
В 2025 году законодатель ужесточил законодательство о персональных данных (ПДн): согласие на обработку теперь подается только как отдельный документ, локализация данных за пределами РФ ограничивается, а штрафы за нарушения регуляторных требований значительно повышены. Уже существующим организациям и ИП следует работать с ПДн максимально внимательно, но ошибку можно допустить и на самом старте – при регистрации в Роскомнадзоре в качестве оператора персональных данных. Рассказываем, как этого избежать.
Какие нюансы следует учитывать при подаче уведомления
Первый и основной – работать с ПДн без уведомления РКН запрещается (статья 22 закона ФЗ-152). Что еще следует знать об уведомлении:
-
Рассматривается до 30 дней. По итогам рассмотрения заявитель вносится в реестр операторов ПДн. При выявлении ошибок РНК возвращает уведомление заявителю для устранения ошибок.
-
Должно полностью отражать внутренние документы заявителя, связанные с ПДн: политику обработки и иные локальные нормативные акты (ЛНА).
-
Сдается один раз, а для внесения изменений предусмотрена отдельная форма.
-
Доступно несколько способов подачи – лично в территориальный орган РКН, почтой, онлайн через ЕСИА.
Наиболее распространенные ошибки при подаче
Ошибка № 1: уведомление не соответствует внутренним документам и процессам
Основной документ оператора при работе с ПДн – политика обработки. У этого документа нет регламентированной формы, но составляется он в строгом соответствии с рекомендациями РКН.
Прочие ЛНА по работе с персональными данными включают:
-
регламенты;
-
приказы о назначении ответственных сотрудников за работу с ПДн;
-
приказы об утверждении формы согласия на обработку данных, мест хранения носителей ПДн, перечня инфосистем и т.д.
Многие операторы подходят формально к подготовке перечисленных документов, а при проверке уведомления РКН не сразу обращает внимания на ошибки. Однако впоследствии эти недочеты вскрываются – ведомство выносит предписание, за невыполнение которого полагается штраф.
Ошибка № 2: используются шаблоны других операторов
Опыт подачи уведомления в РКН есть далеко не у каждого пользователя. Очевидное на первый взгляд решение – найти в интернете образец заполнения похожей организацией и минимально адаптировать «под себя». Но даже если другая компания похожа на вашу, высока вероятность расхождения в нюансах.
Кроме того, шаблон из интернета может содержать ошибки или использовать устаревший бланк. Актуальный бланк приведен в приказе РКН № 180. Кроме того, на сайте ведомства есть удобная электронная форма – после заполнения ее можно распечатать и направить письмом или доставить лично. Также предусмотрена опция подачи онлайн.
Ошибка № 3: не направлено уведомление об изменениях
Когда организация переезжает на другой адрес, меняется ответственный сотрудник или в состав локальных актов вносятся изменения, об этом обязательно требуется уведомить РКН. Корректирующее уведомление необходимо сдать до 15 числа месяца, который следует за месяцем возникновения изменений.
Ошибка № 4: РКН не уведомлен о трансграничной передаче данных
Если оператор намерен применять данный формат при работе с ПДн, в обязательном порядке подается соответствующее уведомление (на бумаге или онлайн). После того как оно направлено, разрешается осуществлять передачу ПДн на территории стран, перечисленных в приказе РКН № 128, до получения решения ведомства. В противном случае необходимо дождаться решения (срок рассмотрения – 10 рабочих дней).
За несоблюдение правил о локализации бизнесу грозит штраф до 18 млн руб., а в случае утечки данных – до 500 млн руб. или 1-3% годового дохода.
Как правильно заполнить уведомление об обработке персональных данных в Роскомнадзор
Шаг 1: выбираем форму подачи
На соответствующей странице сайта ведомства выберите способ подачи и нажмите «Подать уведомление» или «Перейти к форме». Если подаете документы онлайн, потребуется электронная подпись и плагин КриптоПро для браузера.
Шаг 2: заполняем данные об операторе
Первый раздел включает базовую информацию о вашем бизнесе: адрес, организационно-правовая форма, контактные данные. В поле «Регионы обработки» необходимо выбрать субъекты РФ, где осуществляете обработку ПДн. Если это вся Россия, поставьте галочку напротив «Все субъекты РФ».
Шаг 3: указываем цели обработки, категории и основания ПДн
Цели выбираются из выпадающего списка – их можно выбрать несколько: для этого пролистайте страницу вниз до кнопки «Добавить цель обработки». Под каждую цель категории ПДн, категории субъектов ПДн и правовые основания для обработки и конкретные действия (обработка, запись, хранение) выбираются отдельно.
Ниже описываем меры, применяемые для защиты ПДн, а также указываем ФИО и контакты лица, ответственного за работу с ПДн.
В конце раздела указываем дату начала обработки ПДн, срок или условия прекращения обработки, а также осуществляется ли трансграничная передача.
Шаг 4: вносим данные о локации центра обработки данных (ЦОД)
Выбираем государство из выпадающего списка, ниже указываем адрес ЦОДа, а также – имеется ли собственный ЦОД.
Шаг 5: детализируем данные об обеспечении безопасности ПДн
Предпоследний раздел заполняется операторами, в ведении которых находятся государственные или муниципальные информационные системы, поэтому переходим к последнему.
Здесь указываем меры по обеспечению безопасности ПДн согласно требованиям, приведенным в постановлении Правительства РФ № 1119. Ниже – ФИО, должность и контакты сотрудника, заполнившего заявление.
Шаг 6: готовим к отправке или печати
Подтверждаем ознакомление с порядком подачи и согласие на передачу данных через Интернет, после нажимаем на кнопку «Отправить». Если планируете вернуться к заполнению позже, можно сохранить черновик.
Штраф за отсутствие уведомления
Сегодня РКН легко выявляет нарушителей. К примеру, владельцев сайтов, где принимаются онлайн-заявки от покупателей, не подавших уведомление. Для мониторинга ведомство активно использует ИИ-решения. Инициатором проверки соблюдения правил работы с ПДн может выступать не только Роскомнадзор, но также клиенты или конкуренты.
Штрафы за работу без уведомления – до 50 тыс. руб. для должностных лиц, до 300 тыс. руб. для организаций и ИП.
Резюмируя
Рассказали о процессе включения в реестр операторов ПДн, ведение которого осуществляет Роскомнадзор. Как видим, процедура не самая сложная, но многие владельцы бизнеса все равно допускают ошибки, расценивая ее как формальность и не уделяя должного внимания подготовке внутренних документов. Как итог – длительные проверки и предписания, а если совсем проигнорировать подачу уведомления, бизнесу грозят крупные штрафы.
Читайте также
Получи демо-доступ прямо сейчас
Оставить заявку