Уведомление Роскомнадзора об обработке персональных данных: зачем это нужно и как его подать

Закон № 152-ФЗ «О персональных данных» обязывает любую организацию или предпринимателя сообщать государству о том, что они обрабатывают персональные данные. Проще говоря, если вы в ходе своей деятельности собираете или храните данные о физических лицах (клиентах, сотрудниках, пользователях сайта и т. д.), то вы должны подать уведомление в Роскомнадзор и попасть в специальный реестр операторов персональных данных.

Вы обязаны подать уведомление, если в вашем бизнесе происходит хотя бы что-то из перечисленного:

• Найм сотрудников или подбор персонала. Если вы берете на работу людей или даже просто рассматриваете кандидатов, вы собираете их личные данные (ФИО, паспортные данные, СНИЛС и пр.). Это уже обработка персональных данных, требующая уведомления.

• Работа с клиентами и заказами. При продаже товаров или оказании услуг вы, как правило, собираете данные клиентов: фамилию и имя, адрес электронной почты, номер телефона и т. д.

• Заключение договоров с контрагентами. В любых договорах с подрядчиками или партнерами фигурируют данные ответственных лиц — это тоже персональные данные.

• Веб-аналитика и cookies. Если на вашем сайте установлены инструменты аналитики (например, Яндекс. Метрика или Google Analytics), они собирают данные о посетителях, в том числе файлы cookies и IP-адреса. По российскому закону такие данные также приравниваются к персональным.

• Формы на сайте. Любые формы обратной связи, заявки, регистрации пользователей, подписки на рассылки — все они запрашивают персональные сведения (имя, контактные данные и др.).

Иными словами, подавляющее большинство онлайн-бизнесов должны уведомить Роскомнадзор.

Исключения встречаются редко (например, если вы обрабатываете данные исключительно в личных или бытовых нуждах, не связанных с предпринимательством). Лучше исходить из правила: если сомневаетесь, подавайте уведомление на всякий случай. Вы также можете проверить, зарегистрирована ли уже ваша организация в реестре Роскомнадзора — это можно сделать на официальном сайте Роскомнадзора, найдя себя в списке операторов. Ссылка: https://pd.rkn.gov.ru/operators-registry/operators-list/

Персональные данные — это любая информация, которая относится к конкретному человеку (субъекту данных), по которой этого человека можно идентифицировать. В контексте онлайн-бизнеса к персональным данным относятся, например:

• ФИО (полное имя пользователя или клиента);
• Контактные данные: номер телефона, адрес электронной почты, почтовый адрес;
• Паспортные данные, ИНН, СНИЛС, данные водительского удостоверения — если вы их запрашиваете у сотрудников или клиентов;
• Различные идентификаторы в интернете: IP-адрес, файлы cookie, данные о местоположении;
• Любая другая информация о физическом лице (возраст, пол, сведения о заказах, отзывах, предпочтениях и пр.), если она собрана и хранится.

Важно понимать: даже электронная почта или cookie-файлы являются персональными данными, поскольку по ним можно косвенно определить пользователя. Поэтому практически любой сбор информации от посетителей сайта попадает под действия закона о персональных данных.

Неуведомление Роскомнадзора о начале обработки персональных данных долгое время оставалось без серьезных последствий, и многие предприниматели откладывали эту процедуру. Однако с 30 мая 2025 года вступили в силу поправки, значительно повышающие штрафы за несообщение о работе с персональными данными. Нарушителям грозят следующие санкции:

• Физические лица и самозанятые: штраф от 5 000 до 10 000 ₽.
• Индивидуальные предприниматели и организации (ООО и др.): штраф от 100 000 до 300 000 ₽.

Для малого бизнеса штраф в 100−300 тысяч рублей — очень чувствительный удар. Причем Роскомнадзор заявил, что внедряет специальный искусственный интеллект для поиска нарушителей. Система автоматически мониторит интернет, выявляет сайты компаний, которые собирают данные, но отсутствуют в реестре, и будет выписывать штрафы без предупреждений. Иными словами, шанс остаться незамеченным стремится к нулю.

Чтобы избежать этих рисков, необходимо своевременно подать уведомление в Роскомнадзор. Кроме того, это демонстрирует вашу ответственность перед клиентами и партнерами в вопросах защиты данных.

Уведомление подается электронно через специальную форму на сайте Роскомнадзора. Для этого понадобится квалифицированная электронная подпись (ЭЦП) руководителя или уполномоченного лица — без ЭЦП вы не сможете подписать и отправить форму. Также рекомендуем подготовить заранее текст Политики обработки персональных данных и форму согласия на обработку ПД для вашего сайта, если они еще не разработаны. Эти документы должны быть опубликованы на сайте одновременно с уведомлением Роскомнадзора (например, можно посмотреть пример политики обработки ПД на другом сайте).

Ниже мы приводим понятную инструкцию, как подать уведомление самостоятельно:

1. Перейдите на сайт Роскомнадзора и откройте форму уведомления. Воспользуйтесь прямой ссылкой на форму: pd.rkn.gov.ru/operators-registry/notification/form/ . Если у вас еще нет зарегистрированного кабинета, сайт запросит авторизацию через Госуслуги или с помощью сертификата ЭЦП. После входа вы попадете на страницу электронного уведомления.

2. Введите сведения о вашей организации (операторе персональных данных). На странице уведомления заполните блок с общей информацией об операторе:

• Полное наименование организации или ФИО индивидуального предпринимателя.
• Организационно-правовая форма (для юридических лиц, например ООО, АО и т. д.).
• Адрес места нахождения (юридический адрес компании или адрес регистрации ИП).
• ОГРН/ОГРНИП и ИНН вашей организации.
• Контактные данные (телефон, email ответственного лица).

4. Укажите цель обработки персональных данных. Форма предложит выбрать одно или несколько оснований, для чего вы собираете данные. Для коммерческих компаний чаще всего подходит цель «Продвижение товаров, работ, услуг на рынке». В списке целей эта формулировка обычно находится ближе к концу перечня. Остальные варианты касаются специфических случаев (например, деятельности государственных органов), поэтому если вы – обычная частная компания, достаточно указать цель маркетинга и обслуживания клиентов.

Если сбор данных идет по клиентам и по сотрудникам - тогда надо заполнить две вкладки (если на сайте есть раздел с вакансиями и там можно отклик оставить).

5. Перечислите категории персональных данных, которые вы обрабатываете. Отметьте галочками, какие именно данные вы собираете у своих пользователей. Минимальный стандартный набор практически для любого сайта – это фамилия, имя, отчество, адрес электронной почты и номер телефона. Именно эти данные обычно запрашиваются при регистрациях, оформлении заказов или обратной связи. Если вы собираете что-то дополнительное (например, дату рождения, почтовый адрес для доставки, паспортные данные для оформления договора), включите и их. Совет: если не уверены, какие конкретно персональные данные может оставлять пользователь на вашем сайте, лучше отметить все потенциально собираемые категории – лишним это не будет. Если у вас на сайте установлена Яндекс метрика или подобная система - отмечаем Сведения, собираемые посредством метрических программ.

Для вакансий выбираем тоже самое но добавляем те поля которые есть в формах в разделе вакансии например (ФИО, Дата рождения, контактные данные - телефон, email, город проживания, профессия, специальность, квалификация, портфолио, резюме, прочие ответы анкеты (мотивация кандидата) - все чего нет в галочках указать в разделе Иные персональные данные.

6. Выберите категории субъектов персональных данных. Здесь нужно указать, чьи данные вы обрабатываете. В большинстве случаев подойдет категория «Посетители веб-сайта» (интернет-пользователи, зашедшие на ваш ресурс и оставившие информацию). Если вы, кроме онлайна, обслуживаете людей офлайн – например, они приходят к вам в офис или записываются на прием – дополнительно отметьте категорию «Клиенты». Также можно указать «Сотрудники», если вы храните данные своих работников, и другие соответствующие группы, релевантные вашему бизнесу.

Выбираем: Посетители сайта. Если люди приходят к вам в заведение после записи или регистрации, то добавляем галочку Клиенты.

Если на сайте есть раздел с вакансиями и можно через него оставить отклик - то отмечаем соответствующие поля (работники, соискатели)

7. Укажите правовое основание обработки данных. В выпадающем списке выберите, на каком основании вы собираете и используете персональные данные. Для большинства частных компаний оптимальным и универсальным вариантом будет основание «Обработка персональных данных осуществляется с согласия субъекта персональных данных». То есть вы получаете согласие от каждого клиента или пользователя (например, галочкой под формой на сайте). Это покрывает практически все ситуации сбора данных в коммерческой деятельности. Остальные пункты списка относятся к специфическим случаям без согласия (исполнение закона, судебные требования и т. д.), которые редко применимы для малого бизнеса.

8. Отметьте, какие действия вы будете совершать с персональными данными. В уведомлении нужно перечислить все операции с данными (так и написано: «перечень действий с персональными данными»). Как правило, бизнес выполняет стандартный набор действий: сбор, запись, систематизация, накопление (хранение), уточнение (обновление), использование. Эти действия можно выбрать галочками из списка. Дополнительно, если планируется, отметьте также передачу (предоставление, распространение) – например, если вы передаете данные курьерской службе для доставки товаров. Но если вы не передаете данные сторонним организациям, передачу можно не выбирать.

9. Укажите способ обработки данных. Форма предлагает типичные варианты, можно выбирать несколько. Для онлайн-бизнеса обычно применим смешанный способ обработки: т. е. часть данных обрабатывается автоматизированно (в компьютерах), часть – неавтоматизированно (на бумаге, например, договора с подписями). Также стоит отметить опции «с передачей по внутренней сети организации» (если данные могут перемещаться внутри корпоративной сети, между филиалами) и «с передачей по сети Интернет» (раз вы работаете с сайтом, передача данных через интернет у вас точно есть). Таким образом, наиболее полный и безопасный вариант для большинства случаев – указать: «смешанная обработка, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

10. Опишите меры безопасности, которые применяются для защиты персональных данных. Этот раздел уведомления – один из самых объемных. Здесь нужно свободным текстом перечислить, какие организационные и технические меры защиты данных вы внедрили в своей компании. Перечислите все основные меры, предусмотренные законом, которые у вас реализованы. Ниже приведен примерный список мер, которые стоит указать (при условии, что вы действительно их выполняете):

• Назначен ответственный сотрудник за организацию обработки персональных данных.

• Разработаны и утверждены внутренние документы по защите данных: политика в отношении обработки персональных данных и положение об обработке персональных данных.

• Работники, имеющие дело с персональными данными, регулярно ознакомляются с требованиями законодательства РФ о персональных данных, нормативными актами и корпоративными документами по этой теме.

• Проводится обучение сотрудников, осуществляющих обработку данных, по правилам защиты и организации работы с персональными данными.

• Осуществляется внутренний контроль и аудит соблюдения требований законодательства при обработке данных.

• Установлены правила доступа сотрудников к документам и информационным системам, содержащим персональные данные (кто и при каких условиях может получать доступ).

• Выявлены актуальные угрозы безопасности персональных данных в используемых информационных системах, определен необходимый уровень защиты.

• Применяются необходимые организационные и технические меры для обеспечения требуемого уровня защиты персональных данных.

• Ведется учет носителей информации, содержащих персональные данные (как электронных, так и бумажных).

• Используются сертифицированные средства защиты информации (ПО и оборудование, прошедшие оценку соответствия требованиям уполномоченных органов).

• Обеспечено обнаружение и регистрация фактов несанкционированного доступа к персональным данным в IT-системах.

• Реализована регистрация и учет всех действий пользователей с персональными данными в информационной системе.

• Контролируется эффективность мер защиты: ответственные лица регулярно проверяют, как соблюдаются установленные правила и процедуры.

• На рабочих компьютерах установлено актуальное антивирусное программное обеспечение, доступ к персональным данным защищен паролями.

• Сотрудники ознакомлены с обязанностью сохранять конфиденциальность персональных данных.

Это вставляется во вторую часть (ср-ва обеспечения безопасности):
Антивирусное программное обеспечение, защита электронной почты, паролирование доступа к CRM и почтовым сервисам, шифрование трафика HTTPS/SSL при передаче данных через сайт, ограничение физического доступа к устройствам. Все используемые ИС соответствуют требованиям безопасности по уровню защищенности, установленному нормативными актами РФ.

11. Это пример полного набора мер, соответствующих требованиям законодательства (ст. 18.1 и 19 Федерального закона № 152-ФЗ, а также постановлениям Правительства РФ о защите персональных данных). В вашем уведомлении можно перечислить именно эти или сходные формулировки. Главное – убедиться, что перечисленные меры действительно реализованы у вас на практике (или хотя бы начать их внедрение). Роскомнадзор при проверке может запросить подтверждения вашим словам.

12. Укажите сведения о месте хранения данных и вашем хостинге. Российское законодательство требует, чтобы базы данных с персональными данными граждан РФ хранились на серверах, физически расположенных на территории России. Поэтому в уведомлении нужно указать, где именно находятся ваши серверы/БД и кто отвечает за их хранение. Обычно для владельцев сайтов, арендующих хостинг, достаточно вписать данные дата-центра и хостинг-провайдера. Например, для самых популярных хостингов информация следующая:

Если вы пользуетесь хостингом REG.RU:

• Адрес дата-центра: г. Москва, Варшавское шоссе, д. 125.
• Наличие собственного ЦОД: нет (используется арендуемый дата-центр).
• Тип организации: юридическое лицо.
• Организационно-правовая форма: Общество с ограниченной ответственностью (ООО).
• Наименование организации: ООО «Регистратор доменных имен РЕГ.РУ».
• ОГРН: 1067746613494.
• ИНН: 7733568767.
• Страна нахождения сервера: Россия.
• Адрес организации, ответственной за хранение данных: 123308, г. Москва, ул. 3-я Хорошёвская, д. 2, стр. 1.

Если вы пользуетесь хостингом Beget:

• Адрес дата-центра: 195112, Россия, г. Санкт-Петербург, пл. Карла Фаберже, д. 8Б.
• Наличие собственного ЦОД: нет.
• Тип организации: юридическое лицо.
• ОПФ: Общество с ограниченной ответственностью.
• Наименование организации: ООО «БЕГЕТ».
• ОГРН: 1077847645590.
• ИНН: 7801451618.
• Страна нахождения сервера: Россия.
• Адрес организации, ответственной за хранение данных: 195112, г. Санкт-Петербург, пл. Карла Фаберже, д. 8Б, офис 723.

13. Если ваш сайт размещен у другого провайдера, аналогичные сведения можно найти в разделе помощи или в договоре с хостером, либо уточнить у службы поддержки. Главное – указать адрес дата-центра в России и реквизиты компании-хранителя данных (хостинга), которая предоставляет вам сервер.

14. Отметьте сведения о трансграничной передаче данных (если актуально). Форма спросит, осуществляете ли вы передачу персональных данных за границу. Если ваш бизнес работает только в России и вы не передаете данные иностранным партнерам, выберите вариант «не осуществляется» (трансграничная передача не производится). Если же вы используете зарубежные сервисы либо храните данные на иностранных серверах, придется указать страны, куда передаются данные, и юридические основания для этого. Однако в большинстве случаев малый бизнес с этим не сталкивается, поэтому чаще отмечают отсутствие трансграничной передачи.

15. Укажите дату начала и срок окончания обработки персональных данных. Дата начала – это день, когда вы начали фактически работать с данными. Обычно можно поставить дату государственной регистрации вашего бизнеса, ведь с этого момента вы, как минимум, начали хранить данные учредителей или сотрудников. Срок или условие прекращения обработки – здесь можно написать условие «до прекращения деятельности оператора» либо «до ликвидации организации». То есть фактически без конкретной даты, а до момента, пока компания существует (или пока вы не перестанете вести деятельность с данными). Такой формулировки достаточно.

16. Заполните прочие разделы (при необходимости). В электронной форме Роскомнадзора есть дополнительные блоки, которые актуальны не для всех. Например, раздел «Сведения о лицах, имеющих доступ к персональным данным в государственных и муниципальных информационных системах». Малый бизнес обычно не ведет государственные или муниципальные информационные системы, поэтому если вы видите этот раздел и он вам не подходит, просто нажмите кнопку «Удалить» или «Не применяется» – интерфейс позволит убрать лишний блок. Этот пункт обязателен только для госорганизаций.

Также может быть раздел о криптографических (шифровальных) средствах. Если вы не используете шифрование при работе с данными (а большинство небольших сайтов не применяют специальных средств криптозащиты, кроме стандартного SSL для сайта), то так и укажите: «Не используются». Если же применяете, нужно перечислить, какие именно средства криптозащиты задействованы.

17. Проверьте данные, поставьте отметки и отправьте уведомление. Когда все поля заполнены, внимательно проверьте информацию. В конце формы Роскомнадзор требует подтвердить достоверность данных и ваше согласие соблюдать требования – там обычно стоят три обязательных чекбокса, которые нужно отметить перед отправкой (они означают, что вы подтверждаете полноту и точность сведений, обязуетесь соблюдать закон о персональных данных и т. д.). Также будет пункт про машиночитаемую доверенность. Если вы подписываете уведомление как руководитель организации или индивидуальный предприниматель, можно поставить галочку «Действую без доверенности» (это значит, что у вас есть право подписанта без дополнительных документов). Если же уведомление подает представитель, тогда потребуется оформить электронную доверенность и прикрепить ее файл.

После проставления всех галочек нажмите кнопку «Подписать и отправить». Сайт предложит использовать установленное в системе средство ЭЦП для подписи – убедитесь, что ваш носитель электронной подписи подключен, а сертификат ЭЦП не просрочен. Подпишите форму – и уведомление будет отправлено в Роскомнадзор. На экране должно появиться подтверждение успешной отправки (а на электронную почту придет уведомление о приеме вашего обращения).

Перед тем как приступать к заполнению уведомления на сайте https://pd.rkn.gov.ru/operators-registry/notification/form/, соберите все необходимые данные. Это ускорит процесс и снизит риск ошибок.

Подача уведомления выглядит сложной только первый раз. Вот несколько рекомендаций от нашего агентства, которые упростят процесс:

• Получите электронную подпись заранее. Если у вас еще нет квалифицированной ЭЦП, ее нужно оформить в аккредитованном удостоверяющем центре (процедура занимает несколько дней). Без ЭЦП вы не сможете завершить подачу уведомления онлайн. Убедитесь, что ваша подпись действующая и установлены необходимые программы (например, КриптоПро CSP) на компьютере.

• Выбирайте правильный браузер. Практика показывает, что сайт Роскомнадзора лучше всего работает с браузерами, поддерживающими российские плагины для ЭЦП. Например, Яндекс.Браузер или специализированный браузер Госуслуг. В Google Chrome финальный этап подписания может некорректно отображаться или блокироваться, поэтому лучше сразу использовать рекомендуемые варианты.

• Воспользуйтесь режимом черновика, если нужно. Если вы не уверены в каких-то данных или хотите поручить заполнение формы юристу/помощнику, используйте кнопку «Сохранить черновик». После заполнения части формы нажмите эту кнопку – система сохранит введенные данные и выдаст специальную ссылку. По этой ссылке можно вернуться к заполнению позже или передать ее коллеге. Например, вы можете сами заполнить разделы про компанию и цели обработки, сохранить черновик, а ссылку отправить юристу, чтобы он дополнил блок про меры безопасности. Затем юрист сохраняет черновик, возвращает ссылку вам – и вы заходите, проверяете все и подписываете. Учтите лишь, что некоторые поля (например, те самые три галочки подтверждения в конце) не сохраняются в черновике – их должен поставить вручную тот, кто будет финально отправлять уведомление.

• Храните копии отправленного уведомления и ответ Роскомнадзора. После отправки вы получите номер записи в реестре. Советуем сделать скриншот или сохранить выписку, подтверждающую, что вы внесены в реестр операторов ПД. Это пригодится, если вдруг возникнут вопросы от партнеров или проверяющих органов.

• Обновляйте сведения при изменениях. Если в будущем у вас поменяется характер обрабатываемых данных, адрес хранения или другие сведения, закон требует повторно уведомить Роскомнадзор (у вас есть 10 дней на подачу обновленного уведомления). Не забудьте об этом, чтобы данные в реестре оставались актуальными.

Уведомление Роскомнадзора об обработке персональных данных – обязательная процедура для всех, кто ведет бизнес с клиентскими данными. Несмотря на бюрократический оттенок, это достаточно понятный процесс, если следовать инструкции. Выполнив его, вы защитите свой бизнес от серьезных штрафов и покажете клиентам, что ответственно относитесь к их приватности. Если у вас остались вопросы или нужна помощь в юридических нюансах работы онлайн, специалисты Qwer Agency всегда готовы проконсультировать и помочь настроить всё согласно закону. Мы поможем сделать ваш бизнес безопаснее и успешнее!

Если хоть один из пунктов — да, сайт обрабатывает персональные данные, и нужно подать уведомление в Роскомнадзор.

Рекомендуется не запускать сбор данных на сайте (или временно отключить формы), пока вы не приведёте сайт и процессы обработки ПДн в соответствие с законом.