Как подать уведомление в Роскомнадзор об обработке персональных данных: пошаговая инструкция на 2025 год

Все операторы, планирующие сбор и обработку персональных данных — будь то компании ЮЛ, ИП и даже самозанятые  — обязаны уведомить Роскомнадзор до начала работы с личной информацией. Это требование федерального закона № 152-ФЗ направлено на защиту прав и свобод граждан, а невыполнение процедуры чревато серьёзными штрафами, блокировками сервисов и репутационными потерями. Уведомление в РКН не только подтверждает вашу законность, но и демонстрирует партнёрам и клиентам приверженность стандартам информационной безопасности, повышая доверие к вашему проекту или компании.

Кто обязан подавать уведомление

Уведомление в Роскомнадзор должны подавать:

• Организации, обрабатывающие персональные данные сотрудников, клиентов, контрагентов и других физических лиц.

• Индивидуальные предприниматели и самозанятые, если они обрабатывают персональные данные своих клиентов или сотрудников.

Исключения из этого правила предусмотрены частью 2 статьи 22 Федерального закона № 152-ФЗ. Однако с 1 сентября 2022 года большинство таких исключений утратили силу, и подавляющее большинство операторов обязаны уведомлять Роскомнадзор о начале обработки персональных данных.

Закон позволяет направить уведомление в Роскомнадзор тремя способами:

1. Заполнить электронную форму, распечатать её и доставить в управление Роскомнадзора любым удобным способом.

2. Оформить и отправить уведомление непосредственно на портале Роскомнадзора с помощью электронной подписи.

3. Сформировать и передать документ через портал Госуслуг.

Обратите внимание: на портале РКН нельзя сохранять черновики, а время сеанса ограничено. Поэтому перед тем как приступать к онлайн-заполнению, заранее подготовьте все необходимые сведения — прервать процедуру и вернуться к ней позже не получится.

Этапы подготовки уведомления:

⫸Назначьте ответственного сотрудника.
Издайте внутренний приказ о назначении ответственного за обработку персональных данных и внесите его данные в текст уведомления.

⫸ Определите цели и категории данных.
В приказах чётко пропишите, зачем собираются персональные данные и какие именно категории информации вы обрабатываете.

⫸ Разработайте и согласуйте политику обработки персональных данных.
Убедитесь, что положения политики полностью соответствуют тем сведениям, которые вы будете указывать в уведомлении — расхождений быть не должно.

⫸ Проведите аудит сайта по следующему чек-листу:

1. Какие данные и через какие формы собираются у посетителей;

2. Наличие согласий на обработку в электронных формах;

3. Размещение политики конфиденциальности;

4. Использование аналитических и метрик-сервисов.

⫸ Проверьте средства защиты информации.
Удостоверьтесь, что все рабочие станции и серверы, на которых обрабатываются персональные данные, оснащены актуальными средствами безопасности, и зафиксируйте эту информацию для уведомления.

⫸ Соберите данные о сторонних сервисах.
Для каждого облачного хостинга, системы электронной отчётности или другого стороннего провайдера укажите его название, владельца и адреса серверов. Если точный адрес не удаётся выяснить, укажите юридический адрес компании-поставщика и сохраните переписку с запросом — это пригодится при последующих проверках.

Пошаговая инструкция по подаче уведомления

1. Перейдите на портал Роскомнадзора: pd.rkn.gov.ru.

2. Проверьте наличие информации о себе в Реестре

3. При наличии уведомления, можно внести актуальные изменения, если в Реестре Вас нет - советуем подать уведомление прямо сейчас.

4. Выберите способ подачи:
   
   ✔ Для электронной подачи: авторизуйтесь через Госуслуги или используйте усиленную квалифицированную электронную подпись.

Как заполнить уведомление в Роскомнадзор (РКН)

В самом начале работы выберите, какое уведомление вы будете подавать — первичное или корректирующее. Для ускорения заполнения нажмите «Заполнить данными из ранее отправленного уведомления»: откроется окно ввода номера и ключа предыдущего документа, после чего все поля автоматически заполнятся ранее указанными сведениями.




Сведения об операторе

• Регион регистрации и фактического местонахождения.
  Если ваша компания официально зарегистрирована в одном субъекте РФ, но фактически осуществляет работу в другом, указывайте тот регион, где вы действительно ведёте деятельность.

• Электронная почта.
  Поле для e-mail отмечено красной звездочкой и обязательно к заполнению. Этот адрес используется для оперативной связи с вами по вопросам подачи уведомления и обработки персональных данных.

• Территории обработки персональных данных.
  Под регионами обработки понимаются те территории, где вы фактически обрабатываете персональные данные (например, филиалы или представительства). Их может быть несколько, или вы можете указать «Российская Федерация» целиком. На практике Роскомнадзор пока не штрафует за указание всей РФ вместо конкретных субъектов. Важно не смешивать регионы обработки с местонахождением самих субъектов данных — это могут быть любые территории.

Цели обработки данных 

• ведение кадрового и бухгалтерского учета;

• заключение договоров с клиентами;

• организация пропускного режима на территории.

Это три разные цели, и их нужно указывать отдельно.

Как выбрать или сформулировать цель?

На портале Роскомнадзора доступен справочник с более чем 30 типовыми целями — можно выбрать подходящие или добавить свою формулировку.

Некоторые схожие процессы допустимо объединить в одну цель. Например:

"Обработка персональных данных в рамках трудовых отношений"
Включает:

• оформление трудоустройства;

• внесение данных в CRM и другие системы;

• передачу информации в банк для начисления зарплаты.

Главное — не смешивать разные по смыслу процессы (например, кадровый учет и маркетинговые рассылки).

Как корректно указать цели обработки данных при подборе персонала?

При оформлении уведомления в Роскомнадзор важно детализировать все этапы работы с персональными данными соискателей. Процесс рекрутинга включает несколько взаимосвязанных операций:

• поиск кандидатов через различные платформы

• коммуникацию с соискателями

• прием и обработку документов

• формирование кадрового резерва
  
  
  

Важные правила заполнения:

Для каждой цели обработки необходимо указать соответствующую информацию, требуемую частью 3.1 статьи 22 Федерального закона №152-ФЗ

1) Выбор формулировок осуществляется:

→ Из готового Справочника целей

→ Через опцию "Иные" с ручным вводом

2) При выборе "Иные" в форме автоматически появляются дополнительные поля для указания:

→ конкретных категорий персональных данных

→ групп субъектов

→правовых оснований обработки

• ФИО соискателей

• сведения об образовании

• информация о трудовом стаже

• паспортные данные (при заключении трудового договора)

Все поля должны быть заполнены в обязательном порядке для полного соответствия требованиям законодательства.

ЧТОБЫ ДОБАВИТЬ СЛЕДУЮЩУЮ ЦЕЛЬ, НАЖМИТЕ "ДОБАВИТЬ ЦЕЛЬ ОБРАБОТКИ" 

В разделе «Категории персональных данных» следует перечислить все типы сведений, которые ваша компания собирает у клиентов для последующей обработки.

В качестве категории субъектов укажите «Клиенты». Если у вашего ИП или ЮЛ есть сотрудники, также выберите категорию «Работники».

В подразделе «Перечень действий» нужно выбрать все действия, которые ваша школа осуществляет с персональными данными. Укажите следующие:

Способы обработки персональных данных

При заполнении уведомления необходимо указать применяемые способы обработки информации. Законодательство предусматривает три варианта:

1. Автоматизированная обработка (с использованием программных средств)

2. Неавтоматизированная (бумажный документооборот)

3. Смешанный тип (сочетание первых двух)

Рекомендации по заполнению:

• Указывайте способ обработки отдельно для каждой цели

• Большинство организаций используют смешанный тип обработки - это допустимый вариант

• Дополнительно уточните каналы передачи данных:
  
  → Через интернет
  
  → По внутренней корпоративной сети
  
  → Комбинированный способ

Требования к защите информации регламентируются статьями 18.1 и 19 Федерального закона №152-ФЗ. При заполнении уведомления учитывайте:

1. Все указанные меры защиты могут быть проверены Роскомнадзором

2. Информация должна быть точной и достоверной

3. Особое внимание уделите криптографической защите:

   • В электронной форме требуется указать:
     
     → Наименование средств шифрования
     
     → Производителя
     
     → Серийные номера
     
     → Класс средств криптозащиты (КЗИ)

   • При отсутствии полных данных допустимо указать только наименование средств защиты

Важно: предоставление недостоверных сведений может повлечь административную ответственность.

В качестве мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных», можно указать следующие:

• издание оператором документов, определяющих политику оператора в отношении обработки персональных данных;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

• назначение ответственного лица за обработку персональных данных;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.

Раздел "Средства обеспечения безопасности"

• использование антивирусных средств защиты информации (перечислите программы, которые используются);
• идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия.

Ответственное лицо за обработку персональных данных

В организации должно быть назначено единственное ответственное лицо за обработку персональных данных. Хотя внутренние обязанности могут распределяться между несколькими сотрудниками, официальную ответственность перед контролирующими органами несет только сотрудник, указанный в соответствующем приказе.

Примечания по заполнению:

• Для юридических лиц указывается полное наименование организации

• ИП может указать себя или назначенного сотрудника

• В случае отсутствия ответственного лица (например, если ИП работает самостоятельно) поле можно оставить пустым

Важно: указывайте только рабочие контакты ответственного лица (телефон и email), так как эта информация будет публично доступна. Убедитесь, что по указанным контактам действительно можно оперативно связаться с ответственным.

Сведения об обеспечении безопасности персональных данных

Укажите следующие меры:

• обеспечена сохранность носителей персональных данных;
• используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Если компания выступает в качестве ЮЛ или ИП с сотрудниками, то также добавьте:

ФИО исполнителя

Подтверждение подачи уведомления

После успешной отправки уведомления система генерирует:

• Уникальный номер документа

• Ключ доступа

Эти данные необходимо сохранить - они потребуются для внесения изменений в будущем.

Подача уведомления в Роскомнадзор — обязательная процедура для большинства организаций и ИП, работающих с персональными данными. Ошибки при заполнении формы или несоответствие фактической деятельности заявленным сведениям могут повлечь проверки и штрафы. Поэтому важно подойти к процессу внимательно и заранее подготовить всю необходимую информацию.

Для получения консультации оставляйте свои заявки — специалисты Группы Финансы готовы помочь вам разобраться в юридических нюансах обработки персональных данных и подобрать оптимальные решения в рамках законодательства. Условия предоставления консультации обсуждаются в сообщениях или по телефону.