Как подать уведомление в Роскомнадзор об обработке персональных данных
Если у вас есть хотя бы один сотрудник, или вы собираете контактные данные клиентов через сайт, соцсети, заявки или мессенджеры — вы обрабатываете персональные данные. А значит, обязаны подать уведомление в Роскомнадзор.
Важно понимать: даже если вы ИП или самозанятый — это не освобождает от ответственности. Закон 152-ФЗ «О персональных данных» касается всех, кто каким-либо образом взаимодействует с данными физических лиц: ФИО, телефоны, email, адреса, фотографии, паспортные данные и т.д.
Вот несколько реальных примеров, когда уведомление обязательно:
При приеме сотрудников на работу
При регистрации клиентов в программе лояльности
При проведении маркетинговых активностей
При использовании любых онлайн-форм с полями «имя», «телефон», «email»
Если вы узнали в этом свой бизнес — значит, уведомление подать нужно. И лучше сделать это до того, как вы получите штраф.
Штраф до 30 мая 2025 года
Штраф с 30 мая 2025 года
За неуведомление о намерении обрабатывать личную информацию грозит штраф:упомянутым должностным лицам – от 30 тыс. до 50 тыс. руб.;ИП и компаниям – от 100 тыс. до 300 тыс. руб.Такие же наказания установят для тех, кто известил Роскомнадзор несвоевременно.
Важно: если вас уже оштрафуют один раз, вы автоматически попадаете под регулярный надзор Роскомнадзора, и в будущем он может запросить:
Локальные акты и приказы о защите данных
Назначение ответственного по работе с ПДн
Документы по технической защите информации
Политику конфиденциальности и согласия на сайте
Чтобы избежать всех этих головных болей — проще и дешевле подать уведомление сейчас.
Роскомнадзор предлагает три способа заполнения и отправки уведомления: в бумажном виде или с использованием с использованием электронной подписи или при помощи авторизации через Госуслуги. Последний самый удобный, так как не требует дополнительных действий или выпуска ЭЦП (если у вас ее нет).
Перейти к форме
Типовые положения об обработке
и защите персональных данных
Внутренние приказы
Политика конфиденциальности
и другие материалы
Типовые положения об обработке и защите персональных данных
Внутренние приказы
Политика конфиденциальности и т.д.
В самом начале нужно выбрать тип уведомления: первичное (если подаёте впервые) или корректирующее (если вносите изменения).
В этом разделе необходимо указать основную информацию о вас или вашей организации — это первая часть уведомления, с которой начинается заполнение формы. Здесь важно быть максимально точным и внимательным, ведь на основании этих данных Роскомнадзор идентифицирует оператора персональных данных. Указываются такие сведения, как полное Наименование компании или ФИО (если вы ИП), ИНН, ОГРН, Адрес, Контактные данные, и другая идентифицирующая информация.
Регионы обработки — это те территории, где вы фактически работаете с персональными данными. Например, офисы или филиалы, где хранятся или обрабатываются данные сотрудников или клиентов.
Можно указать несколько регионов или сразу всю Российскую Федерацию — это не считается нарушением. Главное — не путать с регионами, откуда ваши клиенты или сотрудники. Речь идёт именно о местах, где вы ведёте обработку данных.
В следующем разделе уведомления нужно указать каждую отдельную цель, с которой вы планируете обрабатывать персональные данные. Это один из самых важных блоков, поэтому стоит подойти к нему внимательно.
Важно: в одном поле — только одна цель обработки. Если вы, например, ведёте кадровый учёт, заключаете договоры с клиентами и организуете пропускной режим в офис — это уже три отдельные цели, и для каждой из них нужно будет заполнить информацию отдельно.
На портале Роскомнадзора есть справочник с более чем 30 типовыми целями. Вы можете выбрать подходящие из списка или ввести свою — если деятельность специфическая.
Некоторые процессы можно объединить в одну цель, если они логически связаны. Например, всё, что касается трудовых отношений: оформление сотрудника, занесение его данных в CRM или 1С, передача данных в банк для начисления зарплаты — это можно оформить как одну цель: «исполнение трудовых отношений».
После указания цели, для каждой из них нужно обязательно прописать:
Пример: если вы подбираете персонал, то категории данных могут быть:
А Категория субъектов — «кандидаты на трудоустройство».
Чем точнее вы укажете цели и соответствующие категории, тем меньше вероятность, что у Роскомнадзора появятся вопросы при проверке.
Чтобы упростить задачу — мы уже собрали типовые цели обработки персональных данных под самые распространённые сценарии: работа с сотрудниками, клиентами, подрядчиками, онлайн-продажами, заявками с сайта и многое другое.
Вам не нужно разбираться во всех формулировках и юридических нюансах — просто выберите подходящие варианты из нашего списка и подставьте в уведомление.
Обработка персональных данных может осуществляться тремя способами: автоматизированным, неавтоматизированным или смешанным. При заполнении уведомления этот способ нужно указывать отдельно для каждой цели обработки.
На практике полностью автоматизированную обработку используют далеко не все — почти всегда присутствуют элементы ручной работы с документами. Поэтому самым универсальным и безопасным вариантом будет указать смешанный способ обработки по всем целям.
Также в уведомлении важно указать, каким образом происходит передача данных:
Эта информация помогает определить уровень требований к защите данных, поэтому лучше сразу указать всё корректно.
Меры, предусмотренные законом
Согласно требованиям статей 18.1 и 19 Федерального закона 152-ФЗ, оператор должен принять необходимые организационные и технические меры для защиты персональных данных. В уведомлении указывается, какие именно меры реализованы, например:
Также нужно отметить, используются ли шифровальные (криптографические средства) для защиты информации — если применяются, это обязательно указывается.
Если вы не уверены, какие меры безопасности указать — в нашем Telegram-боте есть готовый список типовых мер. Вы можете скачать их по соответствующей кнопке внутри бота
Далее в уведомлении нужно указать данные физического лица, которое назначено ответственным за организацию обработки персональных данных. Это может быть сам руководитель организации или другой сотрудник. Указываются ФИО, адрес, телефон и email — эти данные необходимы для связи и внутреннего учёта.
Также обязательно нужно заполнить информацию о сроках обработки персональных данных: дату начала обработки персональных данных и срок или условие прекращение обработки данных.
В условиях прекращения обработки данных допускаются типовые формулировки:: - по требованию субъекта персональных данных прекратить обработку; -по требованию Роскомнадзора об уничтожении незаконно полученных данных; - при выявлении неправомерной обработки; - при отзыве согласия субъектом; - при достижении целей обработки или утрате необходимости в них; - по истечении сроков хранения, установленных законом; - при прекращении деятельности ИП / организации.
Эти условия можно указать все вместе — так вы охватите все возможные основания прекращения обработки.
В уведомлении есть отдельный блок — «Сведения о местонахождении базы данных», в котором необходимо указать, где физически хранятся персональные данные граждан РФ.
Это крайне важный раздел, так как по закону все базы данных, содержащие персональные данные россиян, должны находиться на территории Российской Федерации.То есть, если вы используете облачные сервисы, хостинг, CRM или любую платформу, которая хранит данные — вы должны убедиться, что их серверы (ЦОДы) физически расположены в России.Если данные хранятся за пределами РФ, это считается нарушением статьи 18.1 закона 152-ФЗ и может повлечь за собой серьёзные последствия:
Поэтому:
Например, если вы пользуетесь платформой Тейка, вы можете быть уверены, что персональные данные ваших клиентов хранятся в России, в сертифицированном дата-центре, который соответствуют требованиям ФЗ-152. А по вашему запросу наша служба поддержки предоставит вам все необходимые данные о ЦОД для корректного заполнения уведомления в Роскомнадзор.
Тейка — это онлайн-сервис для создания программ лояльности для малого и среднего бизнеса. Мы помогаем автоматизировать работу с клиентами: начислять бонусы, запускать акции и реферальные программы, внедрять Telegram-ботов и карты в Wallet, собирать отзывы, повышать рейтинг на картах, анализировать эффективность — и при этом соблюдать закон.
Наши решения полностью соответствуют требованиям Федерального закона №152-ФЗ о персональных данных:
Все онлайн-формы и анкеты автоматически включают корректные политики конфиденциальности и формы согласия на обработку персональных данных, оформленные в соответствии с требованиями 152-ФЗ.
Данные хранятся на сертифицированных серверах на территории РФ, соответствующих требованиям Федерального закона №152-ФЗ, Постановления Правительства №1119 и приказа ФСТЭК по уровню защищённости УЗ-1, а также соответствует международным стандартам информационной безопасности — включая ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 и ISO 27701.
Мы уделяем особое внимание юридической стороне, чтобы вы могли развивать бизнес спокойно и без лишних рисков.
