Как подать уведомление об обработке персональных данных в Роскомнадзор

Когда уведомлять Роскомнадзор

Федеральный закон № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) обязывает организации и индивидуальных предпринимателей в ряде случаев информировать Роскомнадзор о своей деятельности. Это элемент «прозрачности» и легализации обработки: регистратор должен понимать, кто, какие категории персональных данных (далее также – ПДн) и с какими целями обрабатывает.

Ключевые ситуации, когда требуется уведомление в Роскомнадзор:

1. Начало обработки ПДн.
2. Изменение ранее заявленных сведений об обработке;
3. Планирование трансграничной передачи ПДн;
4. Прекращение обработки;
5. Возникновение инцидента (утечки), затронувшего права и интересы субъектов.

Уведомление о начале обработки персональных данных

Практически любой бизнес — от ИП до крупной компании — в повседневной деятельности обрабатывает персональные данные: оформляет кадровые документы сотрудников, ведёт клиентские и партнёрские базы, собирает информацию о пользователях через сайт и другие цифровые каналы. В соответствии со статьёй 22 закона № 152‑ФЗ, уведомление в уполномоченный орган должно быть направлено до момента фактического начала такой обработки.

Важно! Если уведомление не было подано ранее, сделать это требуется незамедлительно. Размер штрафов за отсутствие уведомления с 30 мая 2025 года существенно увеличен и для компаний может достигать 300 000 рублей.

Нужна помощь с подачей уведомления? Оставляйте заявку

Типичные ошибки при подаче уведомления и как их избежать

1. Недостаточная детализация целей.

Частая проблема — указание одной «универсальной» цели вроде «ведение кадрового и бухгалтерского учёта». На практике почти всегда есть дополнительные цели обработки, и формальное указание одной общей формулировки не отражает реальную картину.

Согласно обновленной форме уведомления (Приказ Роскомнадзора №180 от 15.12.2022), требует по каждой цели отдельно описывать:

• категории субъектов;
• категории данных;
• правовые основания;
• перечень операций (действий) с ПДн.

На портале Роскомнадзора приведён примерный перечень целей (несколько десятков типовых вариантов). В ходе аудита обычно всплывают дополнительные задачи: организация офлайн‑мероприятий и вебинаров, программы лояльности, PR‑активности и т.д.

2. Некорректное указание способов обработки. Упоминание «распространения» или «обезличивания» без фактического наличия этих процессов ведет к рискам

• Распространение (публичное раскрытие данных) возможно только при наличии отдельного специально оформленного согласия на обработку ПДн, разрешённых для распространения. Такое согласие должно соответствовать требованиям приказа Роскомнадзора № 18. Субъекту нужно дать возможность установить запреты и условия распространения. На сайте Роскомнадзора есть сервис‑ шаблон для подготовки формы такого согласия. 152‑ФЗ также предписывает оператору в течение трёх рабочих дней с момента получения согласия опубликовать информацию об условиях обработки этих данных.

• Обезличивание должно быть регламентировано внутренним локальным актом компании.

Ранее обезличивание осуществлялось оператором только для строго определенных регулятором целей. Сейчас такого ограничения нет. Предприниматели могут использовать обезличивание для собственных целей, в частности, для проведения статистических, маркетинговых исследований.

Важно! Обезличенные данные остаются всё же персональными данными, обращение с ними регулируется 152-ФЗ.

3. Игнорирование данных с веб-сайтов

Файлы cookie и иные идентификаторы посетителей сайта в большинстве случаев рассматриваются как персональные данные, а их обработка — как обработка ПДн. Соответственно, требуется законное основание (часто — согласие пользователя) и корректно настроенный cookie‑баннер. Копирование баннера с чужого сайта без адаптации под свои процессы и категории cookie повышает риски.

Роскомнадзор научился выявлять нарушения на сайтах дистанционно, без контакта с оператором: проверка проводится «бесконтактно», а оператор узнаёт о ней уже по факту получения требования об устранении нарушений. Если замечания не устранены, возможна административная ответственность.

4. Неучтенная трансграничная передача

Компании нередко не осознают, что в их процессах присутствует трансграничная передача ПДн. Типичные случаи:

• бронирование зарубежных гостиниц или перелётов для сотрудников;
• использование на сайте иностранных виджетов, платёжных/маркетинговых сервисов с серверами за пределами РФ;
• применение зарубежных облачных платформ для CRM, рассылок, хранилищ.

Корректно выявить такие сценарии помогает комплексный аудит обработки ПДн с формированием реестра процессов. Ответственный за обработку ПДн (как внутренний сотрудник, так и внешний консультант) должен поддерживать этот реестр в актуальном состоянии.

5. Неполные технические сведения

Ошибки часто допускаются при указании технической информации, например, адресов центров обработки данных (ЦОД). В уведомлении требуется указывать физический адрес размещения оборудования: город, улицу, номер дома, помещение.

6. Ошибочное отнесение фото/видео к биометрии

Некоторые операторы автоматически относят любые фото или видеозаписи к биометрическим ПДн, хотя это не всегда так. Закон определяет биометрические данные как сведения:

• характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта.

Путаница усилилась после письма Минцифры о том, что фотографическое изображение, применяемое для контроля доступа на охраняемую территорию и идентификации гражданина, признаётся биометрическими данными. Однако для квалификации как биометрии по 152‑ФЗ важна именно фактическая цель использования – если фотографии не применяются для идентификации (а например, используются лишь в пропуске без автоматизированного распознавания), формально можно обосновать, что биометрии нет. Это существенно сужает круг данных, подпадающих под режим биометрических ПДн.

Формат и значимость уведомления

Направить уведомление оператор может:

• на бумаге;
• в электронном виде, подписав усиленной квалифицированной электронной подписью.

К подготовке уведомления стоит отнестись максимально внимательно: это первый документ, который Роскомнадзор анализирует в рамках дистанционного контроля. Если в нём выявят несоответствия, оператор получит предписание с 10‑дневным сроком на их устранение. Невыполнение предписания — основание для выездной проверки с гораздо более серьёзными последствиями.

Пример заполнения формы уведомления об обработке персональных данных

Изменение ранее поданных сведений об обработке

Если после подачи первоначального уведомления в Роскомнадзор параметры обработки персональных данных меняются, оператор обязан сообщить об этом регулятору. Такое уведомление подается не позднее 15‑го числа месяца, следующего за месяцем таких изменений. К типичным случаям относятся появление или исключение отдельных целей обработки, корректировка перечня обрабатываемых категорий данных, смена ответственного за организацию обработки персональных данных, а также любые иные значимые изменения процессов.

С образцом заполнения уведомления об изменении сведений, ранее заявленных оператором, можно ознакомиться по ссылке

Помочь заполнить уведомление? Оставляйте заявку

Уведомление о трансграничной передаче персональных данных

Трансграничная передача персональных данных имеет место, когда информация о физических лицах уходит за пределы юрисдикции России — например:

• при обмене контактами с иностранными партнёрами;
• при отправке управленческой отчётности с данными сотрудников из российской «дочки» в зарубежный головной офис;
• при использовании на стороне оператора зарубежных онлайн сервисов, в которых обрабатываются ПДн;
• при предоставлении удалённому подрядчику (фрилансеру по ГПХ) доступа к персональным данным из другой страны.

При этом не считается трансграничной передачей, в частности:

• удалённый доступ к ПДн сотрудником работодателя, который временно находится за границей;
• передача данных из российского филиала в головной офис иностранной компании (если филиал не является юридическим лицом);
• самостоятельное бронирование зарубежного отеля самим работником.

Уведомление о намерении осуществлять трансграничную передачу направляется в Роскомнадзор до фактического начала такой передачи. До подачи уведомления оператор должен запросить у иностранных получателей персональных данных информацию о действующих у них мерах защиты, особенностях местного законодательства в этой сфере, а также основные сведения о самих организациях получателях.

Роскомнадзор утвердил перечень государств, где уровень защиты прав субъектов персональных данных признан адекватным. США в этом списке не фигурируют. Если передача планируется в страну из указанного перечня, оператор может начинать её сразу после направления уведомления. При передаче в «неадекватные» юрисдикции обработка допускается только по истечении 10 рабочих дней с момента поступления уведомления в Роскомнадзор при отсутствии возражений регулятора.

Пример заполнения формы уведомления о намерении осуществлять трансграничную передачу

Есть ли у вас трансграничная передача? Подробно разберем.