уровень защищенности»).

Самый распространенный уровень — третий, поэтому в данном поле необходимо сообщить о выполнении мер перечисленных в п. 13 и 14 ПП-1119. Обратите внимание, что указывать нужно только реализованные меры. Информация в этом поле может повторять или дополнять уже заполненное ранее описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных». 

Например, добавить в это поле такой список.

1. Определены угрозы безопасности персональных данных при их обработке в ИСПДн.
2. Обеспечен режим безопасности помещений, в которых размещена ИСПДн.
3. Обеспечена сохранность носителей ПДн.
4. Утвержден перечень лиц, имеющих доступ к ПДн.
5. Применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.
6. Назначен ответственный за обеспечение безопасности ПДн.

Подпись, оформление и отправка уведомления

Если уведомление подается в бумажном виде, его необходимо оформить на бланке организации, а затем подписать и поставить печать. Подписать может либо генеральный директор, либо лицо по доверенности — в таком случае должна быть приложена доверенность. 

Оформленное уведомление следует отправить по адресу территориального органа заказным письмом — так вы сможете отследить получение. 

Если уведомление будет подписано электронной подписью, то необходимо прикрепить машиночитаемую доверенность, если документ подписывает не генеральный директор, и далее перейти к подписанию с использованием усиленной квалифицированной подписи. Для этого используется плагин Крипто-Про. В этом случае вам не требуется распечатывать заполненную форму. 

Если уведомление будет подано с использованием средств аутентификации ЕСИА, то необходимо пройти аутентификацию, и после заполнения формы направить ее в электронном виде. Распечатывать заполненную форму не нужно.

Внесение изменений в реестр операторов

Запись в реестре операторов ПДн, сформированная в результате подачи уведомления, является источником информации о процессах обработки ПДн в компании как для РКН, так и для субъектов ПДн.
Как мы говорили в статье про персональные данные на сайтах, формальное несоответствие опубликованной политики ПДн на сайте компании и записи в реестре является одним из часто встречающихся и легко выявляемых нарушений в рамках контрольных мероприятий РКН. Кроме того, неактуальная информация в реестре может стать одним из нарушений, выявленных в рамках внеплановых проверок РКН. 

Поэтому после подачи уведомления и внесения записи в реестр необходимо следить за актуальностью содержащейся в ней информации. Измениться может многое -— ответственный, адреса ЦОД, цели или субъекты ПДн. 

Согласно п. 7 ст. 22 152-ФЗ, в случае изменений в ранее поданных сведениях необходимо не позднее 15-го числа месяца, следующего за месяцем, в котором произошли такие изменения, уведомить о них РКН.

Процесс внесения изменений аналогичен описанному в статье, за исключением того, что вы не заполняете все сведения, а лишь корректируете те, которые заполнили ранее. Ссылки на формы подачи уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, размещены на сайте РКН.

Частые ошибки

Отмечу основные моменты, которые представители РКН выделяют как нарушения и на которые стоит обратить внимание. 

1. Самое важное — актуальность и корректность сведений. При подаче первичного уведомления рекомендуем быть внимательными, сообщать только достоверную информацию и учесть, что предоставленная информация должна быть синхронизирована с политикой ПДн. После подачи, как я говорила выше, нельзя забывать о записи в реестре. Обязательно поддерживать ее в актуальном состоянии. 
2. Если уведомление подается в бумажной форме, его необходимо распечатать на бланке организации или заверить печатью. 
3. Указываемое наименование организации, адрес и иные сведения о компани должны совпадать с записью в ЕГРЮЛ.
4. При формировании целей обработки ПДн необходимо указать как минимум те, которые являются обязательными для всех работодателей — связанные с бухгалтерским и кадровым учетом. Формулировать цели лучше с использованием слов «осуществление, выполнение, оказание». 
5. При заполнении правовых оснований обработки персональных данных необходимо указывать статью, дату утверждения и номер нормативно-правового документа. 
6. Информация, указываемая в полях со свободным вводом данных, должна быть конкретной. Не рекомендуется использовать фразы «и др.», «и т.п.».