Для современной компании, будь то разработчик ПО, SaaS-провайдер или активный пользователь облачных платформ, CRM и аналитики, корректная обработка ПДн и уведомление Роскомнадзора – это уже не опция, а гигиенический минимум. Забыли или ошиблись? Готовьтесь к штрафам для юр лиц и ИП до 300 000 ₽ с 30 мая 2025 года. Если хотите доверия клиентов и беспроблемной работы — действуйте по закону.

В этой статье мы предоставим пошаговую инструкцию, которая поможет пройти регистрацию, учитывая специфику современных цифровых инструментов и снизить риски, связанные с неисполнением требований закона. Подробно рассмотрим, как избежать штрафов, что делать при трансграничной передаче, как легализовать аналитику, какие требования предъявляются к политике конфиденциальности и что обязательно должно быть на сайте компании.

Содержание

Кто обязан подавать уведомление об обработке персональных данных в Роскомнадзор
Сроки подачи и размеры штрафов
Что делать, чтобы избежать штрафов
Как подготовиться к подаче уведомления: чек-лист
⏵ 1. Назначить ответственного за обработку персональных данных
⏵ 2. Разработать внутренние документы
⏵ 3. Проанализировать сайт и другие цифровые каналы
⏵ 4. Проверить места хранения данных
⏵ 5. Инвентаризировать сторонние сервисы
Способы подачи уведомления в Роскомнадзор
Как проверить, что ваша компания попала в реестр
Пошаговая инструкция заполнения уведомления
⏵ Шаг 1: Подготовка к заполнению
⏵ Шаг 2: Начало заполнения
⏵ Шаг 3: Заполнение основных сведений
⏵ Шаг 4: Указание целей обработки и категорий данных
Пример заполнения целей, категорий ПД, субъектов, действий и способов обработки
⏵ Шаг 5: Информация о мерах защиты персональных данных
⏵ Шаг 6: Указание мест хранения баз данных
⏵ Шаг 7: Отправка уведомления
Частые ошибки при подаче уведомления
Что делать после подачи уведомления
Кого спросить, если непонятно

Приложения. Регистрация в Роскомнадзоре: аспекты для технологических компаний
Трансграничная передача данных: что делать с зарубежными партнёрами
Сбор данных через Google Analytics — так можно или нельзя?
Легализация работы с Яндекс.Метрикой
Подготовка политики конфиденциальности: новые требования
Особенности для разработчиков программных решений
Для разработчиков чат-ботов — что важно знать
Какая информация должна быть на сайте

Кто обязан подавать уведомление об обработке персональных данных в Роскомнадзор

Согласно ст. 22 Федерального закона 152 «О персональных данных», уведомление должны подавать все операторы ПДн, включая организации, ИП и самозанятых, если они осуществляют сбор, хранение или обработку данных. Это касается данных сотрудников, клиентов, пользователей сайтов, мобильных приложений, а также подписчиков рассылок. Даже небольшой стартап с одним руководителем обязан сообщить о своем намерении обрабатывать ПДн, если собирает хотя бы контактные сведения. Это также относится к компаниям, которые сдают в аренду программы, облачные хранилища.

Уведомление не требуется, если данные ведутся только на бумаге, обрабатываются в рамках государственных систем или связаны с транспортной безопасностью. Первое исключение практически нереализуемо, поскольку цифровая обработка данных — основа деятельности цифровых компаний.

На основании поданного заявления в РКН организацию вносят в реестр операторов персональных данных (ОПД). В первый раз подается полное уведомление, при изменении источников ПД и способов работы с данными – необходимо обновить информацию в РКН.

Сроки подачи и размеры штрафов

Законодательство требует направить уведомление об обработке персональных данных до начала обработки персональных данных. Если вы уже ведете деятельность и обрабатываете персональные данные, то это нужно сделать как можно скорее. Конкретных сроков для уже действующих операторов закон не устанавливает, но откладывать не стоит, учитывая, что с 30 мая 2025 ужесточается  ответственность. Поэтому чем ждать пока получите штраф, лучше все проверить и убедиться, что ваши решения удовлетворяют требованиям государственного органа.

Штрафы за неподачу уведомления:

  • До 30 мая 2025 года: для юридических лиц – от 3 000 до 5 000 рублей (ст. 19.7 КоАП РФ).

  • После 30 мая 2025 года (согласно ФЗ от 30.11.2024 №420-ФЗ):

    • Для граждан: от 5 000 до 10 000 рублей.

    • Для должностных лиц: от 30 000 до 50 000 рублей.

    • Для юридических лиц и ИП: от 100 000 до 300 000 рублей. 

Штрафы за непредставление уведомления об утечке увеличатся в соответствии с п.11 ст.13.11 КоАП РФ. Новые штрафы.

  • Для физлиц — от 50 000 до 100 000 рублей

  • Для должностных лиц — от 400 000 до 800 000 рублей.

  • Для ИП и организаций — от 1 000 000 до 3 000 000 рублей

Увеличатся и сами штрафы за утечку персональных данных. 

Размер штрафа пропорционален количеству физ.лиц в базе данных. Не забываем, что кроме административной ответственности, за нарушение конфиденциальности возможна уголовная или гражданско-правовая ответственность.

Подробная таблица с новыми размерами штрафов Роскомнадзора на сайте buh.1C.

Что делать, чтобы избежать штрафов

Первое — подать документы и зарегистрироваться как оператор ПД.

Отслеживать изменения в работе с данными и своевременно уведомлять РКН.

При утечке информации, чтобы избежать штрафа, необходимо уведомить РКН в течение 24 часов с момента утечки ПД. Ссылка на форму для уведомления.

А в течение 72 часов произвести внутреннее расследование и направить в РКН  повторное уведомление с информацией о результатах расследования в соответствии с ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ. В отдельной статье рассказали о порядке действий при утечке данных.

Как подготовиться к подаче уведомления: чек-лист

Перед заполнением необходимо подготовиться к подаче сведений:

1. Назначить ответственного за обработку персональных данных

Оформите приказ о назначении ответственного работника (лица, ответственного за организацию обработки персональных данных). В небольших компаниях это может быть директор, но чаще, учитывая специфику, назначают сисадмина, специалиста по информационной безопасности или даже ведущего разработчика, который хорошо понимает архитектуру данных и инфраструктуру организации.

Для ИП и самозанятых без сотрудников назначать отдельного ответственного не требуется — все обязанности по обработке и защите персональных данных несут они сами. 

Что стоит учесть при выборе кандидата:

  • Техническая и юридическая компетенция: Идеальный кандидат должен не только разбираться в законодательстве о персональных данных, но и разбираться в технических аспектах сбора, хранения, обработки и защиты данных в используемых системах, базах данных, облачных сервисах и приложениях, разрабатываемых компанией.

  • Понимание бизнес-процессов: Ответственный должен знать, как именно персональные данные используются в продуктах и сервисах, на каких стадиях жизненного цикла ПО или предоставления услуги происходит их обработка.

  • Взаимодействие с разработкой и ИБ: Этот сотрудник будет важным звеном между юридическими требованиями и их технической реализацией, тесно взаимодействуя с командами разработки, DevOps и информационной безопасности для внедрения принципов Privacy-by-Design и Privacy-by-Default.

  • Обучение и ресурсы: Независимо от исходной специализации (технической или юридической), назначенному работнику необходимо обеспечить доступ к актуальной информации, обучению по вопросам защиты данных и, возможно, к консультациям внешних экспертов при работе со сложными случаями, международной передачей данных или при использовании новых технологий обработки данных (например, ИИ, Big Data).

Данные этого работника (ФИО, контакты) будут указаны в уведомлении для Роскомнадзора, и он станет основным контактным лицом по вопросам, связанным с обработкой персональных данных в вашей организации.

2. Разработать внутренние документы

Для технологических компаний, обрабатывающих персональные данные (ПДн), критически важно иметь корректный набор внутренних организационно-распорядительных документов (ОРД). Набор определяется спецификой деятельностью организации, используемых технологий, видов обрабатываемых ПДн и бизнес-процессов.

Минимально необходимый набор документов:

  • Политика в отношении обработки персональных данных (Политика конфиденциальности): Это основной публичный документ, который должен быть доступен, например, на сайте или лендинге. Он информирует субъектов персональных данных (пользователей, клиентов, сотрудников) о том, какие данные, для каких целей и как обрабатываются, а также о мерах их защиты.

  • Положение об обработке и защите персональных данных работников: Более детальный внутренний документ, регламентирующий все процессы работы с персональными данными работников в организации, включая порядок сбора, хранения, использования, передачи и защиты данных.

  • Приказ о назначении ответственного за организацию обработки персональных данных: Формализует назначение сотрудника, который будет контролирующим органом соблюдения законодательства в части персональных данных.

  • Формы согласий на обработку персональных данных: Для различных целей и категорий субъектов могут потребоваться разные формы согласий (например, для пользователей сайта, для соискателей, для сотрудников, для получения рекламных рассылок).

  • Согласие на обработку персональных данных, разрешенных субъектом для распространения: Если организация планирует распространять ПДн любому посетителю (например, отзывы с ФИО на сайте), требуется отдельное согласие.

Полный список документов, которые могут потребоваться для работы с персональными данными можно получить по ссылке (без регистраций и указания персданных).

Как решения и создаваемые продукты влияют на набор документов:

  • Использование облачных сервисов: Если ИТ-компания использует облачные сервисы для обработки ПДн, потребуется договор поручения на обработку ПДн с провайдером, а если сервис иностранный — это может нарушать обязательство о локализации персональных данных, за что предусмотрен существенный штраф до 6 млн.

  • Разработка ПО и сервисов: Если организация сама создает ИТ-продукты, которые будут обрабатывать ПДн клиентов, необходимо предусмотреть в пользовательской документации (лицензионных соглашениях, офертах) разделы, касающиеся обработки ПДн, и разработать внутренние регламенты безопасной разработки (DevSecOps).

  • Сбор аналитики и использование метрических систем: Потребуется информировать пользователей и, в некоторых случаях, получать согласие на сбор таких данных, а также отразить это в Политике конфиденциальности и Дисклеймере, размещенном на сайте

  • Биометрические ПДн: Если организация работает с биометрией (например, распознавание лиц), потребуется взаимодействие и специальная аккредитация для работы с Единой биометрической системой (ЕБС). .

  • Обработка специальных категорий ПДн: (например, данные о здоровье) также требует специальных оснований для обработки и усиленных мер защиты, что должно быть отражено в документах. Если законом не разрешена их обработка, то это нельзя делать даже с согласия субъекта персональных данных. 

Состав документов может быть определен путем анализа бизнес-процессов, используемых технологий и категорий обрабатываемых данных, чтобы сформировать полный и актуальный пакет ОРД, соответствующий требованиям законодательства.

3. Проанализировать сайт и другие цифровые каналы

Проведите аудит всех точек сбора данных:

  • Какие формы на сайте собирают персональные данные

  • Есть ли согласия перед отправкой форм

  • Размещена ли политика конфиденциальности в публичном доступе на тех страницах, на которых осуществляется сбор персональных данных

  • Какие аналитические системы используются

  • Собираются ли cookie-файлы и как это оформлено

4. Проверить места хранения данных

Самый важный момент: данные российских граждан должны храниться исключительно на серверах, физически расположенных в РФ. Использование иностранных облачных хранилищ или зарубежных ЦОД для персональных данных может повлечь штраф до 6 миллионов рублей.

5. Инвентаризировать сторонние сервисы

Составьте список всех сторонних сервисов, где хранятся или обрабатываются данные:

  • Системы учета клиентов (CRM, ERP и др.)

  • Почтовые сервисы

  • Облачные хранилища

  • Хостинг-провайдеры

  • Сервисы рассылок

  • Системы сбора данных для анализа

Для каждого сервиса соберите информацию: название, владелец, ИНН, ОГРН, адрес серверов. Если провайдер не предоставляет адрес серверов, в уведомлении можно указать его юридический адрес.

Способы подачи уведомления в Роскомнадзор

Существует три основных способов подачи:

В бумажном виде. Заполните электронную форму на сайте Роскомнадзора (https://pd.rkn.gov.ru/), распечатайте её, подпишите и отправьте почтой или лично доставьте в территориальный орган Роскомнадзора по месту регистрации (адрес можно найти на сайте РКН). В бумажном уведомлении важно указать ваш исходящий номер и дату.

В электронном виде с использованием электронной подписи. Заполните форму на сайте Роскомнадзора и подпишите её усиленной квалифицированной электронной подписью. Для этого предварительно должен быть установлен плагин КриптоПро ЭЦП Browser plug-in.

Через портал Госуслуг. Заполните форму на портале Госуслуг. Для этого необходима подтвержденная учетная запись. Если вы подаете уведомление об обработке персональных данных от имени компании, ваша учетная запись должна быть привязана к этой организации на Госуслугах.

Если ваша организация пользуется 1С, то для вас есть еще варианты, как упростить подготовку материалов. Но здесь вам понадобится помощь бухгалтерии.

Отправка через 1С. Так же некоторые платформы, например 1С:Бухгалтерия позволяют помочь в подготовке форм уведомлений. В программе "1С:Бухгалтерия 8" (например, версия 3.0.175.32) предусмотрена возможность сформировать формы уведомлений, утвержденные Приказом Роскомнадзора. Бухгалтер это может сделать в 1С разделе "Уведомления" единого рабочего места "1С-Отчетность". 1С помогает, но не решает вопрос подачи заявления.

Сервис 152DOC для 1С. Фирма "1С" предлагает отдельный сервис 152DOC для 1С, который помогает подготовить не только шаблон уведомления в Роскомнадзор, но и разработать необходимые локальные нормативные акты (политики, положения) на основании которых уведомление и заполняется. Этот сервис так же помогает, но не решает целиком вопрос подачи заявления.

Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных.

Как проверить, что ваша компания попала в реестр

Заходите на сайт РКН – Реестр операторов — Реестр и через поиск находите организацию по ИНН, названию или регистрационному номеру.

Сайт РКН - раздел реестр операторов
Сайт РКН - раздел реестр операторов

Пошаговая инструкция заполнения уведомления

Шаг 1: Подготовка к заполнению

Важно: рекомендуется предварительно собрать всю информацию для заполнения уведомления, но при необходимости уведомление можно сохранить как черновик. Список необходимых данных приведен по тексту далее.

Шаг 2: Начало заполнения

  1. Перейдите на сайт Роскомнадзора (https://pd.rkn.gov.ru/)

  2. Выберите раздел "Реестр операторов"

  3. Нажмите "Электронные формы заявлений"

  4. Перейдите по ссылке «Перейти к заполнению формы электронного уведомления».

Сайт Роскомнадзора - раздел для подачи уведомления
Сайт Роскомнадзора - раздел для подачи уведомления

Откроется форма уведомления, здесь нужно будет выбрать предпочитаемый вариант. Мы с вами рассмотрим подачу заявления через ЕСИА (ГосУслуги)

РКН - форма уведомления
РКН - форма уведомления

После перехода к сервису ЕСИА (госуслуги), вы попадает в форму выбора учетной записи. Здесь вам может ждать первый сюрприз. Если вы не добавили вашу организацию к своему профилю, то увидите только одну запись о вас как о частном лице.

Госуслуги - пример представления учетных записей
Госуслуги - пример представления учетных записей

В случае, если ваш профиль организации добавлен, в представлении вы увидите себя как частного лица или ИП или компанию.

раздел учетные записи на портале госуслуги
раздел учетные записи на портале госуслуги

Если у вас еще не добавлен профиль, вам необходимо пройти по ссылке, нажать кнопку «Создать» личный кабинет. Выбрать вид создаваемой организации (ИП, Организация, Орган государственной власти или Филиал зарубежной организации), и подтвердить с помощью электронной цифровой подписи вашу принадлежность к ней. Вам понадобится указать PIN вашего ключа, если вы его не меняли, то по умолчанию он равен 12345678. 

Теперь смело возвращаемся к пункту заполнения формы на сайте Роскомнадзора через ЕСИА и выбираем нашу организацию.

форма выбора роли для подачи заявления
форма выбора роли для подачи заявления

После выбора все данные об организации автоматически подгружаются на портале.

Шаг 3: Заполнение основных сведений

Как мы писали выше, часть данных по вашей организации была загружена в форму уведомления. 

Здесь так же уточним, что, в конце документа есть возможность сохранения черновика, если вы не до конца заполнили форму. 

Согласие о передаче ПД на сайте подачи уведомления
Согласие о передаче ПД на сайте подачи уведомления

После нажатия на «Сохранить черновик» сервис выдаст вам ссылку на адрес, где он сохранен. В этом случае считаем, что сохранение прошло успешно и по указанной ссылке можно перейти, чтобы продолжить заполнение.

Данные об операторе персональных данных:

Регион регистрации. Выберите субъект Российской Федерации, где зарегистрирована организация.

Сведения об операторе. Здесь заполняются реквизиты (или персональные данные — для ИП или самозанятых):

  • Полное и краткое наименование организации

  • Адрес местонахождения

  • Телефон / факс

  • Адрес электронной почты (обязательное поле для связи)

  • Регионы обработки данных (если у вас онлайн-сервис или сайт — рекомендуется выбрать "все регионы"). Если место регистрации в одном регионе, а услуги предоставляете в другом, указываете регион предоставления услуг.

  • ИНН, ОГРН, юридический адрес, информацию о филиалах. 

Важно, что данные нужно указывать точно так, как в документах, не сокращая. Данные должны совпасть с тем, что есть ЕГРЮЛ/ЕГРИП и налоговой базе. 

Не все данные в этом разделе обязательные, но рекомендуем заполнить, если у вас они есть.

Раздел с заполнением персональных данных по оператору
Раздел с заполнением персональных данных по оператору

Шаг 4: Указание целей обработки и категорий данных

При заполнении уведомления в Роскомнадзор о начале обработки персональных данных (ПДн) одним из этапов является точное определение целей такой обработки и связанных с ними категорий субъектов и данных.

Каждая цель должна быть четко обоснована и соответствовать принципу минимизации данных, то есть объем собираемой информации не должен быть избыточным по отношению к заявленной цели. Неправильное определение целей или отсутствие детального описания может быть расценено как нарушение, что влечет административную ответственность и штрафы. 

Собирать данные, которые не требует цель – запрещено. 

В выпадающей форме будет предложено более 30 вариантов целей. Можно выбрать из предложенных, если они будут соответствовать вашим целям, либо выбрать поле «иное» и добавить значение вручную.

Примеры целей
Примеры целей

Если в перечисленных целях нет необходимых, выбираем «иная» и указываем цель сами.

Пример заполнения содержания цели «иная»
Пример заполнения содержания цели «иная»

Распространенные цели обработки ПДн в ИТ-сфере включают:

  • Подготовку, заключение и исполнение договоров с пользователями (например, сбор ФИО, email и платежных реквизитов для оформления подписки).

  • Идентификация пользователей, зарегистрированных в мобильном приложении, Интернет сайтах, иных сервисах и программных продуктах (например, сохранение логина и пароля для авторизации в приложении).

  • Персонализацию информации (например, использование «куки» и анализ истории просмотров для рекомендаций).

  • Аналитику и улучшение качества работы сервисов (например, сбор данных о времени загрузки страниц через Яндекс.Метрику).

  • Маркетинговые исследования (например, анализ возрастной группы пользователей для настройки рекламы).

  • Продвижение товаров, работ и услуг (например, отправка email-уведомлений о новых функциях).

  • Обеспечение безопасности и предотвращение мошенничества (например, запись IP-адресов для выявления подозрительной активности).

  • Соблюдение законодательных требований (например, фиксация транзакций для отчетности).

Для каждой цели обработки в уведомлении необходимо подробно указать следующие параметры:

Категории персональных данных

Следует перечислить конкретные типы данных, например: общие (ФИО, контакты), технические (IP-адреса, куки), поведенческие (история посещений), платежные, биометрические или специальные категории данных (если применимо). 

Пример заполнения раздела Категории персональных данных - иные
Пример заполнения раздела Категории персональных данных - иные

Требуется заполнить все собираемые категории персональных данных, если необходимого поля нет, выделите поле «иные персональные данные», и ниже в специальном поле укажите.

Пример представления раздела категории Биометрические персональные данные
Пример представления раздела категории Биометрические персональные данные
Пример представления раздела Специальные категории персональных данных
Пример представления раздела Специальные категории персональных данных

Для сбора данных на сайте мы укажем.

Поле для заполнения «иных» ПД
Поле для заполнения «иных» ПД

Субъекты персональных данных. 

К ним могут относиться пользователи, клиенты, посетители сайта, сотрудники и соискатели, а также контрагенты. Здесь нужно «галочкой» отметить лиц, чьи данные вы обрабатываете. Это могут быть сотрудники, соискатели, контрагенты, клиенты, посетители сайта и т.д.

Категории субъектов ПД которых обрабатываются
Категории субъектов ПД которых обрабатываются

Правовое обоснование сбора персональных данных. 

Здесь нужно указать, какие нормативные документы являются правовым основанием обработки персональных данных Правовыми основаниями также являются согласие владельца персональных данных или заключение (исполнение) гражданско-правового или трудового договора с ним. Все основания перечислены в ст. 6 ФЗ-152. 

В этом поле уже предложены варианты, самый популярный вариант для выбора «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных», но можно также добавить в отдельное поле свой вариант.

Правовое основание обработки персональных данных
Правовое основание обработки персональных данных

Перечень действий

В этом блоке описываются операции, которые могут быть выполнены с персональными данными. 

Перечень действий с ПД
Перечень действий с ПД

Необходимо отметить все подходящие варианты. 

Способы обработки

Здесь указывается, как обрабатываются данные — автоматизированно через программные решения, неавтоматизированно (вручную) или смешанным способом.

Также необходимо указать происходит передача персональных данных по внутренней сети. Например, в рамках внутренних процессов данные о сотруднике передаются от сотрудника отдела кадров в бухгалтерию, или данные о клиенте передаются из отдела продаж – в отдел сопровождения и информация доступна лишь для строго определенных сотрудников юридического лица.

Третьим пунктом указывается передаются данные по сети Интернет или нет. 

Способы обработки ПД
Способы обработки ПД

После раздела способы обработки доступна кнопка «Добавить цель обработки», нажав на кнопку можно добавить следующую цель.

Кнопка добавления цели обработки
Кнопка добавления цели обработки

 

Ошибки, допускаемые ИТ-компаниями на данном этапе:

  • Неполное описание целей обработки ПДн.

  • Отсутствие необходимой детализации по категориям собираемых данных или, наоборот,  указание избыточного объема обрабатываемых данных

  • Игнорирование данных, собираемых через системы Яндекс.Метрику и другие.

Пример заполнения целей, категорий ПД, субъектов, действий и способов обработки

Сервис

Заполнение полей

Web-сайт, со сбором данных (cookies)

Цель обработки: ✔️иная

Использование сайтов Оператора, их поддоменов, в том числе обеспечение бесперебойной работы сайта

Категории ПД: ✔️иные ПД (файлы cookies)

Категории субъектов: ✔️посетители сайта 

Перечень действий: ✔️сбор, ✔️запись, ✔️систематизация, ✔️накопление, ✔️хранение, ✔️уточнение, ✔️извлечение, ✔️использование, ✔️передача, ✔️блокирование, ✔️удаление, ✔️уничтожение

Способы обработки: ✔️смешанная, ✔️без передачи по внутренней сети юрлица, ✔️с передачей по сети Интернет

Лендинг с формой для сбора имени, электронного адреса или телефона

Цель обработки: ✔️иная

Установление обратной связи с пользователями сайтов Операторов, их поддоменов, включая направление уведомлений, запросов, касающихся использования сайтов, обработки запросов и заявок от пользователей сайтов, в том числе посредством форм обратной связи (контактных форм), обработки данных при регистрации (авторизации) пользователей, и иных сообщений

Категории ПД: ✔️Фамилия, Имя, ✔️номер телефона, ✔️адрес электронной почты

Категории субъектов: ✔️посетители сайта 

Перечень действий: ✔️сбор, ✔️запись, ✔️систематизация, ✔️накопление, ✔️хранение, ✔️уточнение, ✔️извлечение, ✔️использование, ✔️передача , ✔️блокирование, ✔️удаление, ✔️уничтожение

Способы обработки: ✔️смешанная, ✔️без передачи по внутренней сети юр.лица, ✔️с передачей по сети Интернет

Яндекс.Метрика на сайте

Цель обработки: ✔️иная

Улучшение пользовательского опыта, ведение статистики посещений сайтов Оператора

Категории ПД: ✔️сведения, собираемые посредством метрических программ  ✔️ иные ПД (файлы cookies)

Категории субъектов: ✔️посетители сайта 

Перечень действий: ✔️сбор, ✔️запись, ✔️систематизация, ✔️накопление, ✔️хранение, ✔️уточнение, ✔️извлечение, ✔️использование, ✔️передача, ✔️блокирование, ✔️удаление, ✔️уничтожение (здесь оставила те же что для cookies сайта)

Способы обработки: ✔️смешанная, ✔️без передачи по внутренней сети юр.лица, ✔️с передачей по сети Интернет

Google.Analytics на сайте

В отношении гугл аналитики будет все то же самое, что и для метрики, но указывается, что есть трансграничная передача. Уведомление о трансграничной передаче подается отдельно, пример: https://pd.rkn.gov.ru/docs/primer_zapolnenija_uvedomlenija_TPdn.pdf

Ведение в CRM данных о клиентах с указанием информации ФИО, контактный телефон, емэйл

Цель обработки: ✔️ Подготовка, заключение и исполнение гражданско-правового договора

Категории ПД: ✔️ фамилия, имя, отчество; ✔️адрес электронной почты; ✔️ номер телефона;

Категории субъектов: ✔️Контрагенты; ✔️Представители контрагентов; ✔️ Клиенты;

Перечень действий: ✔️сбор, ✔️запись, ✔️систематизация, ✔️накопление, ✔️хранение, ✔️уточнение, ✔️извлечение, ✔️использование, ✔️передача, ✔️блокирование, ✔️удаление, ✔️уничтожение 

Способы обработки: ✔️смешанная, ✔️без передачи по внутренней сети юр.лица, ✔️с передачей по сети Интернет

Важно: описание целей не должно полностью дублировать друг друга (не должно быть 2-х одинаковых целей), иначе Роскомнадзор может отказать во включении данных в реестр операторов персональных данных. Если вы хотите для одной цели указать несколько категорий субъектов персональных данных (например,  контрагенты и представители контрагентов), то лучше отмечать их вместе для одной цели, даже если объем обрабатываемых данных для них будет разным (в таком случае указывайте весь объем), или поменяйте формулировку самой цели.   

Шаг 5: Информация о мерах защиты персональных данных

В уведомлении Роскомнадзора необходимо подробно описать, какие организационные и технические меры компания применяет для защиты персональных данных (ПДн) от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и других неправомерных действий. Этот раздел демонстрирует регулятору серьезность подхода оператора к обеспечению безопасности обрабатываемых данных. 

Как выбрать и указать меры в уведомлении:

  • Указывайте конкретные технологии или классы решений (например, "использование антивирусного ПО с регулярным обновлением баз").

  • Обязательно упомяните и организационные, и технические меры.

  • Указывайте только реально применяемые меры.

Описание мер, предусмотренных статьями закона «О персональных данных»
Описание мер, предусмотренных статьями закона «О персональных данных»

Организационные меры защиты:

Это административные и процедурные меры, направленные на создание и поддержание режима защиты ПДн в компании.

  1. Назначение ответственного за организацию обработки ПДн:

    • Приказом должен быть назначен сотрудник (или несколько), который отвечает за соблюдение законодательства о ПДн, разработку локальных актов и контроль за их исполнением.

  2. Разработка и утверждение локальных нормативных актов:

    • Политика в отношении обработки ПДн: Публичный документ, описывающий основные принципы и правила обработки данных.

    • Положение об обработке и защите ПДн: Внутренний документ, детализирующий процедуры, обязанности сотрудников и меры безопасности.

    • Другие документы: регламенты доступа, инструкции по работе с ПДн, планы действий при инцидентах информационной безопасности.

  3. Ознакомление сотрудников с законодательством и локальными актами:

    • Все сотрудники, имеющие доступ к ПДн, должны быть ознакомлены под подпись с требованиями законодательства и внутренними правилами обработки ПДн.

    • Проведение регулярного обучения и инструктажей по вопросам информационной безопасности и защиты ПДн.

  4. Учет машинных носителей ПДн:

    • Ведение реестра всех физических носителей информации (флешки, внешние диски, серверы), на которых хранятся ПДн.

  5. Определение угроз безопасности ПДн:

    • Проведение оценки актуальных угроз для автоматизированных систем, в которых обрабатываются ПДн (модель угроз). На основе этой модели выбираются адекватные меры защиты.

  6. Оценка вреда субъектам ПДн:

    • Документирование возможного вреда, который может быть причинен пользователям в случае нарушения закона о ПДн, и соотношение этого вреда с принимаемыми мерами.

  7. Установление правил доступа к ПДн:

    • Разграничение прав доступа: Предоставление сотрудникам доступа только к тем данным, которые необходимы им для выполнения их должностных обязанностей (принцип минимальных привилегий).

    • Учет и регистрация действий пользователей в информационных системах.

  8. Обнаружение и реагирование на инциденты:

    • Внедрение процедур для своевременного обнаружения фактов несанкционированного доступа к ПДн.

    • Разработка плана действий по ликвидации последствий инцидентов и уведомлению Роскомнадзора и субъектов ПДн.

  9. Внутренний контроль и аудит:

    • Проведение регулярных проверок соответствия обработки ПДн требованиям законодательства и эффективности применяемых мер защиты.

  10. Регламентация работы с третьими лицами:

    • Включение в договоры с контрагентами (например, хостингом, разработчиками, маркетинговыми агентствами) положений о соблюдении конфиденциальности и требований по защите ПДн.

Технические меры защиты:

Это конкретные программные и аппаратные средства и методы, используемые для обеспечения безопасности ПДн.

  1. Шифрование данных (применение криптографических средств для защиты ПДн как при хранении, так и при передаче по сетям связи).

  2. Аутентификация и авторизация пользователей (использование сложных паролей, двухфакторная или многофакторная аутентификация). 

  3. Разграничение прав доступа к информационным ресурсам (использование специализированных решений для управления правами доступов, контроль за привилегированными пользователями).

  4. Использование антивирусного программного обеспечения (установка и регулярное обновление антивирусных программ).

  5. Межсетевые экраны (Firewalls) (применение аппаратных и программных межсетевых экранов для контроля и фильтрации сетевого трафика, предотвращения несанкционированного доступа).

  6. Системы обнаружения и предотвращения вторжений (IDS/IPS) (мониторинг сетевой активности и системных логов для выявления подозрительных действий и попыток вторжения).

  7. Резервное копирование данных (регулярное создание копий персональных данных для возможности их восстановления в случае сбоев, атак и физического повреждения носителей).

  8. Защита среды виртуализации.

  9. Безопасная разработка программного обеспечения DevSecOps (внедрение практик безопасной разработки, включая статический и динамический анализ кода, тестирование на проникновение для выявления и устранения уязвимостей в собственных ИТ-продуктах).

  10. Физическая безопасность (ограничение физического доступа к серверам и оборудованию, где хранятся данные).

  11. Применение сертифицированных средств защиты информации (Использование средств, прошедших в установленном порядке процедуру оценки соответствия (сертификацию ФСТЭК России)).

  12. Регулярное обновление программного обеспечения (обновление операционных систем, СУБД, серверов и другого ПО для устранения известных уязвимостей).

Пример описания мер
Пример описания мер

Пример заполнения раздела для юридического лица по ссылке.

Ответственный за обработку персональных данных

Назначение ответственного лица – это требование статьи 22.1 Федерального закона №152-ФЗ «О персональных данных». Это лицо играет отвечает за обеспечение соблюдения законодательства о персональных данных внутри компании.

Ответственный за организацию обработки ПД
Ответственный за организацию обработки ПД

Назначение и оформление

  • Кого назначают: Обычно это сотрудник компании (юрист, IT-специалист, HR) или руководитель (в малых компаниях). Ответственным может быть назначено как конкретное физическое лицо, так и сторонняя организация.

  • Внутренние документы: Перед подачей уведомления рекомендуется издать приказ о назначении ответственного и утверждается (или дополняется) его должностная инструкция с соответствующими обязанностями.

В уведомлении указываются следующие данные ответственного лица:

  • Фамилия, имя, отчество (полностью).

  • Номера контактных телефонов.

  • Почтовые адреса.

  • Адреса электронной почты.

Актуализация: При смене ответственного лица необходимо оперативно уведомить Роскомнадзор, подав уведомление об изменении сведений. Контактные данные должны быть актуальны, а назначенное лицо – обладать необходимыми знаниями.

Заполнение этого раздела подтверждает наличие в компании лица, отвечающего за соблюдение правил работы с персональными данными.

Даты и сроки обработки:

  • Дата начала обработки (рекомендуется указать дату регистрации компании).

  • Дата или условие окончания. Возможные условия прекращения обработки персональных данных: прекращение деятельности Оператора; истечение срока хранения, предусмотренного законом, договором или письменным согласием субъекта персональных данных на обработку его персональных данных; отзыв субъектом персональных данных (или его представителем) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 Федерального закона «О персональных данных».

Раздел с заполнением данных о дате начала обработки ПД, срок обработки
Раздел с заполнением данных о дате начала обработки ПД, срок обработки

Шаг 6: Указание мест хранения баз данных 

При указании мест хранения баз данных в уведомлении для Роскомнадзора ключевым моментом является соблюдение требования Федерального закона о персональных данных №152-ФЗ о локализации баз данных российских граждан на территории РФ. Если хранение персональных данных осуществляется в различных местах, облачных хранилищах или ЦОДах, то нужно указать несколько мест хранения персональных данных.  

Сведения о местонахождении баз данных, содержащих ПД граждан
Сведения о местонахождении баз данных, содержащих ПД граждан

Основные сведения для указания:

  • Страна нахождения базы данных: Сбор ПДн граждан РФ должен осуществляться с использованием баз данных, находящихся на территории  Российской Федерации.

  • Адрес Центра Обработки Данных (ЦОД): Необходимо указать полный физический адрес (город, улица, дом, офис/помещение), где фактически размещены серверы, обрабатывающие ПДн. Это относится как к собственным серверным комнатам, так и к крупным коммерческим ЦОДам. Если данные хранятся на бумажных носителях, указывается адрес их хранения.

При использовании арендованных серверов, хостинга, облачных платформ или сторонних сервисов: Помимо адреса ЦОДа, где размещено оборудование, необходимо предоставить сведения об организации, ответственной за хранение данных:

  • Тип организации (обычно «юридическое лицо»).

  • Организационно-правовая форма (например, ООО, АО).

  • Наименование организации (полное и сокращенное).

  • ОГРН и ИНН.

  • Страна местонахождения организации (обычно РФ).

  • Адрес местонахождения организации (юридический адрес провайдера).

Важные аспекты:

  • Различие собственного и арендованного ЦОДа: Если ЦОД арендован, в уведомлении это отмечается и заполняются данные о поставщике услуг.

  • Получение информации от поставщика услуг: Точные данные о ЦОДе следует запросить у поставщика услуг. Если точный адрес сервера получить не удается, Роскомнадзор допускает указание юридического адреса, но рекомендуется сохранить подтверждение запроса.

  • Несколько мест хранения: Если базы данных размещены в нескольких ЦОДах или у разных провайдеров (например, сайт у одного хостера, CRM у другого), необходимо указать сведения о каждом.

  • Онлайн сервисы: При использовании SaaS-решений (CRM, сервисы рассылок) также указываются места хранения данных и ответственные лица, информацию о которых обычно предоставляют сами поставщики SaaS.

  • Иностранные облака: Применение иностранных облаков для хранения ПДн граждан РФ ограничено и требует соблюдения специальных условий (например, первичная запись и хранение данных в РФ, а также подача уведомления о трансграничной передаче персональных данных).

  • Актуализация сведений: При смене хостинга  или места хранения данных необходимо оперативно вносить изменения в реестр Роскомнадзора.

Если у вашей компании счет в Точка Банк, и вы используете сервисы Документооборот и работа с Самозанятыми, вам нужно сообщить об этом РКН.

Ниже привела пример общения с Точка банк. Вам же по каждому используемому сервису нужно собрать информацию. Сколько сервисов и точек хранения, столько записей о местах хранения будет в вашем уведомлении.

Ответ на запрос о реквизитах для заполнения формы уведомления
Ответ на запрос о реквизитах для заполнения формы уведомления

Пример заполнения сведений в уведомлении:

Данные о местонахождении ЦОД предоставлены сотрудником сопровождения Точка Банк
Данные о местонахождении ЦОД предоставлены сотрудником сопровождения Точка Банк

А т.к. у Точка Банка два ЦОДа, и данные могут сохраняться на любом из них, то заполняем информацию о двух базах данных.

Данные о местонахождении ЦОД предоставлены сотрудником сопровождения Точка Банк
Данные о местонахождении ЦОД предоставлены сотрудником сопровождения Точка Банк

Допускаемые ошибки:

  • Указание только юридического адреса организации вместо фактического адреса ЦОДа.

  • Неполные или ошибочные сведения о провайдере услуг.

  • Неуказание всех мест хранения.

  • Использование общих формулировок типа «облачное хранилище» без конкретизации.

Внимание! Если на вашем рабочем месте на диске хранятся договора с клиентами - вам необходимо добавить свой домашний адрес как собственный ЦОД.

Указанный ниже раздел применим к к лицам, являющимися операторами государственных и муниципальных информационных систем, поэтому представители бизнеса могут удалить его из своего уведомления.

Сведения о лицах, имеющих доступ к ПД
Сведения о лицах, имеющих доступ к ПД
Сведения об обеспечении безопасности персональных данных
Сведения об обеспечении безопасности персональных данных

Здесь указываются организационные или технические меры, реализуемые для исполнения требований, установленных Постановлением Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Чтобы определить такие меры нужно классифицировать информационные системы персональных данных (ИСПДн), определить уровни защищенности (УЗ), которые для них применимы и в зависимости от этого понять, какие меры должны реализовываться в компании. 

Пример заполнения раздела (ссылка: https://pd.rkn.gov.ru/docs/Uvedomlenie_ob_obrabotke.pdf

Пример описания сведений
Пример описания сведений

Шаг 7: Отправка уведомления

  1. Проверьте правильность заполнения всех полей.

  2. Подтвердите согласие с условиями подачи.

  3. Нажмите кнопку "Отправить".

  4. После отправки сохраните номер и ключ уведомления — они потребуются для последующей подачи корректирующих сведений.

Финальная часть формы - сохранение черновика или отправка
Финальная часть формы - сохранение черновика или отправка

Upd на 31.05.2025 Один из читателей дополнил важным нюансом

При внесении в реестр выдаётся идентификатор и ключ записи. И, если понадобится внести изменения в сведения - необходимо указывать оба этих идентификатора. И, если идентификатор записи легко ищется, то процедуры восстановить ключ на сайте РКН нет. При этом, чтобы подать уточняющие сведения, необходимо полное заполнение той же самой анкеты, что и при первичной подаче сведений(возможно получить ранее переданные сведения и заполнить автоматически, но для этого также нужен идентификатор и ключ).

Информационное сообщение на сайте РКН о передаче вашего уведомления
Информационное сообщение на сайте РКН о передаче вашего уведомления

Соответственно, берегите полученные идентификационные данные.

Частые ошибки при подаче уведомления

  1. Использование зарубежных серверов: Хранение персональных данных на серверах вне России (AWS, Azure и др.) без локализации в РФ и надлежащего оформления.

  2. Неполный перечень целей обработки: Компании часто забывают указать все реальные цели обработки данных, в том числе связанные с аналитикой и улучшением продуктов.

  3. Отсутствие информации о метриках: Не указывается информация о сборе данных через различные инструменты.

  4. Неверное определение категорий данных: Многие стартапы некорректно классифицируют собираемые данные

  5. Несоответствие уведомления и реальной практики: То, что представлено в уведомлении, не соответствует тому, как компания на самом деле обрабатывает данные (например, пользовательскому пути), а также тому, что отражено в её документах - в первую очередь, политике об обработке персональных данных, размещенной в публичном доступе. Почему это важно? 18.11.2023 г. вступило в силу новое основание для внеплановой проверки Росконадзора. Для этого достаточно 3-х расхождений между политикой обработки персональных данных на сайте, и уведомлением об обработке, которое подается в Роскомнадзор.

  6. Неполный комплект документов: Отсутствие или недостаточная проработанность внутренних документов, на основе которых должно составляться уведомление. При этом сами документы не предоставляются при подаче уведомления, но исследуются Роскомнадзором в рамках проверок или могут запрашиваться при рассмотрении жалобы гражданина.

Что делать после подачи уведомления

После подачи первичного уведомления компания обязана:

  1. Ожидать включения в реестр: Роскомнадзор рассматривает уведомление в срок до 30 дней

  2. Подавать уведомления об изменениях: При изменении сведений, указанных в первоначальном уведомлении, необходимо подать новое уведомление до 15 числа месяца, следующего за месяцем, в котором произошли изменения.

  3. Уведомлять о прекращении обработки: В случае завершения деятельности или прекращения обработки персональных данных необходимо уведомить РКН в течение 10 рабочих дней.

  4. Сообщать о происшествиях: При утечке данных или несанкционированном доступе — в течение 24 часов, а о результатах расследования — в течение 72 часов

Уведомление Роскомнадзора — обязательная процедура для всех компаний, которые обрабатывают персональные данные. С ростом штрафов до 300 000 рублей с 30 мая 2025 года, этот вопрос становится актуальным. Для компаний важно не только формально выполнить требование о подаче уведомления, но и привести всю обработку персональных данных в соответствие с законодательством.

Особое внимание стоит уделить российской локализации хранения данных, корректному оформлению согласий пользователей и внедрению технических мер защиты информации. Если вы подали уведомление без детального аудита бизнес-процессов, в которых задействованы ПДн, рекомендуем провести его и подать уведомление об изменениях. 

Уведомление Роскомнадзора и комплексный подход к обработке персональных данных — это не только способ избежать штрафов, но и возможность повысить доверие пользователей к вашему сервису, что важно для молодых компаний.

Кого спросить, если непонятно

Обзор бережно собран:

Анна Юрченко, ITIL-эксперт, 20+ лет в ИТ

В Telegram-канале ITSM4U: Управление без иллюзий делюсь практиками управления ИТ, кейсами и проверенными инструментами и подходами. Пишу про личный бренд в digital.

Благодарю за помощь в подготовке материала Дарью Петрову, руководителя практики «Информационные технологии и защита данных»  юридической компании ЦПО групп.

Юридическая компания ЦПО групп, более 25 лет на рынке. Входим в топ-50 юридических компаний, лидеры в номинации ТМТ (Телекоммуникации, Медиа и Технологии) федерального рейтинга Право.ru-300. Юристы входят в рейтинги Российской газеты, являются участниками RPPA (Сообщества профессионалов в области приватности).

Хабр управляющего партнера компании: https://habr.com/ru/users/Konyaeva_Anna/

Если у вас есть вопросы — задавайте в комментариях, Дарья и другие сотрудники компании помогут вам советами.

Регистрация в Роскомнадзоре: аспекты для технологических компаний

Трансграничная передача данных: что делать с зарубежными партнёрами

Технологичные компании часто используют иностранные сервисы или взаимодействуют с зарубежными партнёрами, что является трансграничной передачей персональных данных (ПДн) .

Что важно учесть:

  • Уведомление РКН: операторы обязаны уведомить Роскомнадзор о намерении осуществлять трансграничную передачу до начала такой передачи. Это отдельное уведомление, помимо основного уведомления о начале обработки ПДн.

  • Условия передачи: Передача ПДн сразу после подачи уведомления возможна только в страны, обеспечивающие адекватную защиту прав субъектов ПДн (список утвержден РКН), либо в иных случаях, предусмотренных законом. Если страна не входит в список, нужно дождаться положительного решения Роскомнадзора относительно возможности передачи ПДн за рубеж.

  • Локализация: Важно помнить, что требование о записи, хранении и накоплении при сборе ПДн граждан РФ с использованием баз данных, размещенных на территории России, остается в силе, даже если в дальнейшем осуществляется трансграничная передача. Использование иностранных сервисов, серверы которых находятся за пределами РФ (например, гугл форм), для первичного сбора и хранения данных российских пользователей без соблюдения этого требования может быть рассмотрено Роскомнадзором как нарушение .

Риски: Штрафы за нарушение могут достигать 6 млн рублей, а также возможна блокировка сайта.

Сбор данных через Google Analytics — так можно или нельзя?

Использование этого сервиса, требует включения информации в политику конфиденциальности и согласия на обработку ПДн. Роскомнадзор активно мониторит сайты, проверяя код страниц на наличие счётчиков. Если данные о метриках отсутствуют в документах, это может привести к требованию устранить нарушение или штрафу.

Что нужно учесть:

  • Упоминание в документах: Информация о сборе данных через эти инструменты должна быть отражена в Политике обработки персональных данных и в тексте согласия на обработку от пользователя .

  • Согласие пользователя: Необходимо получать явное согласие пользователя на использование таких инструментов.

  • Использование Гугл аналитики связано с передачей данных на серверы за пределами РФ, что является трансграничной передачей и требует соблюдения соответствующих процедур (уведомление РКН). 

При заполнении необходимо указать, что есть трансграничная передача. Уведомление о трансграничной передаче подается отдельно, например

Легализация работы с Яндекс.Метрикой

Для соответствия требованиям при работе Яндекс.Метрики необходимо следовать рекомендациям сервиса: указать в политике конфиденциальности цели сбора данных и получить согласие пользователя через баннер или форму. Это подтверждает, что данные обрабатываются на серверах в РФ, что снижает риски нарушения.

Детали: https://yandex.ru/support/metrica/general/notification.html 

Подготовка политики конфиденциальности: новые требования

Политика в отношении обработки персональных данных (Политика конфиденциальности) – это один из документов, который должен быть у каждого оператора ПДн и опубликован на его сайте. Роскомнадзор проверяет не только наличие политики конфиденциальности на сайте, но и её содержание. Согласно ст. 18.1 ФЗ-152, документ должен включать:

  • Для каждой цели должны быть определены:

    • Категории и перечень обрабатываемых данных.

    • Категории субъектов, данные которых обрабатываются.

    • Способы и сроки их обработки и хранения.

    • Порядок уничтожения при достижении целей их обработки.

  • Объем данных не должен быть избыточным по отношению к заявленной цели.

  • Иные сведения, предусмотренные законом.

Совет: Избегайте избыточного сбора данных, визуализируйте процессы обработки (например, через datamap) и обновите политику, чтобы избежать претензий со стороны регулятора.

Особенности для разработчиков программных решений

Разработчики ПО, SaaS-платформ, мобильных приложений и других решений , которые предполагают обработку данных пользователей, несут ответственность как операторы этих данных. А если предполагается хранение персональных данных в сервисе, то на компанию могут быть возложены обязанности обработчика персональных данных (лица, обрабатывающего персональные данные по поручению оператора). 

Что важно учесть:

  • "Privacy by Design": Принцип проектирования систем с учетом требований защиты персональных данных на самых ранних этапах разработки.

  • Локализация баз данных: Если ПО предназначено для российского рынка и обрабатывает данные граждан РФ, необходимо обеспечить хранение этих данных на серверах в России.

  • Согласие пользователей: В интерфейсе ПО должны быть механизмы получения явного согласия пользователей на обработку их ПДн.

  • Меры защиты: Внедрение адекватных технических мер защиты (шифрование, аутентификация, разграничение доступа) в само ПО.

  • Документация для клиентов: Если ПО предоставляется другим компаниям, которые будут его использовать для обработки данных необходимо предоставить им документацию.

Для разработчиков чат-ботов в Телеграм — что важно знать

Телеграм  — иностранный мессенджер, что подразумевает трансграничную передачу данных. Запрет на использование иностранных мессенджеров для обработки персональных данных (ПД) касается лишь определенных лиц (банки, государственные органы и т.п.) и не затрагивает коммерческие организации. РКН подчеркивает, что использование иностранных сервисов требует уведомления о трансграничной передаче ПД. Рекомендуем минимизировать сбор ПД при использовании мессенджеров, если это возможно.

Какая информация должна быть на сайте

Обязательные документы и информация на сайте:

  • Пользовательское соглашение: Определяет правила использования сайта, условия регистрации, права и обязанности сторон, может запрещать копирование материалов сайта и оговаривать ответственность компании (например, при технических сбоях).

  • Политика конфиденциальности (или Политика обработки персональных данных): Документ, разъясняющий, какие данные пользователей собираются, как они используются и какие меры защиты применяются. Его содержание должно соответствовать ФЗ «О персональных данных».

  • Согласие на обработку персональных данных: Отдельный от Политики документ, которым пользователь подтверждает свою готовность передать информацию о себе и осведомленность о том, как сайт будет с ней работать.

  • Согласие на обработку данных метрическими программами: Необходимо, если используются системы веб-аналитики (например, «Яндекс Метрика»). Рекомендуется оформлять как отдельный документ.

  • Уведомление об использовании: Должно предупреждать пользователя о сборе сведений до начала применения и получать его согласие на обработку данных куки. Должно содержать ссылки на Политику обработки ПД и Пользовательское соглашение. Важно, данные запрещено собирать до того момента, пока пользователь не подтвердил согласие. Как это делать рассказали на примере настройки Яндекс.Метрики.

  • Документ об использовании рекомендательных технологий (политика об обработке куки): Требуется, если сайт анализирует поведение пользователей для последующих предложений, но можно включить в политику конфиденциальности.

  • Согласие на получение рекламной рассылки: Необходимо, если собранные данные используются для рекламных уведомлений (SMS, email, push и т.д.). Согласие должно быть активным (например, через подтверждение по email, чек-бокс, но без предустановленной галочки).

  • Реквизиты компании (для сайтов с интернет-магазином): Наименование, адрес и место нахождения, email и/или телефон, ОГРН, ИНН. Рекомендуется размещать на отдельной странице или в подвале сайта.

  • Публичная оферта (для продающих сайтов): Обязательна, если сайт продает товары или услуги.

Все эти документы должны быть легко доступны для ознакомления посетителей и контролирующих органов.

При сборе данных на форме необходимо получить подтверждение на обработку ПД и отдельно согласие на получение рекламы. Отдельный чек-бокс на ознакомление с политикой конфиденциальности закон не требует, достаточно чтобы ссылка на политику была размещена и доступна на каждой странице сбора персональных данных. 

Пример формы для сбора персональных данных
Пример формы для сбора персональных данных

В случае, если планируется рассылка рекламы, необходимо добавить для этого отдельный чек-бокс (Подтверждаю согласие на получение рекламы, с отсылкой на соответствующий документ регулирующий что и как будет собираться).

По ссылке список источников данных, используемый при подготовке статьи. 

Все данные в статье валидированы экспертами юридической компании ЦПО ГРУПП.

Комментарии (46)


  1. almirus
    30.05.2025 17:02

    Как уведомить Роскомнадзор 

    \s Как записываться в очередь в пятницу, чтобы в субботу пораньше освободиться


    1. itsm_lady Автор
      30.05.2025 17:02

      На эту тему у меня сегодня вышел шуточный пост на vc ... https://vc.ru/life/2012220-ofisnoe-prostranstvo-korporativnaya-zhizn-yumor-i-rasslablennye-v-it


  1. Avangardio
    30.05.2025 17:02

    Это полнейший треш… чисто сюр какой-то, надо задушить обычные предпринимательства, конечно же)))


    1. itsm_lady Автор
      30.05.2025 17:02

      Когда я начала заполнять, поняла что в одиночку с этим не разобраться. И я выбрала самый простой способ разобраться - привлечь экспертов и написать совместный гайд.


    1. itsm_lady Автор
      30.05.2025 17:02

      И мне пришлось закрыть личный сайт (физ.лица), т.к. это было проще, чем подавать два уведомления и регистрироваться не только как ИП, но и как физ.лицо. Хотя на сайте ничего не было, кроме обязательного сбора куки, которое делает Тильда, но я не могу это отключить, т.к. это обязательная для всех процедура, поэтому по умолчанию, даже не собирая никаких данных я должна подать уведомление. Поэтому 7 лет моего труда и ведение блога канули в лету.


    1. Kenya-West
      30.05.2025 17:02

      Как нам, государству, помочь вам, предпринимателям?
      Как нам, государству, помочь вам, предпринимателям?


      1. tage_whanuvur
        30.05.2025 17:02

        мешайте не однозначно воспринимается


        1. strvv
          30.05.2025 17:02

          а как же стая контроллеров, сопутствующих контор-помогателей и прочих прилипал при акулах, не одной (РКН), а 4-х минимум, это не беря надзорные органы.


  1. edyatl
    30.05.2025 17:02

    Какая помощь и подспорье российскому интернет бизнесу! Как раньше без этого жили?! Главное помнить, что всё ради детей! Вся лютая дичь - всегда ради детей!

    > 1. Назначить ответственного за обработку персональных данных
    Это конечно всегда помогает.

    > Собираются ли cookie-файлы и как это оформлено
    Стесняюсь спросить, от куда и кто собирает кукисы? Кэш браузера?

    А дворник сгребающий макулатуру разбросанную у почтовых ящиков с полными адресами, ФИО, а порой с телефоном и ИНН, является оператором персональных данных, должен регистрироваться и слать отчёты?


    1. itsm_lady Автор
      30.05.2025 17:02

      Я попробовала упростить для читателей Хабр решение этой нестандартной задачи, с которой столкнулась сама. Вопрос полезности и целесообразности этой процедуры в рамках данного документа не рассматривается.
      Но то, что в ходе заполнения возникают десятки вопросов - это да.


  1. Urry73
    30.05.2025 17:02

    Класс, наконец-то путное руководство, а не словоблудие других авторов

    Вопрос: самозанятому с сайтом на Тильде, где по кнопкам только переход в личный телеграм что-то надо делать?


    1. itsm_lady Автор
      30.05.2025 17:02

      Да, вы собираете cookies )
      Именно поэтому я сегодня закрыла свой личный сайт, т.к. не хочу объясняться почему я не в реестре операторов ПД. Хотя у меня ничего не было прикручено.
      И, еще, вероятнее всего у вас может быть Яндекс.Метрика и Гугл.Аналитика. Со вторым вообще все сложно, а при наличии Яндекс метрики - оператор ПД.


      1. Urry73
        30.05.2025 17:02

        Нет аналитик и метрик. Всё равно подавать?


  1. hphphp
    30.05.2025 17:02

    Это требования распространяются на домены .ру? если com например, будет кто то предъявлять претензии?


    1. itsm_lady Автор
      30.05.2025 17:02

      Вот здесь мне понадобится помощь Дарьи. Сейчас она уже недоступна, но ответит, как выйдет онлайн. Но с моей точки зрения не играет роли какой домен, если сайт собирает ПД российских граждан, то вы обязаны уведомить РКН. А вот будут ли проверять такие домены, это вопрос.


      1. Yukr
        30.05.2025 17:02

        Если не трудно, прошу разузнать про такой вариант: лендинг не собирает кукисы, о чём написано аршинными буквами на первом же баннере при входе. Для обратной связи указан мейл адрес, с предупреждением - не пишите туда персональные данные.

        Прокатит, чтобы не заявляться ?


  1. Yukr
    30.05.2025 17:02

    Спасибо автору за титанический труд!

    Желаю роскомпозору и всем причастным гореть в аду, заполняя бесконечные формы и реестры при этом


    1. tage_whanuvur
      30.05.2025 17:02

      давно не видел статей с содержанием и переходами по нему - прям потыкал


      1. itsm_lady Автор
        30.05.2025 17:02

        Без содержания тут утонуть легко. Кстати, забыла сделать возврат к содержанию. Надо дополнить для удобства.


  1. YegorP
    30.05.2025 17:02

    Уведомление не требуется, если данные ведутся только на бумаге

    Нету там ничего про бумагу. Есть про средства автоматизации и про непосредственное участие человека в обработке. Если автоматизации нет, а непосредственное участие есть, то уведомление не требуется.

    И если, дорогие мои айтишники, при слове "автоматизация" у вас в голове сразу возникает слово "компьютер" и его заклятый враг "бумага", то нет, ничего этого в соответствующих законах нет. Копирка и аналоговый ксерокс вполне канают как средство автоматизации кстати - не совсем компьютеры и очень даже бумага.

    Не забывайте отправлять уведомление в РКН когда кассир или официант отдаёт вам чек со своими ФИО.


    1. itsm_lady Автор
      30.05.2025 17:02

      Попрошу прокомментировать, хорошее уточнение. Спасибо.


  1. vgy
    30.05.2025 17:02

    Открываешь сайт РКН, идёшь в "реестр операторов", ищешь нужного ИПшника и получаешь нужные тебе данные - и адрес вместе с квартирой, и номер телефона. Даже капчу вводить не нужно. Считается "утечкой" ПД?


    1. itsm_lady Автор
      30.05.2025 17:02

      Это очень правильный вопрос, как будет отслеживаться выполнение правил по обеспечению безопасности персональных данных.


    1. strvv
      30.05.2025 17:02

      А ты подай им запрос о согласии на распространение ПДн?


  1. WinLin2
    30.05.2025 17:02

    Пользователь зашел на твой сайт, в логах записался его ip-адрес. И вот уже нужен отвественный за обработку персональных данных, логи срочно зашифровать отечественной криптозащитой. Поставить и настроить криптозащиту разрешается только организации, имеющей лицензию, заключить дооовор на обслуживание.Завести кучу бумажных журналов, создать отдел безопасности по защите персональных данных.

    Как в анекдоте про охранника, охранявшего мост https://www.anekdot.ru/id/361726/


    1. itsm_lady Автор
      30.05.2025 17:02

      Жизненный анекдот. ) Не слышала раньше.


    1. YegorP
      30.05.2025 17:02

      Зачем так далеко ходить? В продуктах чек с ФИО кассира получил - всё, надо форму РКН заполнять.


  1. Finesse
    30.05.2025 17:02

    А какое определение закон даёт персональным данным?

    • Является ли случайный идентификатор, присвоенный браузеру через куки, персональным данным?

    • Является ли IP-адрес, который в наше время не идентифицирует человека (потому что много абонентов сидят под одним адресом) персональным данным?

    • Является ли запись действий пользователя на странице (Яндекс Визор) персональными данными?

    • А хранение данных в агрегированном состоянии (например, сколько пользователей из каждой страны посетили сайт в такой-то день) регламентируется законом о персональных данных?

    • А если всё вышеперечисленное делается для обеспечения безопасности и работоспособности системы? Между прочим, GDPR разрешает собирать данные без согласия пользователей в этом случае.


    1. maxzh83
      30.05.2025 17:02

      Я бы еще добавил. Является ли email персональными данными? Если, например, он используется в качестве логина


  1. Kenya-West
    30.05.2025 17:02

    Способы подачи уведомления в Роскомнадзор

    В электронном виде с использованием электронной подписи. Заполните форму на сайте Роскомнадзора и подпишите её усиленной квалифицированной электронной подписью. Для этого предварительно должен быть установлен плагин КриптоПро ЭЦП Browser plug-in.

    Подавались два дня назад. Как всегда, контора оппортунистов РКН обделался, и именно на этом способе №2 - через ЭП. По факту после подписания заявления выходит страничка о просьбе его распечатать и отправить заказным письмом, как будто мы подавались способом №1. То есть по факту это не подача в электронном виде.

    Пришлось пользоваться способом №3, через ЕСИА.


  1. Comrades
    30.05.2025 17:02

    Я правильно понимаю, что вот эту штуку нужно делать всем компаниям, вообще всем? Пример, небольшая локальная компания по изготовлению мебели. Как обычно: сайты, лендинги, вот это все.


    1. itsm_lady Автор
      30.05.2025 17:02

      Если на сайте собираете куки — уже надо, если есть форма — тем более, если используете ретаргетинг для рекламы и т.д.


    1. Finesse
      30.05.2025 17:02

      Не ясно, что такое персональные данные. Так все пользователи смартфонов должны отправить уведомление в Роскомнадзор, потому что в их контактной книге целая куча персональных данных.


  1. Vlad_habr
    30.05.2025 17:02

    При внесении в реестр выдаётся идентификатор и ключ записи. И, если понадобится внести изменения в сведения - необходимо указывать оба этих идентификатора. И, если идентификатор записи легко ищется, то процедуры восстановить ключ на сайте РКН нет. При этом, чтобы подать уточняющие сведения, необходимо полное заполнение той же самой анкеты, что и при первичной подаче сведений(возможно получить ранее переданные сведения и заполнить автоматически, но для этого также нужен идентификатор и ключ).

    Соответственно, берегите полученные идентификационные данные.


    1. itsm_lady Автор
      30.05.2025 17:02

      Вот это важно дополнить, спасибо. Внесу в текст об этом нюансе.


    1. itsm_lady Автор
      30.05.2025 17:02

      Внесла дополнения в текст. Спасибо большое за дополнение.


  1. nivorbud
    30.05.2025 17:02

    Обязанность по регистрации в Роскомнадзоре затрагивает всех, кто собирает любые данные — от ФИО ... до IP-адресов и cookies-файлов пользователей

    Знаете, вот после этого не хочется читать и всё остальное...

    С чего вы вообще взяли, что куки и ip (сами по себе, только куки и ip!) являются ПД?

    Из нескольких судебных решений? Вы их читали? Там куки с боку к припеку, а основу составлял сбор настоящих персональных данных, чуть ли не паспортных.

    Что такое кука - вы знаете? Вы генерируете случайный номер и сохраняете его в браузере пользователя. Вы (!), а не посетитель, его генерируете. Это будет сессионная кука. А ведь с помощью куки можно сохранить любую информацию, например размер выбранного шрифта. Т.е. если в боаузер посетителя послать куку с информацией: "font-size=20" - это будет являться сбором ПД? Абсурд.

    Куки - это не ПД, а один из возможных способов обработки ПД (если уже настоящие ПД собираются).

    Пример. Когда вы приходите в театр, в гардеробной сдаете одежду, вам выдают номерок и по этому номерку отслеживают, на какое место вы сели, что ели в буфете и пр.,... Вот этот номерок является вашими персональными данными? По вашему, выходит, да, являются. Насколько такая трактовка адекватна, решайте сами. По мне, всё очевидно.

    Но теперь рассмотрим несколько иную ситуацию:

    В на входе в театр с вас взяли паспортные данные, сложили их в папочку (на компе), на папочке написали номер, и этот номер выдали вам. Далее по этому номеру идет логгирование ваших действий в театре. В этом случае есть сбор и обработка ПД? Очевидно, есть. Номер ли является персональными данными? Или всё же паспортные данные, а номер является лишь способом их обработки?

    Далее...

    При вашей трактовке вообще никак нельзя взять согласие не нарушив закон. Как только посетитель открыл первую страницу вашего сайта (пусть уже с текстом согласия, с всплывающей плашкой и пр.), то он УЖЕ получил куку, а сервер зафиксировал ip. Ладно, куки можно полностью отключить (хотя здесь еще вопрос - как зафиксировать согласие без куки), но ip будет обработан в любом случае, что означает обработку ДО согласия, что есть нарушение.

    И пожалуйста, прекратите нагнетать истерию. Сейчас мне на почту со всех углов идут всевозможные страшилки. Я уже просто ничего не читаю на эту тему, так идет массовое психологическое давление, запугивание.

    Если продолжить вашу логику, то... вот у вас в смартфоне есть рабочие контакты? Руководителей? Коллег? Наверняка есть. Значит, вы как физлицо тоже являетесь оператором обработки ПД? По вашей логике - однозначно являетесь. Вопрос к вам: вы сами то, как физлицо, подали уведомление?

    Мой вывод: куки, ip и прочее можно рассматривать как персональные данные только в совокупности с другими, настоящими, персональными данными, но не сами по себе.

    ЗЫ

    Еще забыл добавить. По предлагаемой логике штатное использование гугл-шрифтов является трансграничной передачей ПД... со всеми вытекающими последствиями... вплоть до высшей... 18 миллионов (или сколько там?) рублей...


    1. itsm_lady Автор
      30.05.2025 17:02

      Отличные дополнения, попрошу юристов прокомментировать и дополню материал вашими выкладками, будет ещё полезнее.


  1. moscowman
    30.05.2025 17:02

    Никакого очевидного смысла для микро и малого бизнеса, кроме как оплата драконовских штрафов в новом законе нет.
    Да, мы ох...ели, и что Вы нам сделаете?


    1. strvv
      30.05.2025 17:02

      Новая нефть.


  1. digrobot
    30.05.2025 17:02

    Интересно, это все из-за утечек Яндекс.Еды и авиабилетов? Кому-то сильно припекло?


    1. Yukr
      30.05.2025 17:02

      видимо, КОМУ [не]НАДО, припекло. и этот кто-то пожаловался папе/мужу/брату/свату - депутату


  1. firnind
    30.05.2025 17:02

    А список контактов в телефонной книге смартфона любого человека как оценивается? Там же и даты рождения могут быть, и телефоны (внезапно), и ФИО. И это все еще на СИМ-карту можно выгрузить при желании.


  1. Newm
    30.05.2025 17:02

    Ну про куки уже написали, что они в большинстве случаев с трудом подтягиваются к персональным данным. Даже с учетом того, что у них хранятся реальные персональные данные. Мы на старой версии скриптов магазина, чтобы не иметь геморроя с обработкой персональных данные их хранили в куках на стороне пользователя, причем исключительно для того, чтобы пользователю не требовалось при повторном заказе вновь вводить свои данные. На нашей стороне хранился только длинный идентификатор, чтобы пользователь мог посмотреть свои старые заказы. Если у пользователя куки в браузере стирались, то посмотреть свои заказы он больше не мог. Мы со своей стороны не могли идентифицировать пользователя - отправили ему по почте, выполнили свою часть договора и все.

    Яндекс-метрика по отношению к вам тоже с трудом подтягивается к персональным данным. У вас нет никакой возможности идентифицировать пользователя по данным из метрики. Если у яндекса есть такая возможность, тогда пусть у него голова болит, каким образом он это будет юридически оформлять. Вы со своей стороны сами никаких действий с данными пользователя не производите. То есть обработка персональных данных вами не производится, чтобы вам "консультанты" не говорили.

    По поводу формы обратной связи на сайте... В большинстве случаев не просто не требуется, а по факту противозаконно брать согласие на обработку персональных данных. Если в политике конфиденциальности вы прописали, что форма обратной связи предназначена только для выяснения вопросов с целью заключения договора по инициативе субъекта персональных данных, то брать согласие НЕЛЬЗЯ. Ну и сама форма должна хотя бы мягко намекать, что "не надо сюда писать из-за всякой дури, мы хотим вам товар продать, а не консультации осуществлять по продукции, которую вы на другом сайте покупать собрались".


    1. nivorbud
      30.05.2025 17:02

      Яндекс-метрика по отношению к вам тоже с трудом подтягивается к персональным данным. У вас нет никакой возможности идентифицировать пользователя по данным из метрики. Если у яндекса есть такая возможность, тогда пусть у него голова болит, каким образом он это будет юридически оформлять. Вы со своей стороны сами никаких действий с данными пользователя не производите. То есть обработка персональных данных вами не производится, чтобы вам "консультанты" не говорили.

      Более того, ваш сервер вообще не имеет никакого отношения к кукам яндекс-метрики. Скрипт метрики загружается напрямую в браузер посетителя с серверов яндекса (а не с вашего сервера), этот же яндексовский срипт и записывает куку в браузер, если там ее еще нет. Т.е. технически всё взаимодействие происходит напрямую между браузером посетителя и серверами яндекса. Ваш сервер (и сайт) в этом процессе (обмена информацией) никак не участвует, за исключением того, что инициирует загрузку скрипта с серверов яндекса.


  1. dixam
    30.05.2025 17:02

    Подскажите, нужно ли делать все эти телодвижения физическому лицу (не ИП, не самозанятый), админу форума, где ники пользователей соотносятся с email при регистрации ?
    Форм и аналитики никакой более не подключено, рекламы на форуме нет.