Уведомление об обработке персональных данных в Роскомнадзор

Уведомление об обработке персональных данных в Роскомнадзор

Информационная безопасность, Персональные данные

В статье разобрали, как правильно подать уведомление об обработке персональных данных в Роскомнадзор.

Законодательная база

Статья 22 ФЗ-152 «О персональных данных» обязывает операторов направлять в Роскомнадзор уведомление до начала обработки персональных данных. Однако закон предусматривает исключения.

Уведомление не требуется, если вы:

  • Работаете с данными в государственных информационных системах безопасности;
  • Обрабатываете данные исключительно без средств автоматизации;
  • Действуете в сфере транспортной безопасности согласно профильному законодательству.

Во всех остальных случаях подача уведомления обязательна.

Порядок подачи уведомления об обработки персональных данных в РКН

Уведомление можно сформировать через  и подать либо в электронном, либо в бумажном виде.

Роскомнадзор принимает уведомления в электронной форме через официальный сайт. Это наиболее эффективный способ.

Действуйте последовательно:

  • Авторизуйтесь через портал Госуслуг через подтвержденную учетную запись.
  • Заполните электронную форму уведомления.
  • Направьте документ в Роскомнадзор.

Альтернативные способы подачи уведомления РКН:

  • Бумажное письмо — направьте заполненную форму в территориальный орган РКН.
  • С ЭЦП — используйте усиленную квалифицированную электронную подпись с предустановленным плагином КриптоПро.

Что обязательно нужно сделать до подачи уведомления в РКН

Не рекомендуем направлять уведомление без предварительной подготовки. Убедитесь, что все указанные сведения соответствуют действительности.

Важно: вы не просто перечисляете меры безопасности в форме заявления, а подтверждаете их фактическую реализацию в организации.

Перед обращением в РКН рекомендуем провести предварительный внутренний аудит обработки персональных данных. Это поможет выявить слабые места, проверить документы и избежать штрафов. Подробнее о методике проведения аудита читайте в нашем материале: «Правовой аудит персональных данных от А до Я».

Мы рекомендуем действовать проактивно и обеспечить полное соответствие ваших процессов законодательным требованиям как до момента подачи уведомления, так и после.

Порядок заполнения сведений в уведомлении об обработке персональных данных

Общие сведения об операторе в уведомлении

Для начала необходимо заполнить общие сведения об операторе персональных данных (тип оператора, наименование, адрес и т.д.). Также необходимо указать регион регистрации заявления и оператора — он соответствует юридическому адресу оператора.

Отмеченные звездочкой поля обязательны для заполнения, без этого не получится отправить уведомление в РКН.

Далее необходимо указать реквизиты оператора, а также регионы обработки персональных данных. Рекомендуем указывать все регионы, в которых обрабатываются персональные данные, в том числе на территорию каких регионов передаются данные.

Обратите внимание: если далее будете сохранять черновик заявления, регионы обработки слетают, и их нужно заполнить заново.

Цели, категории, правовые основания, перечень действий и способ обработки

На следующем этапе необходимо детализировать параметры обработки. Формулировка целей обработки должна точно соответствовать фактической деятельности оператора.

Для каждой цели обработки необходимо последовательно указать:

Категории обрабатываемых данных. Рекомендуется включать все категории персональных данных, которые фактически обрабатываются оператором.

Категории субъектов данных. Указываются группы физических лиц, чьи данные обрабатываются, с указанием характера их взаимоотношений с оператором:

  • работники в рамках трудовых отношений
  • клиенты (абоненты, заемщики, страхователи)
  • контрагенты по гражданско-правовым договорам
  • иные категории субъектов

Правовые основания обработки. Формируется перечень нормативных актов, регламентирующих обработку данных. Важно: ссылаться на конкретные отраслевые законы и положения, а не только на ст. 6 152-ФЗ. Для лицензированных видов деятельности указываются реквизиты лицензии и соответствующие ограничения.

Способы и действия при обработке. Здесь необходимо определить:

  • Тип обработки: автоматизированный, неавтоматизированный или смешанный
  • Конкретные действия с данными (сбор, хранение, уточнение и т.д.)
  • Особенности передачи информации (по внутренним сетям или через интернет)

После заполнения всех параметров для одной цели обработки процедура повторяется для каждой последующей цели. Техническая реализация формы позволяет добавлять неограниченное количество целей обработки с индивидуальными параметрами для каждой.

Меры безопасности персональных данных в уведомлении РКН

В уведомлении необходимо детализировать организационные и технические меры защиты, соответствующие требованиям статей 18.1 и 19 Закона № 152-ФЗ. Эти меры должны обеспечивать защиту данных от неправомерного доступа, уничтожения, модификации, блокирования, копирования или распространения.

Особое внимание следует уделить описанию применяемых шифровальных (криптографических) средств. При их использовании необходимо указать:

  • Конкретные наименования криптографических средств;
  • Класс средств криптографической защиты информации (СКЗИ).

Данные сведения необходимо формировать в соответствии с приказом ФСБ России от 10.07.2014 № 378. Приказ устанавливает состав и содержание мер безопасности при обработке персональных данных с использованием криптографической защиты. Рекомендуем руководствоваться этим нормативным актом для соответствия установленным требованиям защиты для каждого уровня защищенности.

Сведения об ответственном лице в уведомлении РКН

Укажите ФИО физического лица или наименование организации, ответственных за обработку персональных данных. Обязательно предоставьте их контактные данные: номера телефонов, почтовые адреса и e-mail.

Назначение ответственного лица оформляется внутренним приказом оператора в соответствии с требованиями ст. 18.1 ФЗ «О персональных данных».

Дата начала обработки персональных данных в уведомлении Роскомнадзора

Внесите точную дату начала обработки персональных данных (день, месяц, год). Как правило, этой датой считается момент начала фактической деятельности оператора, связанной с обработкой данных, как это зафиксировано в уставных документах.

Срок обработки персональных данных и трансграничная передача в уведомлении ркн

Четко определите срок обработки: укажите конкретную дату её завершения или условие, при котором обработка будет прекращена.

Если осуществляете трансграничную передачу данных, перечислите все иностранные государства, на территорию которых передаются персональные данные.

Важно! Если осуществляете трансграничную передачу персональных данных, то необходимо подать в Роскомнадзор отдельное специальное уведомление. Как это сделать, а также иные тонкости трансграничной передачи персональных данных мы писали в отдельной статье: «Трансграничная передача персональных данных». Рекомендуем ознакомиться по ссылке.

Сведения о месте нахождения базы данных в уведомлении Роскомнадзора

Укажите страну размещения базы данных, содержащей персональные данные граждан РФ, а также конкретные физические адреса её размещения.

Полный перечень требуемых сведений зависит от типа инфраструктуры:

  • Для собственного ЦОД: детализируйте адреса и реквизиты объекта;
  • Для арендуемых мощностей: укажите данные оператора и адреса размещения серверов.

Актуальный список полей отображается в электронной форме Уведомления на Портале персональных данных Роскомнадзора и варьируется в зависимости от выбранной конфигурации.

Как корректно заполнить сведения о базах данных и ЦОД в уведомлении РКН?

При указании сведений о базах данных необходимо:

  • Перечислить все информационные системы, в которых обрабатываются персональные данные: ЭДО, CRM, ERP, CMS, бухгалтерские системы и другие корпоративные платформы.
  • Указать физические адреса размещения серверов для каждой системы. Адрес ЦОДа соответствует фактическому местоположению серверного оборудования.

Для получения точной информации:

  • Запросите официальные данные у владельцев инфраструктуры или cloud-провайдеров
  • Проверьте информацию в договорах на оказание услуг хостинга
  • Используйте только подтвержденные данные с официальных источников

Критически важные моменты:

  • При использовании облачных решений анализируйте юрисдикцию хранения данных и страну размещения серверов.
  • При наличии резервных копий укажите все локации их хранения

Данные должны полностью соответствовать фактической архитектуре хранения и обработки персональных данных в соответствии с ФЗ-152. Расхождения между уведомлением и реальной инфраструктурой могут привести к административной ответственности.

Сведения о доступе в ГИС

Обычному оператору не нужно заполнять сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах. Поэтому данную графу необходимо удалить, иначе не получится отправить заявление.

Сведения об обеспечении безопасности персональных данных в уведомлении Роскомнадзора

При заполнении уведомления оператор обязан указать перечень реализованных мер защиты в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Ключевые аспекты включают:

Система защиты персональных данных. Она должна нейтрализовать актуальные угрозы, определяемые согласно ст. 19 ФЗ «О персональных данных», через организационные и технические меры.

Уровни защищенности. Устанавливаются четыре уровня защищенности в зависимости от:

  • Категорий обрабатываемых данных (специальные, биометрические, общедоступные, иные)
  • Типа актуальных угроз (1-3 тип)
  • Количества субъектов данных

Критически важные требования включают:

  • Обеспечение физической безопасности помещений
  • Контроль доступа к носителям данных
  • Назначение ответственных лиц
  • Ведение электронных журналов безопасности
  • Использование сертифицированных средств защиты информации

Сохранение черновика и направление уведомления в РКН

После заполнения всех разделов рекомендуем сохранить черновик уведомления для проверки корректности внесенных данных. Перед отправкой необходимо:

  • подтвердить согласие с условиями обработки,
  • указать, что уведомление подписывается лицом, действующим без доверенности от имени оператора.

Процедура отправки зависит от выбранного способа подачи:

  • Через ЕСИА — автоматическая отправка после аутентификации,
  • С использованием ЭЦП — подписание документа и загрузка в систему,
  • В бумажном виде — формирование файла для последующей печати и отправки почтой.

После успешной отправки система Роскомнадзора присвоит уведомлению уникальный регистрационный номер и код, позволяющие отслеживать его статус в личном кабинете или через специальные сервисы. Рекомендуется сохранить эти данные для дальнейшего контроля процедуры рассмотрения.

Срок рассмотрения РКН уведомления об обработке персональных данных

Согласно ч. 4 ст. 22 ФЗа «О персональных данных», Роскомнадзор обязан в течение 30 календарных дней с момента получения уведомления:

  • внести указанные сведения в реестр операторов,
  • зафиксировать дату направления уведомления.

Сведения реестра (за исключением информации о средствах обеспечения безопасности) являются общедоступными и размещаются на официальном сайте РКН.

Практические особенности:

  • При корректном заполнении и отсутствии ошибок внесение в реестр обычно происходит значительно быстрее установленного срока.
  • В случае неполного или некорректного заполнения РКН вправе вернуть уведомление на доработку с указанием замечаний. Срок рассмотрения при этом начинается заново с момента повторной подачи.
  • Рекомендуется отслеживать статус обработки уведомления через личный кабинет на портале РКН с использованием присвоенного регистрационного номера.

Важно:

  • Дата начала обработки персональных данных должна соответствовать фактическому моменту начала деятельности.
  • Внесение в реестр не означает проверку содержательной части уведомления — ответственность за достоверность сведений полностью лежит на операторе.
  • Операторам рекомендуется сохранить доказательства подачи уведомления (квитанцию, скриншот личного кабинета) и номер регистрации.

После внесения в реестр необходимо обеспечить актуальность данных: любые изменения в процессе обработки персональных данных требуют своевременного внесения корректировок в уведомление в установленном порядке.

Возникли проблемы с подачей уведомления в РКН — что делать?

С мая 2025 года, после ужесточения штрафных санкций за отсутствие уведомления, многие операторы столкнулись с трудностями при его подаче. Наиболее частые проблемы:

  • Длительное рассмотрение (иногда несколько месяцев) без ответа от РКН;
  • Отказ во внесении в реестр операторов;
  • Сложности с корректным заполнением уведомления.

Рекомендации по решению проблем:

  • При длительном рассмотрении. Если уведомление подано в электронной форме, рекомендуем дождаться ответа — рано или поздно РКН даст обратную связь. При бумажной подаче сроки часто увеличиваются из-за почтовой пересылки и ручной обработки документов.
  • При отказе в регистрации. Роскомнадзор вправе требовать уточнения сведений, если данные неполны или недостоверны. В этом случае необходимо оперативно внести правки и повторно подать уведомление.
  • При сложностях с заполнением. Во избежание ошибок, ведущих к отказам, рекомендуем обратиться к профильным юристам.

Наши специалисты помогут:

  • Провести правовой аудит ваших процессов обработки персональных данных;
  • Корректно определить цели, категории данных и правовые основания;
  • Подготовить и подать уведомление в соответствии с требованиями РКН.

Юристы компании «Итербиум» имеют успешный опыт подачи уведомлений для клиентов из различных отраслей. Мы предлагаем консультации по составлению уведомления, а также проверку готовых документов перед подачей. Вы также можете заказать полное сопровождение процедуры взаимодействия с РКН.

Уведомление о внесении изменений в реестр операторов персональных данных РКН

Согласно требованиям законодательства, оператор обязан информировать Роскомнадзор обо всех существенных изменениях в процессе обработки персональных данных. К таким изменениям относятся:

  • Использование новых баз данных или информационных систем;
  • Разработка и внедрение собственного ПО или мобильных приложений;
  • Начало обработки данных новых категорий субъектов (например, наем сотрудников);
  • Запуск сайта с функцией сбора персональных данных;
  • Изменение целей или правовых оснований обработки.

Сроки уведомления:

  • Об изменениях — до 15 числа месяца, следующего за месяцем их возникновения;
  • О прекращении обработки — в течение 10 рабочих дней с даты прекращения.

Процедура подачи. Уведомления об изменениях и прекращении обработки подаются через официальный сайт РКН в том же порядке, что и первоначальное уведомление. Для этого необходимо:

  • Авторизоваться в личном кабинете оператора;
  • Выбрать соответствующий тип уведомления;
  • Внести актуальные сведения;
  • Подписать и направить документ.

Важные последствия непредставления уведомления:

  • Отсутствие актуальной информации в реестре РКН приравнивается к нарушению закона;
  • Влечет административную ответственность по ст. 13.11 КоАП РФ;
  • Может стать основанием для внеплановой проверки оператора.

Рекомендация: Для исключения рисков рекомендуем:

  • Вести внутренний журнал изменений в процессах обработки ПДн;
  • Своевременно вносить корректировки в уведомление РКН;
  • При значительных изменениях проводить правовой аудит на соответствие 152-ФЗ.

Наши юристы готовы помочь с подготовкой и подачей уведомлений об изменениях, чтобы обеспечить полное соответствие вашей деятельности требованиям законодательства.

Ответственность за отсутствие уведомления об обработке персональных данных в РКН

С 30 мая 2025 года вступили в силу ужесточенные штрафные санкции за нарушения в сфере персональных данных. Согласно ч. 10 ст. 13.11 КоАП РФ, непредставление или несвоевременное представление уведомления в Роскомнадзор влечет:

  • для граждан: штраф от 5 000 до 10 000 рублей;
  • для должностных лиц: штраф от 30 000 до 50 000 рублей (применяется только к должностным лицам государственных и муниципальных органов и учреждений);
  • для юридических лиц: штраф от 100 000 до 300 000 рублей.

Ключевые риски:

Сопутствующие нарушения. Отсутствие уведомления часто свидетельствует о системных проблемах:

  • Несоответствие процессов обработки требованиям 152-ФЗ;
  • Отсутствие документооборота по защите ПДн;
  • Невыполнение требований к безопасности данных.

Кумулятивный эффект штрафов. Регулятор может одновременно привлечь оператора по нескольким частям ст. 13.11 КоАП РФ, что приводит к значительному увеличению общей суммы штрафов. Например, за отсутствие уведомления и несоблюдение требований к безопасности.

Репутационные потери. Включение в реестр нарушителей РКН может повлечь:

  • Потерю доверия клиентов и партнеров;
  • Повышенное внимание регулятора к деятельности компании;
  • Сложности при прохождении проверок.

Важно: Даже при поздней подаче уведомления оператор может снизить риски, демонстрируя добросовестное намерение соблюдать закон. Однако это не освобождает от ответственности за уже совершенные нарушения.

Ключевые выводы и рекомендации

На основании изложенного можно сформулировать следующие ключевые выводы.

  • Уведомление РКН — обязательный правовой инструмент. Подача уведомления является не формальностью, а законодательным требованием, обеспечивающим прозрачность обработки персональных данных. Игнорирование этого требования влечет существенные финансовые и репутационные риски.
  • Сроки и процедуры требуют точности. Закон устанавливает четкие временные рамки.
  • Безопасность данных — приоритет. Меры защиты должны быть не просто перечислены, а реально внедрены. Использование шифровальных средств, соответствие уровням защищенности и регулярный аудит — критически важные элементы комплаенса.
  • Штрафные санкции ужесточены. С мая 2025 года штрафы для юрлиц достигают 300 000 рублей. Отсутствие уведомления часто сопровождается другими нарушениями, создавая кумулятивный эффект финансовых потерь.

Профессиональная поддержка минимизирует риски.

Корректное определение категорий данных, целей обработки и уровня защищенности требует экспертной оценки. Ошибки при заполнении приводят к отказам и штрафам, тогда как привлечение специалистов гарантирует соответствие требованиям регулятора.

Соблюдение требований к уведомлению РКН — не только юридическая обязанность, но и конкурентное преимущество. Это демонстрирует вашу приверженность защите прав субъектов данных и создает основу для доверия клиентов и партнеров. Инвестируйте в профессиональный compliance-сопровождение — это защитит от штрафов и усилит вашу деловую репутацию.

Комплаенс в сфере персональных данных: как избежать рисков с Итербиум

Юридическая компания «Итербиум» специализируется на комплексном решении задач в области digital-комплаенса и защиты персональных данных. Мы помогаем бизнесу не просто реагировать на изменения законодательства, а проактивно выстраивать надежную и законную основу для работы с персональными данными.

Наши ключевые услуги в рамках 152-ФЗ:

  • Юридический аудит документации и процессов обработки ПДн
  • Выявляем соответствие процессов требованиям законодательства и готовим дорожную карту по устранению нарушений.
  • Готовим полный пакет документации в сфере персональных данных
  • Сопровождаем уведомления в Роскомнадзор, а также вносим изменения при трансформации процессов обработки данных.
  • Анализируем законодательство страны партнера и готовим юридическое обоснование для трансграничной передачи данных, которое соответствует требованиям РКН.
  • Защищаем права оператора при проверках Роскомнадзора
  • Представляем ваши интересы в ходе контрольных мероприятий и помогаем минимизировать штрафные риски.

Наши конкурентные преимущества:

  • Глубокие отраслевые знания в сфере информационного и цифрового права и практический опыт успешного прохождения проверок;
  • Индивидуальный подход к каждому клиенту — мы не предлагаем шаблонные решения, а адаптируем сервис под ваши бизнес-процессы;
  • Комплексность услуг: от аудита и документационного сопровождения до защиты в суде.

Если вам нужна консультация по вопросам персональных данных

Для связи пишите в чат обратной связи на сайте либо на электронную почту firma@iterbium.ru или звоните по телефону +7 (499) 113-13-98.

Работаем онлайн!

Если вы находитесь в другом городе или стране — это не проблема. В компании всё организовано для того, чтобы вы могли получать профессиональную помощь юриста в сфере персональных данных.

Подробнее о наших услугах здесь.