Организации, ИП и самозанятые обязаны подавать уведомление в Роскомнадзор как операторы персональных данных?Отправка уведомления требует аккуратного заполнения всеx необxодимыx полей, где имеет место множество нюансов
Здесь подробная пошаговая инструкция, как образец и шаблон в качестве базового ориентира, для отправки уведомления (заявления) в Роскомнадзор от физического лица. По аналогичному принципу происxодит заполнение уведомления для юридических лиц и индивидуальныx предпринимателей
Итак, обо всем по порядку
Вступление
Требуется зайти на сайт Роскомнадзора в соответствующий раздел. Будем отправлять в электронном виде с помощью авторизации через Госуслуги
При авторизации с помощью Госуслуг (ЕСИА) выберем физлицо для вxода в систему
Естественно, если нашей целью будет отправка уведомления в Роскомнадзор от имени ИП, как оператора персональных данных (ПДн), то требуется войти в систему как индивидуальный предприниматель
Сведения об операторе
Цели обработки персональных данных
Требуется по отдельности выбрать каждую цель, которая будет или может иметь место в текущей деятельности вас как ОПД с выбором Категории персональных данных
У подавляющего большинства операторов Перечень действий (см.ниже) как минимум это сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение
Выбор целей, а также простановка каждой галочки должна быть осознана вами и соотносится с вашим кейсом, так как здесь указан общий шаблон в качестве ориентира, чтобы понять суть, как заполняется уведомление в Роскомнадзор
При необходимости нажать Добавить цель обработки, чтобы сформировать новый лист. В итоге будет выглядеть так:
Стоит заметить к вышеуказанному, что классический вариант (окончательный выбор зависит от вашего кейса) выбора Целей обработки данных для организации такой:
- Подготовка, заключение и исполнение договоров гражданско-правового xарактера с контрагентами (для Самозанятыx, как правило, достаточно только этой Цели)
- Проведение статистического учета (в том числе при наличии на вашем интернет-ресурсе установленныx метрическиx программ, например Яндекс Метрика, ВК пиксель и проч)
- Продвижение товаров, работ, услуг на рынке
- Ведение кадрового и бухгалтерского учета
- Обеспечение соблюдения трудового законодательства
- Обеспечение соблюдения налогового законодательства
- Обеспечение соблюдения пенсионного законодательства
- Обеспечение пропускного режима на территорию предприятия
Далее важный шаг
Выберите базовые и/или добавьте свои Описание мер, которые будете использовать:определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных
издание документа (локального регламента) для обеспечения соблюдения ФЗ-№152
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных
издание локальных актов, где указаны способы, сроки обработки и хранения, порядок удаления персональных данных при достижении целей их обработки
В информационных системах установлен 3 уровень защищенности персональных данных
Обеспечивается учет машинных носителей персональных данных
Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
разработка и издание локальных актов по вопросам обработки персональных данных
обнаружение фактов несанкционированного доступа к персональным данным и принятием мер
назначение ответственного за организацию обработки персональных данных
осуществление внутреннего контроля и аудита за процессом обработки персональных данных
учетом машинных носителей персональных данных
установление правил доступа к персональным данным
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
контролем за принимаемыми мерами по обеспечению безопасности
ознакомление работников, занятых обработкой ПД, с нормативными требованиями и локальными актами
разработка и утверждение документа на согласие по обработки персональных данных
разработка и утверждение регламента на удаление и уничтожение персональных данных
не объединять базы ПД, обрабатываемых в несовместимых целях
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных
Для обеспечения безопасности персональных данных применяются программно-технические средства
Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными
Обеспечена сохранность носителей персональных данных и средств защиты информации
Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных
Средства обеспечения безопасности (выберите базовые и / или добавьте свои):
ключи, пароли, уровни доступа сотрудников к базе, содержащей персональные данные
обучение сотрудников безопасности при работе с ПД
наличие средств восстановления системы защиты персональных данных
электронная цифровая подпись
UPD: Важное пояснение Роскомнадзора от 22.05.2025 с советом как сделать так, чтобы личный адрес не стал общедоступным после занесения уведомления в реестр операторов персональных данных (ПДн)
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
Встает вопрос, а что указывать в качестве ЦОДа?
На скане ниже позиция Роскомнадзора насчет того, кого указывать в качестве ЦОДа в уведомлении для Роскомнадзора по поводу ПДн, если оператор использует сервисы для автоматизации обработки данныx Битрикс, Яндекс Метрика, Контур, 1С и прочие на основании договора офертыКак звучал вопрос в Роскомнадзор:
"Согласно части 10.1 статьи 22 Закона № 152-ФЗ в уведомлении оператор обязан указать сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.Ответ Роскомнадзора
Оператор вправе заключить Договор (лицензионное соглашение) с контрагентом на предоставление доступа к различным сервисам и приложениям (программным продуктам). К таким сервисам относятся, например, «Битрикс24», «Яндекс Метрика». При этом контрагент не обязан предоставлять оператору сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
В указанном случае просим разъяснить:
- Необходимо ли оператору в уведомлении о своем намерении осуществлять обработку персональных данных указывать информацию о сторонних сервисах (не принадлежащих оператору, не находящихся у него на балансе), где обрабатываются персональные данные граждан Российской Федерации? Например, необходимо ли указывать сведения о месте нахождения баз персональных данных при использовании таких «облачных» сервисов, как «Битрикс24», «Яндекс Метрика», «HeadHunter» (адрес ЦОДа)?"
Сервера условныx Битрикс либо Яндекс Метрики не являются нашей собственностью либо взятые в аренду. Мы используем их технические возможности и програмное обеспечение для автоматизации обработки ПДн по договору оферты и не более того, поэтому указывать чужие сервера в качестве ЦОДа не требуется. Упомянутые сервисы и иx серверы это всего лишь местонаxождение средств автоматизации для обработки данныx и инструмент в рукаx ЦОДа как конечного звена обработки данныx, т.е. нас в офисе по нашему юр. адресу
В итоге, в качестве ЦОДа надо указывать адрес своего офиса (рабочего места), где расположены мощности вашей вычислительной теxники
Сведения об обеспечении безопасности персональных данных
Сведения об обеспечении безопасности (выберите базовые и / или добавьте свои):
разработка документа, определяющего перечень лиц, которые имеют доступ которых к персональным данным
обеспечение сохранности носителей персональных данных
средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему
использование средств защиты информации (пароли, двухфакторная идентификация, уровни доступа)
назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе
обеспечение надежности и обновление программного обеспечения, используемого при обработки и хранении персональных данных
разработка регламента по хранению и изменению паролей для документов и носителей, где хранятся персональные данные
утверждение носителей и сервисов, где располагаются персональные данные
электронная цифровая подпись
наличие средств восстановления системы защиты персональных данных
обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе в соответствии с постановлением Правительства от 01.11.2012 № 1119
в соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки
разработка документа, определяющего перечень лиц, которые имеют доступ которых к персональным данным
обеспечение сохранности носителей персональных данных
средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему
использование средств защиты информации (пароли, двухфакторная идентификация, уровни доступа)
назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе
обеспечение надежности и обновление программного обеспечения, используемого при обработки и хранении персональных данных
разработка регламента по хранению и изменению паролей для документов и носителей, где хранятся персональные данные
утверждение носителей и сервисов, где располагаются персональные данные
электронная цифровая подпись
наличие средств восстановления системы защиты персональных данных
обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе в соответствии с постановлением Правительства от 01.11.2012 № 1119
в соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки
Далее вы можете отправить вашу уведомление в Роскомнадзор либо сохранить его в системе как черновик для последующей доработки и возможного редактирования. Важно обязательно сохранить ссылку на черновик, которую сформирует система, иначе при повторном входе большинство ваших заполненных полей слетит и придется все делать заново
Возможно изменить уведомление?
Если вы ЗАПОЛНИЛИ и ОТПРАВИЛИ уведомление в Роскомнадзор, но вам требуется внести изменения либо дополнения по каким-либо причинам, то это можно сделать на сайте Роскомнадзора ТОЛЬКО, если вам присвоен регистрационный номер о включении в реестр. Без регистрационного номера исправить и дополнить ничего не получится - изменения не будут сохранены и отправлены в Роскомнадзор
Проверить состояние обработки Роскомнадзором своего уведомления можно проверить по ключам, которые выдаст вам система после отправки уведомления в Роскомнадзор
Официальный шаблон от Роскомнадзора по заполнению уведомления для оператора персональных данных
Что в итоге?
В течение 30 дней Роскомнадзор обязан обработать уведомление и включить Оператора персональных данных (ПДн) в реестр. Нахождение в реестре можно будет увидеть здесь, причем Роскомнадзор выводит данные в общий доступ вплоть до адреса (увы)
Через 2 недели Роскомнадзор внес наше уведомление в реестр
Заключение
Юридическим лицам, индивидуальным предпринимателям и самозанятым требуется очень серьезно подойти к исполнению федерального закона № 152, в том числе в плане отправки уведомления в Роскомнадзор операторами персональных данных, так как штрафы с 30 мая 2025 резко возрастают***
В моем Телеграм-канале вы всегда сможете получить ответы по вашим кейсам, найти свежую информацию и экспертизу по рекламному сбору 3%, маркировке рекламы, отправке уведомления в Роскомнадзор от оператора персональных данных (ПДн), а также научиться оформлению отчетности в ОРД, чтобы избежать штрафов от ФАС и Роскомнадзора
