Как уведомить Роскомнадзор об обработке персональных данных: пошаговая инструкция

Главная / Советы / Уведомление в Роскомнадзор

Даем пошаговую инструкцию

Все компании и ИП обрабатывают персональные данные физлиц — сотрудников, клиентов, ответственных лиц контрагентов. А значит они являются операторами персональных данных и обязаны оповестить Роскомнадзор о начале их обработки. Штрафы за отсутствие такого оповещения с 30 мая 2025 года сильно выросли. Так что ловите пошаговую инструкцию, чтобы избежать лишних расходов.

Эксперты — Светлана Кузеванова, медиаюрист, автор телеграм-канала «Кузеванова рассказывает», и Михаил Хохолков, медиаюрист, автор телеграм-канала «МедиаПраво». Записалa Светлана Сёмина, практикующий бухгалтер, кадровик, автор и редактор текстов для бухгалтерских порталов.

Кто обязан подавать уведомление

Когда оператор персданных должен уведомлять Роскомнадзор о начале обработки данных — ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Все юридические лица и индивидуальные предприниматели, которые осуществляют обработку персональных данных, обязаны сообщить об этом в Роскомнадзор (РКН). Исключения, по закону, такие:

если обработка персональных данных идет без использования средств автоматизации. Например, когда учетная информация не вносится в бухгалтерские программы, вся отчетность сдается только на бумаге. Документы сотрудников хранятся на бумаге в виде ксерокопий, которые они вам принесли при трудоустройстве;
сбор данных идет для транспортной безопасности. Основной пример — когда сотрудник ГИБДД берет данные нарушителей и заносит их в протокол. Или сотрудник РЖД проверяет данные о пассажирах поезда;
персональные данные вносятся в государственные информационные системы. Например, информация о собственниках недвижимости, которая обязательно отражается в ЕГРН.

Очевидно, что исключения касаются довольно маленького количества ситуаций и почти весь бизнес и организации обязаны уведомление в РКН. Даже если вы запрашиваете информацию о сотрудниках, которая нужна для приема на работу, выплаты зарплаты и сдачи отчетности (ИНН, паспортные данные, СНИЛС и прочее), направлять уведомление о начале обработки персданных все равно надо.

Пример

У ИП Сидорова всего 2 сотрудника. Он работает в небольшом поселке и ведет учет по старинке, только на бумаге. Персональные данные о клиентах он записывает в личном блокноте. Значит, ему не надо подавать уведомление в Роскомнадзор о начале обработки персональных данных. Если Сидоров захочет все автоматизировать и вести учет в электронном формате, ему надо будет подать уведомление в РКН.

Как заполнить уведомление в Роскомнадзор

Уведомление заполняется по форме из Приложения № 1 к приказу Роскомнадзора от 28.10.2022 № 180

Заполнить уведомление можно в электронном виде. Правда, для этого понадобится подтвержденная учетная запись на Госуслугах и КриптоПро ЭЦП Browser plug-in. Заполнять форму может лично индивидуальный предприниматель — либо ответственный за работу с персональными данными, если это компания или организация.

В начале уведомления указываются общие сведения об операторе персональных данных (то есть вашем бизнесе). Это наименование организации или ФИО предпринимателя, а также ИНН, ОГРН и адрес:

Далее понадобится указать цели обработки данных. Ориентироваться нужно на все, что будет происходить с персональными данными после сбора — нужны ли они вам для рассылок и продаж, или это данные сотрудников, которые нужны для кадрового учета, или что-то еще. Полный выпадающий список такой:

Следующий пункт — перечень персональных данных. Перечислите, какие именно данные вы собираете и обрабатываете (например, Ф.И.О., адреса, телефоны, паспортные данные и т. д.). Обратите внимание: если целей несколько, то для каждой из них надо указать категорию данных и субъектов, чьи данные будут собираться.

Среди категорий данных есть биометрические: главное, что нужно помнить о них — это то, что ответственность за их утечку сильно тяжелее, чем за утечку, например, номеров телефонов.

Пример формулировок для заполнения уведомления

У ИП Козлова все клиенты — другие предприниматели и юридические лица. Ему нужно подать уведомление в РКН о том, что он будет собирать их данные для заключения сделок. Вот что Козлову нужно прописать в уведомлении:

Цели обработки данных: Формирование базы контрагентов для заключения и исполнения договоров

Категории персональных данных: Ф.И.О., дата и место рождения, адрес регистрации и (или) фактического проживания, ИНН, номер телефона, адрес электронной почты и иные данные, кроме специальных категорий персональных данных и биометрических персональных данных

Наконец, нужно указать, чьи именно данные будут собираться. Варианты такие:

Отдельный пункт — правовое основание обработки данных. В большинстве случаев выбирать можно сразу первое — «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных»‎.

Спойлер: вам конечно нужно будет запрашивать такие согласия.

Следующая часть — техническая информация. Для начала о том, что именно будете делать с персональными данными:

Чаще всего достаточно указать сбор, хранение, использование и удаление, но иногда нужно предусмотреть и другие действия — например, если будете уточнять и обновлять данные. Помните, что в случае изменения перечня действий (как и многих других пунктов) нужно будет подавать новое уведомление.

Далее прописываем:

методы обработки персональных данных. Необходимо указать, используете ли вы автоматизированные системы для обработки данных или осуществляете смешанный сбор, например, в бумажной и электронной форме. Например, компания ведет бухучет в 1С, но там нет раздела для воинского учета. Поэтому эта часть ведется на бумаге;
ответственного за обработку данных. Обычно это директор или другое ответственное лицо. Укажите полное ФИО, адрес, контактный номер телефона и почту для связи;
безопасность персональных данных. Пропишите все о том, как защищаются данные: какие это программы и другие меры информационной безопасности;
дату начала обработки данных, а также срок или условие прекращения обработки.

Скачать образец заполнения уведомления в Роскомнадзор

Как и когда подать уведомление

Как мы уже сказали выше, подать уведомление в Роскомнадзор можно:

электронно через сайт РКН. Для этого нужна усиленная электронная подпись или подтвержденная учетная запись на Госуслугах;
на бумаге лично в Роскомнадзор. Адрес ближайшего отделения ведомства можно посмотреть на сайте РКН.

Уведомление о начале работы с персданными подается в Роскомнадзор до начала обработки. Если вы только планируете начать бизнес, лучше это сделать прямо в день регистрации бизнеса. Дело в том, что на практике момент начала обработки данных — это момент регистрации компании или ИП. То есть дата начала обработки ПД фактически совпадает с датой регистрации в ЕГРИП или в ЕГРЮЛ.

Что будет дальше

Сроки рассмотрения заявления — п. 4 ст. 22 закона «О персональных данных»

Роскомнадзор рассматривает заявление в течение 30 дней. После этого, если все заполнено верно, вносит компанию или ИП в реестр операторов персональных данных.

Узнать, внесли ли вас в реестр, просто. Введите ИНН или наименование компании/ФИО предпринимателя и проверьте информацию.

Обратите внимание! Если цели обработки данных изменились или добавились новые, то надо подать уведомление об изменении сведений в РКН. Срок — не позднее 15 числа следующего месяца, в котором произошли изменения.

Что будет, если не подать уведомление?

Штраф за неподачу уведомления в РКН — ч. 10 ст. 13.11 КоАП РФ

Основное заблуждение многих бизнесменов: если я не подал уведомление о начале обработки персданных, то Роскомнадзор обо мне не знает. Не стоит так думать.

РКН — это ведомство, которое контролирует все, что связано со связью, информационными технологиями и массовыми коммуникациями. У него есть доступ к данным интернет-операторов, системам ФНС и других госорганов. Например, вы не подаете уведомление, но однажды подключаете ЭДО и начинаете сдавать отчетность онлайн. Или получили данные о контактных лицах контрагента по e-mail. Если РКН отследит такие операции, это расценят как запись персональных данных на компьютер с использованием средств автоматизации. Без уведомления РКН это обернется штрафом.

Сразу после обнаружения нарушения, если оно совершено впервые, ИП или компанию не оштрафуют. Если Роскомнадзор выявит, что есть компания, которой нет в реестре, то сначала направит запрос-требование. В нем будет указано примерно следующее: "Уважаемый предприниматель, сообщите, пожалуйста, на каком основании вы не подавали уведомление?". Если оснований нет, но после требования сразу подать уведомление, можно отделаться предупреждением. Но если проигнорировать требование или ответить, но уведомление не подавать, последует штраф.

С 30 мая 2025 года штрафы за неподачу уведомления увеличились: об этом мы писали в отдельной статье. Теперь, если оператор начнет обрабатывать данные о физлицах без уведомления, то его оштрафуют на сумму: