Разъяснения по вопросам уведомления об обработке персональных данных

С 2025 года больше не встаёт вопрос – подавать или не подавать Уведомление об обработке персональных данных. С 30.05 вступает в силу новый штраф до 300 000 руб.: невыполнение обязанность по уведомлению Роскомнадзора об обработке персональных данных (часть 10 статьи 13.11 КоАП РФ).

Всем, кто не подавал Уведомление раньше, нужно его подать:
- юридическим лицам;
- ИП и самозанятым (если работаете с клиентами физическими лицами).

Если у вас есть сайт, если у вашего ИП или юр. лица есть работники, если вы собираете заявки на агрегаторах – вы в зоне риска. Да, даже те, кто собирает «только ФИО» или «только телефон/e-mail».

В нашей «Базе Решений» Вы можете найти подробную и удобную инструкцию по подаче Уведомления с примерами заполнения полей для любых типов организаций.

Уведомление подается on-line через портал Роскомнадзора и содержит в себе более 40 полей. Притом, в зависимости от количества процессов работы с персональными данными оно может увеличиться в несколько раз.

Изучив форму, вы поймете, что заполнение уведомления - это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

категории персональных данных,
категории субъектов персональных данных,
цели обработки персональных данных,
правовое основание обработки персональных данных,
перечень действий с персональными данными,
описание способов обработки,
осуществление трансграничной передачи персональных данных,
описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»,
ответственный за организацию обработки персональных данных,
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Большинство вопросов связано со следующими пунктами:

описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации - исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

назначить ответственного за организацию обработки;
издать политику оператора в отношении обработки персональных данных;
издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
и так далее...

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры... И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";

Для примера возьмем Постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие - прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним - Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано - заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты!

В нашей «Базе Решений» также есть шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

Удачной Вам работы в сфере обработки и защиты персональных данных!