Уведомление об обработке персональных данных

Оператору персональных данных (любому бизнесу, ИП или самозанятому), который собирает и обрабатывает личную информацию, нужно уведомить Роскомнадзор о начале такой обработки. Уведомление об обработке персональных данных — это официальное заявление, которое подаётся в уполномоченный орган (РКН). По закону его следует представить заранее, то есть до начала обработки данных. Регистрация в реестре РКН подтверждает выполнение требования закона – в реестре фиксируются номер и дата подачи вашего уведомления. Без уведомления работа с личными данными считается нарушением (за неподачу с 2025 г. штраф 100–300 тыс. ₽

Уведомление — это электронное заявление на официальном портале Роскомнадзора или бумажный документ, где оператор описывает предстоящую обработку данных. В уведомлении обычно указывают:

• цели обработки персональных данных (например, «для расчета зарплаты» или «для рассылки новостей»);
  
• категории обрабатываемых данных (ФИО, адрес, телефон, доход и др.) и категории субъектов (сотрудники, клиенты и т.д.);
  
• способы обработки и меры защиты информации (шифрование, пароли, инструкции, обучение);
  
• правовые основания обработки (статьи закона, договоры, согласие субъекта);
  
• контактные данные оператора (название организации, ИНН/ОГРН, адрес, email).
  

После подачи уведомления Роскомнадзор проверяет его и вносит оператора в официальный реестр операторов ПДн. Запись в реестре с номером и датой вашего уведомления является подтверждением того, что все формальности выполнены.

Согласно ФЗ-152 «О персональных данных» оператором считается любое лицо, которое организует обработку данных о физических лицах. Это могут быть:

• коммерческие организации (ООО, АО и др.),
  
• некоммерческие юридические лица,
  
• индивидуальные предприниматели,
  
• самозанятые, если их деятельность включает сбор личных данных в коммерческих целях
  

Практически любая компания или ИП, собирающая информацию о клиентах или сотрудниках, должна подать уведомление.

Исключения: уведомление не требуется, если обработка ведётся полностью вручную без компьютера или если данные используются в специальных государственных информационных системах (в целях безопасности). Например, данные могут уже храниться в государственных базах (ФМС, «Безопасный город» и т.п.) или обрабатываться для задач транспортной безопасности. Во всех остальных случаях (то есть для подавляющего большинства бизнесов) уведомление обязательно.

По закону фиксированных дат нет – уведомление должно быть подано до начала реальной обработки ПДн. Это означает, что вы можете отправить его в любое удобное время до того, как начнётся сбор или использование данных. Лучше сделать это как можно раньше (например, сразу после регистрации бизнеса), чтобы избежать рисков.

Например, с 30 мая 2025 г. штрафы за неподачу уведомления выросли до 100–300 тыс. ₽(ранее штраф был всего 3–5 тыс. ₽). Если вы уже начали обрабатывать персональные данные без уведомления, Роскомнадзор обычно сначала выдаёт предупреждение, но повторная невыплата может обернуться крупным штрафом (100–300 тыс. ₽ для компании).
Пример: уведомление о сборе данных клиентов через интернет-магазин стоит отправить до размещения формы обратной связи. Уведомление об обработке данных сотрудников нужно подготовить перед приёмом первого сотрудника на работу.

Действующая форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180. В ней введён раздел «Цели обработки ПДн» (этот раздел появился в новой форме). Поэтому компаниям, подавшим уведомления до конца 2022 года, рекомендуется подать их заново по новой форме.
При заполнении формы учтите:

• Опишите цели конкретно. Каждая цель должна быть ясной и соответствовать вашей деятельности. Нельзя указывать общие или фиктивные цели «про запас». Например, «ведение бухгалтерского учёта», «рассылка уведомлений клиентам» и т.п.
  
• Полные категории данных. Укажите все виды персональных сведений (ФИО, телефон, адрес, ИНН, доходы и т.д.) и группы людей (работники, подрядчики, клиенты и др.), чьи данные вы обрабатываете.
  
• Правовые основания. Укажите статьи закона или договоры, на основании которых вы обрабатываете эти данные. Обычно это согласие субъекта или выполнение договора.
  
• Меры защиты. Опишите технические и организационные меры безопасности (шифрование, резервное копирование, антивирусы, обучение сотрудников, контроль доступа и т.д.).
  
• Действия с данными. Поясните, что именно вы будете делать с этими данными (например, собирать, хранить, удалять, изменять, обрабатывать статистически).
  
• Особые условия. Если вы используете иностранные сервисы (Google Analytics, WhatsApp, Telegram и др.), отметьте это в уведомлении. Это важно из-за требований о локализации и трансграничной передаче ПДн.
  
• Проверьте актуальность формы. Используйте форму уведомления, утверждённую Приказом РКН № 180 от 28.10.2022 (в ней есть раздел «Цели обработки ПДн»). Если вы отправляли уведомление раньше 2023 года, заполните форму заново.
  
• Согласие субъектов: если основанием обработки является согласие, нужно иметь подготовленный бланк согласия на обработку ПДн (это тоже требует закон).
  
• Политика обработки: разместите на сайте компании Политику конфиденциальности и подготовьте образец согласия на обработку ПДн. Эти документы потребуются при проверках.

• Подготовьте документы. Убедитесь, что у вас есть все необходимые локальные нормативные акты: Политика ПДн, инструкции по защите информации, приказы о назначении ответственных, образцы согласий на ПДн и т.д. Эти документы должны соответствовать информации в уведомлении.
  
• Выберите способ подачи: уведомление можно отправить через личный кабинет на сайте Роскомнадзора (pd.rkn.gov.ru) или через портал Госуслуг (для этого нужна усиленная ЭЦП). Также можно заполнить бумажный бланк и направить его почтой в территориальное управление РКН по адресу регистрации.
  
• Заполните форму: внесите в онлайн-анкету или бумажный бланк всю подготовленную информацию (смотрите раздел «Форма и содержание» выше). При электронной подаче вы можете выгрузить сканы учредительных документов и приказов.
  
• Проверьте и отправьте: внимательно проверьте все поля. Электронный вариант подпишите вашей квалифицированной ЭЦП и отправьте. При бумажном варианте подпишите документ от руки и отправьте по почте с описью вложения (или принесите лично).
  
• Проверка РКН: после получения уведомления Роскомнадзор проверит его (обычно в течение 30 дней) и внесёт запись о вас в реестр операторов. Вам придёт подтверждение о принятии уведомления.

В личном кабинете Госуслуг есть услуга «Уведомление об обработке ПДн» РКН. Для её использования нужна подтверждённая учётная запись и усиленная электронная подпись. Аналогично можно подать уведомление через личный кабинет на сайте Роскомнадзора. В обоих случаях информация вносится в ту же форму, и итог – в реестре появится запись о вашем уведомлении. Система отправит вам уведомление о регистрации заявки и её номере.

Будьте внимательны при заполнении, чтобы избежать замечаний РКН:

• Нереалистичные цели. Указание фиктивных или слишком общих целей обработки (например, «для любых целей компании») недопустимо. Цели должны точно соответствовать вашим реальным операциям.
  
• Пустые поля. Все разделы формы нужно заполнить корректно. Особенно важно правильно заполнить поля «цели», «категории данных» и «меры защиты».
  
• Несогласованность с документами. Сведения в уведомлении должны совпадать с вашей Политикой ПДн и другими внутренними документами.
  
• Изменение сведений. Если изменилась информация (например, адрес, контакты, цели или способы обработки), необходимо как можно скорее подать новое (корректирующее) уведомление. Устаревшие или неактуальные данные считаются нарушением.
  

Если уведомление составлено с ошибками, Роскомнадзор запросит уточнения или вынесет предписание. При игнорировании возможны штрафы за нарушение 152-ФЗ (100–300 тыс. ₽)

• Онлайн на сайте РКН: зайдите в раздел «Реестр операторов» и выберите «Уведомление».
  
• Через Госуслуги: найдите услугу РКН «Уведомление об обработке ПДн» и заполните форму.
  
• По почте: отправьте заполненное уведомление по адресу вашего регионального управления РКН (адрес можно найти на сайте Роскомнадзора).
  
• Лично: принести заполненное уведомление в офис Роскомнадзора.
  

После отправки вы можете проверить, что ваша организация появилась в Реестре операторов ПДн на сайте РКН. Это окончательное подтверждение подачи. В реестре будет указан номер, дата уведомления и его статус.

Итог: подача уведомления об обработке персональных данных – обязательный шаг для оператора. Соблюдайте требования ФЗ-152 и используйте актуальную форму (Приказ РКН №180 от 28.10.2022). Подайте уведомление до начала обработки персональных данных, чтобы работа вашего бизнеса была законной. Не откладывайте: оформить уведомление лучше сейчас, чтобы избежать риска крупных штрафов. Таким образом, уведомление является необходимой формальностью для большинства операторов – подав его вовремя, вы обезопасите свой бизнес и подтвердите легальность работы с персональными данными.