Как уведомить Роскомнадзор о начале обработки персональных данных

Если вы работаете с персональными данными (ПДн) клиентов, сотрудников или партнеров, по закону нужно уведомить об этом Роскомнадзор. С 30 мая 2025 года штрафы за отсутствие уведомления выросли до 300 000 рублей, а проверки стали строже. Разбираемся, кто должен подавать уведомление о начале обработки персональных данных, как правильно его составить и какую писать дату начала обработки.

Кто подает уведомление

Оператором персональных данных считается государственный или муниципальный орган, юридическое лицо либо индивидуальный предприниматель, которые организуют и осуществляют обработку ПДн самостоятельно или совместно с другими лицами (ст. 3 ФЗ №152-ФЗ).

С персональными данными работают большинство предпринимателей: например, запрашивают ФИО потенциальных клиентов для оформления заявки на поставку товара, заключают договоры, рассылают маркетинговые письма и т.д. Все это считается обработкой ПДн.

Каждый оператор обязан уведомить Роскомнадзор о начале обработки персональных данных, за исключением некоторых случаев (ст. 22 ФЗ №152-ФЗ):

• обработка нужна для исполнения законов о безопасности в сфере транспорта, государственной безопасности;
• при работе с данными не используются автоматизированные системы.

Например, если оператор собирает данные только на бумаге, не использует электронные средства и не хранит ПДн на ПК или смартфоне, уведомлять РКН не нужно. Если же обработка ведется автоматизированным или смешанным способом (в бумажном виде и автоматически), необходимо подать уведомление. Это делается еще до начала работы с ПДн.

Способы подачи уведомления

Заполнить уведомление о начале обработки персональных данных можно на сайте Роскомнадзора, а затем распечатать и представить в территориальное отделение ведомства. Но проще все подать онлайн — понадобится только УКЭП или подтвержденный аккаунт на Госуслугах. Если будете использовать УКЭП, должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.

Что важно учитывать:

1. До подачи уведомления необходимо разработать пакет документов (до 60 штук) и назначить ответственного за работу с ПДн. Данные о нем указываются в уведомлении.
2. Если документ подает уполномоченный представитель организации, его профиль на Госуслугах должен быть привязан к аккаунту оператора.
3. Уведомление рассмотрят в течение 30 дней, в результате компанию внесут в реестр операторов.

В дальнейшем вы можете сами проверить, добавили ли вашу организацию в реестр — он доступен на сайте ведомства.

Как заполнить уведомление

Документ заполняется по унифицированной форме. Все строки подписаны, но все равно у предпринимателей нередко возникают вопросы. Разберемся, что нужно указывать в уведомлении и в каких ситуациях:

1. Общие сведения: тип оператора, наименование, адрес, номер телефона, ИНН, ОГРН и другую информацию. Посмотреть ее можно в выписке из ЕГРЮЛ или ЕГРИП.
2. Цель обработки. Они должны совпадать с категориями ПДн и субъектов.
3. Категории ПДн — сведения, которые вам нужны для обработки. Они не должны быть избыточными, не соответствующими цели.
4. Категории субъектов: родственники, соискатели, работники и другое.
5. Перечень действий с данными: сбор, извлечение, систематизация, накопление и т.д. — все зависит от целей.
6. Дата начала обработки персональных данных — число, месяц и год регистрации юридического лица или ИП.
7. Какие меры предприняты для обеспечения безопасности ПДн. При разработке мер учитываются положения Постановления Правительства РФ от 01.11.2012 №1119.

Получить бесплатную консультацию по регистрации в Роскомнадзоре или подготовке документов для работы с персональными данными

Консультация

Штрафы с 30 мая 2025 года повысились

Раньше операторов за неуведомление о начале работы с ПДн штрафовали на сумму до 5 000 рублей. Теперь штрафы стали выше и могут достигать 100 000-300 000 рублей.

Чтобы не рисковать, лучше заблаговременно выполнить юридический и технический аудит компании: проверить, все ли документы в порядке, обеспечена ли защита ПДн, а также просчитать, какой ущерб может понести организация в случае утечки и как это предотвратить.

Что в итоге

Подача уведомления о начале обработки ПДн — обязательный этап для всех, кто работает с такими сведениями. Направить документ нужно до того, как приступать к сбору данных, указав точные цели, категории ПДн и меры защиты. Штрафы за нарушения теперь достигают сотни тысяч рублей, поэтому лучше заранее проверить документы и исправить возможные ошибки. Если сомневаетесь в правильности заполнения, обратитесь к юристам — это сэкономит время и защитит от финансовых рисков.