Для современной компании, будь то разработчик ПО, SaaS-провайдер или активный пользователь облачных платформ, CRM и аналитики, корректная обработка ПДн и уведомление Роскомнадзора – это уже не опция, а гигиенический минимум. Забыли или ошиблись? Готовьтесь к штрафам для юр лиц и ИП до 300 000 ₽ с 30 мая 2025 года. Если хотите доверия клиентов и беспроблемной работы — действуйте по закону.

В этой статье мы предоставим пошаговую инструкцию, которая поможет пройти регистрацию, учитывая специфику современных цифровых инструментов и снизить риски, связанные с неисполнением требований закона. Подробно рассмотрим, как избежать штрафов, что делать при трансграничной передаче, как легализовать аналитику, какие требования предъявляются к политике конфиденциальности и что обязательно должно быть на сайте компании.

Содержание

Кто обязан подавать уведомление об обработке персональных данных в Роскомнадзор
Сроки подачи и размеры штрафов
Что делать, чтобы избежать штрафов
Как подготовиться к подаче уведомления: чек-лист
⏵ 1. Назначить ответственного за обработку персональных данных
⏵ 2. Разработать внутренние документы
⏵ 3. Проанализировать сайт и другие цифровые каналы
⏵ 4. Проверить места хранения данных
⏵ 5. Инвентаризировать сторонние сервисы
Способы подачи уведомления в Роскомнадзор
Как проверить, что ваша компания попала в реестр
Пошаговая инструкция заполнения уведомления
⏵ Шаг 1: Подготовка к заполнению
⏵ Шаг 2: Начало заполнения
⏵ Шаг 3: Заполнение основных сведений
⏵ Шаг 4: Указание целей обработки и категорий данных
⏵ Пример заполнения целей, категорий ПД, субъектов, действий и способов обработки
⏵ Шаг 5: Информация о мерах защиты персональных данных
⏵ Шаг 6: Указание мест хранения баз данных
⏵ Шаг 7: Отправка уведомления
Частые ошибки при подаче уведомления
Что делать после подачи уведомления
Кого спросить, если непонятно

Приложения. Регистрация в Роскомнадзоре: аспекты для технологических компаний
Трансграничная передача данных: что делать с зарубежными партнёрами
Сбор данных через Google Analytics — так можно или нельзя?
Легализация работы с Яндекс.Метрикой
Подготовка политики конфиденциальности: новые требования
Особенности для разработчиков программных решений
Для разработчиков чат-ботов — что важно знать
Какая информация должна быть на сайте

Кто обязан подавать уведомление об обработке персональных данных в Роскомнадзор

Согласно ст. 22 Федерального закона 152 «О персональных данных», уведомление должны подавать все операторы ПДн, включая организации, ИП и самозанятых, если они осуществляют сбор, хранение или обработку данных. Это касается данных сотрудников, клиентов, пользователей сайтов, мобильных приложений, а также подписчиков рассылок. Даже небольшой стартап с одним руководителем обязан сообщить о своем намерении обрабатывать ПДн, если собирает хотя бы контактные сведения. Это также относится к компаниям, которые сдают в аренду программы, облачные хранилища.

Уведомление не требуется, если данные ведутся только на бумаге, обрабатываются в рамках государственных систем или связаны с транспортной безопасностью. Первое исключение практически нереализуемо, поскольку цифровая обработка данных — основа деятельности цифровых компаний.

На основании поданного заявления в РКН организацию вносят в реестр операторов персональных данных (ОПД). В первый раз подается полное уведомление, при изменении источников ПД и способов работы с данными – необходимо обновить информацию в РКН.

Сроки подачи и размеры штрафов

Законодательство требует направить уведомление об обработке персональных данных до начала обработки персональных данных. Если вы уже ведете деятельность и обрабатываете персональные данные, то это нужно сделать как можно скорее. Конкретных сроков для уже действующих операторов закон не устанавливает, но откладывать не стоит, учитывая, что с 30 мая 2025 ужесточается  ответственность. Поэтому чем ждать пока получите штраф, лучше все проверить и убедиться, что ваши решения удовлетворяют требованиям государственного органа.

Штрафы за неподачу уведомления:

• До 30 мая 2025 года: для юридических лиц – от 3 000 до 5 000 рублей (ст. 19.7 КоАП РФ).

• После 30 мая 2025 года (согласно ФЗ от 30.11.2024 №420-ФЗ):

  • Для граждан: от 5 000 до 10 000 рублей.

  • Для должностных лиц: от 30 000 до 50 000 рублей.

  • Для юридических лиц и ИП: от 100 000 до 300 000 рублей. 

Штрафы за непредставление уведомления об утечке увеличатся в соответствии с п.11 ст.13.11 КоАП РФ. Новые штрафы.

• Для физлиц — от 50 000 до 100 000 рублей

• Для должностных лиц — от 400 000 до 800 000 рублей.

• Для ИП и организаций — от 1 000 000 до 3 000 000 рублей

Увеличатся и сами штрафы за утечку персональных данных. 

Размер штрафа пропорционален количеству физ.лиц в базе данных. Не забываем, что кроме административной ответственности, за нарушение конфиденциальности возможна уголовная или гражданско-правовая ответственность.

Подробная таблица с новыми размерами штрафов Роскомнадзора на сайте buh.1C.

Что делать, чтобы избежать штрафов

Первое — подать документы и зарегистрироваться как оператор ПД.

Отслеживать изменения в работе с данными и своевременно уведомлять РКН.

При утечке информации, чтобы избежать штрафа, необходимо уведомить РКН в течение 24 часов с момента утечки ПД. Ссылка на форму для уведомления.

А в течение 72 часов произвести внутреннее расследование и направить в РКН  повторное уведомление с информацией о результатах расследования в соответствии с ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ. В отдельной статье рассказали о порядке действий при утечке данных.

Как подготовиться к подаче уведомления: чек-лист

Перед заполнением необходимо подготовиться к подаче сведений:

1. Назначить ответственного за обработку персональных данных

Оформите приказ о назначении ответственного работника (лица, ответственного за организацию обработки персональных данных). В небольших компаниях это может быть директор, но чаще, учитывая специфику, назначают сисадмина, специалиста по информационной безопасности или даже ведущего разработчика, который хорошо понимает архитектуру данных и инфраструктуру организации.

Для ИП и самозанятых без сотрудников назначать отдельного ответственного не требуется — все обязанности по обработке и защите персональных данных несут они сами. 

Что стоит учесть при выборе кандидата:

• Техническая и юридическая компетенция: Идеальный кандидат должен не только разбираться в законодательстве о персональных данных, но и разбираться в технических аспектах сбора, хранения, обработки и защиты данных в используемых системах, базах данных, облачных сервисах и приложениях, разрабатываемых компанией.

• Понимание бизнес-процессов: Ответственный должен знать, как именно персональные данные используются в продуктах и сервисах, на каких стадиях жизненного цикла ПО или предоставления услуги происходит их обработка.

• Взаимодействие с разработкой и ИБ: Этот сотрудник будет важным звеном между юридическими требованиями и их технической реализацией, тесно взаимодействуя с командами разработки, DevOps и информационной безопасности для внедрения принципов Privacy-by-Design и Privacy-by-Default.

• Обучение и ресурсы: Независимо от исходной специализации (технической или юридической), назначенному работнику необходимо обеспечить доступ к актуальной информации, обучению по вопросам защиты данных и, возможно, к консультациям внешних экспертов при работе со сложными случаями, международной передачей данных или при использовании новых технологий обработки данных (например, ИИ, Big Data).

Данные этого работника (ФИО, контакты) будут указаны в уведомлении для Роскомнадзора, и он станет основным контактным лицом по вопросам, связанным с обработкой персональных данных в вашей организации.

2. Разработать внутренние документы

Для технологических компаний, обрабатывающих персональные данные (ПДн), критически важно иметь корректный набор внутренних организационно-распорядительных документов (ОРД). Набор определяется спецификой деятельностью организации, используемых технологий, видов обрабатываемых ПДн и бизнес-процессов.

Минимально необходимый набор документов:

• Политика в отношении обработки персональных данных (Политика конфиденциальности): Это основной публичный документ, который должен быть доступен, например, на сайте или лендинге. Он информирует субъектов персональных данных (пользователей, клиентов, сотрудников) о том, какие данные, для каких целей и как обрабатываются, а также о мерах их защиты.

• Положение об обработке и защите персональных данных работников: Более детальный внутренний документ, регламентирующий все процессы работы с персональными данными работников в организации, включая порядок сбора, хранения, использования, передачи и защиты данных.

• Приказ о назначении ответственного за организацию обработки персональных данных: Формализует назначение сотрудника, который будет контролирующим органом соблюдения законодательства в части персональных данных.

• Формы согласий на обработку персональных данных: Для различных целей и категорий субъектов могут потребоваться разные формы согласий (например, для пользователей сайта, для соискателей, для сотрудников, для получения рекламных рассылок).

• Согласие на обработку персональных данных, разрешенных субъектом для распространения: Если организация планирует распространять ПДн любому посетителю (например, отзывы с ФИО на сайте), требуется отдельное согласие.

Полный список документов, которые могут потребоваться для работы с персональными данными можно получить по ссылке (без регистраций и указания персданных).

Как решения и создаваемые продукты влияют на набор документов:

• Использование облачных сервисов: Если ИТ-компания использует облачные сервисы для обработки ПДн, потребуется договор поручения на обработку ПДн с провайдером, а если сервис иностранный — это может нарушать обязательство о локализации персональных данных, за что предусмотрен существенный штраф до 6 млн.

• Разработка ПО и сервисов: Если организация сама создает ИТ-продукты, которые будут обрабатывать ПДн клиентов, необходимо предусмотреть в пользовательской документации (лицензионных соглашениях, офертах) разделы, касающиеся обработки ПДн, и разработать внутренние регламенты безопасной разработки (DevSecOps).

• Сбор аналитики и использование метрических систем: Потребуется информировать пользователей и, в некоторых случаях, получать согласие на сбор таких данных, а также отразить это в Политике конфиденциальности и Дисклеймере, размещенном на сайте

• Биометрические ПДн: Если организация работает с биометрией (например, распознавание лиц), потребуется взаимодействие и специальная аккредитация для работы с Единой биометрической системой (ЕБС). .

• Обработка специальных категорий ПДн: (например, данные о здоровье) также требует специальных оснований для обработки и усиленных мер защиты, что должно быть отражено в документах. Если законом не разрешена их обработка, то это нельзя делать даже с согласия субъекта персональных данных. 

Состав документов может быть определен путем анализа бизнес-процессов, используемых технологий и категорий обрабатываемых данных, чтобы сформировать полный и актуальный пакет ОРД, соответствующий требованиям законодательства.

3. Проанализировать сайт и другие цифровые каналы

Проведите аудит всех точек сбора данных:

• Какие формы на сайте собирают персональные данные

• Есть ли согласия перед отправкой форм

• Размещена ли политика конфиденциальности в публичном доступе на тех страницах, на которых осуществляется сбор персональных данных

• Какие аналитические системы используются

• Собираются ли cookie-файлы и как это оформлено

4. Проверить места хранения данных

Самый важный момент: данные российских граждан должны храниться исключительно на серверах, физически расположенных в РФ. Использование иностранных облачных хранилищ или зарубежных ЦОД для персональных данных может повлечь штраф до 6 миллионов рублей.

5. Инвентаризировать сторонние сервисы

Составьте список всех сторонних сервисов, где хранятся или обрабатываются данные:

• Системы учета клиентов (CRM, ERP и др.)

• Почтовые сервисы

• Облачные хранилища

• Хостинг-провайдеры

• Сервисы рассылок

• Системы сбора данных для анализа

Для каждого сервиса соберите информацию: название, владелец, ИНН, ОГРН, адрес серверов. Если провайдер не предоставляет адрес серверов, в уведомлении можно указать его юридический адрес.

Способы подачи уведомления в Роскомнадзор

Существует три основных способов подачи:

В бумажном виде. Заполните электронную форму на сайте Роскомнадзора (https://pd.rkn.gov.ru/), распечатайте её, подпишите и отправьте почтой или лично доставьте в территориальный орган Роскомнадзора по месту регистрации (адрес можно найти на сайте РКН). В бумажном уведомлении важно указать ваш исходящий номер и дату.

В электронном виде с использованием электронной подписи. Заполните форму на сайте Роскомнадзора и подпишите её усиленной квалифицированной электронной подписью. Для этого предварительно должен быть установлен плагин КриптоПро ЭЦП Browser plug-in.

Через портал Госуслуг. Заполните форму на портале Госуслуг. Для этого необходима подтвержденная учетная запись. Если вы подаете уведомление об обработке персональных данных от имени компании, ваша учетная запись должна быть привязана к этой организации на Госуслугах.

Если ваша организация пользуется 1С, то для вас есть еще варианты, как упростить подготовку материалов. Но здесь вам понадобится помощь бухгалтерии.

Отправка через 1С. Так же некоторые платформы, например 1С:Бухгалтерия позволяют помочь в подготовке форм уведомлений. В программе "1С:Бухгалтерия 8" (например, версия 3.0.175.32) предусмотрена возможность сформировать формы уведомлений, утвержденные Приказом Роскомнадзора. Бухгалтер это может сделать в 1С разделе "Уведомления" единого рабочего места "1С-Отчетность". 1С помогает, но не решает вопрос подачи заявления.

Сервис 152DOC для 1С. Фирма "1С" предлагает отдельный сервис 152DOC для 1С, который помогает подготовить не только шаблон уведомления в Роскомнадзор, но и разработать необходимые локальные нормативные акты (политики, положения) на основании которых уведомление и заполняется. Этот сервис так же помогает, но не решает целиком вопрос подачи заявления.

Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных.

Как проверить, что ваша компания попала в реестр

Заходите на сайт РКН – Реестр операторов — Реестр и через поиск находите организацию по ИНН, названию или регистрационному номеру.

Пошаговая инструкция заполнения уведомления

Шаг 1: Подготовка к заполнению

Важно: рекомендуется предварительно собрать всю информацию для заполнения уведомления, но при необходимости уведомление можно сохранить как черновик. Список необходимых данных приведен по тексту далее.

Шаг 2: Начало заполнения

1. Перейдите на сайт Роскомнадзора (https://pd.rkn.gov.ru/)

2. Выберите раздел "Реестр операторов"

3. Нажмите "Электронные формы заявлений"

4. Перейдите по ссылке «Перейти к заполнению формы электронного уведомления».

Откроется форма уведомления, здесь нужно будет выбрать предпочитаемый вариант. Мы с вами рассмотрим подачу заявления через ЕСИА (ГосУслуги)

После перехода к сервису ЕСИА (госуслуги), вы попадает в форму выбора учетной записи. Здесь вам может ждать первый сюрприз. Если вы не добавили вашу организацию к своему профилю, то увидите только одну запись о вас как о частном лице.

В случае, если ваш профиль организации добавлен, в представлении вы увидите себя как частного лица или ИП или компанию.

Если у вас еще не добавлен профиль, вам необходимо пройти по ссылке, нажать кнопку «Создать» личный кабинет. Выбрать вид создаваемой организации (ИП, Организация, Орган государственной власти или Филиал зарубежной организации), и подтвердить с помощью электронной цифровой подписи вашу принадлежность к ней. Вам понадобится указать PIN вашего ключа, если вы его не меняли, то по умолчанию он равен 12345678. 

Теперь смело возвращаемся к пункту заполнения формы на сайте Роскомнадзора через ЕСИА и выбираем нашу организацию.

После выбора все данные об организации автоматически подгружаются на портале.

Шаг 3: Заполнение основных сведений

Как мы писали выше, часть данных по вашей организации была загружена в форму уведомления. 

Здесь так же уточним, что, в конце документа есть возможность сохранения черновика, если вы не до конца заполнили форму. 

После нажатия на «Сохранить черновик» сервис выдаст вам ссылку на адрес, где он сохранен. В этом случае считаем, что сохранение прошло успешно и по указанной ссылке можно перейти, чтобы продолжить заполнение.

Данные об операторе персональных данных:

Регион регистрации. Выберите субъект Российской Федерации, где зарегистрирована организация.

Сведения об операторе. Здесь заполняются реквизиты (или персональные данные — для ИП или самозанятых):

• Полное и краткое наименование организации

• Адрес местонахождения

• Телефон / факс

• Адрес электронной почты (обязательное поле для связи)

• Регионы обработки данных (если у вас онлайн-сервис или сайт — рекомендуется выбрать "все регионы"). Если место регистрации в одном регионе, а услуги предоставляете в другом, указываете регион предоставления услуг.

• ИНН, ОГРН, юридический адрес, информацию о филиалах. 

Важно, что данные нужно указывать точно так, как в документах, не сокращая. Данные должны совпасть с тем, что есть ЕГРЮЛ/ЕГРИП и налоговой базе. 

Не все данные в этом разделе обязательные, но рекомендуем заполнить, если у вас они есть.

Шаг 4: Указание целей обработки и категорий данных

При заполнении уведомления в Роскомнадзор о начале обработки персональных данных (ПДн) одним из этапов является точное определение целей такой обработки и связанных с ними категорий субъектов и данных.

Каждая цель должна быть четко обоснована и соответствовать принципу минимизации данных, то есть объем собираемой информации не должен быть избыточным по отношению к заявленной цели. Неправильное определение целей или отсутствие детального описания может быть расценено как нарушение, что влечет административную ответственность и штрафы. 

Собирать данные, которые не требует цель – запрещено. 

В выпадающей форме будет предложено более 30 вариантов целей. Можно выбрать из предложенных, если они будут соответствовать вашим целям, либо выбрать поле «иное» и добавить значение вручную.

Если в перечисленных целях нет необходимых, выбираем «иная» и указываем цель сами.

Распространенные цели обработки ПДн в ИТ-сфере включают:

• Подготовку, заключение и исполнение договоров с пользователями (например, сбор ФИО, email и платежных реквизитов для оформления подписки).

• Идентификация пользователей, зарегистрированных в мобильном приложении, Интернет сайтах, иных сервисах и программных продуктах (например, сохранение логина и пароля для авторизации в приложении).

• Персонализацию информации (например, использование «куки» и анализ истории просмотров для рекомендаций).

• Аналитику и улучшение качества работы сервисов (например, сбор данных о времени загрузки страниц через Яндекс.Метрику).

• Маркетинговые исследования (например, анализ возрастной группы пользователей для настройки рекламы).

• Продвижение товаров, работ и услуг (например, отправка email-уведомлений о новых функциях).

• Обеспечение безопасности и предотвращение мошенничества (например, запись IP-адресов для выявления подозрительной активности).

• Соблюдение законодательных требований (например, фиксация транзакций для отчетности).

Для каждой цели обработки в уведомлении необходимо подробно указать следующие параметры:

Категории персональных данных

Следует перечислить конкретные типы данных, например: общие (ФИО, контакты), технические (IP-адреса, куки), поведенческие (история посещений), платежные, биометрические или специальные категории данных (если применимо). 

Требуется заполнить все собираемые категории персональных данных, если необходимого поля нет, выделите поле «иные персональные данные», и ниже в специальном поле укажите.

Для сбора данных на сайте мы укажем.

Субъекты персональных данных. 

К ним могут относиться пользователи, клиенты, посетители сайта, сотрудники и соискатели, а также контрагенты. Здесь нужно «галочкой» отметить лиц, чьи данные вы обрабатываете. Это могут быть сотрудники, соискатели, контрагенты, клиенты, посетители сайта и т.д.

Правовое обоснование сбора персональных данных. 

Здесь нужно указать, какие нормативные документы являются правовым основанием обработки персональных данных Правовыми основаниями также являются согласие владельца персональных данных или заключение (исполнение) гражданско-правового или трудового договора с ним. Все основания перечислены в ст. 6 ФЗ-152. 

В этом поле уже предложены варианты, самый популярный вариант для выбора «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных», но можно также добавить в отдельное поле свой вариант.

Перечень действий

В этом блоке описываются операции, которые могут быть выполнены с персональными данными. 

Необходимо отметить все подходящие варианты. 

Способы обработки

Здесь указывается, как обрабатываются данные — автоматизированно через программные решения, неавтоматизированно (вручную) или смешанным способом.

Также необходимо указать происходит передача персональных данных по внутренней сети. Например, в рамках внутренних процессов данные о сотруднике передаются от сотрудника отдела кадров в бухгалтерию, или данные о клиенте передаются из отдела продаж – в отдел сопровождения и информация доступна лишь для строго определенных сотрудников юридического лица.

Третьим пунктом указывается передаются данные по сети Интернет или нет. 

После раздела способы обработки доступна кнопка «Добавить цель обработки», нажав на кнопку можно добавить следующую цель.

 

Ошибки, допускаемые ИТ-компаниями на данном этапе:

• Неполное описание целей обработки ПДн.

• Отсутствие необходимой детализации по категориям собираемых данных или, наоборот,  указание избыточного объема обрабатываемых данных

• Игнорирование данных, собираемых через системы Яндекс.Метрику и другие.

Пример заполнения целей, категорий ПД, субъектов, действий и способов обработки

Важно: описание целей не должно полностью дублировать друг друга (не должно быть 2-х одинаковых целей), иначе Роскомнадзор может отказать во включении данных в реестр операторов персональных данных. Если вы хотите для одной цели указать несколько категорий субъектов персональных данных (например,  контрагенты и представители контрагентов), то лучше отмечать их вместе для одной цели, даже если объем обрабатываемых данных для них будет разным (в таком случае указывайте весь объем), или поменяйте формулировку самой цели.   

Шаг 5: Информация о мерах защиты персональных данных

В уведомлении Роскомнадзора необходимо подробно описать, какие организационные и технические меры компания применяет для защиты персональных данных (ПДн) от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и других неправомерных действий. Этот раздел демонстрирует регулятору серьезность подхода оператора к обеспечению безопасности обрабатываемых данных. 

Как выбрать и указать меры в уведомлении:

• Указывайте конкретные технологии или классы решений (например, "использование антивирусного ПО с регулярным обновлением баз").

• Обязательно упомяните и организационные, и технические меры.

• Указывайте только реально применяемые меры.

Организационные меры защиты:

Это административные и процедурные меры, направленные на создание и поддержание режима защиты ПДн в компании.

1. Назначение ответственного за организацию обработки ПДн:

   • Приказом должен быть назначен сотрудник (или несколько), который отвечает за соблюдение законодательства о ПДн, разработку локальных актов и контроль за их исполнением.

2. Разработка и утверждение локальных нормативных актов:

   • Политика в отношении обработки ПДн: Публичный документ, описывающий основные принципы и правила обработки данных.

   • Положение об обработке и защите ПДн: Внутренний документ, детализирующий процедуры, обязанности сотрудников и меры безопасности.

   • Другие документы: регламенты доступа, инструкции по работе с ПДн, планы действий при инцидентах информационной безопасности.

3. Ознакомление сотрудников с законодательством и локальными актами:

   • Все сотрудники, имеющие доступ к ПДн, должны быть ознакомлены под подпись с требованиями законодательства и внутренними правилами обработки ПДн.

   • Проведение регулярного обучения и инструктажей по вопросам информационной безопасности и защиты ПДн.

4. Учет машинных носителей ПДн:

   • Ведение реестра всех физических носителей информации (флешки, внешние диски, серверы), на которых хранятся ПДн.

5. Определение угроз безопасности ПДн:

   • Проведение оценки актуальных угроз для автоматизированных систем, в которых обрабатываются ПДн (модель угроз). На основе этой модели выбираются адекватные меры защиты.

6. Оценка вреда субъектам ПДн:

   • Документирование возможного вреда, который может быть причинен пользователям в случае нарушения закона о ПДн, и соотношение этого вреда с принимаемыми мерами.

7. Установление правил доступа к ПДн:

   • Разграничение прав доступа: Предоставление сотрудникам доступа только к тем данным, которые необходимы им для выполнения их должностных обязанностей (принцип минимальных привилегий).

   • Учет и регистрация действий пользователей в информационных системах.

8. Обнаружение и реагирование на инциденты:

   • Внедрение процедур для своевременного обнаружения фактов несанкционированного доступа к ПДн.

   • Разработка плана действий по ликвидации последствий инцидентов и уведомлению Роскомнадзора и субъектов ПДн.

9. Внутренний контроль и аудит:

   • Проведение регулярных проверок соответствия обработки ПДн требованиям законодательства и эффективности применяемых мер защиты.

10. Регламентация работы с третьими лицами:

    • Включение в договоры с контрагентами (например, хостингом, разработчиками, маркетинговыми агентствами) положений о соблюдении конфиденциальности и требований по защите ПДн.

Технические меры защиты:

Это конкретные программные и аппаратные средства и методы, используемые для обеспечения безопасности ПДн.

1. Шифрование данных (применение криптографических средств для защиты ПДн как при хранении, так и при передаче по сетям связи).

2. Аутентификация и авторизация пользователей (использование сложных паролей, двухфакторная или многофакторная аутентификация). 

3. Разграничение прав доступа к информационным ресурсам (использование специализированных решений для управления правами доступов, контроль за привилегированными пользователями).

4. Использование антивирусного программного обеспечения (установка и регулярное обновление антивирусных программ).

5. Межсетевые экраны (Firewalls) (применение аппаратных и программных межсетевых экранов для контроля и фильтрации сетевого трафика, предотвращения несанкционированного доступа).

6. Системы обнаружения и предотвращения вторжений (IDS/IPS) (мониторинг сетевой активности и системных логов для выявления подозрительных действий и попыток вторжения).

7. Резервное копирование данных (регулярное создание копий персональных данных для возможности их восстановления в случае сбоев, атак и физического повреждения носителей).

8. Защита среды виртуализации.

9. Безопасная разработка программного обеспечения DevSecOps (внедрение практик безопасной разработки, включая статический и динамический анализ кода, тестирование на проникновение для выявления и устранения уязвимостей в собственных ИТ-продуктах).

10. Физическая безопасность (ограничение физического доступа к серверам и оборудованию, где хранятся данные).

11. Применение сертифицированных средств защиты информации (Использование средств, прошедших в установленном порядке процедуру оценки соответствия (сертификацию ФСТЭК России)).

12. Регулярное обновление программного обеспечения (обновление операционных систем, СУБД, серверов и другого ПО для устранения известных уязвимостей).

Пример заполнения раздела для юридического лица по ссылке.

Ответственный за обработку персональных данных

Назначение ответственного лица – это требование статьи 22.1 Федерального закона №152-ФЗ «О персональных данных». Это лицо играет отвечает за обеспечение соблюдения законодательства о персональных данных внутри компании.

Назначение и оформление

• Кого назначают: Обычно это сотрудник компании (юрист, IT-специалист, HR) или руководитель (в малых компаниях). Ответственным может быть назначено как конкретное физическое лицо, так и сторонняя организация.

• Внутренние документы: Перед подачей уведомления рекомендуется издать приказ о назначении ответственного и утверждается (или дополняется) его должностная инструкция с соответствующими обязанностями.

В уведомлении указываются следующие данные ответственного лица:

• Фамилия, имя, отчество (полностью).

• Номера контактных телефонов.

• Почтовые адреса.

• Адреса электронной почты.

Актуализация: При смене ответственного лица необходимо оперативно уведомить Роскомнадзор, подав уведомление об изменении сведений. Контактные данные должны быть актуальны, а назначенное лицо – обладать необходимыми знаниями.

Заполнение этого раздела подтверждает наличие в компании лица, отвечающего за соблюдение правил работы с персональными данными.

Даты и сроки обработки:

• Дата начала обработки (рекомендуется указать дату регистрации компании).

• Дата или условие окончания. Возможные условия прекращения обработки персональных данных: прекращение деятельности Оператора; истечение срока хранения, предусмотренного законом, договором или письменным согласием субъекта персональных данных на обработку его персональных данных; отзыв субъектом персональных данных (или его представителем) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 Федерального закона «О персональных данных».

Шаг 6: Указание мест хранения баз данных 

При указании мест хранения баз данных в уведомлении для Роскомнадзора ключевым моментом является соблюдение требования Федерального закона о персональных данных №152-ФЗ о локализации баз данных российских граждан на территории РФ. Если хранение персональных данных осуществляется в различных местах, облачных хранилищах или ЦОДах, то нужно указать несколько мест хранения персональных данных.  

Основные сведения для указания:

• Страна нахождения базы данных: Сбор ПДн граждан РФ должен осуществляться с использованием баз данных, находящихся на территории  Российской Федерации.

• Адрес Центра Обработки Данных (ЦОД): Необходимо указать полный физический адрес (город, улица, дом, офис/помещение), где фактически размещены серверы, обрабатывающие ПДн. Это относится как к собственным серверным комнатам, так и к крупным коммерческим ЦОДам. Если данные хранятся на бумажных носителях, указывается адрес их хранения.

При использовании арендованных серверов, хостинга, облачных платформ или сторонних сервисов: Помимо адреса ЦОДа, где размещено оборудование, необходимо предоставить сведения об организации, ответственной за хранение данных:

• Тип организации (обычно «юридическое лицо»).

• Организационно-правовая форма (например, ООО, АО).

• Наименование организации (полное и сокращенное).

• ОГРН и ИНН.

• Страна местонахождения организации (обычно РФ).

• Адрес местонахождения организации (юридический адрес провайдера).

Важные аспекты:

• Различие собственного и арендованного ЦОДа: Если ЦОД арендован, в уведомлении это отмечается и заполняются данные о поставщике услуг.

• Получение информации от поставщика услуг: Точные данные о ЦОДе следует запросить у поставщика услуг. Если точный адрес сервера получить не удается, Роскомнадзор допускает указание юридического адреса, но рекомендуется сохранить подтверждение запроса.

• Несколько мест хранения: Если базы данных размещены в нескольких ЦОДах или у разных провайдеров (например, сайт у одного хостера, CRM у другого), необходимо указать сведения о каждом.

• Онлайн сервисы: При использовании SaaS-решений (CRM, сервисы рассылок) также указываются места хранения данных и ответственные лица, информацию о которых обычно предоставляют сами поставщики SaaS.

• Иностранные облака: Применение иностранных облаков для хранения ПДн граждан РФ ограничено и требует соблюдения специальных условий (например, первичная запись и хранение данных в РФ, а также подача уведомления о трансграничной передаче персональных данных).

• Актуализация сведений: При смене хостинга  или места хранения данных необходимо оперативно вносить изменения в реестр Роскомнадзора.

Если у вашей компании счет в Точка Банк, и вы используете сервисы Документооборот и работа с Самозанятыми, вам нужно сообщить об этом РКН.

Ниже привела пример общения с Точка банк. Вам же по каждому используемому сервису нужно собрать информацию. Сколько сервисов и точек хранения, столько записей о местах хранения будет в вашем уведомлении.

Пример заполнения сведений в уведомлении:

А т.к. у Точка Банка два ЦОДа, и данные могут сохраняться на любом из них, то заполняем информацию о двух базах данных.

Допускаемые ошибки:

• Указание только юридического адреса организации вместо фактического адреса ЦОДа.

• Неполные или ошибочные сведения о провайдере услуг.

• Неуказание всех мест хранения.

• Использование общих формулировок типа «облачное хранилище» без конкретизации.

Внимание! Если на вашем рабочем месте на диске хранятся договора с клиентами - вам необходимо добавить свой домашний адрес как собственный ЦОД.

Указанный ниже раздел применим к к лицам, являющимися операторами государственных и муниципальных информационных систем, поэтому представители бизнеса могут удалить его из своего уведомления.

Здесь указываются организационные или технические меры, реализуемые для исполнения требований, установленных Постановлением Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Чтобы определить такие меры нужно классифицировать информационные системы персональных данных (ИСПДн), определить уровни защищенности (УЗ), которые для них применимы и в зависимости от этого понять, какие меры должны реализовываться в компании. 

Пример заполнения раздела (ссылка: https://pd.rkn.gov.ru/docs/Uvedomlenie_ob_obrabotke.pdf) 

Шаг 7: Отправка уведомления

1. Проверьте правильность заполнения всех полей.

2. Подтвердите согласие с условиями подачи.

3. Нажмите кнопку "Отправить".

4. После отправки сохраните номер и ключ уведомления — они потребуются для последующей подачи корректирующих сведений.

Upd на 31.05.2025 Один из читателей дополнил важным нюансом

При внесении в реестр выдаётся идентификатор и ключ записи. И, если понадобится внести изменения в сведения - необходимо указывать оба этих идентификатора. И, если идентификатор записи легко ищется, то процедуры восстановить ключ на сайте РКН нет. При этом, чтобы подать уточняющие сведения, необходимо полное заполнение той же самой анкеты, что и при первичной подаче сведений(возможно получить ранее переданные сведения и заполнить автоматически, но для этого также нужен идентификатор и ключ).

Соответственно, берегите полученные идентификационные данные.

Частые ошибки при подаче уведомления

1. Использование зарубежных серверов: Хранение персональных данных на серверах вне России (AWS, Azure и др.) без локализации в РФ и надлежащего оформления.

2. Неполный перечень целей обработки: Компании часто забывают указать все реальные цели обработки данных, в том числе связанные с аналитикой и улучшением продуктов.

3. Отсутствие информации о метриках: Не указывается информация о сборе данных через различные инструменты.

4. Неверное определение категорий данных: Многие стартапы некорректно классифицируют собираемые данные

5. Несоответствие уведомления и реальной практики: То, что представлено в уведомлении, не соответствует тому, как компания на самом деле обрабатывает данные (например, пользовательскому пути), а также тому, что отражено в её документах - в первую очередь, политике об обработке персональных данных, размещенной в публичном доступе. Почему это важно? 18.11.2023 г. вступило в силу новое основание для внеплановой проверки Росконадзора. Для этого достаточно 3-х расхождений между политикой обработки персональных данных на сайте, и уведомлением об обработке, которое подается в Роскомнадзор.

6. Неполный комплект документов: Отсутствие или недостаточная проработанность внутренних документов, на основе которых должно составляться уведомление. При этом сами документы не предоставляются при подаче уведомления, но исследуются Роскомнадзором в рамках проверок или могут запрашиваться при рассмотрении жалобы гражданина.

Что делать после подачи уведомления

После подачи первичного уведомления компания обязана:

1. Ожидать включения в реестр: Роскомнадзор рассматривает уведомление в срок до 30 дней

2. Подавать уведомления об изменениях: При изменении сведений, указанных в первоначальном уведомлении, необходимо подать новое уведомление до 15 числа месяца, следующего за месяцем, в котором произошли изменения.

3. Уведомлять о прекращении обработки: В случае завершения деятельности или прекращения обработки персональных данных необходимо уведомить РКН в течение 10 рабочих дней.

4. Сообщать о происшествиях: При утечке данных или несанкционированном доступе — в течение 24 часов, а о результатах расследования — в течение 72 часов

Уведомление Роскомнадзора — обязательная процедура для всех компаний, которые обрабатывают персональные данные. С ростом штрафов до 300 000 рублей с 30 мая 2025 года, этот вопрос становится актуальным. Для компаний важно не только формально выполнить требование о подаче уведомления, но и привести всю обработку персональных данных в соответствие с законодательством.

Особое внимание стоит уделить российской локализации хранения данных, корректному оформлению согласий пользователей и внедрению технических мер защиты информации. Если вы подали уведомление без детального аудита бизнес-процессов, в которых задействованы ПДн, рекомендуем провести его и подать уведомление об изменениях. 

Уведомление Роскомнадзора и комплексный подход к обработке персональных данных — это не только способ избежать штрафов, но и возможность повысить доверие пользователей к вашему сервису, что важно для молодых компаний.

Кого спросить, если непонятно

Обзор бережно собран:

Благодарю за помощь в подготовке материала Дарью Петрову, руководителя практики «Информационные технологии и защита данных»  юридической компании ЦПО групп.

Юридическая компания ЦПО групп, более 25 лет на рынке. Входим в топ-50 юридических компаний, лидеры в номинации ТМТ (Телекоммуникации, Медиа и Технологии) федерального рейтинга Право.ru-300. Юристы входят в рейтинги Российской газеты, являются участниками RPPA (Сообщества профессионалов в области приватности).

Хабр управляющего партнера компании: https://habr.com/ru/users/Konyaeva_Anna/

Если у вас есть вопросы — задавайте в комментариях, Дарья и другие сотрудники компании помогут вам советами.

Регистрация в Роскомнадзоре: аспекты для технологических компаний

Трансграничная передача данных: что делать с зарубежными партнёрами

Технологичные компании часто используют иностранные сервисы или взаимодействуют с зарубежными партнёрами, что является трансграничной передачей персональных данных (ПДн) .

Что важно учесть:

• Уведомление РКН: операторы обязаны уведомить Роскомнадзор о намерении осуществлять трансграничную передачу до начала такой передачи. Это отдельное уведомление, помимо основного уведомления о начале обработки ПДн.

• Условия передачи: Передача ПДн сразу после подачи уведомления возможна только в страны, обеспечивающие адекватную защиту прав субъектов ПДн (список утвержден РКН), либо в иных случаях, предусмотренных законом. Если страна не входит в список, нужно дождаться положительного решения Роскомнадзора относительно возможности передачи ПДн за рубеж.

• Локализация: Важно помнить, что требование о записи, хранении и накоплении при сборе ПДн граждан РФ с использованием баз данных, размещенных на территории России, остается в силе, даже если в дальнейшем осуществляется трансграничная передача. Использование иностранных сервисов, серверы которых находятся за пределами РФ (например, гугл форм), для первичного сбора и хранения данных российских пользователей без соблюдения этого требования может быть рассмотрено Роскомнадзором как нарушение .

Риски: Штрафы за нарушение могут достигать 6 млн рублей, а также возможна блокировка сайта.

Сбор данных через Google Analytics — так можно или нельзя?

Использование этого сервиса, требует включения информации в политику конфиденциальности и согласия на обработку ПДн. Роскомнадзор активно мониторит сайты, проверяя код страниц на наличие счётчиков. Если данные о метриках отсутствуют в документах, это может привести к требованию устранить нарушение или штрафу.

Что нужно учесть:

• Упоминание в документах: Информация о сборе данных через эти инструменты должна быть отражена в Политике обработки персональных данных и в тексте согласия на обработку от пользователя .

• Согласие пользователя: Необходимо получать явное согласие пользователя на использование таких инструментов.

• Использование Гугл аналитики связано с передачей данных на серверы за пределами РФ, что является трансграничной передачей и требует соблюдения соответствующих процедур (уведомление РКН). 

При заполнении необходимо указать, что есть трансграничная передача. Уведомление о трансграничной передаче подается отдельно, например. 

Легализация работы с Яндекс.Метрикой

Для соответствия требованиям при работе Яндекс.Метрики необходимо следовать рекомендациям сервиса: указать в политике конфиденциальности цели сбора данных и получить согласие пользователя через баннер или форму. Это подтверждает, что данные обрабатываются на серверах в РФ, что снижает риски нарушения.

Детали: https://yandex.ru/support/metrica/general/notification.html 

Подготовка политики конфиденциальности: новые требования

Политика в отношении обработки персональных данных (Политика конфиденциальности) – это один из документов, который должен быть у каждого оператора ПДн и опубликован на его сайте. Роскомнадзор проверяет не только наличие политики конфиденциальности на сайте, но и её содержание. Согласно ст. 18.1 ФЗ-152, документ должен включать:

• Для каждой цели должны быть определены:

  • Категории и перечень обрабатываемых данных.

  • Категории субъектов, данные которых обрабатываются.

  • Способы и сроки их обработки и хранения.

  • Порядок уничтожения при достижении целей их обработки.

• Объем данных не должен быть избыточным по отношению к заявленной цели.

• Иные сведения, предусмотренные законом.

Совет: Избегайте избыточного сбора данных, визуализируйте процессы обработки (например, через datamap) и обновите политику, чтобы избежать претензий со стороны регулятора.

Особенности для разработчиков программных решений

Разработчики ПО, SaaS-платформ, мобильных приложений и других решений , которые предполагают обработку данных пользователей, несут ответственность как операторы этих данных. А если предполагается хранение персональных данных в сервисе, то на компанию могут быть возложены обязанности обработчика персональных данных (лица, обрабатывающего персональные данные по поручению оператора). 

Что важно учесть:

• "Privacy by Design": Принцип проектирования систем с учетом требований защиты персональных данных на самых ранних этапах разработки.

• Локализация баз данных: Если ПО предназначено для российского рынка и обрабатывает данные граждан РФ, необходимо обеспечить хранение этих данных на серверах в России.

• Согласие пользователей: В интерфейсе ПО должны быть механизмы получения явного согласия пользователей на обработку их ПДн.

• Меры защиты: Внедрение адекватных технических мер защиты (шифрование, аутентификация, разграничение доступа) в само ПО.

• Документация для клиентов: Если ПО предоставляется другим компаниям, которые будут его использовать для обработки данных необходимо предоставить им документацию.

Для разработчиков чат-ботов в Телеграм — что важно знать

Телеграм  — иностранный мессенджер, что подразумевает трансграничную передачу данных. Запрет на использование иностранных мессенджеров для обработки персональных данных (ПД) касается лишь определенных лиц (банки, государственные органы и т.п.) и не затрагивает коммерческие организации. РКН подчеркивает, что использование иностранных сервисов требует уведомления о трансграничной передаче ПД. Рекомендуем минимизировать сбор ПД при использовании мессенджеров, если это возможно.

Какая информация должна быть на сайте

Обязательные документы и информация на сайте:

• Пользовательское соглашение: Определяет правила использования сайта, условия регистрации, права и обязанности сторон, может запрещать копирование материалов сайта и оговаривать ответственность компании (например, при технических сбоях).

• Политика конфиденциальности (или Политика обработки персональных данных): Документ, разъясняющий, какие данные пользователей собираются, как они используются и какие меры защиты применяются. Его содержание должно соответствовать ФЗ «О персональных данных».

• Согласие на обработку персональных данных: Отдельный от Политики документ, которым пользователь подтверждает свою готовность передать информацию о себе и осведомленность о том, как сайт будет с ней работать.

• Согласие на обработку данных метрическими программами: Необходимо, если используются системы веб-аналитики (например, «Яндекс Метрика»). Рекомендуется оформлять как отдельный документ.

• Уведомление об использовании: Должно предупреждать пользователя о сборе сведений до начала применения и получать его согласие на обработку данных куки. Должно содержать ссылки на Политику обработки ПД и Пользовательское соглашение. Важно, данные запрещено собирать до того момента, пока пользователь не подтвердил согласие. Как это делать рассказали на примере настройки Яндекс.Метрики.

• Документ об использовании рекомендательных технологий (политика об обработке куки): Требуется, если сайт анализирует поведение пользователей для последующих предложений, но можно включить в политику конфиденциальности.

• Согласие на получение рекламной рассылки: Необходимо, если собранные данные используются для рекламных уведомлений (SMS, email, push и т.д.). Согласие должно быть активным (например, через подтверждение по email, чек-бокс, но без предустановленной галочки).

• Реквизиты компании (для сайтов с интернет-магазином): Наименование, адрес и место нахождения, email и/или телефон, ОГРН, ИНН. Рекомендуется размещать на отдельной странице или в подвале сайта.

• Публичная оферта (для продающих сайтов): Обязательна, если сайт продает товары или услуги.

Все эти документы должны быть легко доступны для ознакомления посетителей и контролирующих органов.

При сборе данных на форме необходимо получить подтверждение на обработку ПД и отдельно согласие на получение рекламы. Отдельный чек-бокс на ознакомление с политикой конфиденциальности закон не требует, достаточно чтобы ссылка на политику была размещена и доступна на каждой странице сбора персональных данных. 

В случае, если планируется рассылка рекламы, необходимо добавить для этого отдельный чек-бокс (Подтверждаю согласие на получение рекламы, с отсылкой на соответствующий документ регулирующий что и как будет собираться).

По ссылке список источников данных, используемый при подготовке статьи. 

Все данные в статье валидированы экспертами юридической компании ЦПО ГРУПП. В ТГ канале IT Правила игры юристы компании делятся важными правовыми аспектами ведения IT-бизнеса, отвечают на острые вопросы и делятся экспертным мнением.