Как составить и направить в Роскомнадзор уведомление о начале обработки персданных

Еще совсем недавно любая компания могла позволить себе собирать и обрабатывать персональные данные без уведомления об этом Роскомнадзора (РКН), штрафы за «игру в молчанку с РКН» были несущественные. С 30 мая 2025 все изменилось. Сейчас неисполнение обязанности об уведомлении может обернутся для организации штрафом от 100 000 до 300 000 рублей.

Новые штрафы за утечку персональных данных в 2025 году

Обязанность уведомлять Роскомнадзор

Требование уведомлять РКН о начале сбора персональных данных распространяется на всех: организации, ИП, самозанятые и т.д. (ст. 22 Федерального закона № 152-ФЗ).

В каждой компании есть работники, их данные так или иначе обрабатываются при заключении трудового договора,  начислении зарплаты, оформлении командировок и т.п. Персональные данные вносятся в личные дела сотрудников. Многие компании обрабатывают персональные данные не только работников, но и клиентов. Так что избежать подачи уведомления в РКН не получится. От этой обязанности освобождены только:

• Компании, которые ведут весь учет персональных данных, причем полностью, на бумаге.
• Организации, которые включены в государственные информационные системы и работает с персональными данными из этих систем.
• Компании, которые работают с персональными данными в сфере транспортной безопасности.

На основании поданного в РКН уведомления компанию или ИП вносят в реестр операторов персональных данных (ОПД), это и является легализацией работы с персданными.

Уведомление подается один раз, затем при необходимости нужно актуализировать переданные ранее сведения.

Как направить уведомление

Направить уведомление в Роскомнадзор можно одним из трех способов:

1. В бумажном виде, по почте РФ. Сначала нужно заполнить форму уведомления, которая утверждена в приложении 2 к приказу Роскомнадзора от 28.10.2022 № 180. Подписать форму и отправить письмом по почте на адрес Роскомнадзора.
   
   перейти к форме


2. Электронно, через портал Госуслуг.  У Вас должна быть подтвержденная учетная запись организации. Сначала в личном кабинет на портале Госуслуг в разделе «Роскомнадзор» нужно заполнить форму электронную уведомления. Затем, подписать ее электронной подписью и отправить.
   
   перейти к сервису ЕСИА


3. Электронно, через сайт Роскомнадзора. На сайте Роскомнадзора нужно войти в раздел «Обработка персональных данных». Заполнить форму уведомления, подписать усиленной квалифицированной электронной подписью и отправить. В этом случае подача в бумажном виде не потребуется. У вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.
   
   перейти к форме

Форма уведомления о начале обработки персональных   данных

Форму уведомления можно найти на сайте Роскомнадзора и заполнить. Это самый оптимальный вариант.

Адресные данные оператора

Сначала нужно указать регион, затем тип оператора. Оба поля заполняются по подсказкам из выпадающего меню. Дале – название и адрес.

Если вы зарегистрированы в одном регионе, а деятельность ведете в другом, нужно указать регион фактического местонахождения.

В перечне данных о компании есть поле «Адрес электронной почты». Оно выделено красной звездочкой, значит – обязательно для заполнения.

Регионы обработки. В это поле можно вписать несколько отдельных регионов либо выбрать «Все субъекты РФ», поставив галочку. Здесь важно не перепутать с территориями субъектов, чьи данные вы обрабатываете, потому что субъект может находиться в любом регионе.

Цели сбора персональных данных

Организациям необходимо предоставить в РКН сведения о том, данные каких категорий граждан они обрабатывают и с какой целью. Цель обработки определяется компанией самостоятельно, исходя из специфики деятельности.

В выпадающем справочнике к полю «Цели обработки ПД» предлагается на выбор более 30 вариантов. Все они связаны с соблюдением законодательства: трудового, налогового, страхового, жилищного и т.д. Можно выбрать вариант из предложенных или добавить вручную свой в поле «иное». 

Очевидно, что в отношении работников организация выполняет трудовое законодательство.

Указывая категории обрабатываемых данных имейте в виду, что все сведения, которые вы получаете должны соответствовать целям обработки.

Например, сомнительно, что для обеспечения трудового законодательства необходимо получать данные о национальности, политических взглядах, религиозных убеждениях. Более того, законодательство отдельно устанавливает случаи, когда такие данные можно использовать.

Информация, относящаяся к конкретному лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Это материальные носители персональных данных.

При заполнении поля необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.

После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).

Субъекты персональных данных

Многие компании обрабатывают персональные данные не только своих работников, но и клиентов или партнеров. Это напрямую касается всех, кто работает в сфере услуг: салоны красоты, турагентства, лаборатории по проведению медицинских  анализов, медклиники и т.п. Интернет-магазины собирают данные покупателей, чтобы доставить товар.

В этом разделе нужно «галочками» отметить лиц, чьи данных вы обрабатываете: работников, соискателей, контрагентов, клиентов, посетителей сайта и т.п.

Правовое обоснование сбора персональных данных

Правовым основанием обработки персональных данных является комплект локальных нормативных актов компании, где установлены правила работы с персданными, например, положение о работе с персональными данными, отдельный раздел в Правилах внутреннего трудового распорядка. Но, главным документом в этом комплекте является письменное согласие владельца персональных данных.

В форме Уведомления уже указаны все возможные варианты, нужно выбрать подходящий и отметить его «галочкой». Для большинства компаний – это первая строка «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных». Ниже есть поле, куда можно вписать свой вариант.

Далее в пустом поле нужно указать указать все отраслевые нормативно-правовые акты, которыми руководствуется компания, обрабатывая персональные данные с указанием реквизитов: дата, номер и название. 

Устав ООО ____ от ___ №, Положение об ______ от ____ № ____, лицензия на ___ от ____ № _____ и т. д. (см. примеры для заполнения).

Кроме того, в данном поле необходимо указать локальные акты, принятые Оператором в соответствии с законодательством о персональных данных – это Положение об обработке персональных данных ООО (ИП, физ. Лицо) _____ от _____ № _____, а также приказы, инструкции и др.

Пример.

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; Трудовой Кодекс РФ

Варианты действий с персональными данными

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. 

Отмечайте в форме подходящие вам варианты.

Способы обработки 

В этом разделе нужно заполнить три поля.

1. Выбрать способ обработки между автоматизированным, не автоматизированным и смешанным.
   Автоматизированной считается обработка данных с помощью компьютеров. Обработкой без применения средств автоматизации считаются действия с персональными данными, которые осуществляются человеком.Редко используется исключительно автоматизированный способ, поэтому не будет ошибкой выбрать смешанную обработку.
2. Указать передаются данные по внутренней сети или нет.
   Передача персональных данных по внутренней сети оператора означает, что личная информация пересылается между устройствами, серверами. Это может быть связано с внутренними процессами.  Например, кадровики направляют данные в бухгалтерию; продажники направляют данные клиентов курьерам и т.п.
3. Указать используется Интернет или нет.

«Без передачи по сети интернет» означает, что передача персональных данных осуществляется внутри закрытой, контролируемой сети, к которой нет стороннего доступа через интернет.

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» 

Заботиться о безопасности персональных данных обязаны все без исключения операторы. Как следует из названия этого поля полный перечень мер содержится в ст. 18.1 и 19 Федерального закона №152-ФЗ.

Здесь необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

Если используется электронная цифровая подпись (ЭЦП), нужно заполнить поле «использование шифровальных (криптографических) средств», указав наименование, регистрационные номера и производителей используемых криптографических средств, а также сведения об уровнях защиты.

Подраздел «средства обеспечения безопасности» - это технические меры по обеспечению безопасности данных при их обработке. 

Содержание подраздела «правовые меры» может быть таким же как поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).

Если проведена классификация информационных систем персональных данных,  необходимо в уведомлении к какому классу они относятся (см. Приказ от 13.02.2008 №55, №86, №20 "Об утверждении Порядка проведения классификации информационных систем персональных данных")

В общем и целом, перечень мер не ограничен, их состав определяет каждая компания самостоятельно в зависимости от специфики деятельности, численности сотрудников, наличия и количества сайтов, объемов персональных данных и закрепляет внутренними документами.

Вот некоторые их них:

Пример 1 заполнения поля Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» 

Разработаны локальные нормативные акты, по вопросам обработки персональных данных: Положение о работе с персональными данными № 34 от 12.03.2025.

Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.

Лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

Назначен ответственный за организацию обработки персональных данных.

На корпоративном сайте размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных.

Разработаны модели угроз безопасности персональным данным в информационных системах. В информационных системах установлен 3 уровень защищенности персональных данных.

Обеспечивается учет машинных носителей персональных данных.

Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам.

Осуществляется контроль безопасности сайта компании. Для обеспечения безопасности персональных данных применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия. Средства обеспечения безопасности: (Kaspersky Small Office Security Версия 3.0 (13.0.4.456)

Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными.

Пример 2 заполнения поля Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» 

• утверждены документы, определяющие политику оператора в отношении обработки персональных данных (Положение об обработке персональных данных, приказы о назначении ответственного за обработку персональных данных) и определяющие для каждой цели обработки состав обрабатываемых персональных данных, категории субъектов, способы, сроки их обработки и хранения, порядок уничтожения персональных данных;
• назначен ответственный за организацию обработки персональных данных;
• разграничены права доступа к материальным носителям персональных данных и персональным данным, обрабатываемым в информационной системе персональных данных;
• работники, получившие допуск к обработке персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
• настроена система обнаружения фактов несанкционированного доступа к персональным данным и принятия мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• на корпоративном сайте размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных;
•  осуществляется внутренний контроль и аудит соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• на сайте компании установлено ПО для обеспечения безопасности персональных данных и применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия: Kaspersky Small Office Security Версия 3.0 (13.0.4.456).

Пример 3 от Роскомнадзора. Заполнения поля Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» 

Разработаны локальные акты, по вопросам обработки персональных данных. Лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Назначен ответственный за организацию обработки персональных данных. На стенде (и (или) сайте) размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных. Разработаны модели угроз безопасности персональным данным в информационных системах. В информационных системах установлен 3 уровень защищенности персональных данных. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации. Для обеспечения безопасности персональных данных применяются программно-технические средства.

средства обеспечения безопасности: электронная цифровая подпись, используются антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных

Использование шифровальных (криптографических) средств: используются

класс СКЗИ: КС1;

Наименование, изготовители, серийные номера средств шифрования: КриптоПРО 5.0, ООО "Информационные системы"

Ответственный за обработку персональных данных

Ответственным за работу с персональными данными может быть штатный сотрудник, назначенный приказом руководителя. Он должен иметь:

• достаточный уровень знаний и квалификации для «курирования» этого вопроса (уметь разъяснить другим сотрудникам требования по безопасности);
• определенный административный ресурс (давать указания, обязательные к исполнению).

Зоны доступа могут быть разделены, например, ответственный — юрист, а допущенные лица — HR-менеджер и бухгалтер.

Оператор имеет право поручить обработку персональных данных другой компании при выполнении условий, указанных в ч. 3 ст. 6 Закона №152-ФЗ. Одно из них — получить согласие владельца персональных данных на то, что с его личной информацией по поручению оператора работает другая компания.

Трансграничная передача персональных данных

Здесь нужно выбрать из выпадающего меню необходимое: осуществляется/не осуществляется.

Использование шифровальных (криптографических) средств

Если используете, нужно поставить галочку и заполнить выпадающее меню: Наименование используемых криптографических средств, Класс средств криптографической защиты информации (СКЗИ).

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

В данном разделе указывается информация о серверах и месте их расположения, то есть адрес дата-центра.

В поле Собственный ЦОД предлагается выбор: да/нет. Если выбрать вариант «нет», нужно заполнить строчки ниже, указав Сведения об организации, ответственной за хранение данных.

Сведения об обеспечении безопасности персональных данных

Здесь нужно указать меры, которые предпринимает ваша компания для исполнения требований, установленные постановлением Правительства Российской Федерации от 01.11.2012 № 1119.

Варианты могут быть такими:

• утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
• используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
• ограничен доступ в помещения, где хранятся персональные данные и введены идентификация и аутентификация доступа;
• на используемом оборудовании установлено антивирусное программное обеспечение;
• обеспечивается конфиденциальность паролей доступа к данным;
• контроль (анализ) защищенности персональных данных;
• обеспечивается целостность информационной системы и персональных данных;
• другое

Подпишись на рассылку