Заявление в Роскомнадзор об обработке ПДн: пошаговое руководство по подаче

Кто обязан подавать уведомление в Роскомнадзор об обработке ПДн?

Обязанность уведомить Роскомнадзор распространяется на всех операторов персональных данных, вне зависимости от организационно-правовой формы и масштаба бизнеса. Под это требование попадают юридические лица, индивидуальные предприниматели, а также физические лица, которые самостоятельно или с привлечением третьих сторон осуществляют сбор, хранение, использование или передачу ПДн.

Иными словами, если ваш бизнес работает с данными клиентов, сотрудников или контрагентов, то с высокой долей вероятности вы являетесь оператором ПДн и обязаны встать на учет в реестре РКН.

Вместе с тем статья 22 Федерального закона № 152-ФЗ предусматривает исключения, при которых подавать уведомление не требуется:

• Обработка ПДн без средств автоматизации, то есть исключительно на бумажных носителях, без использования компьютеров и информационных систем.
• Обработка в целях транспортной безопасности, в случаях, прямо предусмотренных профильным законодательством.
• Обработка ПДн, включенных в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка. Речь идет о специализированных базах данных, которые ведут и используют правоохранительные органы и иные уполномоченные государственные структуры в рамках своих законных полномочий.

Способы подачи уведомления в РКН

Закон предусматривает несколько способов подачи уведомления в РКН. Разберем каждый из них подробно, чтобы вы смогли выбрать оптимальный вариант для вас.

1. Электронная форма на портале Роскомнадзора
   Один из популярных способов — подача уведомления через официальный портал Роскомнадзора (pd.rkn.gov.ru). Пользователь заполняет электронную форму, указывая необходимую информацию о себе и характере обработки ПДн. Такой способ обеспечивает быструю отправку и автоматизированное подтверждение получения уведомления. Готовое уведомление подписывается усиленной квалифицированной электронной подписью руководителя или уполномоченного лица и направляется в территориальный орган РКН по месту регистрации оператора.
2. Через портал Госуслуг
   Альтернативным электронным способом является подача уведомления через профиль компании на портале Госуслуг. Авторизация осуществляется с использованием учетной записи организации, после чего заполняется соответствующая форма. Для подачи уведомления таким способом необходимо наличие подтвержденной учетной записи на портале.
3. Почтовое отправление
   Если по каким-либо причинам электронная форма не подходит, оператор может подготовить комплект документов и отправить их заказным письмом по адресу территориального органа Роскомнадзора. В таком случае необходимо удостовериться, что все документы соответствуют требованиям и содержат подпись уполномоченного лица.

Какое содержание должно быть в уведомлении о работе с ПДн?

Согласно части 3 статьи 22 Федерального закона № 152-ФЗ «О персональных данных», уведомление должно включать следующие сведения:

1. Наименование и адрес оператора. Именно по этим данным Роскомнадзор идентифицирует оператора и вносит его в реестр.
2. Цели обработки персональных данных. Необходимо указать, для чего конкретно оператор обрабатывает ПДн: трудоустройство сотрудников, исполнение договоров с клиентами или маркетинговые рассылки. Размытые формулировки, наподобие «в целях деятельности компании», могут вызвать претензии со стороны регулятора.
3. Категории персональных данных. Перечень видов данных, которые обрабатываются: фамилия, имя, отчество, дата рождения, контактные данные, сведения об образовании, биометрические данные и т.д. Чем точнее перечень, тем меньше рисков при проверке РКН.
4. Категории субъектов персональных данных. Кто именно является субъектом: работники, клиенты, контрагенты, посетители сайта.
5. Правовое основание обработки. Указывается норма закона, договор или согласие субъекта, на основании которых ведется обработка. Это один из ключевых элементов: без надлежащего правового основания любая обработка ПДн является незаконной.
6. Перечень действий с ПДн и способов их обработки. Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование или удаление — нужно указать только те действия, которые реально осуществляются оператором. Помимо этого, для каждой цели обработки указывается способ ее осуществления: автоматизированный, неавтоматизированный или смешанный. Например, обработка ПДн клиентов в CRM-системе будет относиться к автоматизированному способу, тогда как ведение бумажных личных дел сотрудников — к неавтоматизированному.
7. Описание мер по обеспечению безопасности. Организационные и технические меры, принятые для защиты ПДн: разграничение прав доступа, шифрование, антивирусная защита, инструктаж сотрудников и пр. Этот пункт демонстрирует регулятору, что оператор подходит к защите данных ответственно.
8. ФИО и контакты лица, ответственного за организацию обработки ПДн. Как правило, это сотрудник или должностное лицо, назначенное приказом руководителя.
9. Дата начала обработки персональных данных. Указывается фактическая или планируемая дата, с которой оператор приступает к обработке ПДн.
10. Сведения о наличии или отсутствии трансграничной ПДн. Если персональные данные передаются за рубеж, необходимо указать перечень стран-получателей. В случае передачи в государства, не обеспечивающие надлежащий уровень защиты, потребуется соблюдение дополнительных требований.
11. Сведения об обеспечении безопасности ПДн. Указывается, какой уровень защищенности информационных систем обеспечен оператором в соответствии с Постановлением Правительства РФ № 1119.
12. Срок или условие прекращения обработки ПДн. Оператор обязан указать конкретный срок либо условие, при наступлении которого обработка ПДн будет прекращена. Например, для ПДн сотрудников таким условием может служить истечение срока хранения документов согласно номенклатуре дел, а для данных клиентов — исполнение договора и истечение срока исковой давности.
13. Сведения о месте нахождения базы данных. Операторы, осуществляющие сбор ПДн граждан РФ, обязаны указать, где именно располагаются базы данных, в которых хранятся эти сведения. Требование об обязательном размещении таких баз на территории России закреплено в статье 18 Федерального закона № 152-ФЗ.

Как уведомить РКн о начале работы с ПДН?

Прежде чем подавать уведомление, убедитесь, что ваша организация еще не внесена в реестр операторов персональных данных. Роскомнадзор ведет этот реестр в открытом доступе. Он размещен на официальном сайте регулятора по адресу rkn.gov.ru.

Проверить наличие в реестре можно за несколько минут:

• Перейдите на специализированный портал для работы с персональными данными по веб-адресу: pd.rkn.gov.ru
• В разделе «Реестр операторов» воспользуйтесь поиском по ИНН, ОГРН, наименованию организации или ФИО физического лица.
• Если ваша компания найдена в реестре — значит, уведомление уже было подано ранее (возможно, предыдущим руководством или при регистрации юридического лица). В этом случае нужно не подавать новое уведомление, а проверить актуальность сведений и при необходимости направить уведомление об изменении.
• Если в реестре вас нет, действуйте по инструкции ниже.

Пошаговый порядок подачи уведомления

Уведомление о намерении осуществлять обработку персональных данных подается в территориальный орган Роскомнадзора по месту регистрации оператора. Сделать это можно одним из способов, перечисленных нами выше. На практике подавляющее большинство операторов выбирают электронный формат, так как он быстрее, удобнее и исключает риск потери документов.

Шаг 1. Подготовьте сведения об организации и обработке данных
До заполнения формы соберите всю необходимую информацию: цели обработки ПДн, категории субъектов и данных, перечень действий, правовые основания, сведения об ответственном лице и принятых мерах защиты. Именно эти данные лягут в основу уведомления, и именно по ним регулятор будет оценивать вашу деятельность при проверке.

Шаг 2. Зайдите на портал Роскомнадзора или Госуслуги
Если вы выбрали подачу через сайт РКН: перейдите на pd.rkn.gov.ru и выберите раздел «Подать уведомление». Авторизация на портале не требуется, форма доступна без регистрации. Вам предстоит заполнить поля, проставить необходимые галочки и внести текстовые сведения об обработке ПДн.
Если вы выбрали подачу через Госуслуги: авторизуйтесь в личном кабинете организации через ЕСИА. Потребуется подтвержденная учетная запись юридического лица. После входа найдите соответствующую услугу и перейдите к заполнению формы уведомления.

Шаг 3. Заполните электронную форму уведомления
Форма уведомления структурирована и содержит все обязательные поля в соответствии с частью 3 статьи 22 Федерального закона № 152-ФЗ. Заполняйте каждый раздел точно и в полном объеме. Неполные или противоречивые сведения могут стать основанием для отказа во внесении в реестр или претензий при проверке.

Шаг 4. Подпишите и отправьте уведомление
Электронное уведомление подписывается усиленной квалифицированной электронной подписью уполномоченного лица, в качестве которого, как правило, выступает руководитель организации. После отправки система присваивает уведомлению регистрационный номер. Его необходимо сохранить: он потребуется для последующих обращений в Роскомнадзор.

Шаг 5. Дождитесь внесения в реестр
После проверки сведений Роскомнадзор вносит оператора в реестр. Законом на это отведено до 30 дней с момента получения уведомления. На практике процедура нередко занимает меньше времени, однако начинать обработку персональных данных следует только после получения подтверждения о регистрации.

Образец уведомления о работе ПДн

Роскомнадзор разработал официальную форму уведомления и разместил ее для всех пользователей на своем портале. Именно она является действующим образцом для заполнения, использование других форм не допускается.

Несмотря на то, что данный шаблон может выглядеть удобным и понятным, перед его заполнением мы рекомендуем провести детальный правовой аудит вашей компании.

Это позволит:

• точно определить, какие данные и на каких основаниях обрабатывает ваша компания;
• выявить зоны риска до того, как их обнаружит регулятор;
• заполнить уведомление корректно и с правильными формулировками;
• привести внутреннюю документацию в соответствие с тем, что заявлено в реестре РКН.

  

  Уведомление, поданное без предварительного аудита, нередко не соответствует реальной картине обработки ПДн, а именно это регулятор проверяет в первую очередь. Детальный анализ всех процессов позволяет устранить внутренние противоречия в документации и сформулировать сведения так, чтобы они выдержали любую проверку РКН. Эксперты из нашей компании обладают большим опытом в проведении услуги комплексного аудита. Обратитесь к нам, чтобы обезопасить свой бизнес от штрафов на долгие годы.

Сроки подачи уведомления в Роскомнадзор

Часть 1 статьи 22 Федерального закона № 152-ФЗ строго устанавливает: оператор обязан направить уведомление в Роскомнадзор до начала обработки персональных данных. Оно должно быть подано не в день начала работы с ПДн, а именно заблаговременно, то есть до того, как первые данные будут собраны, записаны или использованы.

На практике это означает следующее: если ваша компания разместила на сайте форму заявки, начала принимать резюме от соискателей или заключила первый договор с клиентом, то обработка персональных данных уже началась. И если уведомление к этому моменту не подано, то вы уже совершили нарушение.

Целесообразно ориентироваться на срок рассмотрения уведомления РКН: как мы писали выше, он составляет 30 календарных дней. В связи с чем рекомендуем направлять уведомление с учетом данного срока — то есть не менее чем за 30 календарных дней до панируемой даты начала обработки ПДн.

Кроме того, законодатель обязывает оператора поддерживать актуальность сведений в реестре Роскомнадзора на протяжении всей деятельности по обработке ПДн. Если в работе компании произошли изменения, затрагивающие ранее заявленные сведения, оператор обязан уведомить РКН не позднее 15-го числа месяца, следующего за месяцем, в котором такие изменения возникли. Например, если компания в марте сменила адрес или расширила перечень обрабатываемых категорий ПДн, соответствующее уведомление должно быть направлено не позднее 15 апреля.

Штрафы за неподачу уведомления

С 30 мая 2025 года вступили в силу масштабные поправки в статью 13.11 КоАП РФ, кардинально изменившие размер санкций за нарушения в сфере персональных данных.
Актуальные размеры штрафов

За неподачу уведомления об обработке персональных данных или представление недостоверных сведений в Роскомнадзор предусмотрена ответственность по статье 13.11 КоАП РФ:

Помимо штрафа за неподачу уведомления, параллельно могут быть выявлены и другие нарушения, такие как отсутствие политики в отношении ПДн, ненадлежаще оформленное согласие субъектов или отсутствие технических мер защиты. Каждое из них образует самостоятельный состав правонарушения со своими санкциями. Совокупные штрафы для среднего бизнеса по итогам одной проверки легко исчисляются миллионами рублей.

Уведомление РКН о начале работы с ПДн является обязательным шагом, который требует внимательного подхода. Ошибки в формулировках, неактуальные сведения или нарушение сроков подачи могут обернуться штрафами. Если вы хотите быть уверенным в том, что все сделано правильно, рекомендуем обращаться к профессионалам. Эксперты из нашей команды готовы помочь вам на каждом этапе.

Поделиться в социальных сетях:

Андрей Лихачев

Руководитель компании

14 лет опыта

Более 400 выигранных дел

Автор статьи

120 публикаций на сайте

Подробнее о специалисте