Уведомление Роскомнадзора об обработке персональных данных: как подать

Зачем уведомлять Роскомнадзор

Статья 22 ФЗ-152 обязывает оператора до начала обработки персональных данных направить уведомление в РКН. После этого РКН вносит компанию в реестр операторов ПД.

Уведомление — это не разрешение. Это декларация: компания сообщает регулятору о начале работы с ПД.

Кто обязан уведомлять

Практически любая организация или ИП, которые:

• собирают заявки через сайт;
• ведут CRM;
• используют формы обратной связи;
• хранят данные клиентов или сотрудников;
• запускают email-рассылки;
• используют аналитику с идентификацией пользователей.

Кто освобождён от уведомления

Исключения:

• Данные сотрудников (только в рамках трудовых отношений)
• Исполнение договора (данные стороны договора, необходимые для его исполнения)
• Общедоступные данные из публичных источников
• Единичные данные (ФИО + контакт одного лица без базы)

Как подать уведомление

Уведомление подаётся через портал Роскомнадзора: pd.rkn.gov.ru.

Подать можно:

• через Госуслуги;
• с электронной подписью;
• на бумаге по почте.

Что указывается в уведомлении

Обычно заполняются:

• реквизиты компании или ИП;
• цели обработки ПД;
• категории субъектов (клиенты, сотрудники, подрядчики);
• категории персональных данных;
• перечень действий с ПД;
• меры защиты;
• информация о трансграничной передаче;
• сведения об ответственном за обработку ПД.

Пошаговая инструкция по заполнению

Шаг 1. Определите цели обработки

Например:

• обработка заказов;
• кадровый учёт;
• рассылка уведомлений;
• ведение CRM.

Шаг 2. Опишите категории данных

Обычно:

• ФИО;
• email;
• телефон;
• адрес;
• IP-адрес;
• cookie.

Шаг 3. Укажите категории субъектов

Например:

• клиенты;
• сотрудники;
• соискатели;
• представители контрагентов.

Шаг 4. Проверьте трансграничную передачу

Если используются иностранные сервисы (Google Workspace, Notion, Slack, Zoom и др.) — это может считаться трансграничной передачей.

Шаг 5. Отправьте уведомление и сохраните подтверждение

После подачи:

• сохраните копию уведомления;
• зафиксируйте дату отправки;
• проверьте включение в реестр операторов ПД.

Когда нужно обновлять сведения

Изменения подаются в течение 10 рабочих дней, если:

• изменились цели обработки;
• появился новый сайт или CRM;
• добавились новые категории ПД;
• изменился ответственный;
• началась трансграничная передача;
• изменилась информация о мерах защиты.

Типичная ошибка бизнеса

Небольшой интернет-магазин подключил:

• форму заказа;
• CRM;
• email-рассылку;
• онлайн-чат.

Компания считала, что уведомление РКН не требуется, потому что данные нужны «только для обработки заказов». Во время проверки выяснилось, что CRM используется и для маркетинга, а значит обработка выходит за пределы исключения из статьи 22 ФЗ-152.

Результат:

• предписание устранить нарушение;
• штраф;
• необходимость срочно оформлять документы и обновлять процессы.

Ответственность за отсутствие уведомления

| Нарушение | Штраф | |---|---| | Отсутствие уведомления РКН | до 100 000 ₽ | | Неактуальные сведения в реестре | до 50 000 ₽ | | Повторное нарушение | выше при повторности и совокупности нарушений |