Как подать уведомление в Роскомнадзор: пошаговая инструкция

Сайт с формой заявки, CRM или другие системы, которые используются бизнесом — везде обрабатываются персональные данные (ПДн). И если компания или ИП не зарегистрированы в реестре операторов, получение штрафа — это вопрос времени. Мы расскажем, как подать уведомление в Роскомнадзор об обработке персональных данных через Госуслуги или другими способами, какие сведения указывать и где бизнес чаще всего ошибается.

Кто должен уведомлять Роскомнадзор

По общему правилу регистрироваться в реестре РКН обязаны подавать все операторы, которые обрабатывают ПДн с использованием средств автоматизации. Проще говоря, если данные хранятся в электронных базах; вводятся в программы, сервисы, таблицы или передаются по сети, оператору для регистрации нужно подать в Роскомнадзор уведомление.

На практике уведомление стандартно направляют юрлица с сотрудниками и/или клиентами, поскольку в организациях практически невозможно работать с ПДн «на бумаге». ИП тоже подают уведомление в Роскомнадзор, как и самозанятые, если ПДн обрабатываются в электронном виде. 

Когда уведомление подавать не нужно

Часть 2 ст. 22 ФЗ № 152-ФЗ содержит исключения. Без уведомления можно обрабатывать ПДн, если они:

• включены в ГИС, созданные для защиты госбезопасности и общественного порядка;
• обрабатываются исключительно на бумаге, без использования ПО;
• обрабатываются в рамках законодательства в сфере транспорта.

Если ваша ситуация не попадает в перечень исключений, уведомление подавать нужно. 

Как подать уведомление в Роскомнадзор об обработке персональных данных: алгоритм действий

Процедура несложная только на первый взгляд, но на самом деле ей предшествует масштабная подготовка. Ошибка на старте тянет за собой исправления, запросы и риски проверок.

Шаг 1: назначьте ответственного и подготовьте документы по ПДн

Ответственным за организацию обработки может быть:

• штатный сотрудник — юрист, кадровик, специалист по ИБ или руководитель;
• сторонняя организация по договору.

Назначение оформляется приказом. До подачи уведомления также необходимо подготовить документы, поскольку сведения из них указывается в форме Роскомнадзора.

Как минимум потребуются:

1. Локальные акты по обработке ПДн: Политика, положения, инструкции, регламенты и т.д.
2. Шаблоны документов, подтверждающих наличие оснований для обработки (ст.6 ФЗ №152-ФЗ): например, согласия.
3. Документы по обеспечению безопасности данных в соответствии со ст. 18.1 и 19 ФЗ № 152-ФЗ.
4. Перечни информационных систем и категорий обрабатываемых данных.

Важно! Универсального перечня документов нет. Их состав зависит от масштаба бизнеса, категорий субъектов и способов обработки. Формальный набор «для галочки» здесь плохо работает — Роскомнадзор при проверке может выяснить, что документы не соответствуют фактическим процессам, и оператор получит предписание.

Шаг 2: выберите способ подачи уведомления

Заполнить форму можно только через официальный сайт ведомства. Доступны три варианта подачи уведомления в Роскомнадзор о персональных данных:

• онлайн через портал Госуслуг;
• электронно с подписанием УКЭП;
• онлайн-заполнение с последующей печатью и подачей в территориальное управление РКН.

Если подаете через Госуслуги, аккаунт исполнителя должен быть привязан к профилю организации. При подписании уведомления с помощью УКЭП понадобится настроенный плагин КриптоПро. 

Шаг 3: заполните уведомление 

Форма должна содержать сведения, указанные в ч.3 ст. 22 ФЗ № 152-ФЗ. В частности, указываются:

• сведения об операторе;
• цели обработки;
• категории данных и субъектов;
• правовые основания обработки;
• действия с ПДн и способы обработки;
• меры защиты данных;
• информация о трансграничной передаче;
• сведения о местонахождении баз данных;
• данные ответственного лица.

На практике операторы здесь часто совершают ошибку — используют готовый образец уведомления в Роскомнадзор. Это опасно, поскольку документ должен отражать реальные процессы обработки. В большинстве случаев в каждой компании или ИП они сильно отличаются.

Шаг 4: проверьте регистрацию в Роскомнадзоре

После подачи уведомление в Роскомнадзор об обработке данных рассматривается до 30 календарных дней. По итогам оператор включается в реестр. Проверить регистрацию можно на сайте ведомства, достаточно указать ИНН или наименование.

Основные ошибки при подаче уведомления

Рассмотрим основные ошибки, которые часто допускают при подаче уведомления:

1. Неверное основание обработки. Здесь нужна конкретика. Например, «обработка ПДн осуществляется с согласия субъекта». 
2. Нарушение срока подачи уведомления оператора в Роскомнадзор. Оно отправляется до начала обработки ПДн, а не после. 
3. Избыточные категории ПДн. Указывают больше, чем реально обрабатывают. Так, если вы запрашиваете только ФИО, адрес электронной почты и номера телефонов пользователей, не нужно указывать еще и паспортные данные или ИНН. 
4. Некорректные цели обработки. Вписывайте цели так, чтобы они соответствовали категориям обрабатываемых ПДн и категориям субъектов. Например, вы не можете обрабатывать данные с целью ведения кадрового и бухгалтерского учета, если вы ИП без сотрудников и работаете только с ПДн пользователей сайта (посетителей, покупателей). 
5. Формальное описание мер защиты. Копирование типовых фраз без фактической реализации — так делать нельзя, это всегда выясняется при проверках РКН. Указывайте только то, что действительно внедрено.
6. Неточные сведения об операторе. Несовпадение с ЕГРЮЛ или ЕГРИП. Перед подачей уведомления закажите выписку из реестра ФНС, чтобы точно не ошибиться. 

Ответственность за неподачу уведомления в Роскомнадзор

Если оператор не подал уведомление в Роскомнадзор об обработке персональных данных, ему грозит административная ответственность по ч.10 ст. 13.11 КоАП РФ. Какие предусмотрены штрафы

• для граждан — от 5 000 до 10 000 руб.;
• для должностных лиц — от 30 000 до 50 000 руб.;
• для юрлиц — от 100 000 до 300 000 руб.

Другие виды уведомлений в Роскомнадзор

Помимо уведомления о начале обработки, оператор обязан направлять и другие уведомления:

Вид уведомления	Срок подачи
Об изменении сведений, содержащихся в уведомлении	Не позднее 15 числа месяца, следующего за датой внесения изменений
О трансграничной передаче ПДн	До начала передачи
Об утечке данных	В течение 24 часов с момента выявления инцидента. Также в течение 72 часов нужно подготовить отчет для РКН о результатах расследования
О прекращении обработки ПДн	10 рабочих дней

Советы юристов

Мы подготовили практические рекомендации, которые помогут выстроить устойчивую систему работы с ПДн:

1. Сначала опишите реальные процессы, потом заполняйте уведомление. Юристы начинают не с формы Роскомнадзора, а с инвентаризации: где данные собираются, кто к ним имеет доступ, куда они передаются и когда уничтожаются. Если логика процессов не выстроена,не получится правильно заполнить уведомление. При проверке несоответствия видны сразу.
2. Закладывайте возможность изменений заранее. Новые сервисы, маркетинг, подрядчики, CRM — все это влияет на обработку ПДн. Стройте документы так, чтобы при внедрении новых процессов можно было безболезненно внести изменения в локальные акты и сведения об операторе в реестре РКН, а не переписывать всю систему с нуля.
3. Согласуйте уведомление с Политикой, а не наоборот. Распространенная ошибка — «подогнать» Политику под уже поданное уведомление. Правильнее будет сделать наоборот: сначала оформить Политику и остальные документы, а затем подать уведомление в Роскомнадзор. Это снизит риск расхождений между документами. 
4. Роскомнадзор оценивает не красоту формулировок, а их применимость. Если указаны инструкции, журналы, регламенты — они должны реально использоваться. Юристы рекомендуют периодически проверять, как сотрудники исполняют требования, и фиксировать это документально.
5. Не назначайте ответственного «для галочки». Ответственный за обработку ПДн — это лицо, которое должно понимать процессы обработки ПДн и уметь объяснить их сотрудникам. Формальное назначение без реальных полномочий часто становится слабым местом при проверках.
6. Проверяйте документы по ПДн при каждом значимом изменении бизнеса. Смена подрядчика, переезд серверов, запуск нового сайта, расширение клиентской базы — все это повод перепроверить актуальность сведений. Юристы советуют включать аудит процессов обработки ПДн в ежегодный комплаенс-чек, а не вспоминать о нем только при проверке.

Помните: только от вас зависит, будут ли у Роскомнадзора претензии к вашей организации при проверках или нет. Если все документы оформлены правильно, вам нечего бояться.