Проверка состояния уведомления в Роскомнадзоре об обработке персональных данных

По закону №152-ФЗ, все компании, ИП и самозанятые, которые работают с личными данными – будь то информация о сотрудниках, клиентах или других людях, – должны уведомить об этом в Роскомнадзор перед тем, как начать их обрабатывать. То есть после регистрации бизнеса (или до начала сбора ПДн) следует подать уведомление и далее следить за его статусом. Для этого на сайте РКН предусмотрен специальный сервис: проверка состояния уведомления в Роскомнадзор по уникальному номеру и контрольному ключу. Игнорирование этой обязанности или допущение ошибки чреваты серьезными штрафами, которые ужесточаются с середины 2025 года. Важно вовремя уведомить РКН, иначе велика вероятность штрафа.

Кто обязан подавать уведомление в Роскомнадзор?

Оператором ПДн считается любое лицо (организация, ИП, самозанятый), самостоятельно организовывающее и проводящее обработку данных. Если у ИП или самозанятого есть сотрудники или он получает личную информацию о клиентах (ФИО, почта, платежные реквизиты и т.п.), он становится оператором и обязан подать уведомление. То же самое касается ООО, АО и любых фирм: при любом сборе данных организация становится оператором и должна уведомлять РКН.

Если же предприниматель вообще не обрабатывает ПДн (нет сотрудников, не ведет клиентской базы), то он не считается оператором и уведомлять не нужно.

Когда уведомление не требуется

Закон прямо перечисляет исключения из обязанности уведомления (ч. 2 ст. 22 ФЗ-152). Закон предусматривает три исключения, когда подача уведомления не обязательна: при полностью ручной обработке (без использования компьютеров), при обработке информации в рамках государственных систем охраны правопорядка или обеспечения безопасности транспорта. Например, ведение исключительно бумажного кадрового делопроизводства (без переноса сведений в электронные системы) освобождает от обязанности уведомлять регулятора. Аналогично, системы МВД, ФСБ или СКР имеют специальный статус и освобождаются от необходимости направлять уведомления в Роскомнадзор. Обязательное уведомление регулятора требуется при цифровой обработке информации (через компьютеры или онлайн-системы), а также при обработке информации клиентов и партнеров.

Какие документы нужно подготовить до подачи уведомления?

Подача уведомления – это финальный этап большой подготовительной работы. Перед этим компания должна подготовить и официально закрепить пакет локальных актов, регулирующих работу с данными. Без них заявка будет неполной или неверной, а сама обработка – незаконной. Базовый пакет включает:

1. Политика обработки персональных данных. Это документ, который организация публикует (чаще всего на своем сайте), чтобы сообщить: какие сведения о клиентах собираются, цели их использования, применяемые методы обработки и права граждан на свои персональные данные.
2. Приказ об утверждении Политики обработки ПДн.
3. Документ, назначающий ответственного за обработку личной информации в организации. (Если обработка не осуществляется оператором лично).
4. Инструкция ответственного лица. Детально описывает его обязанности и порядок действий.
5. Распоряжение о списке сотрудников, которым разрешено работать с такими данными.
6. Модель угроз безопасности ПДн. Анализ возможных рисков для защиты личных данных.
7. Инструкция пользователя ИСПДн по обеспечению безопасности. Инструкция для персонала по обращению с информацией.
8. Журнал учета носителей персональных данных.
9. Формы согласий субъектов ПДн на обработку. Для случаев, когда согласие требуется по закону.

Количество документов зависит от специфики вашей деятельности. Небольшим компаниям может хватить 10-15 документов, тогда как крупным организациям с сайтом и большим штатом потребуется до 70. Например, при наличии веб-сайта потребуется подготовить дополнительные документы – политику работы с cookie-файлами и бланк согласия пользователя на их сбор.

Способы подачи уведомления

Роскомнадзор предусматривает три варианта информирования регулятора об обработке личных сведений:

• На бумаге. Требуется оформить уведомительный документ и направить его заказным письмом с обратным уведомлением в территориальный орган Роскомнадзора либо передать документ непосредственно в офисе ведомства.
• Через сайт РКН с ЭЦП. Для электронной подачи документа войдите на портал pd.rkn.gov.ru, внесите требуемые сведения в онлайн-форму и подтвердите отправку квалифицированной ЭЦП.
• Через портал Госуслуги. Отправьте уведомление через персональный кабинет на сайте, после чего система автоматически направит его в Роскомнадзор.

Регистрация в качестве оператора ПДн осуществляется однократно – организации, уже включенные в соответствующий реестр, не должны дублировать уведомление (при условии своевременного обновления информации). Бумажный и электронный формат подачи документов имеют одинаковую юридическую значимость.

Порядок и сроки подачи

Оператор обязан направить уведомление в регулирующий орган прежде, чем приступить к работе с персональными данными. Иными словами, подача должна предшествовать любым действиям с собранными данными. Практически это означает – подать вместе с регистрацией бизнеса или сразу после назначения ответственного за ПДн. Срок рассмотрения поданного уведомления Роскомнадзором составляет не более одного месяца с даты его поступления.

Если организация была внесена в реестр, дальнейших действий от нее не требуется до момента изменений. Для ускорения проверки статуса заявления в Роскомнадзоре можно указать точные даты начала и окончания обработки – тогда РКН при внесении в реестр отобразит их в карточке оператора (хотя поля даты необязательны).

Как заполнить уведомление: пошаговая инструкция

При заполнении формы следуйте требованиям приказа РКН №180 от 28.10.2022. Ниже – основные разделы и рекомендации.

Сведения об операторе: укажите регион регистрации (для ИП – регион ФНС), полное название организации (или ФИО ИП/самозанятого), ИНН, ОГРН (для ИП и самозанятых достаточно ИНН), адрес офиса, рабочий e-mail и список регионов (субъектов РФ), где вы планируете обрабатывать ПДн. Обязательно заполните все поля со звездочкой.

Цели обработки ПДн: здесь перечисляются цели, для которых вы собираете личную информацию. Каждая цель указывается отдельной строкой (каждая – обязательная). РКН предоставляет классификатор примерно из 37 типовых целей, но вы можете выбрать и «другие».

Категории персональных данных: при обработке информации необходимо заранее определить, какие именно персональные сведения будут использоваться — обычные, особые (раса, здоровье и пр.) или биометрические (отпечатки, фото). Перечисляйте конкретные типы данных. Не указывайте «пакет документов» – сообщайте именно поля из них.

Категории субъектов: здесь перечисляются группы лиц, чьи данные будут обрабатываться (для каждой цели). Ошибка – пропускать нужные категории или ставить обобщенные формулировки («клиенты» вместо «физлица, заключающие договоры» и т.п.).

Правовое основание: в документах следует прописать законные основания обработки – добровольное согласие субъекта или нормы Федерального закона №152-ФЗ.

Способы обработки и действия: для каждого случая использования данных укажите метод их обработки: с помощью компьютерных программ, на бумаге или комбинированно (частично в электронном, частично в бумажном формате).

Меры безопасности (ст. 18.1 и 19 закона): в отдельном разделе перечислите реальные защитные меры, которые применяете: технические средства защиты (антивирусы, шифрование, брандмауэры и т.п.), организационные меры, шифровальные средства (эЦП, SSL и т.п.).

Ответственный за ПДн: укажите полное имя, занимаемую позицию и контактные данные (если есть) сотрудника, ответственного за работу с персональной информацией. Для ИП или самозанятого в качестве ответственного указывается сам предприниматель.

Как проверить статус уведомления: Реестр операторов

Проверка подачи уведомление об обработке персональных данных в Роскомнадзоре доступна онлайн: https://pd.rkn.gov.ru/operators-registry/

Как найти свое уведомление:

1. По номеру: Самый точный способ. Этот уникальный номер вы получаете при подаче извещения (в электронном подтверждении или на бумажном варианте о регистрации).
2. По ИНН: Введите ИНН вашей организации или ИП в поисковую строку реестра.
3. По ОГРН/ОГРНИП: Аналогично поиску по ИНН.
4. По названию организации/ФИО ИП: Введите полное название или ФИО.

Также в Роскомнадзоре есть проверка уведомления по номеру ИНН. При необходимости реквизиты уведомления доступны в профиле на портале Госуслуг либо запрашиваются повторно через обращение в Роскомнадзор. Важно сохранять копию квитанции или электронное подтверждение подачи – это единственное основание считать извещение официально отправленным.

Что делать после подачи уведомления

После отправки уведомления в Роскомнадзор следует осуществить предусмотренные законом мероприятия:

• Убедитесь, что сведения о вашей организации отображаются в официальном реестре операторов персональных данных на портале Роскомнадзора.
• Сохраните подтверждение подачи (например, электронное или квитанцию).
• Если в вашей деятельности происходят изменения, внесите их в уведомление до 15 числа каждого следующего месяца.

Своевременное обновление данных защищает от штрафов и проверок.

Ответственность за нарушения

За неподачу извещения (или предоставление ложных сведений) сейчас штрафуют по ст. 19.7 КоАП: для организаций – до 5 000 ₽, для ИП – до 500 ₽. С 30.05.2025 года начнет действовать обновленная статья 13.11 КоАП РФ с повышенными штрафами: компании рискуют получить взыскание от 100 до 300 тысяч рублей, самозанятые граждане — от 5 до 10 тысяч, а должностные лица — от 30 до 50 тысяч рублей. За повторное нарушение (если ошибка или отсутствие неустранены) штраф может составлять 500 000 ₽.

Частые ошибки при подаче уведомления

Операторы часто допускают типичные промахи. Среди них:

• несоответствие названия и адреса организации учредительным документам
• неполный перечень субъектов (пропуск категорий физлиц или их отношений)
• неверно указанные способы обработки (например, отметить «бумажное» при фактическом компьютерном обработке).

Также нельзя копировать шаблонные описания из чужих примеров – РКН прямо называет это грубой ошибкой.

Уведомление о прекращении обработки персональных данных

Компания должна известить надзорный орган о завершении работы с личными данными граждан не позднее чем за 10 рабочих дней, используя установленную форму на официальном портале pd.rkn.gov.ru. Это требование важно, чтобы избежать ненужных проверок или штрафов за деятельность, которую вы больше не ведете.

Если обработка данных прекращается только частично (например, закрыт один проект или сайт), достаточно подать извещение об изменении сведений, а не о полном прекращении.

Кратко о главном

• Проверьте, нужна ли вам подача уведомления. Если вы обрабатываете любые ПДн сотрудников или клиентов, вы – оператор по 152‑ФЗ и должны уведомить РКН.
• Подготовьте документы. Разработайте политику, приказы, инструкции и другие локальные акты по защите ПДн.
• Подайте уведомление в один из трех способов: бумажно, через портал РКН (с ЭЦП) или через Госуслуги. Убедитесь, что заполнили все разделы без ошибок и неточностей.
• Обязательно зафиксируйте и храните присвоенный регистрационный номер вместе с кодом доступа к уведомлению. Это понадобится для проверки статуса уведомления в Роскомнадзор.
• Убедитесь, что ваша организация присутствует в реестре операторов ПДн, и сохраните подтверждение отправки уведомления для отчетности.
• Поддерживайте актуальность. При любых изменениях в работе с ПДн обновляйте уведомление в РКН (не позднее 15-го дня следующего месяца после изменения).

Регулярно осуществляйте проверку состояния уведомления в Роскомнадзор, чтобы убедиться, что в реестре отображены все действующие сведения.