RU
EN

RU

Чаще всего ищут

ГлавнаяРАЭК LiveНовости членов РАЭККак правильно подать уведомление в Роскомнадзор?

Как правильно подать уведомление в Роскомнадзор?

Дата публикации: 22 мая 2025

Как правильно подать уведомление в Роскомнадзор?

Почему стоит озаботиться подачей уведомления именно сейчас

С 30 мая 2025 года вступают в силу новые штрафы за отсутствие уведомления в реестре Роскомнадзора. Штрафы доходят до 300 000 рублей на каждую организацию или ИП.

Это касается всех, кто хоть что-то собирает у людей:

  • клиентов (например, в заявках, анкетах, формах обратной связи);
  • сотрудников и кандидатов на работу;
  • пользователей сайтов, мессенджеров, приложений;
  • покупателей в магазинах или на маркетплейсах.

Многие думают: «Мы уже когда-то отправляли». Но если с тех пор что-то изменилось — это тоже нарушение.

Кого это должно волновать в первую очередь:

  • ИП и компании, у которых есть сайт, соцсети, формы сбора заявок;
  • компании, которые делают рассылки или используют CRM;
  • те, кто использует Google Таблицы, зарубежные сервисы (это трансграничка);
  • работодатели — обрабатывающие данные сотрудников;
  • медицинские организации, собирающие медданные пациентов;
  • образовательные проекты, работающие со студентами, родителями, учениками.

Проверьте себя в реестре или обратитесь за помощью к экспертам Б-152, если не уверены.

В данной статье мы расскажем, как подать уведомление если ранее вы еще никогда его не подавали и в реестре вы не значитесь.

Для начала необходимо определиться, какое уведомление необходимо подать, для этого нужно ответить на вопрос:

  1. Делаете ли вы это впервые?
  2. Или же вы ранее уже подавали уведомление и сейчас его обновляете?

В случае возникновения сомнений можно проверить информацию в Реестре операторов персональных данных.

В открывшейся форме достаточно ввести свой ИНН.

Блок 1 - Способ подачи

КАК ПРАВИЛЬНО ПОДАТЬ УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР?

Для начала переходите по ссылке.

Решите, как будете подавать уведомление:

  1. на бумаге нарочно – нужно будет распечатать уведомление и отнести в РКН лично или же отправить заказным письмом (это увеличит сроки);
  2. электронно с помощью ЭЦП – для этого вам понадобится ключ ЭЦП КриптоПро;
  3. через Портал Госуслуг – для этого вам нужен аккаунт вашей организации или ИП, привязанный к вашему личному аккаунту в Госуслугах.

Выберите способ отправки уведомления на сайте.

После выбора способа подачи уведомления появится сама форма уведомления.

Блок 2 – Заполнение уведомления:

КАК ПРАВИЛЬНО ПОДАТЬ УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР?

Регион регистрации

Необходимо выбрать субъект РФ, где зарегистрирован ИП или организация.

В случае осуществления вами деятельности в качестве самозанятого – субъект РФ, на территории которого вы стоите на учете.

Сведения об операторе

Необходимо заполнить все обязательные поля с информацией об операторе, они отмечены *.

В поле «Наименование оператора» указывается полное наименование с указанием организационно-правовой формы.

Если вы – ИП, вам дополнительно предложат ввести свои паспортные данные – указывать их не обязательно.

Адрес оператора

В отдельной графе необходимо ввести индекс. Остальные поля заполняются не вручную, а путем выбора необходимых данных из выпадающего списка. Для заполнения графы нажимаете на «Выбрать», после ввода всех данных – «ОК».

Данная форма не предусматривает отдельных полей для ввода этажа или помещения. Предлагаем вводить эти данные в графу кв./офис, если не помещается – данные можно ввести через дробь без дополнительного текста.

Пример: эт. 3, пом. 1, ком. 12. Вводим данные в формате 3/1/12.

В случае совпадения адреса местонахождения и почтового адреса проставляем галочку. Если адреса не совпадают, то после нажатия «Выбрать» почтовый адрес необходимо будет ввести таким же образом.

Важно! Реестр является общедоступным источником, все сведения, которые вы укажете в уведомлении будут доступны любому посетителю портала, поэтому если вы ИП и ваш адрес в уведомлении совпадает с вашим домашним адресом - рекомендуем ограничиться улицей и номером дома, без указания квартиры! (Обезопасим ваши ПДн)

Регионы обработки

В этом разделе необходимо указать те субъекты РФ, на территории которых вами осуществляется обработка персональных данных. Необходимо нажать «Выбрать регионы» и ввести названия отдельных регионов или отметить графу «Все субъекты Российской Федерации».

Если у вас есть сайты – рекомендуем отмечать галочкой «все субъекты РФ», поскольку потенциально на ваш сайт может зайти субъект из любого региона.

Адрес электронной почты

Необходимо ввести адрес электронной почты, принадлежащий вам или вашей организации.

ИНН и ОГРНИП

ИП и организациям необходимо заполнить поля с ИНН и ОГРНИП, они являются обязательными.

Цели обработки персональных данных

КАК ПРАВИЛЬНО ПОДАТЬ УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР?

Для начала разберемся, что такое цель обработки?

Это то, зачем вы обрабатываете персональные данные. Целей в компании может быть много и у каждой компании они разные. Обязательно позаботьтесь о том, чтобы все цели, которые видны на вашем сайте были отражены в уведомлении – например, аналитика поведения пользователей на сайте – это цель, оформление заказа на сайте – это цель, подписка на email-рассылку – это цель и так далее.

Цели можно определять в более крупные блоки – «макро-цели» и подавать уведомление по макро-целям, тогда вы сможете сократить объем уведомления и сэкономить ваше время.

Но важно чтобы в ваших внутренних ЛНА было зафиксировано – какие цели к какой макро-цели относятся.

Ниже мы привели перечень наиболее распространенных целей, которые бывают в компаниях.

1. Макро-цель - Подбор персонала

Цель 1. Подбор кандидатов на вакантные должности

Цель 2. Проверка кандидатов на замещение вакантных должностей

Цель 3. Формирование и ведение кадрового резерва

2. Макро-цель - Управление персоналом

Цель 1. Трудоустройство работников и последующий кадровый учет

Цель 2. Хранение документов по уволенным работникам

3. Макро-цель - Вознаграждение персонала

Цель 1. Расчет и начисление заработной платы, авансовых платежей и социальных выплат, Payroll

Цель 2. Оформление карт зарплатного проекта

4. Макро-цель – Обеспечение продуктивности, развития и безопасности персонала

Цель 1. Обучение работников

Цель 2. Проведение СОУТ

5. Макро-цель – Обеспечение безопасности деятельности

Цель 1. Обеспечение пропускного режима

Цель 2. Организация видеонаблюдения на территории офисов и площадок

6. Макро-цель – Ведение основной деятельности

Цель 1. Согласование и заключение договоров с контрагентами

Заполнение данных о цели:

После того, как вы определили перечень целей, обозначьте из в поле "Цель обработки ПД". Выбирайте как цели, предлагаемые Роскомнадзором, из выпадающего списка, так и вводите свои - через выбор категории «иная».

В дополнительном поле необходимо будет написать формулировки целей обработки персональных данных.

Например, в качестве целей могут быть указаны обработка обратной связи, поступающих через формы сбора данных на сайте или ведение бухгалтерского учета.

Можете описать столько целей, сколько требуют ваши процессы.

Для каждой цели кроме нее самой необходимо указать:

  • Категории персональных данных
  • Категории субъектов, персональные данные которых обрабатываются
  • Правовое основание обработки персональных данных
  • Перечень действий
  • Способы обработки

Категории персональных данных

Здесь необходимо указать, какие персональные данные обрабатываются для реализации конкретной цели.

Категории — это группы данных, которые вы собираете у разных людей. Они показывают, насколько эти данные чувствительные и какие обязанности у вас возникают при их обработке.

Простыми словами:

Если вы собираете просто ФИО и телефон — это базовые данные, почти у всех они есть. Если вы собираете, например, диагноз, фото паспорта или зарплату — это уже чувствительные данные, которые требуют особой защиты и письменного согласия.

Зачем указывать категории в уведомлении?

Роскомнадзор по этим данным смотрит, какие риски у вас есть. Чем "тяжелее" категории — тем жестче требования к безопасности и выше риск получить штраф, если что-то не так.

Если вы не укажете, что обрабатываете, например, медданные, а на деле будете это делать — это нарушение.

На проверке вас могут поймать на несоответствии и оштрафовать.

Типы категорий:

  1. Общие — ФИО, телефон, email, паспорт.
  2. Специальные — здоровье, судимость, религия.
  3. Биометрические — фото, видео, отпечатки.
  4. Финансовые — счета, доходы.
  5. Интернет-данные — IP, cookie, поведение на сайте.
  6. Рабочие — должность, кадровые приказы.

Чем подробнее и честнее укажете — тем меньше проблем в будущем.

Отмечайте категории данных, которые указаны в форме.

Также можете ввести категории данных, которые формой не предусмотрены.

Категории субъектов

Аналогично необходимо отметить те категории субъектов, которые уже указаны в форме, можно добавить свои при необходимости, отметив галочкой графу «Иные категории субъектов персональные данные которых обрабатываются».

Что такое категории субъектов и зачем их указывать?

Субъекты — это люди или организации, чьи персональные данные вы собираете, храните или используете в своих целях.

Это не про то, что вы собираете (ФИО, телефон и т.д.) — это про то, о ком вы это собираете.

Зачем их указывать в уведомлении?

Чтобы Роскомнадзор понимал:

  • на кого распространяется ваша обработка данных;
  • какие группы людей могут пострадать, если у вас случится утечка;
  • что именно вас могут попросить объяснить при проверке.

Примеры типичных субъектов

  • Работники — все, кто у вас работает сейчас: сотрудники, ИП по договорам, временные подрядчики.
  • Соискатели — если собираете резюме, анкеты на вакансии.
  • Уволенные работники — если храните их документы или приказы.
  • Родственники работников — если у вас есть их контактные или паспортные данные (например, для ДМС, соцпакета).
  • Контрагенты и их представители — если у вас есть контактные данные юристов, менеджеров и др.Клиенты / Пациенты / Пользователи — те, кому вы оказываете услуги или продаете что-то.
  • Посетители сайта — если вы собираете заявки, поведение на сайте, куки.
  • Выгодоприобретатели — например, лица, которым оформляются страховые выплаты, компенсации.
  • Те, кто дал согласие на трансграничную передачу — например, при использовании зарубежных сервисов.
  • Учащиеся, Студенты — если вы образовательная организация.

Что ещё сюда можно добавить в "Иные категории"

  • Участники акций, мероприятий, розыгрышей.
  • Подписчики на рассылки.
  • Участники программ лояльности.
  • Представители СМИ.
  • Участники опросов или исследований.
  • Жители ЖК или арендаторы, если вы, например, управляющая компания.

Правовое основание обработки персональных данных

Перечень оснований является закрытым – необходимо отметить галочками те основания, которые применимы к конкретной цели обработки данных.

Оснований может быть несколько для одной цели.

Перечень действий

Выбирайте те действия, которые вы осуществляете в рамках реализации цели обработки данных. Ниже представлен базовый перечень действий, но ваш может быть и иным.

Мы объяснили для вас каждое действие.

  • Сбор — когда человек оставляет вам данные (заполняет форму, подписывает договор, присылает анкету).
  • Запись — когда вы эти данные куда-то записываете: в CRM, таблицу, в почту.
  • Систематизация — когда вы как-то структурируете данные: раскладываете по папкам, в базы, CRM.
  • Накопление — когда вы храните данные долгое время (например, база клиентов или сотрудников).
  • Хранение — когда держите данные на компьютерах, серверах, в облаках.
  • Уточнение (обновление, изменение) — когда кто-то сообщает новые данные или вы их меняете (например, человек сменил номер телефона).
  • Извлечение — когда достаете данные для работы (например, ищете номер клиента в базе).
  • Использование — когда применяете данные по назначению (например, отправляете рассылку, выставляете счет).
  • Передача (предоставление, доступ) — когда даёте доступ к данным другим сотрудникам, подрядчикам, сервисам (например, в бухгалтерию, в маркетинговую платформу).
  • Обезличивание — если убираете из данных личную информацию, чтобы использовать их в статистике или отчетах.
  • Блокирование — временно запрещаете использовать данные (например, по запросу человека).Удаление — стираете данные из систем.
  • Уничтожение — физически уничтожаете носители или файлы без возможности восстановления.

Способы обработки

Необходимо указать, как вы обрабатываете персональные данные.

Рекомендуем отметить следующим образом:

  • смешанная
    (это значит, что вы обрабатываете данные и вручную и с помощью автоматизированных систем)
  • с передачей по внутренней сети
    (это значит, что вы используете корпоративную рабочую сеть для обмена данными с коллегами или контрагентами)
  • с передачей по сети Интернет
    (это значит, что вы используете для обработки данных в том числе и внешние сервисы в интернет - например, Яндекс Диск и прочее)

Аналогичным образом необходимо заполнить информацию по всем необходимым целям обработки данных, добавляя их путем нажатия кнопки «Добавить цель обработки».

Когда вы завершили заполнение целей – необходимо перейти к заполнению информации о технических средствах защиты.

Описание мер, предусмотренных ст. 18.1 и 19 ФЗ «О персональных данных»

КАК ПРАВИЛЬНО ПОДАТЬ УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР?

Мы подготовили для вас формулировку, которую вы можете использовать:

а) Уровень защищенности персональных данных при их обработке в информационных системах персональных данных: уровни защищенности 3, 4.

б) Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»: назначение лица, ответственного за организацию обработки персональных данных; издание Положения в отношении обработки персональных данных; применение правовых, организационных и технических мер по обеспечению безопасности персональных данных; осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных; ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных; применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; учет машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в ИСПДн; контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

Средства обеспечения безопасности

Здесь необходимо указать технические средства, которые обеспечивают безопасность персональных данных.

Обычно достаточно указать базовые (например: средства антивирусной защиты информации, средства защиты информации от несанкционированного доступа), но если используете что-то еще — лучше добавить.

  • Средства антивирусной защиты информации
  • Средства защиты информации от несанкционированного доступа
  • Средства межсетевого экранирования (фаерволы)
  • Средства криптографической защиты информации (СКЗИ), включая шифрование
  • Средства защиты каналов передачи данных (VPN, TLS/SSL)
  • Средства обнаружения и предотвращения атак (IDS/IPS)
  • Средства контроля и управления доступом пользователей
  • Средства резервного копирования и восстановления данных
  • Средства защиты от вредоносного кода (антивирусы, антишпионские программы)
  • Средства защиты мобильных устройств и носителей информации
  • Средства журналирования и мониторинга действий пользователей
  • Средства идентификации и аутентификации пользователей (например, токены, смарт-карты)
  • Средства ограничения физического доступа к серверам и рабочим станциям

Использование шифровальных (криптографических) средств

Если вы не знаете, используете ли вы шифровальные средства – то лучше укажите, что “не использует”

КАК ПРАВИЛЬНО ПОДАТЬ УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР?

Ответственный за организацию обработки персональных данных

В качестве такого лица может быть указан как работник организации, так и сторонние физические и юридические лица. В зависимости от категории субъекта необходимо заполнить информацию о таком лице.

Имейте в виду, что указанное лицо будет отражено в качестве ответственного в Реестре операторов персональных данных в публичном доступе.

Дата начала обработки персональных данных

В этом поле необходимо указать дату регистрации в качестве ИП, постановки на учет как самозанятого или дату регистрации юридического лица.

Срок или условие прекращения обработки данных

Необходимо выбрать «Условие окончания» и ввести в поле ниже рекомендованную нами формулировку, которая точно подойдет любому Оператору:

Достижение целей обработки персональных данных или прекращение деятельности оператора, в зависимости от того, что наступит раньше

Осуществление трансграничной передачи персональных данных

Трансграничная передача – это когда вы передаете данные иностранному лицу на территорию иностранного государства.

В зависимости от того, осуществляете ли вы трансграничную передачу данных, необходимо выбрать из выпадающего списка «осуществляется» или «не осуществляется».

Если вы не знаете наверняка - укажите, что “не осуществляется”.

Внимание! Если вы отмечаете «осуществляется» имейте в виду, что вам нужно будет также подать уведомление об осуществлении трансграничной передачи.

Сведения о местонахождении базы данных, содержащей персональные данные граждан РФ

КАК ПРАВИЛЬНО ПОДАТЬ УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР?

Необходимо заполнить сведения об используемых базах данных с указанием их местонахождения.

База данных – это, например, 1С: ЗУП или СКУД, здесь вы указываете только те системы, которые вы сами администрируете и технически защищаете.

Если вы используете, например, внешний Яндекс Диск для хранения информации – его здесь отражать не нужно!

Если вы понимаете, что подобных систем у вас нет – укажите одну базу данных, как физическую базу данных «бумажную», которая находится по вашему адресу.

Сведения об организации, ответственной за хранение данных

Введите данные организации, которая осуществляет хранение базы данных.

Сведения об обеспечении безопасности персональных данных

Укажите меры, предпринимаемые оператором, в целях соблюдения требований, установленных Постановлением Правительства от 01.11.2012 №1119.

Рекомендуем заполнить это поле следующим образом:

а) Организационные меры по обеспечению безопасности персональных данных: учет лиц, допущенных к работе с персональными данными, а также назначение ответственных за обеспечение безопасности персональных данных; обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; описание системы защиты персональных данных; обеспечение сохранности носителей персональных данных и средств защиты информации; охрана помещений, в которых ведётся работа с персональными данными; учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним; разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

б) Технические меры по обеспечению безопасности персональных данных: разработка на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией

Отправка формы

После заполнения формы уведомления необходимо проставить галочки в графах “Ознакомился с порядком подачи” и “Я подтверждаю свое согласие…” и нажать кнопку Отправить уведомление и подготовить форму к распечатке» – сформируется код и ключ, которые потребуются для проверки статуса уведомления в дальнейшем.

Уведомление подлежит рассмотрению в течение 30 дней, затем информация об операторе вносится в Реестр:

pd.rkn.gov.ru
Портал персональных данных - Реестр

Статус уведомления можно проверить по ссылке:

pd.rkn.gov.ru
Портал персональных данных - Проверка состояния уведомления (информационного письма)

Прочитали и поняли, что всё равно страшновато сделать это без ошибок?

Уведомление кажется простым — но только на первый взгляд. Важно корректно определить цели, перечень данных, систему защиты и трансграничку, чтобы в случае проверки у вас не было расхождений.

Если вы хотите:

  • сделать не просто “для галочки”, а как надо,
  • избежать ненужных рисков и штрафов,
  • не тратить кучу времени, разбираясь в формулировках,

— приходите к нам. Мы проверим всё вместе с вами и поможем подать уведомление правильно и спокойно.

Источник: https://vc.ru/id1073439/1996808-kak-podat-uvedomlenie-v-roskomnadzor

Вход в личный кабинет организации

-RUNET-----ID-

Если вы уже авторизованы в системе Runet-id, то используйте кнопку «Авторизоваться»

Авторизоваться

Вход под аккуантом Runet-id

Забыли пароль
Регистрация