Инструкция по заполнению уведомления по обработке персональных данных - Kompot.top

Уведомление Роскомнадзора об обработке персональных данных: инструкция для интернет-магазинов

Дата последнего обновления данной инструкции: 23 мая 2025.

Согласно 152-ФЗ «О персональных данных» владельцам интернет-магазинов, которые обрабатывают персональные данные, необходимо направить уведомление в Роскомнадзор. Это требование распространяется на юридических лиц, индивидуальных предпринимателей и также на физических лиц.

С 30 мая 2025 года повышаются штрафы за невыполнение или несвоевременное выполнение требований по уведомлению Роскомнадзора об обработке персональных данных:

физическим лицам грозит штраф от 5000 до 10 000 рублей;
должностным лицам грозит штраф от 30 000 до 50 000 рублей;
организациям и индивидуальным предпринимателям грозит штраф от 100 000 до 300 000 рублей.

В статье пошагово описано, как правильно оформить и подать уведомление в Роскомнадзор.

Подготовка к подаче уведомления
Как подать уведомление
Как заполнить уведомление
Если интернет-магазин прекратил деятельность

Подготовка к подаче уведомления

До начала подачи уведомления необходимо проверить — подавалось ли уведомление в Роскомнадзор ранее. Это можно сделать на сайте Роскомнадзора в Реестре операторов персональных данных.

Если уведомление уже направлялось, рекомендуем проверить насколько корректно в нем указана информация. Например, стоит проверить все ли цели обработки и категории персональных данных указаны, информацию об ответственном за организацию обработки персональных данных.

В Приказе Роскомнадзора от 28.10.2022 г. № 180 утверждены новые формы уведомлений. Если уведомление было направлено до 26 декабря 2022 года, его обязательно нужно обновить.

Рекомендуем регулярно обновлять информацию в уведомлении. Законом установлен срок уведомления — не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

Как подать уведомление

1. Для подачи уведомления об обработке персональных данных необходимо перейти на официальный сайт Роскомнадзора.

2. Перейдите в раздел «Электронные формы заявлений».

Если уведомление подается впервые, то выберите «Перейти к заполнению формы электронного уведомления».

Если необходимо внести изменения, то выберите «Перейти к заполнению уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных».

3. Уведомление можно подать одним из следующих способов:

• в электронном виде, если у вас есть усиленная квалифицированная электронная подпись
• с использованием средств аутентификации ЕСИА, если у вас есть подверженная учетная запись на портале Госуслуг.
• в бумажном виде — для этого заполненную форму необходимо распечатать и отправить в территориальных орган Роскомнадзора.

Как заполнить уведомление

1. Выберите регион регистрации, на территории которого зарегистрирована ваша организация в качестве юридического лица (ЮЛ), индивидуального предпринимателя (ИП) или самозанятого:

2. В разделе «Сведения об операторе» заполните информацию о реквизитах вашего интернет-магазина.

Поля, отмеченные символом «*», являются обязательными для заполнения.

2.1 Определите тип оператора персональных данных, которым является ваша организация: ЮЛ, ИП или физическое лицо.

2.2 Заполните все необходимые реквизиты о вашей организации по форме Роскомнадзора. Реквизиты отличаются в зависимости от типа оператора.

2.3 Заполните регион (или регионы), в которых осуществляется деятельность.

2.4 Убедитесь, что указаны все необходимые данные адреса: индекс, город, улица, номер дома и офиса.

2.5 При наличии филиалов, добавьте информацию о них.

3. В разделе «Цели обработки персональных данных» укажите цели, которые соответствуют деятельности вашего интернет-магазина.

Недопустимо объединять несколько целей в одной строке — каждая цель указывается отдельным пунктом.

Например, это могут быть следующие цели обработки:

«Предоставление клиентам услуг по договору» — именно эта цель является основной для любого интернет-магазина. В нее входит оформление заказов, доставка товара, поддержка клиентов и предоставление информации о покупке).
«Направление рекламы» — используйте данную цель, если планируете отправлять покупателям рекламу товаров, акций, новостей магазина и другие маркетинговые материалы.
«Улучшения работы сайта и определения предпочтений пользователя» — включайте такую цель, если используете аналитику посещаемости сайта, (например, Яндекс.Метрику).

Дополнительные примеры целей:

«Подбор персонала» — актуально, если интернет-магазин занимается приемом новых сотрудников и обрабатывает персональных данные в резюме кандидатов.
«Подготовка, заключение и исполнение договоров с контрагентами» — цель необходима, если ваша компания взаимодействует с поставщиками товаров/услуг, транспортными компаниями, рекламодателями и иными партнерами.
«Организация и регулирование трудовых отношений» — цель используется, если вы собираете и храните данные штатных сотрудников: ФИО, паспортные данные, контактные телефоны, адреса электронной почты и др.)

Цели обработки данных приведены в качестве примеров. Чтобы правильно составить уведомление необходимо индивидуально определить и сформулировать собственные цели, актуальные именно для вашего бизнеса.

Проверьте, чтобы цели обработки персональных данных, указанные в уведомлении, совпадали с теми, что указаны в ваших документах (например, политике конфиденциальности, пользовательском соглашении или согласиях на обработку персональных данных). Роскомнадзор вправе самостоятельно анализировать сайты и сравнивать информацию, указанную в реестре и документах на сайте компании. При выявлении несоответствий в компании может быть проведено внеплановое контрольное (надзорное) мероприятие (согласно приказу Минцифры от 17.08.2023 № 720).

Дальнейшую информацию необходимо заполнить для каждой цели обработки персональных данных:

категории персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовое основание обработки персональных данных;
перечень действий;
способы обработки.

4. В разделе «Категории персональных данных» укажите, какие конкретно персональные данные вы обрабатываете для каждой заявленной цели обработки.

Отметьте галочкой соответствующие категории данных. Если нужных пунктов нет в списке, поставьте галочку напротив строки «Иные персональные данные» и дополнительно укажите недостающие категории вручную.

Особенно внимательно отнеситесь к полноте предоставляемого списка. Убедитесь, что указали все обрабатываемые данные: например, дату рождения, если вы предоставляете скидки в дни рождения клиентов в рамках своей программы лояльности.

5. В разделе «Категории субъектов персональные данные которых обрабатываются» для интернет-магазина обычно указываются следующие категории:

Клиенты — физические лица, приобретающие товары или услуги через ваш интернет- магазин;
Посетители сайта — пользователи, оставляющие свои данные для подписки на новости, рассылки или участие в акциях;
Контрагенты — партнеры, поставщики или другие юридические лица, с которыми вы заключаете договоры;
Работники — сотрудники вашего интернет-магазина, чья информация необходима для ведения кадрового учета;
Соискатели — лица, претендующие на трудоустройство в вашу организацию.

6. Раздел «Правовое основание». До начала сбора и обработки персональных данных должно быть определено законное основание. Всего таких оснований двенадцать. Чаще всего используются следующие три:

Согласие на обработку персональных данных. Например, получение согласия клиента на получение рекламных сообщений.
Требование законодательства. Например передача необходимой информации государственным органам (налоговым службам, правоохранительным структурам).
Договор с субъектом. Например пользовательское соглашение или оферта с клиентом, на основании которой интернет-магазин осуществляет обработку данных.

Отметьте подходящие пункты, исходя из целей обработки данных в вашем интернет-магазине, или добавьте свои основания обработки, руководствуясь внутренними документами.

Частым нарушением является указание 152-ФЗ «О персональных данных» в качестве правового основания.

7. В разделе «Перечень действий» укажите конкретные операции, проводимые в вашем интернет-магазине.

Например, такие действия могут включать: сбор, запись, систематизацию, накопление, хранение, передачу (если передаются данные третьим лицам), уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение персональных данных.

8. В разделе «Способы обработки» выберите вариант, применяемый в вашем интернет-магазине согласно внутренним документам.

Немногие компании применяют исключительно автоматические методы обработки данных, поэтому указание смешанного подхода для всех целей будет вполне оправданным решением. Следует также уточнить, как передается информация: через интернет, внутри корпоративной сети или применяется оба варианта.

9. В разделе «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»» необходимо указать меры, которые применяются для защиты персональных данных в соответствии с требованиями закона.

В соответствии с законом должны выполняться следующие мероприятия:

назначено лицо, ответственное за организацию обработки персональных данных;
разработана политика в отношении обработки персональных данных и локальные акты по вопросам обработки персональных данных;
осуществляется внутренний контроль обработки персональных данных;
проведена оценка вреда, который может быть причинен субъектам персональных данных;
работники, осуществляющие обработку персональных данных, ознакомлены с положениями законодательства РФ о персональных данных и внутренними нормативными документами;
проводится обучение работников правилам работы с персональными данными;
определены угрозы безопасности персональных данных при их обработке в информационных системах;
обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия (указывается, в случае если такие средства применяются для нейтрализации определенных угроз информационной безопасности или для уничтожения персональных данных);
проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
обеспечен учет машинных носителей персональных данных;
проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию мер в случае обнаружения;
обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
определены правила доступа к персональным данным, обрабатываемых в информационных системах персональных данных;
осуществляется регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

10. В разделе «Средства обеспечения безопасности» необходимо указать конкретные наименования средств защиты информации, которые используются для защиты персональных данных в интернет-магазине. Например, укажите наименование средства антивирусной защиты, которые вы используете.

11. В разделе «Использование криптографических средств» укажите, применяете ли вы шифрование для обеспечения конфиденциальности передаваемой информации и защиты данных от несанкционированного доступа.

Криптографические средства могут применяться, например, если вы используете программное обеспечение КриптоПРО для цифровой подписи документов, для кадровых процессов, обмена защищёнными данными с государственными органами или банками, а также для безопасной передачи финансовой информации клиентов.

Необходимо указать класс СКЗИ, наименование, серийные номера, все эти данные можно узнать из документации на криптосредство.

12. В разделе «Ответственный за организацию обработки персональных данных» необходимо указать информацию о лице, назначенным ответственным за организацию обработки персональных данных:

фамилия, имя, отчество ответственного;
почтовый адрес;
номера контактного телефона;
адрес электронной почты.

Ответственным может быть назначен внутренний сотрудник или сторонняя компания, специализирующаяся на вопросах обработки и защите персональных данных

Указывайте точные и достоверные данные, так как в случае проверок или запросов от Роскомнадзора связь будет осуществляться именно по указанным контактам.

Важно отметить, что заполненные контактные данные ответственного лица после отправки уведомления станут общедоступными в реестре операторов Роскомнадзора.

13. В разделе «Дата начала обработки персональных данных» укажите дату регистрации индивидуального предпринимателя, юридического лица или получения статуса самозанятого.

14. Раздел «Срок или условие прекращения обработки персональных данных» предназначен для указания того, когда и при каких обстоятельствах прекращается обработка данных. Рекомендуем указать в данном разделе «Прекращение деятельности организации».

15. В разделе «Осуществление трансграничной передачи персональных данных» укажите, производится ли передача персональных данных за границу, например:

использование CRM-систем, расположенных на зарубежных серверах;
применение аналитических сервисов, собирающих данные за рубежом (Google Analytics);
использование иностранных рекламных платформ.

Если трансграничная передача данных осуществляется, необходимо подать отдельное уведомление о таком действии в Роскомнадзор.

Уведомление можно подать через портал персональных данных Роскомнадзора, заполнив специальную форму. Для этого необходима подтвержденная учетная запись на Госуслугах, оформленная на юридическое лицо или человека, подающего уведомление. Если онлайн-подать не удается, подготовьте уведомление по образцу с портала, подпишите и отправьте обычной почтой в Роскомнадзор.

16. В разделе «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ» необходимо указать, где территориально хранятся персональные данные.

Для обработки персональных данных с использованием платформы «inSales» укажите два адреса ЦОД, в которых осуществляется обработка персональных данных:

АО «Селектел», адрес ЦОД: г. Москва, ул. Берзарина, д. 36, стр. 3;

Картинка с сайта: www.insales.ru
ООО «Облачные технологии», адрес ЦОД, г. Москва, Алтуфьевское шоссе, 33Г.
Организацией, ответственной за хранение данных, укажите ООО «Инсейлс Рус», ОГРН: 1117746506514, ИНН: 7714843760, страна местонахождения: Россия, адрес местонахождения: 125047, г. Москва, вн.тер.г. Муниципальный Округ Тверской, ул 1-я Тверская-ямская, д. 21.

Картинка с сайта: www.insales.ru

17. Раздел «Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах» заполняется только операторами государственных/муниципальных информационных систем. Владельцам интернет-магазинов заполнять данный раздел не нужно.

18. В разделе «Сведения об обеспечении безопасности персональных данных» необходимо указать меры, предпринятые для защиты персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 №1119. Этот нормативный акт устанавливает уровни защищенности персональных данных и определяет мероприятия по их обеспечению.

В соответствии с этим документом рекомендуем указать выполнение следующих мер:

Организован режим обеспечения безопасности помещений, предназначенных для обработки персональных данных. Для защиты помещений, где обрабатываются персональные данные, важно установить физическую охрану, систему видеонаблюдения и внедрить строгий контроль доступа.
Обеспечена сохранность носителей персональных данных. Носители персональных данных на бумаге и на электронных устройствах необходимо защищать, например хранить документы и носители в закрытых сейфах или шкафах, ограничить количество людей, имеющих доступ к этим хранилищам.
Утвержден перечень лиц, которым необходим доступ к персональным данным для выполнения их служебных (трудовых) обязанностей. Персонал должен получать доступ только в рамках своих должностных обязанностей. Для этого нужно создать официальный документ, содержащий список сотрудников с правом доступа, а также регулярно пересматривать и обновлять этот список.
Используются средства защиты информации, прошедшие оценку соответствия требованиям законодательства. Для защиты персональных данных необходимо использовать инструменты, соответствующие законодательным нормам, например сертифицированные средства антивирусной защиты.
Назначено должностное лицо, ответственное за обеспечение безопасности персональных данных. Для этого определите конкретного сотрудника, который будет контролировать исполнение всех предусмотренных мер защиты.

19. Далее необходимо указать контактные данные исполнителя, который непосредственно занимается оформлением и подачей уведомления в Роскомнадзор. Исполнителем может выступать не только лицо, ответственное за обработку персональных данных, но и любой другой сотрудник, которому поручено заполнить и направить уведомление.

20. После заполнения всех необходимых разделов нужно отметить соответствующие пункты, подписать уведомление и направить в Роскомнадзор. Важно сохранить присвоенный номер и ключ — они пригодятся для отслеживания статуса вашего уведомления.

21. После подачи уведомления на сайте Роскомнадзора в разделе «Реестр операторов» доступна функция проверки статуса поданного уведомления. Для этого используйте полученный номер и специальный ключ в соответствующем разделе «Проверка состояния уведомления».

Если интернет-магазин прекратил деятельность

Если ваш интернет-магазин прекратил свою деятельность, необходимо подать уведомление о прекращении обработки персональных данных в течение 10 рабочих дней с даты прекращения обработки персональных данных.

Для этого на сайте Роскомнадзора необходимо заполнить электронную форму.

Заполненную форму необходимо распечатать, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании.

На сайте РКН можно ознакомиться с примерами заполнения уведомлений:

Пример заполнения уведомления об обработке о намерении осуществлять обработку персональных данных.
Пример заполнения уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.
Пример заполнения уведомления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных.

Соблюдая установленные сроки и процедуры уведомления, владельцы интернет-магазинов снижают риски возникновения конфликтов с регулятором и сохраняют доверие пользователей к своему бизнесу.

Источник

Согласно ст.22 Федерального закона «О персональных данных», оператор персональных данных (организация, ИП или самозанятый) должен уведомить Роскомнадзор о своем намерении обрабатывать данные до начала их обработки. Специалисты по работе с персональными данными 1С:ИнфоБезопасность Наталья Немудрая и Дарья Кочергина рассказывают, кто и зачем обязан подавать уведомление, как его заполнить без ошибок и представить в РКН.

Кто и зачем должен подавать уведомление в Роскомнадзор

Согласно ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», представлять уведомление в Роскомнадзор должны организации, предприниматели и самозанятые, собирающие и обрабатывающие персональные данные:

сотрудников и кандидатов на работу;
контрагентов;
членов общественных объединений и религиозных организаций;
посетителей для однократного пропуска на территорию компании;
ФИО любого лица, полученное организацией.

Подача уведомления является основанием для внесения компании в реестр операторов персональных данных (ОПД) и легализует всю ее дальнейшую работу по сбору и обработке таких данных. Поэтому подавать уведомление должны даже те компании, которые непосредственно не работают с Роскомнадзором. Если компания собирает такие данные, как ФИО, электронная почта или место работы, то она является оператором персональных данных, а следовательно, должна взаимодействовать с РКН.

То же самое касается ситуаций, когда у компании есть хотя бы один клиент или сотрудник, чьи личные сведения обрабатываются. Кроме того, если компания сдает в аренду программы, облачные хранилища и прочие места хранения персональных данных, она также является оператором персональных данных и должна подавать в РКН соответствующее уведомление.

Подавая уведомление в Роскомнадзор, компания не только исполняет законное требование, но и поддерживает свою репутацию как ответственного контрагента в деловом сообществе. Сейчас любой желающий может посмотреть в реестре операторов, как конкретная организация обеспечивает защиту персональных данных.

Также в настоящее время появилась новая практика, когда юристы одной компании не пропускают договоры другой компании по причине ее отсутствия в реестре Роскомнадзора. Считается, что компания, не исполняющая требования законодательства, не обеспечит своим партнерам адекватную защиту персональных данных. Повышенные требования также стали предъявлять к участникам торгов. Теперь часть контрактов доступны только для исполнителей, состоящих в реестре операторов персональных данных. Кроме того, если компания планирует трансграничную передачу данных, то без поданного уведомления заявить о трансграничной передаче сведений будет невозможно.

Уведомление в общем случае подают однократно и в дальнейшем от компании требуется только актуализировать сведения, содержащиеся в нем. Каждый раз, оформляя на работу нового сотрудника или внося в базу данных сведения о новом физлице, подавать уведомление не требуется.

Подача уведомления не приводит к возникновению в компании каких-либо дополнительных обязанностей. Компания в любом случае должна выполнять требования Федерального закона №152-ФЗ. Отсутствие в реестре Роскомнадзора сведений об операторе не освобождает организацию от обязанности разработать локальные акты, принять организационные и технические меры по защите персональных данных, а также не снимает ответственность за нарушение законодательства о защите персональных данных. Не приводит подача уведомления и к повышенному вниманию и проверкам со стороны Роскомнадзора.

Роскомнадзор может проверить любую организацию, предпринимателя или самозанятого – даже тех, кто забыл о себе заявить. Избежать исполнения требований Федерального закона №152-ФЗ, не регистрируясь в реестре операторов персональных данных, не удастся. Основанием для назначения проверки не всегда является наличие организации в реестре. Существуют и другие критерии, которые служат поводом для дальнейшей проверки.

Штрафы за неподачу уведомления в РКН

За неподачу уведомления в Роскомнадзор сейчас предусмотрен штраф по ст.19.7 КоАП РФ, который не превышает 5 000 рублей для организаций и 500 рублей для предпринимателей.

С 30 мая 2025 года вступит в силу Федеральный закон от 30.11.2024 №420-ФЗ, который значительно повысит штрафы за непредставление уведомления в РКН. Новые штрафы для граждан составят от 5 000 до 10 000 рублей, для должностных лиц – от 30 000 до 50 000 рублей, а для организаций – от 100 000 до 300 000 рублей.

Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН

Кто может не подавать уведомление в Роскомнадзор

В ч. 2 ст.22 Федерального закона №152-ФЗ установлено лишь три случая, когда компаниям не требуется подавать в Роскомнадзор уведомление о намерении обрабатывать персональные данные. Уведомление не требуется, если:

весь учет персональных данных ведется на бумаге (если хотя бы часть информации хранится и обрабатывается на компьютерах или других устройствах – планшетах, смартфонах, то уведомление необходимо подать);
организация включена в государственные информационные системы и работает с персональными данными, размещенными в этих государственных информационных системах;
компания работает с персональными данными в сфере транспортной безопасности (если помимо перечисленных видов деятельности есть другие – ведение кадрового учета, работа с клиентами, заключение договоров или оказание услуг, то организация должна подать уведомление в Роскомнадзор).

Как подготовиться к подаче уведомления в Роскомнадзор

Законодательство допускает три способа заполнения и отправки уведомления в Роскомнадзор:

заполнить электронную форму, распечатать и отправить почтой или любым удобным способом в Роскомнадзор;
сформировать и отправить на портале Роскомнадзора, подписав электронной подписью;
сформировать на портале Госуслуг и там же отправить.

Нужно учитывать, что время на заполнение уведомления на портале ограничено, а сохранить черновик нет технической возможности. Поэтому, прежде чем заносить данные в уведомление непосредственно на портале РКН, необходимо подготовиться и собрать все сведения – прервать работу и потом к ней вернуться не получится.

Примерный план работ по подготовке уведомления в РКН

Назначьте ответственного за организацию обработки персональных данных в компании. Сделать это нужно приказом. Данные ответственного сотрудника следует внести в уведомление.
Определите и пропишите в приказах цели сбора и категории собираемых персональных данных
Разработайте политику в области обработки персональных данных. Информация в политике должна соответствовать тому, что вы укажете в уведомлении. Между этими документами не должно быть расхождений.
Проверьте сайт по следующему чек-листу:

какие персональные данные на сайте собираются;
есть ли на сайте формы согласия для обработки данных;
размещена ли политика обработки данных;
наличие метрических программ, собирающих данные.

Проверьте наличие и актуальность средств защиты информации, которые должны быть размещены на компьютерах, где обрабатываются персональные данные. Эту информацию тоже нужно отразить в уведомлении в Роскомнадзор.
Соберите следующую информацию обо всех сторонних сервисах (например, электронная отчетность или облачные хранилища), в которых вы размещаете личные данные: название, владелец, адреса серверов и т.д. Если компания, у которой вы арендуете сервис, не знает или не дает адрес своего сервера, то в этом случае можно указать юридический адрес этой компании. При этом необходимо сохранить переписку, которая подтвердит, что вы сделали все, чтобы установить адрес, но вам отказали. Это пригодится на случай проверки.

Как заполнить уведомление в РКН

Первичное уведомление или корректировка

В самом начале нужно выбрать тип уведомления – первичное или корректирующее. Если вы нажмете кнопку «Заполнить уведомление данными из ранее составленного письма», то откроется окошко, где нужно ввести номер и ключ предыдущего уведомления. В этом случае все ранее заполненные данные автоматические подтянутся.

Сведения об операторе

Регион. Если вы зарегистрированы в одном регионе, а деятельность ведете в другом, укажите регион фактического местонахождения.

Адрес электронной почты. Красными звездочками отмечены поля, обязательные к заполнению. Адрес электронной почты как раз относится к таким обязательным полям. Он нужен для оперативного взаимодействия с вами по вопросам подачи уведомлений и обработки персональных данных.

Регионы обработки. Регионы обработки – это та территория, на которой вы как оператор непосредственно работаете с персональными данными. Например, у вас есть филиалы, в которых обрабатывается личная информация сотрудников. Это может быть и несколько территорий, и вся Российская Федерация. На сегодня нет судебной практики, когда Роскомнадзор привлек бы к ответственности за то, что в Регионах обработки была указана Российская Федерация, а не конкретный субъект. Здесь важно не перепутать с территориями субъектов, чьи данные вы обрабатываете, потому что субъект может находиться в любом регионе.

Цели обработки данных

Далее в уведомлении необходимо указать каждую цель, с которой компания планирует обрабатывать персональные данные. В зависимости от объемов обработки данных у организации может быть различное количество целей. Указать в одном поле несколько целей через запятую нельзя. Например, ведение кадрово-бухгалтерского учета, заключение договоров с клиентами и организация пропускного режима на территорию оператора – это три разные цели.

В справочнике на портале Роскомнадзора предложены более 30 целей. Вы можете выбрать из имеющихся или добавить вручную свой вариант.

Есть близкие по смыслу процессы, которые можно объединить в одну цель. Например, в рамках трудовых отношений это оформление трудоустройства, внесение персональных данных сотрудников в информационные системы, например СРМ, и направление персональных данных в банки для выплаты зарплаты.

То же самое при подборе персонала, который складывается из различных процессов: поиск соискателей с помощью различных сервисов, взаимодействие с соискателями, прием от них документов, формирование кадрового резерва. Для каждой цели определяем установленную ч.3.1 ст.22 Федерального закона №152-ФЗ информацию. Выбираем из предложенного Справочника или добавляем вручную через выбор кнопки «Иные». При выборе «Иные» в любом из разделов в форме уведомления появятся дополнительные поля, где нужно дописать вручную недостающие сведения (категории ПДн, субъектов, правовые основания и т.д.). Заполнять эти сведения нужно обязательно.

Далее под каждую цель обработки нужно указать категории персональных данных и категории субъектов. Например, при подборе персонала категории сведений, которые обрабатываются, это ФИО, сведения об образовании и предыдущих местах работы, паспортные данные и т.д.

Если мы не распространяем данные соискателей, то это действие указывать не нужно. Распространение, возможно, например, в случае, когда персональные данные сотрудников размещены на сайте.

Способы обработки данных

Обработка может быть автоматизированная, неавтоматизированная и смешанная. Способ указывается относительно каждой цели. Редко какие компании используют исключительно автоматизированный способ, поэтому не будет ошибкой указать по всем целям смешанную обработку. Кроме того, нужно конкретизировать: передача данных происходит через интернет, или в рамках внутренней сети, или используются оба варианта.

Меры по защите персональных данных

Полный перечень мер содержится в ст. 18.1 и 19 Федерального закона №152-ФЗ. Те данные, которые вы укажете в уведомлении, могут быть проверены Роскомнадзором. Поэтому нужно указывать исключительно достоверную информацию. То же самое касается и сведений об использовании шифровальных криптографических средств. В электронной форме уведомления помимо наименования нужно указать изготовителей, серийные номера средств шифрования и класс из КЗИ. Если у вас нет полных сведений, то достаточно будет указать их наименование.

Ответственный за организацию обработки персональных данных

Ответственным за организацию обработки персональных данных в компании может быть только один сотрудник. Внутри организации вы можете распределить обязанности между несколькими работниками, но ответственность перед проверяющими органами будет нести только человек, указанный в приказе.

Если для целей обработки данных вы привлекаете компанию, то указываете наименование юридического лица. Индивидуальный предприниматель может как сам отвечать за этот процесс, так и назначить ответственного из лица сотрудников. В первом случае можно поле не заполнять.

Обратите внимание, для ответственных лиц важно указывать исключительно рабочие телефоны и электронные адреса, поскольку эти данные будут открытыми. При этом убедитесь, что с человеком можно легко связаться по указанным контактам.

Дата начала и окончания обработки персональных данных

Укажите в качестве даты начала обработки персональных данных день регистрации компании или ИП в Росреестре. Иначе у сотрудников Роскомнадзора возникнет вопрос о том, почему именно указанная дата была выбрана в качестве начального момента обработки данных. В качестве окончания обработки персональных данных можно выбирать не дату, а событие: ликвидация юрлица или окончание регистрации ИП.

Места нахождения баз данных

Помимо страны (РФ) здесь указывается полный адрес ЦОДа: город, улица, дом, номер офиса или квартиры. Под ЦОДом в уведомлении в Роскомнадзор понимается любой сервер и любое место хранения бумажных носителей. Если у вас ЦОД не собственный, а, например, арендованный, хостинг сайта или Яндекс.Диск, то нужно указать, кто обеспечивает хранение. То есть заполнить наименование организации, ИНН, ОГРН и адрес.

Номер и ключ уведомления

После завершения формирования и отправки уведомления вы получите номер и ключ документа. Его необходимо сохранить, он понадобится вам для последующей подачи корректирующих сведений.

Если номер и ключ были утеряны, можно связаться с территориальным органом Роскомнадзора, в который вы подавали уведомление, и спросить у сотрудников варианты восстановления утерянных сведений. Сделать это самостоятельно на портале уже не получится.

У фирмы «1С» есть отдельный сервис, в котором можно подготовить шаблон уведомления в Роскомнадзор, – сервис 152DOC для 1С. C его помощью можно разработать локальные нормативные акты, на их основании создать уведомление в Роскомнадзор и либо отправить почтой, либо на основе готового шаблона оперативно заполнить уведомление на портале Роскомнадзора.

Также в Учебном центре №1 фирмы «1С» разработан специальный курс по подготовке уведомления в РКН в сервисе 152DOC для 1С.

Основные ошибки при оформлении и подаче уведомления в Роскомнадзор

Отражены не все цели обработки

В качестве целей вы указали только ведение кадрового и бухгалтерского учета, но не сообщили, что обрабатываете данные населения при оказании услуг. То есть в уведомлении была отражена только одна цель обработки персональных данных. Узнать об этом достаточно просто. Во-первых, сотрудник Роскомнадзора может заглянуть в ОКВЭДы оператора персональных данных и понять, какую деятельность организация ведет, например, торгует или оказывает услуги. Во-вторых, много информации можно почерпнуть с сайта компании или досок объявлений, рекламы.

Выявляется это, как правило, в ходе профилактических визитов или при рассмотрении жалоб со стороны субъектов персональных данных. В качестве последствий могут быть и требование, и предписание, и привлечение к ответственности в виде штрафа по ч.1 ст.13.11 КоАП РФ:

на граждан – от 2 000 до 6 000 рублей;
на должностных лиц – от 10 000 до 20 000 рублей;
на юридических лиц – от 60 000 до 100 000 рублей.

В уведомлении указаны избыточные сведения

Компания на всякий случай отразила в уведомления сведения, которые фактически не собирает или они не нужны для ее деятельности. Причина может быть любая: ответственный сотрудник перепутал, написал «про запас» – вдруг в будущем пригодится.

Одно дело, когда для ведения бухгалтерского и кадрового учета вы указываете большой набор категорий собираемых персональных данных. Например, СНИЛС, ИНН, сведения о воинском учете, сведения о водительском удостоверении. В этой ситуации вы имеете право все это собирать в рамках законодательства и можете обосновать, для чего вам эта информация. Другое дело, когда для цели оказания услуг населению вы выбираете обширный перечень данных, включая сведения о воинской обязанности, сведения о водительском удостоверении и т.д. В этом случае объяснить Роскомнадзору, зачем вы собираете эти персональные данные, будет достаточно сложно.

Роскомнадзор может усмотреть в этом избыточный сбор персональных данных. За это также предусмотрен штраф по ч.1 ст.13.11 КоАП РФ. Поэтому необходимо указывать только тот сбор персональных данных, который обусловлен необходимостью или законодательством.

Цели указаны обобщенно

Цели обработки данных должны быть четкими и конкретными. Например, нельзя в качестве цели указать договорные отношения. Непонятная формулировка цели является нарушением и может повлечь штрафы по ч.1 ст.13.11 КоАП РФ. Пример четкой цели – оказание туристических услуг в рамках договоров о реализации туристского продукта. Должно быть понятно, с кем работаете и для чего собираете персональные данные.

Подали неполный перечень категорий субъектов, оснований, адресов

Допустим, вы забыли указать, что работаете не только с сотрудниками, но и с соискателями, с уволенными работниками, с их родственниками – важно прописать всех. Все это также будет являться основанием для назначения штрафа по ч.1 ст.13.11 КоАП РФ. То же самое будет и в случае правовых оснований обработки персданных, когда забывают указать, к примеру, договор или требования закона, а ссылаются только на согласие. Также в уведомлении часто забывают указать полные сведения об адресах баз данных, арендованных серверах и т.д., хотя это сделать необходимо.

Данные между уведомлением и локальными актами расходятся

Еще одна частая ошибка – несоответствие внутренних документов компании той информации, которая указана в уведомлении. Согласно статистике проверки сайтов, примерно в 80% случаев выявляются расхождения между документами, которые опубликованы на сайте и уведомлением. Если Роскомнадзор выявит более трех расхождений, то вам вправе назначить контрольную проверку. И мораторий тут не действует. Сотрудники Роскомнадзора вправе приехать и проверить полностью деятельность, связанную с персональными данными.

В уведомлении содержатся личные контакты сотрудников

Личные контактные данные и домашние адреса ответственных сотрудников указывать в уведомлении не нужно. Дело в том, что эта информация конфиденциальная, и вы как оператор персональных данных вообще не имеете права ее распространять и показывать кому-либо. Обязательно указывайте только рабочие контакты. Также важно, чтобы контакты были актуальными. В противном случае указанная почта или телефон могут быть завалены письмами и предписаниями от Роскомнадзора, а вы об этом не узнаете. За предписаниями обычно следуют штрафы. Чтобы избежать этой ошибки, установите график актуализации контактов и ответственных лиц. Делайте проверку, например, раз в полгода.

В материале использованы фото: Mix and Match Studio / Shutterstock / Fotodom.

Источник

Обязательное уведомление о персональных данных в Роскомнадзор как подать через 1С и другие способы.png

Как подать уведомление в Роскомнадзор

Уведомление подается несколькими способами:

через Госуслуги

на сайте Роскомнадзора

с помощью сервиса 152DOC

вручную — заполнив форму и отнеся в РКН на бумаге

Рекомендуем выбрать электронные способы подачи — это быстрее, проще и надежнее. Далее расскажем, какой способ выбрать и как заполнить уведомление в программе 1С и на сайте РКН.

Форма уведомления: что нужно знать

Уведомление о намерении обрабатывать персональные данные утверждено Приказом Роскомнадзора от 28.10.2022 № 180. Указываются:

цели обработки

категории субъектов и данных

правовое основание

перечень действий с данными

меры по обеспечению безопасности и т. д.

Все, кто обрабатывают персональные данные, обязаны уведомлять об этом РКН

Исключение составляют случаи обработки (ч. 1 ст. 22 Закона 152-ФЗ):

только данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка

исключительно «на бумаге»

только предусмотренные законодательством РФ о транспортной безопасности для безопасного функционирования транспортного комплекса и защиты интересов личности, общества и государства от актов незаконного вмешательства в сфере транспортного комплекса от актов незаконного вмешательства

Если кроме указанных случаев оператор обрабатывает, например, пересданные работников, уведомление все равно нужно подать.

Что делать, если уведомление уже подавалось ранее

1. Проверьте, включена ли ваша организация в реестр операторов персональных данных

2. Если форма устарела (например, подавали по Приказу № 94 от 30.05.2017), направьте новое корректирующее уведомление

3. При изменении данных — подавайте уведомление об изменениях

Как подать уведомление на сайте РКН

Заполнить форму можно на сайте Роскомнадзора

В письме Управления РКН по Татарстану от 24.08.2022 № 12413-04/16 поясняется, что дата начала обработки и дата подачи уведомления — разные даты.

Электронного формата нет, поэтому по ТКС, в т. ч. через 1С-Отчетность, уведомление не получится отправить. Но можно это сделать с КЭП на сайте РКН или через Госуслуги:

Если выбрали через ЕСИА, то далее так:

Рассмотрим заполнение формы при отправке с КЭП на сайте РКН.

Сведения об операторе

Оператор — это ваша организация (ИП, ФЛ), которая направляет уведомление

Большинство пунктов содержат выпадающие списки для выбора. Например, Тип оператора

Картинка с сайта: neosystems.ru

Картинка с сайта: neosystems.ru

Поля, подчеркнутые пунктиром, содержат всплывающие подсказки

Заполните свои данные, учитывая:

Адрес электронной почты — используется для направления вам информации от Роскомнадзора, поэтому указывайте тот, которым пользуетесь

Регионы обработки — это территории, на которых оператор обрабатывает персональные данные, при необходимости укажите всю страну

Цели обработки персональных данных

В этом разделе укажите конкретные цели обработки данных с учетом специфики деятельности. Примеры целей приведены Роскомнадзором в выпадающем списке (используйте их или добавьте свои)

Примеры целей обработки персональных данных

Для каждой цели заполните указанные ниже сведения: категории данных, субъектов и др.

Отметьте пункты, подходящие для вашей ситуации

Если в разделе указан пункт Иное, появится поле для расшифровки (уточните конкретно)

Выберите Способ обработки

По кнопке Добавить цель обработки добавьте следующую цель по вашей ситуации и повторите заполнение данных раздела для нее

Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных» (вариант заполнения):

Назначено ответственное лицо за организацию обработки персональных данных

Внутри компании утверждены локальные документы, регулирующие порядок работы с персональными данными (например, Политика по обработке ПДн, инструкции и положения)

Проводится регулярный контроль соблюдения требований законодательства — в том числе внутренние проверки и аудит

Сотрудники, работающие с персональными данными, обучены и ознакомлены с нормативной базой и внутренними регламентами

Определены потенциальные риски и угрозы, связанные с обработкой ПДн в ИСПДн (информационных системах персональных данных)

Применяются организационные меры, в том числе:

ограничение доступа к персональным данным

регистрация действий пользователей

разграничение полномочий

контроль за обращением с носителями информации

Используются технические средства защиты, в том числе сертифицированные программные продукты и оборудование

Установлены процедуры реагирования на инциденты: выявление несанкционированного доступа, восстановление утраченных данных, фиксация нарушений

Внедрены меры физической защиты: ограниченный доступ в серверные и иные помещения, где размещаются ИСПДн

Применяются шифрование, антивирусная защита, средства контроля целостности и защищенные каналы связи

Оценивается эффективность реализованных мер до начала эксплуатации новых систем

Важно: в уведомлении указываются только используемые решения и средства защиты персональных данных, подтверждённые документально. В противном случае уведомление считается недостоверным.

Дата начала обработки ПД — это день, с которого началась работа с данными. При отсутствии точной информации укажите дату государственной регистрации

Срок или условие прекращения обработки ПД — дата или условие, при котором вы прекращаете выполнять функции оператора и останавливаете обработку персональных данных

Осуществление трансграничной передачи ПД — факт передачи персданных за территорию РФ:

если выбрали осуществляется — подайте уведомление об осуществлении трансграничной передачи персональных данных

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

Укажите все места нахождения центров обработки данных: серверов, иных хранилищ. Если указан НЕ Собственный ЦОД, появится раздел Сведения об организации, ответственной за хранение данных

Здесь укажите данные лиц, хранящих базы данных (собственники серверов, облачных хранилищ и т. п.)

Сведения о лицах, имеющих доступ (или) осуществляющих на основании договора обработку ПД, содержащихся в государственных и муниципальных ИС

Если раздел к вам не относится — удалите

Сведения об обеспечении безопасности персональных данных

Сведения об обеспечении безопасности ПД в соответствии с требованиями к защите ПД, установленными Правительством РФ — заполните в текстовом виде на основании Постановления Правительства РФ от 01.11.2012 N 1119

Сохранение и отправка уведомления

Сохраните или отправьте уведомление.

Появится раздел Машиночитаемая доверенность

Если не установлен флажок «Уведомление будет подписано лицом, имеющим право действовать без доверенности от имени оператора», то загрузите МЧД (машиночитаемую доверенность).

Ознакомьтесь с порядком подачи уведомления и подтвердите согласие на передачу информации

Заполнение Уведомления в 1С

Создайте Уведомление об обработке персональных данных из раздела Отчеты — Уведомления, сообщения, заявления — папка Прочее

Уведомление по форме, утв. Приказом Роскомнадзора от 28.10.2022 N 180, состоит из одной страницы. Сведения об организации заполняются автоматически по данным из Карточки организации. Остальные данные заполните вручную.

Образцы формулировок доступны в предложениях Роскомнадзора.

Заявление распечатайте и сдайте на бумажном носителе. Отправить из программы не получится.

Для каждой цели заполняются все данные, перечисленные ниже. В программе 1С (релиз 3.0.175.19) поддерживается только одна цель обработки данных. При этом фиксируется ошибка при сохранении формы.

Рекомендуется оформлять уведомление на сайте Роскомнадзора — доступны подсказки, готовые формулировки и возможность отправить документ в электронном виде.

Предлагаем к просмотру ролик, где рассказываем о Федеральном законе №152 «О персональных данных». Для кого важен, какие штрафы за невыполнение требований и что сделать, чтобы соответствовать закону.

Если хотите упростить процесс подготовки уведомления, воспользуйтесь сервисом 152DOC. Обратитесь в компанию Неосистемы — поможем с установкой, настройкой и обучением работе с сервисом:

8 (8142) 67-21-20

8 (8142) 79-88-87

promo@neosystems.ru

Проконсультируем по требованиям законодательства и подскажем, как избежать ошибок при подаче уведомления.

Источник

Согласно Закону № 152-ФЗ (ч. 1 ст. 22) организации и физические лица, собирающие и обрабатывающие персональные данные с использованием средств автоматизации, обязаны подать об этом уведомление в Роскомнадзор.

Это относится и к работодателям, обрабатывающим только данные своих сотрудников или соискателей.

С 30 мая 2025 года штрафы за непредставление таких уведомлений многократно повысятся:

для организаций и индивидуальных предпринимателей — до 300 тысяч рублей;
для должностных лиц — до 50 тысяч рублей.

Настоятельно рекомендуем подать до 30 мая 2025 года в Роскомнадзор Уведомление об обработке персональных данных.

Как заполнить и подать Уведомление

Подача Уведомления в бумажном виде

Уведомление об обработке персональных данных можно заполнить:

на сайте Роскомнадзора по ссылке;
в программе «1С:Бухгалтерия 8» (пункты меню Отчеты — 1С:Отчетность — Уведомления, кнопка Создать, раздел выведенного меню Прочие — Уведомление об обработке персональных данных), видео можно посмотреть по ссылке;
с помощью «конструктора документов» — сервиса 152DOC для 1С (см. по ссылке), который можно приобрести через партнеров «1С»;
или иными способами.

Заполненное заявление нужно распечатать, подписать и отправить письмом в территориальный орган Роскомнадзора.

Требования к Уведомлению

Согласно разъяснениям органов Роскомнадзора, заполненное Уведомление об обработке персональных данных:

должно быть распечатано на фирменном бланке (при его наличии), или на бланке с указанием реквизитов организации или ИП в шапке;
должно иметь исходящий номер и дату;
должно быть подписано руководителем или уполномоченным лицом;
должно быть заверено печатью организации или ИП, при наличии печати. Печать ставится на подпись руководителя или уполномоченного лица;
должно содержать сведения об исполнителе и его контактные данные (телефон, электронная почта).

При подписании Уведомления уполномоченным лицом к Уведомлению нужно приложить доверенность от имени организации или ИП, в которой содержится полномочие этого лица подписывать такие документы.

Подача Уведомления в электронном виде

Уведомление об обработке персональных данных можно заполнить и отправить в электронном виде на сайте Роскомнадзора (см. по ссылке):

при наличии усиленной квалифицированной электронной подписи;
или с подтверждением личности на портале Госуслуг (необходимо иметь подтвержденную учетную запись на портале Госуслуг, привязанную к организации, если уведомление подается за организацию).

Отправка Уведомления в бумажном виде в этом случае не требуется.

Пример заполненного Уведомления

Пример заполненного Уведомления об обработке персональных данных приведен по ссылке.

Рекомендации по заполнению полей Уведомления для пользователей 1С:Фреш

Регион регистрации

Указывается регион регистрации организации или ИП, согласно Свидетельству о регистрации

Сведения об операторе

Указать данные ООО или ИП, которые оплачивают подписки на тарифы 1С:Фреш подоговору с партнером фирмы 1С.

Цель обработки ПД

Как правило, можно указать Ведение кадрового и бухгалтерского учета.

Также можно перечислить указанные в уставе виды деятельности организации, которые требуют работы с персональными данными

Категории персональных данных

Здесь следует указать категории персональных данных, которые хранятся в Вашей базе 1С.

Обязательные категории:

фамилия, имя, отчество
год рождения
месяц рождения
дата рождения
место рождения
семейное положение
пол
доходы

В большинстве случаев также указываются:

адрес места жительства
адрес регистрации
номер телефона
СНИЛС
ИНН
гражданство
данные документа, удостоверяющего личность
реквизиты банковской карты
номер расчетного счета
номер лицевого счета

Опционально:

данные документа, удостоверяющего личность за пределами Российской Федерации
адрес электронной почты
данные водительского удостоверения
сведения об образовании
профессия
должность
сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации)
отношение к воинской обязанности, сведения о воинском учете

При наличии данных физических лиц в возрасте до 14 лет:

данные документа, содержащиеся в свидетельстве о рождении

Способы обработки

Указать: Автоматизированная
Указать: С передачей по внутренней сети юридического лица
Указать: С передачей по сети Интернет

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»

Указать следующие данные (рекомендуется их скопировать):

ИАФ.1; ИАФ.3; ИАФ.4; ИАФ.5; ИАФ.6;
УПД.1; УПД.2; УПД.3; УПД.4; УПД.5; УПД.6; УПД.10; УПД.11; УПД.13; УПД.14; УПД.15; УПД.16; 
ЗНИ.8; РСБ.1; РСБ.2; РСБ.3; РСБ.7;
АВЗ.1; АВЗ.2;
АНЗ.1; АНЗ.2; АНЗ.3; АНЗ.4;
ЗСВ.1; ЗСВ.2; ЗСВ.3; ЗСВ.9; ЗСВ.10;
ЗТС.3; ЗТС.4;
ЗИС.3;
УКФ.1; УКФ.2; УКФ.3; УКФ.4.

Средства обеспечения безопасности

Указать: Средства антивирусной защиты; средства межсетевого экранирования; средства поиска уязвимостей; средства защиты среды виртуализации.

Использование шифровальных (криптографических) средств

Указать: Не используется.

Ответственный за организацию обработки персональных данных

Pаздел заполняется индивидуальными данными каждой организации или ИП

Дата начала обработки персональных данных

Указать дату подключения к облаку

Срок или условие прекращения обработки персональных данных

Выбрать: Условие окончания
И далее указать текстом: Пять лет после расторжения трудового договора, Один месяц после отказа кандидату в приеме на работу

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

Указать сведения:

Страна: Россия
Адрес ЦОДа: г. Москва, Коровинское шоссе, д. 41, Организация ответственная за хранение: Акционерное общество «Центр Хранения Данных» (АО «ЦХД»), ИНН 9722084937, ОГРН 1247700651461, место нахождения: Российская Федерация, 109316, г. Москва, Остаповский проезд, дом 22, стр.16
Собственный ЦОД: нет

Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах

В данном разделе ничего не нужно указывать

Сведения об обеспечении безопасности персональных данных

ФИО исполнителя

Указать сотрудника организации, приведенной в разделе Сведения об операторе (как правило, это руководитель организации).

Полезные материалы

Материалы на 1С:ИТС

Уведомление Роскомнадзора об обработке персональных данных;
Ошибки при подаче в Роскомнадзор уведомления об обработке персональных данных;
Пример заполненного Уведомления об обработке персональных данных;
Риски для вашего бизнеса по 152-ФЗ «О персональных данных» в 2025 году. Новые штрафы, требования, рекомендации (видеозапись лекции).

Материалы на БУХ.1С:

«1С:Бухгалтерия 8»: как сформировать уведомление об обработке персональных данных;
Подача уведомлений в Роскомнадзор: как заполнить, должны ли подавать самозанятые и будут ли штрафовать за нарушение сроков сдачи;
Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН.

Комплект документов по обработке персональных данных

Следует иметь в виду, что организации обязаны не только отправить Уведомление об обработке персональных данных, но также, в соответствии со ст. 18.1 Закона 152-ФЗ «О персональных данных», разработать и поддерживать в актуальном состоянии пакет локально-нормативных актов или организационно-распорядительных документов, описывающих все процессы работы с персональными данными внутри организации.

Такой комплект документов можно подготовить и после 30 мая 2025 года, но его нужно сделать обязательно.

Комплект документов можно подготовить:

самостоятельно по рекомендациям от фирмы 1С, например, см. по ссылке, но придется выделить достаточно времени, чтобы разобраться в предмете;
или с помощью «конструктора документов» — сервиса 152DOC для 1С, который можно приобрести через партнеров «1С» .

См. также:

Источник

Любая компания или ИП, планирующая обрабатывать персональные данные, обязана уведомить об этом Роскомнадзор (ч. 1 ст. 22 Федерального закона № 152-ФЗ). Сама по себе процедура подачи уведомления несложная, но до этого нужно разработать локальные нормативные акты компании по работе с персональными данными.

Еще совсем недавно любая компания могла позволить себе собирать и обрабатывать персональные данные без уведомления об этом Роскомнадзора (РКН), штрафы за «игру в молчанку с РКН» были несущественные. С 30 мая 2025 все изменилось. Сейчас неисполнение обязанности об уведомлении может обернутся для организации штрафом от 100 000 до 300 000 рублей.

Новые штрафы за утечку персональных данных в 2025 году

Обязанность уведомлять Роскомнадзор

Требование уведомлять РКН о начале сбора персональных данных распространяется на всех: организации, ИП, самозанятые и т.д. (ст. 22 Федерального закона № 152-ФЗ).

В каждой компании есть работники, их данные так или иначе обрабатываются при заключении трудового договора, начислении зарплаты, оформлении командировок и т.п. Персональные данные вносятся в личные дела сотрудников. Многие компании обрабатывают персональные данные не только работников, но и клиентов. Так что избежать подачи уведомления в РКН не получится. От этой обязанности освобождены только:

Компании, которые ведут весь учет персональных данных, причем полностью, на бумаге.
Организации, которые включены в государственные информационные системы и работает с персональными данными из этих систем.
Компании, которые работают с персональными данными в сфере транспортной безопасности.

На основании поданного в РКН уведомления компанию или ИП вносят в реестр операторов персональных данных (ОПД), это и является легализацией работы с персданными.

Уведомление подается один раз, затем при необходимости нужно актуализировать переданные ранее сведения.

Как направить уведомление

Направить уведомление в Роскомнадзор можно одним из трех способов:

В бумажном виде, по почте РФ. Сначала нужно заполнить форму уведомления, которая утверждена в приложении 2 к приказу Роскомнадзора от 28.10.2022 № 180. Подписать форму и отправить письмом по почте на адрес Роскомнадзора.
перейти к форме

Электронно, через портал Госуслуг. У Вас должна быть подтвержденная учетная запись организации. Сначала в личном кабинет на портале Госуслуг в разделе «Роскомнадзор» нужно заполнить форму электронную уведомления. Затем, подписать ее электронной подписью и отправить.
перейти к сервису ЕСИА

Электронно, через сайт Роскомнадзора. На сайте Роскомнадзора нужно войти в раздел «Обработка персональных данных». Заполнить форму уведомления, подписать усиленной квалифицированной электронной подписью и отправить. В этом случае подача в бумажном виде не потребуется. У вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.
перейти к форме

Форма уведомления о начале обработки персональных данных

Форму уведомления можно найти на сайте Роскомнадзора и заполнить. Это самый оптимальный вариант.

Адресные данные оператора

Сначала нужно указать регион, затем тип оператора. Оба поля заполняются по подсказкам из выпадающего меню. Дале – название и адрес.

Если вы зарегистрированы в одном регионе, а деятельность ведете в другом, нужно указать регион фактического местонахождения.

В перечне данных о компании есть поле «Адрес электронной почты». Оно выделено красной звездочкой, значит – обязательно для заполнения.

Регионы обработки. В это поле можно вписать несколько отдельных регионов либо выбрать «Все субъекты РФ», поставив галочку. Здесь важно не перепутать с территориями субъектов, чьи данные вы обрабатываете, потому что субъект может находиться в любом регионе.

Цели сбора персональных данных

Организациям необходимо предоставить в РКН сведения о том, данные каких категорий граждан они обрабатывают и с какой целью. Цель обработки определяется компанией самостоятельно, исходя из специфики деятельности.

Обрабатывать персональные данные, которые не требуются для достижения цели их обработки запрещено.

В выпадающем справочнике к полю «Цели обработки ПД» предлагается на выбор более 30 вариантов. Все они связаны с соблюдением законодательства: трудового, налогового, страхового, жилищного и т.д. Можно выбрать вариант из предложенных или добавить вручную свой в поле «иное».

Очевидно, что в отношении работников организация выполняет трудовое законодательство.

Указывая категории обрабатываемых данных имейте в виду, что все сведения, которые вы получаете должны соответствовать целям обработки.

Например, сомнительно, что для обеспечения трудового законодательства необходимо получать данные о национальности, политических взглядах, религиозных убеждениях. Более того, законодательство отдельно устанавливает случаи, когда такие данные можно использовать.

Информация, относящаяся к конкретному лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Это материальные носители персональных данных.

При заполнении поля необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.

После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).

Субъекты персональных данных

Многие компании обрабатывают персональные данные не только своих работников, но и клиентов или партнеров. Это напрямую касается всех, кто работает в сфере услуг: салоны красоты, турагентства, лаборатории по проведению медицинских анализов, медклиники и т.п. Интернет-магазины собирают данные покупателей, чтобы доставить товар.

В этом разделе нужно «галочками» отметить лиц, чьи данных вы обрабатываете: работников, соискателей, контрагентов, клиентов, посетителей сайта и т.п.

Правовое обоснование сбора персональных данных

Правовым основанием обработки персональных данных является комплект локальных нормативных актов компании, где установлены правила работы с персданными, например, положение о работе с персональными данными, отдельный раздел в Правилах внутреннего трудового распорядка. Но, главным документом в этом комплекте является письменное согласие владельца персональных данных.

В форме Уведомления уже указаны все возможные варианты, нужно выбрать подходящий и отметить его «галочкой». Для большинства компаний – это первая строка «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных». Ниже есть поле, куда можно вписать свой вариант.

Далее в пустом поле нужно указать указать все отраслевые нормативно-правовые акты, которыми руководствуется компания, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.

Устав ООО ____ от ___ №, Положение об ______ от ____ № ____, лицензия на ___ от ____ № _____ и т. д. (см. примеры для заполнения).

Кроме того, в данном поле необходимо указать локальные акты, принятые Оператором в соответствии с законодательством о персональных данных – это Положение об обработке персональных данных ООО (ИП, физ. Лицо) _____ от _____ № _____, а также приказы, инструкции и др.

Только Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон) не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных.

Пример.

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; Трудовой Кодекс РФ

Варианты действий с персональными данными

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.

Отмечайте в форме подходящие вам варианты.

Способы обработки

В этом разделе нужно заполнить три поля.

Выбрать способ обработки между автоматизированным, не автоматизированным и смешанным.
Автоматизированной считается обработка данных с помощью компьютеров. Обработкой без применения средств автоматизации считаются действия с персональными данными, которые осуществляются человеком.Редко используется исключительно автоматизированный способ, поэтому не будет ошибкой выбрать смешанную обработку.
Указать передаются данные по внутренней сети или нет.
Передача персональных данных по внутренней сети оператора означает, что личная информация пересылается между устройствами, серверами. Это может быть связано с внутренними процессами. Например, кадровики направляют данные в бухгалтерию; продажники направляют данные клиентов курьерам и т.п.
Указать используется Интернет или нет.

«Без передачи по сети интернет» означает, что передача персональных данных осуществляется внутри закрытой, контролируемой сети, к которой нет стороннего доступа через интернет.

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»

Заботиться о безопасности персональных данных обязаны все без исключения операторы. Как следует из названия этого поля полный перечень мер содержится в ст. 18.1 и 19 Федерального закона №152-ФЗ.

Здесь необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

Если используется электронная цифровая подпись (ЭЦП), нужно заполнить поле «использование шифровальных (криптографических) средств», указав наименование, регистрационные номера и производителей используемых криптографических средств, а также сведения об уровнях защиты.

Подраздел «средства обеспечения безопасности» — это технические меры по обеспечению безопасности данных при их обработке.

Содержание подраздела «правовые меры» может быть таким же как поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).

Если проведена классификация информационных систем персональных данных, необходимо в уведомлении к какому классу они относятся (см. Приказ от 13.02.2008 №55, №86, №20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»)

В общем и целом, перечень мер не ограничен, их состав определяет каждая компания самостоятельно в зависимости от специфики деятельности, численности сотрудников, наличия и количества сайтов, объемов персональных данных и закрепляет внутренними документами.

Вот некоторые их них:

Мера безопасности	Документ, которым может быть введена
Разработаны и утверждены локальные документы	Положение о работе с персональными данными или Политика обработки персональных данных Политики конфиденциальности сайта Приказы, инструкции, журналы, карточки и т.д.
Установлено ограничение доступа к личным сведениям и утвержден список лиц, которым предоставляется доступ к персональным сведениям	Положение о работе с персональными данными Приказ
Назначен ответственный за обработку персональных данных	Приказ
Введено требование о соблюдении конфиденциальности	Соглашение о соблюдении конфиденциальности (для сотрудников и внештатных специалистов, которые имеют доступ к персональным данным) Политика конфиденциальности сайта
Утвержден порядок уничтожения конфиденциальных сведений	Положение о работе с персональными данными Приказ
Введен инструктаж для работников с доступом к персональным данным	Приказ Инструкция Журнал проведения инструктажей
Установлен порядок обнаружения и устранения нарушений в работе компьютерной техники и ПО	План мероприятий для контроля уровня информационной безопасности Журнал проверок на вирусы Инструкции Аттестации
Применяются аппаратные, программные (шифрование информации) и физические (карточки на вход) меры защиты персональных сведений.	Положение о работе с персональными данными Приказы об утверждении применяемого ПО

Пример 1 заполнения поля Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»

Разработаны локальные нормативные акты, по вопросам обработки персональных данных: Положение о работе с персональными данными № 34 от 12.03.2025.

Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.

Лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

Назначен ответственный за организацию обработки персональных данных.

На корпоративном сайте размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных.

Разработаны модели угроз безопасности персональным данным в информационных системах. В информационных системах установлен 3 уровень защищенности персональных данных.

Обеспечивается учет машинных носителей персональных данных.

Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам.

Осуществляется контроль безопасности сайта компании. Для обеспечения безопасности персональных данных применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия. Средства обеспечения безопасности: (Kaspersky Small Office Security Версия 3.0 (13.0.4.456)

Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными.

Пример 2 заполнения поля Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»

утверждены документы, определяющие политику оператора в отношении обработки персональных данных (Положение об обработке персональных данных, приказы о назначении ответственного за обработку персональных данных) и определяющие для каждой цели обработки состав обрабатываемых персональных данных, категории субъектов, способы, сроки их обработки и хранения, порядок уничтожения персональных данных;

назначен ответственный за организацию обработки персональных данных;

разграничены права доступа к материальным носителям персональных данных и персональным данным, обрабатываемым в информационной системе персональных данных;

работники, получившие допуск к обработке персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

настроена система обнаружения фактов несанкционированного доступа к персональным данным и принятия мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

на корпоративном сайте размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных;

осуществляется внутренний контроль и аудит соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

на сайте компании установлено ПО для обеспечения безопасности персональных данных и применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия: Kaspersky Small Office Security Версия 3.0 (13.0.4.456).

Пример 3 от Роскомнадзора. Заполнения поля Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»

Разработаны локальные акты, по вопросам обработки персональных данных. Лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Назначен ответственный за организацию обработки персональных данных. На стенде (и (или) сайте) размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных. Разработаны модели угроз безопасности персональным данным в информационных системах. В информационных системах установлен 3 уровень защищенности персональных данных. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации. Для обеспечения безопасности персональных данных применяются программно-технические средства.

средства обеспечения безопасности: электронная цифровая подпись, используются антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных

Использование шифровальных (криптографических) средств: используются

класс СКЗИ: КС1;

Наименование, изготовители, серийные номера средств шифрования: КриптоПРО 5.0, ООО «Информационные системы»

Ответственный за обработку персональных данных

Ответственным за работу с персональными данными может быть штатный сотрудник, назначенный приказом руководителя. Он должен иметь:

достаточный уровень знаний и квалификации для «курирования» этого вопроса (уметь разъяснить другим сотрудникам требования по безопасности);
определенный административный ресурс (давать указания, обязательные к исполнению).

Зоны доступа могут быть разделены, например, ответственный — юрист, а допущенные лица — HR-менеджер и бухгалтер.

Оператор имеет право поручить обработку персональных данных другой компании при выполнении условий, указанных в ч. 3 ст. 6 Закона №152-ФЗ. Одно из них — получить согласие владельца персональных данных на то, что с его личной информацией по поручению оператора работает другая компания.

При передаче обработки персональных данных на аутсорсинг ответственность за сохранность и безопасность полученных персональных данных все равно несет оператор.

Трансграничная передача персональных данных

Здесь нужно выбрать из выпадающего меню необходимое: осуществляется/не осуществляется.

Использование шифровальных (криптографических) средств

Если используете, нужно поставить галочку и заполнить выпадающее меню: Наименование используемых криптографических средств, Класс средств криптографической защиты информации (СКЗИ).

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

В данном разделе указывается информация о серверах и месте их расположения, то есть адрес дата-центра.

В поле Собственный ЦОД предлагается выбор: да/нет. Если выбрать вариант «нет», нужно заполнить строчки ниже, указав Сведения об организации, ответственной за хранение данных.

Сведения об обеспечении безопасности персональных данных

Здесь нужно указать меры, которые предпринимает ваша компания для исполнения требований, установленные постановлением Правительства Российской Федерации от 01.11.2012 № 1119.

Варианты могут быть такими:

утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
ограничен доступ в помещения, где хранятся персональные данные и введены идентификация и аутентификация доступа;
на используемом оборудовании установлено антивирусное программное обеспечение;
обеспечивается конфиденциальность паролей доступа к данным;
контроль (анализ) защищенности персональных данных;
обеспечивается целостность информационной системы и персональных данных;
другое

Источник