Основные ошибки при подаче уведомления в Роскомнадзор

Подача уведомления в Роскомнадзор — обязательная процедура для большинства операторов персональных данных (ПДн), которые обязаны регистрироваться в реестре. Если оно оформлено неправильно, это может привести к дополнительным вопросам со стороны ведомства. В статье разберем 8 типичных ошибок, которые чаще всего допускают операторы, а также дадим практические рекомендации.

Кто должен подавать уведомление в Роскомнадзор

Согласно ст. 22 ФЗ от 27.07.2006 № 152-ФЗ, уведомлять регулятора должны практически всех операторов, которые работают с ПДн. Например:

1. Юридические лица и ИП, которые нанимают сотрудников, собирают данные клиентов и ведут базу подписчиков или участников программы лояльности, используют CRM-системы, email-рассылки, онлайн-записи.
2. Самозанятые. Им тоже нужно подавать уведомление в Роскомнадзор, если они обрабатывают ПДн клиентов или используют автоматизированные системы учета.

Пример:

Фотограф-самозанятый Иван собирает данные клиентов для съемки: записывает их имена, телефоны и email для связи, а также адреса, если выезжает на локацию. Он хранит эту информацию в электронном виде, чтобы планировать график и отправлять клиентам готовые фото через облачный сервис.

Поскольку Иван систематически обрабатывает персональные данные в цифровом виде, он обязан подать уведомление в Роскомнадзор. Если же он просто фиксирует заказы в бумажном блокноте и удаляет записи после выполнения работы, уведомление не требуется.

Важно! Уведомление подается до начала обработки персональных данных. Если этого не сделать, есть риск получить штраф до 300 000 рублей (ч.10 ст.13.11 КоАП РФ).

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

ТОП-8 ошибок при подаче уведомления в Роскомнадзор

Ошибка №1: несоблюдение формы

Подать уведомление в Роскомнадзор об обработке персональных данных можно на официальном сайте ведомства через Госуслуги или подписав УКЭП. Также вы можете заполнить документ там, распечатать и представить в территориальное отделение РКН.

Скачать заполненный образец уведомления и просто вписать туда свои данные — не лучшее решение. Помните: сведения из него вносятся в реестр операторов, поэтому документ должен отражать реальные процессы работы с ПДн в вашей компании.

Ошибка №2: неверный выбор основания для обработки

Распространенная ошибка при подаче уведомления в Роскомнадзор — неполное указание документов, на основании которых обрабатываются ПДн. Многие ограничиваются лишь отсылкой к ФЗ №152-ФЗ, это недопустимо. Закон устанавливает общие принципы работы с персональными данными, но не может служить правовым основанием для их обработки.

Что считается основанием:

1. Согласие субъекта на обработку ПДн.
2. Обработка данных нужна для исполнения договора, выгодоприобретателем которого выступает субъект ПДн.
3. Данные обрабатываются для защиты жизни и здоровья.

Этот перечень не является исчерпывающим, все основания указаны в ст.6 ФЗ №152-ФЗ.

Ошибка №3: неправильный выбор категорий ПДн

При подаче уведомления в Роскомнадзор многие организации допускают ошибки при указании категорий обрабатываемых персональных данных. Необходимо учитывать, что перечень таких категорий должен быть максимально полным и конкретным, и полностью соответствовать особенностям фактической обработки.

Включайте только те категории ПДн, которые действительно нужны для вашей работы.

Они должны:

1. Соответствовать заявленным целям обработки.
2. Быть предусмотрены внутренней Политикой обработки ПДн.

Например, если ваша деятельность требует только ФИО, контактные телефоны и адресов клиентов, не следует указывать обработку данных водительских удостоверений.

Ошибка №4: неверное указание целей обработки

Один из распространенных недочетов при подаче уведомления в Роскомнадзор — некорректное указание целей обработки персональных данных. Важно понимать, что для юридических лиц есть обязательные цели:

• ведение кадрового учета и бухгалтерского учета (обработка данных сотрудников, включая налоговую отчетность);
• обеспечение соблюдения трудового законодательства (оформление трудовых договоров, приказов, предоставление отпусков и т.д.);
• обеспечение соблюдения налогового законодательства (исчисление, удержание и уплата НДФЛ за своих сотрудников, а также уплата страховые взносы);
• обеспечение соблюдения пенсионного законодательства (подача сведений о застрахованных лицах в СФР для формирования их пенсионных прав);
• ведение воинского учета (для организаций с военнообязанными сотрудниками).

В рамках кадрового документооборота могут обрабатываться не только основные документы работников, но и дополнительные сведения:

• свидетельства о рождении детей (для предоставления льгот);
• свидетельства о браке (при изменении фамилии);
• справки с места учебы детей (для оформления пособий);
• иные документы, необходимые для трудовых отношений.

Важно: если у организации несколько целей обработки данных (например, кадровый учет, работа с клиентами и маркетинг), их необходимо объединить в одном уведомлении. Например:

1. Ведение кадрового и бухгалтерского учета.
2. Обеспечение соблюдения трудового законодательства.
3. Обеспечение соблюдения налогового законодательства.
4. Обеспечение соблюдения пенсионного законодательства.
5. Заключение и исполнение договоров с контрагентами.
6. Продвижение товаров и услуг.

Не нужно подавать отдельные уведомления для каждой цели — это усложнит процесс и может привести к ошибкам. Главное — четко прописать все направления работы с персональными данными, избегая избыточных или неактуальных формулировок.

Ошибка №5: неполное заполнение поля о защите данных

Этот раздел уведомления называется “Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона “О персональных данных””. Простое копирование типовых формулировок из открытых источников без их адаптации к специфике деятельности конкретной организации — ключевая ошибка

Все меры защиты должны фактически применяться в компании и соответствовать требованиям законодательства, в том числе Постановлению Правительства РФ от 01.11.2012 №1119.

Особое внимание необходимо уделить:

• реальному наличию описанных мер в организации;
• их соответствию уровню защищенности обрабатываемых данных;
• индивидуальному подходу к описанию с учетом особенностей бизнес-процессов

Рекомендуется отражать только те меры, которые действительно реализованы и документально подтверждены внутренними регламентами компании.

Ошибка №6: подписание уведомления неуполномоченным лицом

Подпись на уведомлении об обработке персональных данных может поставить:

1. Руководящий состав компании: генеральный директор, президент компании, управляющий. Они действуют на основании Устава и обладают правом подписи без дополнительных документов.
2. Руководители структурных подразделений:начальник отдела, руководитель управления. Потребуется утвержденное положение о подразделении, закрепляющее соответствующие полномочия.
3. Уполномоченные представители.Любой сотрудник может подписать уведомление при наличии доверенности. В тексте доверенности должно быть прямо указано право подписи документов для Роскомнадзора.

Ошибка №7: неверный выбор категорий субъектов ПДн

При заполнении уведомления операторы нередко допускают неточности в описании категорий субъектов данных. Их перечень должен быть максимально конкретным и соответствовать фактическому объему собираемой информации. Не следует использовать обобщенные формулировки или указывать избыточные сведения.

Выбор категорий должен быть логически связан с целями обработки и категориями ПДн. Корректные примеры:

1. Для адвокатской деятельности уместно указать категорию “Клиенты”.
2. При ведении кадрового учета следует обозначить категорию “Работники”.
3. Для организации пропускного режима могут потребоваться категории “Работники” и “Клиенты” (если последним предоставляется доступ на территорию).

Главное правило: каждая указанная категория субъектов должна быть обоснована конкретной деловой необходимостью и соответствовать Политике обработки данных в организации.

Ошибка №8: неверные данные оператора

При подаче уведомления в Роскомнадзор многие организации допускают неточности в разделе сведений об операторе. К примеру, часто отсутствуют или содержат ошибки следующие данные:

• полное наименование юридического лица/ИП;
• почтовый индекс;
• муниципальный район;
• адрес.

Все указанные сведения должны полностью соответствовать данным, содержащимся в актуальной выписке из ЕГРЮЛ/ЕГРИП. Перед заполнением уведомления обязательно запросите свежую выписку через официальный сайт ФНС. Внимательно сверьте каждую позицию — от полного наименования до деталей адреса.

Заключение

Правильно заполненное уведомление об обработке персональных данных в Роскомнадзор — залог легальной работы с ПДн. Проверьте все категории, точные реквизиты оператора, цели обработки и подпись уполномоченного лица. Избегайте шаблонных формулировок — адаптируйте документ под свою деятельность. Это защитит от штрафов и проблем при проверках.