Как подать уведомление об обработке персональных данных в Роскомнадзор: пошаговая инструкция
Утечка персональных данных в руки мошенников и их незаконный оборот могут приводить к многомиллионным потерям и грозить виновным многомиллионными штрафами. Закон № 152-ФЗ гласит, что использование данных третьих лиц в коммерческих или иных целях требует предварительной постановки организации, ИП или другого лица, которое собирает и планирует использовать персональные данные, на учёт в РКН.
В данном материале расскажем о том, кто подаёт уведомление в Роскомнадзор, почему необходимо сделать это до 30 мая 2025 года и на кого данное обязательство не распространяется.
Содержание статьи
- Что такое обработка информации
- Что такое уведомление в Роскомнадзор
- Кому нужно подавать уведомление в Роскомнадзор
- Как подать уведомление в Роскомнадзор: пошаговая инструкция
- Какую информацию необходимо указать в уведомлении в Роскомнадзор
- Почему нужно подать уведомление в Роскомнадзор до 30 мая 2025 года
- Выводы
Что такое обработка информации
Обработка информации – это все операции, которые каким-то образом воздействуют на информацию, модифицируя её. Этапы обработки информации включают сбор данных, их фильтрацию, преобразование в новый формат, визуализацию, хранение, передачу и т.п.
Согласно закону о персональной информации, в контексте персональных данных обработкой информации считается любой процесс, так или иначе связанный с её использованием.
Чтобы обеспечить защиту граждан, в России в 2006 году был утверждён Федеральный закон РФ № 152-ФЗ «О персональных данных». Он чётко регламентирует правила обращения с персональной информацией, в том числе в нём указывается, кому и в каком случае необходимо подать в Роскомнадзор уведомление об обработке персональных данных.
Каждый, кто планирует заниматься обработкой персональных данных (ПД), должен знать, что хранить их необходимо только на серверах, расположенных в России. К примеру, облачный сервис Projecto осуществляет облачное хранение данных клиентов только в РФ, что соответствует требованиям закона. Доступ к информации третьих лиц полностью исключён.
Что такое уведомление в Роскомнадзор
РКН ведет реестр операторов персональных данных в соответствии с п. 3 ч. 5 ст. 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ. Этот реестр находится в открытом доступе, и любой желающий может получить из него информацию.
Мало взять согласие граждан на сбор, хранение и использование их персональных данных. Важно ещё до начала обработки уведомить уполномоченный орган (в данном случае РКН) о своём намерении. Об этом сказано в п.1 ст. 22 приведённого выше закона.
Само уведомление в Роскомнадзор – это бумажный или цифровой документ, который можно направить в ведомство на бумажном носителе или по электронным каналам.
Кому нужно подавать уведомление в Роскомнадзор
Здесь проще перечислить случаи, когда можно законно осуществлять обработку ПД без подачи уведомления на обработку ПД в РКН. В п. 2 ст. 22 закона № 152-ФЗ приводится три таких обоснования:
- Если информация уже включена в государственные информационные системы ПД.
- Если оператор ПД полностью исключил средства автоматизации из своей работы по обработке ПД.
- Если ПД обрабатываются для обеспечения безопасности в транспортной сфере.
В том случае, если ни один из пунктов не подходит, оператору персональных данных не обойтись без заявления в Роскомнадзор.
Как подать уведомление в Роскомнадзор: пошаговая инструкция
Вся процедура состоит из направления в ведомство специальной формы, которая содержит информацию об операторе персональных данных и иные сведения, которые нужны для его регистрации в данном статусе.
Как сказано на сайте РКН, форму уведомления можно заполнить одним из нескольких вариантов.
В бумажном виде
Для этого образец нужно распечатать, заполнить и отправить в РКН по почте (не по электронной, а через Почту России).
В электронном виде через сайт Роскомнадзора
Потребуется установка плагина КриптоПро ЭЦП Browser plug-in (через него на документ ставится усиленная цифровая электронная подпись). Отправить электронное уведомление в Роскомнадзор можно через сайт ведомства.
Естественно, без усиленной ЭЦП подписать ничего не получится, поэтому предварительно нужно выполнить процедуру регистрации через ближайший аккредитованный удостоверяющий центр.
В электронном виде через портал Госуслуг
Для этого у оператора персональных данных должна иметься подтвержденная учетная запись. Если гражданин подает заявление в Роскомнадзор от лица организации, то требуется привязка его учётной записи к данной организации на Госуслугах.
В том случае, если форма заполняется на сайте ведомства, но без подписания документа усиленной электронной подписью, она же распечатывается, подписывается вручную и отправляется по почте в территориальный орган РКН (выбирается в зависимости от того, где зарегистрирован оператор ПД).
Какую информацию необходимо указать в уведомлении в Роскомнадзор
Форма уведомления насчитывает порядка 5-6 печатных листов, на которых указываются сведения, схематично представленные в таблице ниже. При заполнении заявления на сайте Роскомнадзора помогают выпадающие списки и раскрывающиеся строки.
| Требуемая информация | Расшифровка |
| Тип оператора ПД | Это может быть госорган, муниципальный орган, физлицо или юрлицо, которое занимается обработкой персональных данных самостоятельно или совместно с другими лицами. |
| Наименование оператора, полное и сокращённое | Для организации это будет её наименование, для физлица – его ФИО, для муниципалитета – его название, и т.п. В этом поле также указывается организационно-правовая форма. |
| Адрес оператора | Указывается полностью, вместе с почтовым индексом. |
| Сведения об операторе | Номер телефона, факс, адрес электронной почты, ИНН, ОГРН, для организации также дополнительно указываются ОКВЭД, ОКПО, ОКОГУ, ОКОПФ и филиалы с адресом их местонахождения (при наличии). |
| Регионы обработки персональных данных | Непременно прописываются все субъекты РФ, на территории которых оператор планирует осуществлять свою деятельность по обработке данных. Количество выбираемых пунктов в перечне не ограничено. |
| Цели обработки | Пункт, обязательный к заполнению. Предусматривает указание как целей, прописанных в уставных документах оператора, так и тех, которые вытекают из его фактической деятельности. Цели обработки также можно добавить вручную. |
| Категории обработки ПД | Галочкой в форме уведомления отмечают, какие именно персональные данные планируется обрабатывать: всего в этом пункте представлено несколько десятков подпунктов, начиная со стандартных ФИО, контактных данных и даты рождения, и заканчивая информацией о занимаемой должности, полученном образовании и изображении папиллярных узоров пальцев рук. |
| Категории субъектов, чьи ПД будут обрабатываться | Всего на выбор представлены 14 категорий, включая пункт «Иные категории». Можно выбрать несколько вариантов. |
| Правовое основание обработки ПД | Также выбирается из предложенных пунктов. Например, самый первый и популярный вариант обоснования: «Субъект персональных данных дал согласие на их обработку». |
| Перечень действий с ПД | Что именно оператор будут делать с полученной от субъекта персональной информацией: 15 пунктов на выбор, включая сбор, накопление, хранение, уничтожение, удаление, распространение и иные действия. |
| Способы обработки ПД | Выбираются по одному пункту из трёх выпадающих списков, где перечислены автоматизированная, неавтоматизированная и смешанная обработка, с распространением внутри юрлица или без, с передачей по сети Интернет или без. |
| Сведения об обеспечении безопасности ПД | Какие шифровальные средства будут использованы для обеспечения безопасности персональных данных, а также перечисление организационных и технических мер, призванных оградить ПД от случайного доступа к ним третьих лиц, неправомерного распространения, уничтожения, копирования, бланкирования и изменения. |
| Сведения о лице, осуществляющим организацию обработки ПД | Поле заполняется в зависимости от того, что за лицо выбрано – физлицо или сторонняя организация. |
| Страна, адрес ЦОДа и информация о том, принадлежит он оператору ПД или нет | Поскольку хранение данных на российских серверах является обязательным условием для операторов, ЦОДы также должны располагаться в России, как, например, у Projecto. |
Также в форме уведомления в Роскомнадзор прописывается дата начала обработки ПД, сроки или условия прекращения, политика обработки, информация о том, будет ли осуществляться трансграничная передача ПД.
Часто вопросы при заполнении формы уведомления в Роскомнадзор вызывает пункт «средства обеспечения безопасности». Что писать здесь? Согласно разъяснениям, которые дало само ведомство, в этом пункте прописываются технические меры защиты данных. Например:
- антивирусные средства;
- вход в систему хранения информации только по паролю;
- регулярный мониторинг угроз;
- внутренний аудит безопасности ПД
- и т.п.
Какие документы нужны для уведомления в Роскомнадзор? Только те, в которых можно подсмотреть информацию для правильного заполнения формы. Например, полное наименование организации, её сокращённое наименование, адрес, ИНН, ОГРН и прочие сведения, под которые предусмотрены поля.
Ниже вы можете посмотреть пример заполнения заявления.
После подачи уведомления сведения об операторе ПД должны появиться в реестре на сайте РКН. На внесение информации у ведомства есть 30 дней с момента получения документа (поэтому при отправке почтой стоит закладывать дополнительные дни на пересылку).
Если сведения об операторе изменились, он обязан уведомить об этом РКН. На это даётся ограниченное количество времени – сообщение об изменения необходимо направить не позднее 15 числа следующего месяца. Для этого существует специальная форма, которую можно найти здесь.
Если оператор прекращает обработку ПД, об этом также нужно направить уведомление в РКН. На это отводится 10 рабочих дней с момента фактического прекращения обработки.
Почему нужно подать уведомление в Роскомнадзор до 30 мая 2025 года
Тем, кто ещё не успел обратиться в Роскомнадзор с заявлением, следует поторопиться. С 30 мая 2025 года вступят в силу поправки к статье 13.11 КоАП РФ, которые существенно увеличат размер штрафов для нарушителей: то есть для всех тех, кто занимается обработкой ПД, не будучи зарегистрированным оператором.
Сумма штрафа вырастет:
- до 10 тыс. рублей для граждан, в том числе самозанятых;
- до 50 тыс. рублей для ИП и должностных лиц;
- до 300 тыс. рублей для организаций (юрлиц).
Штраф накладывается за несдачу уведомления в Роскомнадзор до момента начала обработки ПД, не важно, в каких целях — коммерческих или иных. Освобождены от данной обязанности только те лица, о которых шла речь в самом начале статьи, они под штраф не попадают.
Выводы
Бизнесмены, которые набирают сотрудников, школы, которые собирают персональные данные родителей для последующей обработки, владелец веб-сайта, который собирает адреса электронной почты клиентов для последующей рассылки уведомлений — все они (и не только) должны подать уведомление в Роскомнадзор на регистрацию в качестве оператора ПД. Без этого любая обработка ими информации считается незаконной и влечёт за собой наложение крупного штрафа, размер которого существенно повысится с 30 мая 2025 года.
Подать уведомление несложно. Для этого надо заполнить форму, которая есть на сайте ведомства, а затем отправить её через сайт Роскомнадзора, по почте на адрес территориального отделения ведомства или через портал Госуслуг. В документе прописывается регион регистрации, тип и наименование оператора (в том числе сокращённое), адрес, телефон, а также указываются прочие сведения, поля под которые предусмотрены в форме.