Любая компания или ИП, обрабатывающая персональные данные, обязана подать уведомление в Роскомнадзор о начале обработки. Без этого вы не считаетесь зарегистрированным оператором ПДн — а значит, открыты для штрафов. С 2024 года уведомление можно подать через Госуслуги за час, не выходя из дома. Разбираемся, как это сделать пошагово.
Кто обязан подавать уведомление
Все, кто обрабатывает ПДн в автоматизированном виде. На практике это:
- любая организация с сотрудниками (трудовые договоры — это ПДн);
- любая организация с клиентами и договорами (паспортные данные, ИНН);
- любой ИП с сайтом и формой обратной связи;
- интернет-магазины, образовательные центры, медицинские клиники, агентства недвижимости.
Что нужно для подачи
- Подтверждённая учётная запись на Госуслугах руководителя организации (или ИП).
- УКЭП — усиленная квалифицированная электронная подпись.
- Данные об организации: ИНН, КПП, ОГРН, юридический адрес, реквизиты лицензии (если есть), банковские реквизиты.
- Сведения о целях обработки, категориях ПДн, способах обработки, мерах защиты.
Пошаговая инструкция
Шаг 1. Зайти на Госуслуги
Открыть gosuslugi.ru, войти в кабинет руководителя организации (если юр. лицо) или в личный кабинет (если ИП).
Шаг 2. Найти услугу
В строке поиска: «Подача уведомления о начале обработки персональных данных». Услуга от Роскомнадзора.
Шаг 3. Заполнить форму
Форма состоит из 6 разделов:
| № | Раздел | Что указать |
|---|---|---|
| 1 | Сведения об операторе | Данные из ЕГРЮЛ/ЕГРИП (тянутся автоматически) |
| 2 | Цели обработки | Типовые формулировки из выпадающего списка |
| 3 | Категории ПДн | ФИО, паспорт, контакты, СНИЛС, ИНН и т.д. |
| 4 | Категории субъектов | Работники, клиенты, посетители сайта |
| 5 | Способы обработки | Автоматизированные, на бумаге, смешанные |
| 6 | Меры защиты | Шифрование, контроль доступа, журналы |
Шаг 4. Подписать УКЭП
После заполнения нажать «Подписать и отправить». Откроется окно подписи — выбрать сертификат УКЭП, ввести пин-код.
Шаг 5. Получить подтверждение
Шаг 6. Дождаться решения
РКН рассматривает уведомление до 30 дней. По результатам — либо включение в реестр операторов ПДн, либо запрос дополнительных сведений, либо отказ. Включение можно проверить на pd.rkn.gov.ru по ИНН или ОГРН.
Типичные ошибки при заполнении
Указаны не все цели обработки
Часто указывают только «заключение и исполнение договоров». А обработка данных кандидатов на работу, маркетинговые рассылки, видеонаблюдение — отдельные цели.
Не указаны подрядчики
Если вы передаёте ПДн подрядчикам (хостинг, рассылки, CRM-провайдер), это нужно указать в отдельном разделе.
Минимальные меры защиты
Часто пишут «не применяются» или «парольная защита». Это вызывает вопросы.
Не подавать дополнительные уведомления
Если у вас изменились цели обработки, появились новые категории субъектов или меры защиты — нужно подать обновлённое уведомление в течение 10 дней.
Если уведомление вернули на доработку
В личном кабинете Госуслуг приходит письмо с перечнем замечаний. Нужно исправить и подать повторно. Обычно проблемы с категориями ПДн (не хватает каких-то) или с мерами защиты (слишком общие формулировки).
Если уведомление подано — какие обязанности
После регистрации в реестре оператор ПДн обязан:
- иметь актуальную политику обработки ПДн на сайте;
- назначить ответственного за обработку ПДн (приказом);
- вести журналы доступа к ПДн;
- обеспечивать локализацию баз с ПДн на территории РФ;
- уведомлять РКН об инцидентах (утечки, взломы) в течение 24 часов;
- обновлять уведомление при изменениях;
- отвечать на запросы субъектов ПДн в течение 10 дней.
