Juris AI · 152-ФЗ · Роскомнадзор
Если предприниматель собирает персональные данные (ПДн) пользователей сайта или намерен осуществить их обработку, нужно подать уведомление в Роскомнадзор (РКН). К ПДн относится любая информация, по которой можно идентифицировать пользователя. Это, например, его фамилия и имя, адрес электронной почты и многое другое. Обработка ПДн происходит на всех сайтах, где требуется регистрация пользователя.
Требование Закона о защите персональных данных (далее – Закон № 152) о подаче уведомления в Роскомнадзор касается подавляющего большинства предпринимателей, которые применяют средства автоматизации. Они могут использоваться не только в сети Интернет, но и локально, например – хранение совокупности данных о работниках организации в электронной книге будет считаться обработкой ПДн.
Если уведомление своевременно не подать предпринимателю (организации, ИП, самозанятому) грозят санкции, в том числе многотысячные штрафы за не информирование (несвоевременное информирование) Роскомнадзора о намерении обрабатывать ПДн или их обработке.
Для того, чтобы предпринимателю начать обработку ПДн должен быть проведен ряд обязательных подготовительных мероприятий. Это позволит избежать претензий со стороны Роскомнадзора.
В соответствии с Законом № 152 и требованиями РКН необходимо:
Издать приказ о назначении ответственного за организацию обработки ПДн. Данные об этом сотруднике вносятся в уведомление Роскомнадзора. В локальном приказе обязательно указываются цели сбора и категории обрабатываемых ПДн.
Разработать политику обработки ПДн. Это достаточно объемный документ, в котором определяются общие принципы, цели, способы обработки ПДн и меры по обеспечению их защиты. Эта информация должна соответствовать той, которая будет указана в уведомлении.
Для достижения соответствия можно воспользоваться следующим чек-листом. Нужно проверить:
Какие ПДн собираются на сайте.
Есть ли на сайте форма согласия на обработку ПДн.
Размещена ли на сайте политика обработки ПДн.
Какие программы собирают ПДн.
Какие установлены программные средства защиты ПДн.
Разработаем документы для сайта в полном соответствии с Законом № 152. Мы защитим ваш бизнес от претензий со стороны Роскомнадзора и других контролирующих органов.
Роскомнадзор можно уведомить путем направления бумажных или электронных документов. Второй способ быстрее и надежнее. Он рекомендован РКН для минимизации ошибок. Для того, чтобы заполнить уведомление нужно зайти на портал персональных данных сайта Роскомнадзора и нажать на кнопку «Форма уведомлений».
На следующей странице нужно выбрать вкладку «Электронные формы уведомлений.
Вам будет предложено выбрать форму уведомления: первичная (о намерении начать обработку ПДн) или корректирующую (когда произошли изменения в обработке ПДн).
Для первичного уведомления нужно нажать кнопку «Перейти к заполнению формы электронного уведомления». После этого вы попадете на следующую страницу:
На ней можно выбрать каким образом будет подано уведомление. Пользователю предлагается направить его с использованием сведений на Госуслугах, в бумажном или в электронном виде. Наиболее востребован последний вид подачи уведомления. В этом случае его нужно будет подписать квалифицированной ЭЦП.
Форма уведомления состоит из нескольких разделов. Часть полей (отмечены красной звездочкой) обязательны для заполнения. Без этого уведомление не будет сформировано.
Вначале нужно указать сведения об операторе.
Нужно выбирать регион, где осуществляется деятельность. Если предприниматель (ИП, самозанятый или ЮЛ) зарегистрирован в одном регионе (это месторасположение налогового органа, который поставил его на учет), а осуществляет деятельность в другом, то указывается (выбирается из списка) регион фактического ведения бизнеса.
Оператором может быть физическое или юридическое лиц, ИП и госорганы. Соответствующий тип нужно выбрать.
Обязательно должен быть заполнен адрес электронной почты. Это нужно для осуществления оперативного взаимодействия по вопросам обработки ПДн, направления уведомлений и другим между оператором ПДн и Роскомнадзором. Важно указать правильный адрес электронной почты и проверить ее работоспособность. Например, может возникнуть ситуация, когда предоставляемое пользователю почты пространство закончилось и требуется его освободить, иначе письма доставляться не будут.
В поле «Регион обработки» указываются регионы, где планируется обработка ПДн.
Следующим шагом указываются цели обработки ПДн. Для этого нужно заполнить соответствующий раздел. Он состоит из нескольких подразделов.
В зависимости от объема обработки ПДн у предпринимателя может быть различное количество целей. Каждая из целей выбирается из выпадающего списка. При этом вначале нужно выбрать одну, которая является основной. Например, если ПДн обрабатываются образовательной организацией нужно выбрать «Обеспечение соблюдения законодательства в сфере образования».
Если в списке нет цели, выбирается «Иная», а в появившемся окне необходимо ввести пояснение.
Для каждой из целей выбирается состав ПДн, в том числе указывается будут ли обрабатываться специальные категории ПДн (сведения о политических взглядах, здоровье и др.) и биометрические ПДн (отпечатки пальцев, голосовая метка и т.п.).
Также для каждой цели нужно выбрать ПДн каких субъектов будут обрабатываться. Если поставить отметку в поле «Иные…» нужно указать обобщенное наименование носителей ПДн.
Далее нужно заполнить правовые основания обработки ПДн. Для этого ставится отметка напротив пункта в соответствующем списке Также можно указать иное основание.
Далее нужно заполнить подразделы «Перечень действий» и «Способы обработки ПДн».
В качестве способа обычно указывается «Смешанная обработка ПДн». Это связано с тем, что на практике ПДн формируются как автоматизированным, так неавтоматизированным способами. Также указывается будут ли ПДн передаваться по внутренней сети предпринимателя и по сети Интернет.
После этого нужно:
Заполнить сведения об обязательных для оператора ПДн мерах (ст. 18.1 Закона № 152). К ним относятся назначение ответственного за обработку ПДн лица, наличие локальных нормативных актов в области ПДн и др.
О мерах безопасности ПДн (ст. 19 Закона № 152). При указании программных средств криптозащиты кроме их наименования желательно указывать изготовителей, серийные номера, классы шифрования и классы средств криптографической защиты информации (СКЗИ).
При этом следует учитывать, что информация должна быть достоверной, так как Роскомнадзор ее проверяет.
Далее указываются сведения об ответственном за обработку ПДн и его корпоративные (не личные) контактные данные (почтовый адрес, e-mail). Это всегда один сотрудник, указанный в локальном приказе. Он будет нести персональную ответственность при выявлении нарушений в обработке ПДн. При этом внутри организации эти обязанности могут быть распределены между несколькими работниками.
Кроме того, указывается дата начала обработки ПДн. Это может быть, например, дата регистрации юридического лица или получения гражданином статуса ИП (самозанятого). В этом случае сотрудникам Роскомнадзора не нужно доказывать, что обработка ПДн началась позже этой даты (после начала фактической деятельности и в других случаях).
Также указывается срок или условие прекращения обработки ПДн. Срок может быть определен оператором, например в договоре с носителем ПДн. Условием может быть требование субъекта ПДн, достижение целей обработки ПДн и др.
В форме уведомления также указывается будет ли производится трансграничная передача ПДн. Для ее осуществления нужно получить разрешение Роскомнадзора.
Далее заполняется информация о местонахождении базы данных (БД), в которой содержатся ПДн российских граждан. Указанных БД может быть несколько.
Для этого нужно:
Выбрать из списка страну.
Указать адрес центра обработки данных (ЦОД). ЦОД – это месторасположение сервера обработки ПДн. Приводятся полные адресные данные (город, улица, номер дома, номер офиса или квартиры). Если ЦОД арендуется у другой компании, приводятся данные арендодателя (наименование организации, ИНН, ОГРН и адрес). Если эти сведения не известны, указывается юридический адрес компании, которая предоставляет доступ к ЦОД.
Выбрать использует ли организация собственный ЦОД.
Далее приводятся сведения о лицах, осуществляющих обработку ПДн, которые содержатся в государственных БД. Если таких нет, раздел не заполняется.
Далее приводятся сведения об обеспечении безопасности ПДн в соответствие с постановлением Правительства РФ № 1119.
Указанное постановление предусматривает:
Физическую защиту. Это ограничение доступа посторонних лиц в помещения, где обрабатываются ПДн, защита носителей информации от кражи и др.
Организационные меры. Назначение ответственного за обработку ПДн, составление списка сотрудников, которые вправе работать с ПДн, разработка политики безопасности и др.
Кроме того, в зависимости от категории обработки ПДн устанавливаются 4 уровня их защиты. При каждом из них должны быть реализованы дополнительные меры обеспечения безопасности ПДн.
Уровень защиты |
Когда применяется? |
Что нужно делать дополнительно? |
4-й (минимальный) |
Обрабатываются обычные ПДн (не биометрические, не специальной категории – здоровье, политические убеждения и др.), угрозы невысоки. |
Использовать сертифицированные средства защиты (антивирусы, шифрование и др.). |
3-й |
Обрабатываются биометрические ПДн или ПДн более 100 000 человек. |
Назначить ответственного за безопасность ПДн. |
2-й |
Обрабатываются ПДн специальной категории (здоровье, религия и т. д.) или биометрические ПДн. |
Журнал событий (log) должен быть доступен только определённым сотрудникам. |
1-й (максимальный) |
Высокие угрозы утечки ПДн, обработка ПДн специальной категории, биометрических ПДн или иных ПДн (это данные, не относящиеся этим трем группам, например, обобщенные сведения опросов, медицинская статистика по определенным болезням и т.д.) |
Автоматическое
ведение журнала изменений прав
доступа. сотрудников к ПДн. |
В уведомлении Роскомнадзора нужно привести конкретные реализованные меры по обеспечению безопасности ПДн в зависимости от установленного уровня их защиты.
В завершении заполняются сведения об исполнителе, указывается подано ли уведомление по доверенности или должностным лицом, которое имеет право действовать без нее.
Если уведомление подано не уполномоченным лицом, оно не будет принято Роскомнадзором. Без доверенности может действовать единоличный исполнительный орган организации, указанный в ее уставе (директор, управляющий и др.).
Для того, чтобы подать уведомление в Роскомнадзор нужно:
Проверить выполнены ли подготовительные мероприятия для того, чтобы начать обработку ПДн.
Зайти на портал ПДн Роскомнадзора и заполнить уведомление.
Получить от Роскомнадзора номер и ключ уведомления. Эти сведения нужно сохранить. Впоследствии они понадобятся для подачи корректирующих данных. Если номер и ключ будут утрачены, нужно обращаться в Роскомнадзор. Его сотрудники предложат варианты их восстановления.
Патентное бюро Juris AI проведет правовой аудит вашего сайта. Мы проверим его на предмет соблюдения требований Закона № 152. По результатам вам будет представлен документ с подробным изложением выявленных проблемных моментов в соблюдении законодательства о ПДн. Мы предложим вам свои услуги по исправлению выявленных недостатков, дадим рекомендации по осуществлению в дальнейшей деятельности по соблюдению положений Закона № 152.
Если не верно заполнить уведомление об обработке ПДн Роскомнадзор может организовать контрольную проверку предпринимателя, вынести ему предписание, применить к нему меры административной ответственности (штраф и др.). Контрольное ведомство осуществляет постоянный мониторинг нарушений, в том числе сравнивает сведения, приведенные в уведомлении и документах, расположенных на сайте. От их качества и соответствию Закону № 152 во-многом зависит уверенность предпринимателя в стабильности своего бизнеса. Кроме того, Роскомнадзор рассматривает жалобы или обращения контрагентов, конкурентов и клиентов бизнесменов по поводу нарушения законодательства о защите ПДн. Они также могут быть основанием для проведения контрольных мероприятий.
Патентное бюро Juris AI Juris AI полный комплект документов для сайта в соответствии с требованиями Закона № 152. Наши специалисты учтут все требования Роскомнадзора, в том числе вытекающие из изменений в сфере защиты ПДн, произошедших в 2025 году.
Наиболее часто встречаются следующие ошибки при заполднении уведомления в РКН:
Адрес местонахождения (где осуществляется фактическая деятельность) оператора ПДн указан не полностью, например нет почтового индекса. При этом от него следует отличать почтовый адрес (где организация или ИП (самозанятый) зарегистрированы).
Наименование организации не идентично сведениям, содержащимся в ЕГРЮЛ.
Не верно отражены правовые основания для обработки ПДн. Часто приводится ссылка только на Закон № 152. Вместе с тем эти основания должны иметь конкретный характер: согласие субъекта ПДн, исполнение договора и др. Если имеются специальные основания, которые установлены законами («Об образовании в РФ» и др.), нужно указывать эти законы. Кроме того, необходимо приводить локальные нормативные акты, которые приняты в организации. Это, например, положение о платных услугах в сфере образования.
Указаны обобщенные меры безопасности, реализованные в соответствии со ст. 18.1 и 19 Закона № 152. Нужно их конкретизировать, например, указать какими приказом назначено ответственное за обработку ПДн лицо, какие локальные нормативные акты разработаны с указанием их реквизитов и т.п.
Указаны не все цели обработки ПДн. Например, в уведомлении содержится только цель кадровой обработки ПДн. Если предприниматель занимается торговлей на сайте, то должна быть отражена цель обработки ПДн его пользователей. Если забыть указать одну из них могут последовать санкции.
Указаны обобщенные цели обработки ПДн. Например, неверным будет написать, что цель вытекает из абстрактных договорных отношений. Верным будет указание на то, что цель обработки ПДн – заключение договора по инициативе субъекта ПДн, где он выступить выгодоприобретателем.
Указаны избыточные ПДн, которые обрабатываются. Например, если для оказания услуг предприниматель собирает данные о постановке на воинский учет, номер водительского удостоверения и т.д. В этом случае Роскомнадзор может потребовать обосновать сбор таких ПДн. Не допускается также указание о том, что собираются не только конкретные ПДн (паспортные данные, фио), но также и другие. Список ПДн должен быть закрытым.
В уведомлении указан не полный перечень субъектов ПДн. Например, при предоставлении налоговых вычетов организация должна обрабатывать ПДн родственников (детей) сотрудника, а в документе они не указаны.
Расхождение сведений между данными уведомления и локальными нормативными документами организации, в том числе теми, которые опубликованы на ее сайте.
Указание в уведомлении личных ПДн работников. Например, если приведен номер персонального мобильного телефона или адрес электронной почты сотрудника, назначенного ответственным за обработку ПДн. Это также нарушение Закона № 152.
Организация занимается бизнесом в нескольких регионах России, где расположены ее филиалы. Какой регион осуществления деятельности выбрать?
Целесообразно поставить галочку в поле «Все субъекты РФ». Практики привлечения предпринимателей к ответственности за то, что он указал, что ПДн будут обрабатываться по всей России нет. Вместе с тем если ограничить число регионов, а на сайте зарегистрируется пользователь из другого субъекта РФ, наказать предпринимателя можно.
Какие действия с ПДн нужно выбрать при подаче уведомления в Роскомнадзор?
Часть действий с ПДн совершается большинством лиц при их обработке. Так, их собирают, структурируют определенным образом (систематизируют), накапливают, хранят, уточняют, используют, передают другим лицам, уничтожают при необходимости.
Эти действия включаются в уведомление в большинстве случаев. Такое действие как обезличивание ПДн связано со спецификой деятельности и применяется, например, в образовательных организациях по требованию представителя ученика.
Не получается подписать уведомление в Роскомнадзор электронной подписью. Сайт не видит файл подписи. Что можно предпринять?
Сохраните черновик уведомления (в конце формы есть такая кнопка). Это позволит избежать дополнительных усилий по его заполнению. Попробуйте зайти на сайт Роскомнадзора с другого браузера, например используйте Яндекс.Браузер.
У меня есть исключительно информационный сайт о деятельности моей компании. Он состоит всего из одной страницы. Я собираю данные о его посещаемости при помощи инструмента Яндекс.Метрика. Должен ли я уведомить Роскомнадзор?
Да, должны. Это считается передачей иных ПДн третьим лицам.
Я веду локальную базу в электронной таблице Excel. В ней содержатся сведения о наименовании моих деловых партнеров и их электронных почтовых адресах. Периодически я рассылаю им сведения о своей продукции. Должен ли я уведомлять Роскомнадзор?
Да, должны. Вы ведете базу данных, а значит обрабатываете ПДн автоматизированным способом и являетесь оператором ПДн.
Загрузите политику ПДн, согласия или документы сайта — сервис покажет типовые риски и проблемные места.
Открыть проверкуJuris AI · 152-ФЗ · Роскомнадзор