Уведомление в Роскомнадзор об обработке данных

22 мая, 2025
85

В соответствии со ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», организации, ИП или самозанятые, собирающие и обрабатывающие персональные данные сотрудников, контрагентов, посетителей или членов общественных объединений и религиозных организаций, обязаны представлять уведомление в Роскомнадзор (РКН). Даже если деятельность компании связана с предоставлением облачного хранилища – подавать Уведомление придётся.

Результатом отправки Уведомления будет являться внесение организации (ИП, самозанятого) в реестр операторов персональных данных (ОПД) для законной работы с персональными сведениями. Реестр операторов открыт для просмотра всеми желающими.

При приёме новых сотрудников повторно подавать Уведомление не требуется. Его направляют разово. Роскомнадзор вправе проверить даже тех, кто не заявил о себе как об ОПД.

На текущий момент (до 30.05.2025 года) предусмотрен штраф по ст.19.7 КоАП РФ, размер которого не превышает 5 000 рублей на организацию и 500 рублей на предпринимателя. С 30.05.2025 года размер штрафа за непредставление уведомления в РКН возрастет кратно благодаря вступлению в силу ФЗ от 30.11.2024 года № 420-ФЗ и составит: для организаций – от 100 000 рублей до 300 000 рублей, для должностных – лиц от 30 000 рублей до 50 000 рублей, для граждан – от 5 000 рублей до 10 000 рублей.

Но существует определенная категория компаний, которые освобождены от сдачи Уведомления, если:

не используются электронные устройства (компьютер, планшет, смартфон и т.п.), а вся информация собирается, обрабатывается и хранится на бумажном носителе;
работа с персональными данными в сфере транспортной безопасности (но при наличии ведения кадрового учёта, заключения договоров с контрагентами Уведомление подать необходимо);
если компания включена в государственные информационные системы и работает с персональными данными, размещенными в этих государственных информационных системах.

Существует три варианта подачи уведомления:

Направление заполненного Уведомления с помощью услуг почты (заполнить электронную форму на сайте Роскомнадзора https://pd.rkn.gov.ru/operators-registry/notification/form/ ) или в программе 1С:Бухгалтерия 3.0 в разделе 1С Отчётность (Отчёты → Регламентированные отчеты → Уведомления → Создать → Прочее → Уведомление об обработке персональных данных).

Уведомление заполняется в ручном формате. Далее его необходимо распечатать и отправить по почте.

1. Формирование и отправка уведомления с помощью портала Госуслуг.

2. Формирование и отправка уведомления на портале Роскомнадзора, подписав электронной подписью. Сохранение черновика уведомления на портале РКН не предусмотрено и ограничено время заполнения. Поэтому прежде чем приступить к заполнению, необходимо собрать все сведения, обязательные для заполнения заранее.

Порядок заполнения Уведомления

Красными звездочками отмечены поля, обязательные к заполнению.

Предусмотрена первичная и корректирующая формы. Корректирующая заполняется и направляется в случае изменения данных, направленных ранее в первичном уведомлении. При нажатии «заполнить» форма заполняется данными первичного уведомления.

Регион регистрации: указывается фактическое местонахождение при ведении деятельности в регионе, отличном от места юр. Регистрации.
Тип оператора: юридическое лицо, индивидуальный предприниматель, государственный орган, муниципальный орган, физическое лицо (далее ФЛ), иностранный гражданин.
Наименование оператора: полное наименование компании/ФЛ с указанием организационно-правовой формы.
Сокращенное наименование оператора: сокращенное наименование.
Адрес оператора: указывается юридический адрес, согласно ЕГРЮЛ/ЕГРИП, почтовый адрес – адрес фактического местонахождения.
Телефон, факс можно заполнить, но данные поля не являются обязательными к заполнению.
Адрес электронной почты: адрес электронной почты необходим для связи с организацией/ФЛ, для подачи, обработки Уведомления.
Регионы обработки: это та территория, на которой вы как оператор непосредственно работаете с персональными данными. Например, при наличии филиалов, в которых обрабатывается личная информация сотрудников, это может быть несколько территорий. Важно не путать с территорией регистрации субъектов, которые к вам обращаются. На сегодняшний день нет судебной практики при указании региона обработки – Российская Федерация.
ИНН / ОГРН / ОКВЭД / ОКПО / ОКФС / ОКОГУ / ОКОПФ – обязательные для заполнения поля ИНН и ОГРН.
Филиалы: заполняются при наличии.
Цели обработки персональных данных: можно не ограничиваться вариантами целей, указанными в ниспадающем списке, для этого указан тип цели «иная». Не стоит смешивать цели, но допустимо объединять однородные цели. Для добавления новой цели необходимо опуститься вниз в форме и нажать «Добавить цель обработки».

Для каждой указанной цели определяем категорию и перечень персональных данных, подлежащих обработке, а также способ обработки – автоматизированная, неавтоматизированная или смешанная.

Как правило, способ смешанный. С передачей по внутренней сети юридического лица или без и с передачей по сети интернет или без. Иное – если из справочника ничего не подходит, необходимо вручную прописать в пустом окне.

Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»:

1. Назначено лицо, ответственное за организацию обработки персональных данных.

2. Утверждены политика, локальные акты по вопросам обработки персональных данных, предотвращению и выявлению нарушений.

3. Обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных анных, в соответствии со ст. 19 вышеуказанного закона.

4. Осуществляется внутренний контроль за соблюдением законодательства.

Средства обеспечения безопасности (данные сведения не являются общедоступными): при обработке персональных данных в информационных системах определены угрозы безопасности, ограничен доступ посторонних лиц в помещение, где обрабатывают персональные данные.
Использование шифровальных (криптографических) средств (данные сведения не являются общедоступными): необходимо указать, применяются ли криптографические ключи и их класс. СКЗИ (средство криптографической защиты информации), например, КриптоПро CSP сертифицирован ФСБ России по классам КС1, КС2 и КС3 (всего 6 классов) согласно приказу ФСБ РФ от 27 декабря 2011 года № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра». Узнать класс СКЗИ ЭЦП можно в настройках криптопровайдера, рядом с версией продукта указан класс на закладке «общие».
Ответственный за организацию обработки персональных данных: указывается требуемая информация – только рабочие контакты (почтовый адрес, телефон, эл. почта), назначается один человек (допускается указание юр. лица – сторонней организации) на всю компанию с обязательным наличием приказа.
Дата начала обработки персональных данных: указывается дата начала обработки персональных данных, а не дата отправки уведомления (во избежание дополнительных вопросов со стороны РКН, рекомендуем указывать дату регистрации).
Срок или условие прекращения обработки персональных данных: указывается конкретная дата или условие, которое повлечет за собой прекращение обработки перс. данных. Корректнее указывать условие, например, прекращение деятельности, как ЮЛ или ИП или самозанятого, т.к. при наступлении этого случая компания исключается из реестра.
Осуществление трансграничной передачи персональных данных: при выборе варианта «осуществляется» необходимо указать, осуществляется или нет. Если трансграничная передача осуществляется – необходимо подать отдельное уведомление.
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ: указываются адреса местонахождения всех центров обработки персональных данных (обрабатываемые на бумаге, в облаке, хостинг сайта и т.д.), собственный ЦОД – указать «да» или «нет». Если указан вариант «нет», то необходимо указать «Сведения об организации, ответственной за хранение данных» (тип организации, организационно-правовую форму, наименование, ОГРН, ИНН, страну местонахождения организации, ответственной за хранение данных и адрес).
Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах: раздел заполняется, если обработка осуществляется в государственных или муниципальных информационных системах. Если обработка такая не осуществляется, то необходимо нажать кнопку «удалить». Иначе будет всплывать ошибка.
Сведения об обеспечении безопасности персональных данных: указывается в виде описания. Например, «организован режим обеспечения безопасности помещений, в которых размещена информационная система персональных данных, с ограничением неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения, обеспечена сохранность носителей персональных данных и т.п.».

На портале есть образцы заполнения Уведомлений – Реестр операторов, документы.

Далее необходимо проставить две галочки «Ознакомлен» и «Подтверждаю» и «Подписать и отправить электронное уведомление». После этого на последней странице, перед подписью руководителя появится окно «Документ сформирован на портале Роскомнадзора, номер *****, ключ *****».