Уведомление о начале обработки персональных данных: как составить и отправить в Роскомнадзор.

Каждая компания или индивидуальный предприниматель, собирающаяся обрабатывать личную информацию, обязана сообщить об этом Роскомнадзору (ч. 1 ст. 22 Федерального закона № 152-ФЗ). Сам процесс подачи уведомления прост, но до этого необходимо составить внутренние правила компании по работе с персональными данными.

До недавнего времени любая компания могла собирать и обрабатывать персональные данные без оповещения Роскомнадзора, штрафы за нарушение были незначительными. С 30 мая 2025 года всё изменилось. Невыполнение обязанности по уведомлению может грозить организации штрафом от 100 000 до 300 000 рублей.

Новые санкции за разглашение личной информации с 2025 года

Обязанность уведомлять Роскомнадзор

По требованию статьи 22 Федерального закона № 152-ФЗ о необходимости уведомления РКН о начале сбора персональных данных подлежат организации, индивидуальные предприниматели и самозанятые.

В каждой организации сведения о работниках обрабатываются при трудоустройстве, выплате зарплаты, оформлении командировок и т.д. Информация заносится в личные дела сотрудников. Некоторая часть компаний обрабатывает персональные данные не только работников, но и клиентов. Избежать подачи уведомления в РКН невозможно, за исключением отдельных случаев.

• Предприятия, осуществляющие полный учет личной информации исключительно на бумажных носителях.
• Учреждения, входящие в состав госисследований и обрабатывающие личную информацию из таких систем.
• Предприятия, занимающиеся обработкой личных данных в области транспортной безопасности.

После подачи уведомления в РКН компания или индивидуальный предприниматель регистрируются как операторы персональных данных, что признаётся легитимным основанием для обработки этих данных.

Последовательное предоставление информации не требуется, но при необходимости можно обновлять ее.

Как направить уведомление

В Роскомнадзор можно отправить уведомление тремя способами.

1. В бумажном виде, по почте РФ. Сначала заполняют форму уведомления, утвержденную приложением 2 к приказу Роскомнадзора от 28.10.2022 № 180. Затем её подписывают и отправляют по почте по адресу Роскомнадзора.

   перейти к форме

2. Электронно, через портал ГосуслугДля этого требуется верифицированная учетная запись организации. В личном кабинете портала Госуслуг в подразделе «Роскомнадзор» необходимо заполнить форму электронного уведомления, подписать ее электронной подписью и отправить.

   перейти к сервису ЕСИА

3. Электронно, через сайт Роскомнадзора. Чтобы воспользоваться услугой на сайте Роскомнадзора, зайдите в раздел «Обработка персональных данных». Заполните форму уведомления, поставьте подпись с помощью усиленной квалифицированной электронной подписи и отправьте ее. В таком случае бумажная подача не понадобится. Вам нужен установленный плагин. КриптоПро ЭЦП Browser plug-in и настроена работа с ним.

   перейти к форме

Уведомление об обработке персональных данных.

Форму уведомления можно найти на сайте Роскомнадзора и заполнить. Это самый оптимальный вариант.

Адресные данные оператора

Первым делом определите регион, а потом тип оператора. В обоих случаях вам помогут подсказки в выпадающем меню. После этого укажите название и адрес.

Если регистрация оформлена в одном субъекте, а работа ведётся в другом, укажите регион, где осуществляется деятельность.

В списке сведений о компании есть графа «Электронный адрес». Она помечена красной звездой, поэтому его необходимо заполнить.

Регионы обработки. В данное поле можно ввести отдельные регионы или выбрать опцию «Все субъекты РФ», установив флажок. Необходимо быть внимательным и не путать регионы с территориями субъектов, чьи данные обрабатываются, так как субъект может располагаться в любом регионе.

Цели сбора персональных данных

Организациям нужно сообщить РКН о категориях граждан, чьи данные они обрабатывают, а также о назначении этой обработки.

В выпадающем списке к полю «Цели обработки ПД» доступно более 30 вариантов. Все связаны с соблюдением законодательства: трудового, налогового, страхового, жилищного и др. Можно выбрать предложенный вариант или добавить свой в поле «иное».

Работники организации уверены, что руководство следует трудовому законодательству.

Определяя типы обрабатываемых данных, помните, что полученная информация должна соответствовать назначению её использования.

Трудно поверить, что для соблюдения трудовых законов нужно собирать информацию о национальности, политических и религиозных взглядах. В законе есть отдельные положения о разрешенных случаях использования подобной информации.

Документы, такие как паспорт, водительские права, удостоверение личности, свидетельство о рождении, военный билет и диплом, содержащие информацию о конкретном человеке, считаются не самим персональными данными, а носителями таких данных.

В поле нужно указать категории персональных данных, вводимые в форму кадрового учета Т2, и дополнительно — другие категории, которые обрабатываются организацией при выполнении других видов деятельности.

Если предложенные системой позиции в поле «Категории персональных данных» исчерпаны, а категории персональных данных всё ещё остаются, необходимо заполнить поле «Другие категории персональных данных».

Субъекты персональных данных

Множество организаций обрабатывают личные сведения не только сотрудников, но и клиентов или партнеров. Это касается всех, кто работает в сфере услуг: салонов красоты, туристических агентств, лабораторий для проведения медицинских анализов, медицинских центров и так далее. Онлайн-магазины собирают информацию покупателей для доставки товаров.

В данном разделе нужно поставить галочки возле категорий лиц, информация о которых обрабатывается: сотрудники, кандидаты на вакансии, партнеры, клиенты, пользователи веб-сайта и др.

Юридические основания для обработки персональных данных.

Обработка персональных данных осуществляется на основе комплекта внутренних нормативных актов компании, определяющих порядок работы с данными. К ним относятся положения о работе с персональными данными и соответствующие разделы Правил внутреннего трудового распорядка.
Однако главным документом в этом наборе выступает письменное согласие владельца данных.

В уведомлении представлены все возможные варианты, требуется выбрать подходящий и отметить его галочкой. Для большей части компаний это первая строка: «Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных». Внизу находится поле для ввода собственного варианта.

В этом поле необходимо указать все отраслевые нормативно-правовые акты, применяемые компанией при обработке персональных данных, с указанием даты, номера и наименования каждого акта.

Устав Общества с ограниченной ответственностью ____ от ___ №, Положение об ______ от ____ № ____, лицензия на ___ от ____ № _____ и т. п.

В этом поле нужно указать локальные акты, принятые Оператором в соответствии с законами о персональных данных: Положение об обработке персональных данных ООО (ИП, физ. лицо) _____ от _____ № _____, приказы, инструкции и прочие документы.

Пример.

Обработка личных данных производится по согласию субъекта этих данных о ее обработке; обработка личных данных необходима для достижения целей, установленных международными договорами России или законом, а также для выполнения функций, полномочий и обязанностей, возложенных на оператора законодательством РФ. Трудовой Кодекс РФ

Варианты действий с персональными данными

Обработка персональных данных включает в себя сбор, упорядочивание, накопление, сохранение, уточнение, использование, передачу, анонимизацию, блокирование и удаление таких данных.

Отмечайте в форме подходящие вам варианты.

Способы обработки

В данном разделе для заполнения предусмотрено три поля.

1. Определить метод обработки: автоматизированный, ручной или комбинированный.
   
   Обработка информации с использованием компьютеров называется автоматизированной. Если данные обрабатывает человек без помощи техники, это считается неавтоматизированной обработкой. Исключительно автоматизированный метод встречается редко, поэтому смешанная обработка допустима.
2. Укажите, передаются ли данные по внутренней сети.
   
   Передача персональных данных по внутренней сети оператора предполагает передачу личной информации между устройствами и серверами. Такая передача может быть связана с внутренними процессами, например, кадровики предоставляют данные в бухгалтерию, а продавцы — информацию о клиентах курьерам.
3. Указать используется Интернет или нет.

«Без передачи по сети интернет» подразумевает перемещение персональных данных в пределах закрытой и охраняемой сети, недоступной извне через интернет.

Описание мер, установленных статьями 18.1 и 19 Федерального закона «О персональных данных».

Все операторы обязаны заботиться о безопасности персональных данных. Полный перечень мер представлен в ст. 18.1 и 19 Федерального закона №152-ФЗ.

Необходимо определить конкретные организационные и технические меры безопасности, включая применение шифровальных средств, для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и других противоправных действий во время обработки.

При использовании электронной цифровой подписи необходимо заполнить поле «использование шифровальных (криптографических) средств», указав наименование, регистрационные номера и производителей применяемых криптографических средств, а также информацию об уровнях защиты.

Раздел «средства обеспечения безопасности» включает технические методы, гарантирующие безопасность информации во время её обработки.

Раздел «Правовые меры» может содержать информацию, уже представленную в поле «Правовое основание обработки персональных данных». В этом случае дублирование не требуется.

Если произведена классификация информационных систем персональных данных, необходимо в уведомлении указать класс, которому относится данная система. Приказы от 13 февраля 2008 года № 55, № 86 и № 20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». )

В целом набор мер не имеет фиксированных границ; каждая компания формирует его самостоятельно, исходя из характера своей работы, количества работников, количества и типа веб-ресурсов, объёмов хранящихся персональных сведений и закрепляет решения внутренней документацией.

Вот некоторые их них:

Мера безопасности	Документ, способный служить основой для внесения…
Разработаны и утверждены локальные документы	Документ о обработке личных сведений. Политики конфиденциальности сайта Приказы, инструкции, журналы, карточки и т.д.
Ограничен доступ к личной информации, утвержден список получателей персональных сведений.	Положение о работе с персональными данными Приказ
Определен лицо, ответственное за обработку персональных сведений.	Приказ
Введено требование о соблюдении конфиденциальности	Договор о защите конфиденциальности для работников и внештатных исполнителей с доступом к персональным данным. Политика конфиденциальности сайта
Приняты правила уничтожения информации, составляющей коммерческую тайну.	Положение о работе с персональными данными Приказ
Работникам, имеющим доступ к персональным данным, провели инструктаж.	Приказ Инструкция Журнал проведения инструктажей
Введен порядок выявления и решения проблем с работой компьютера и программного обеспечения.	Программа мер по обеспечению информационной безопасности. Журнал проверок на вирусы Инструкции Аттестации
Для охраны персональных данных используются технические, программные (шифрование данных) и физические (пропускная система) методы.	Положение о работе с персональными данными Приказы об утверждении применяемого ПО

Пример первого заполнения поля «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных» «.

Созданы внутренние правила по обработке личной информации: Приказ о работе с персональными данными № 34 от 12.03.2025.

Внедрены нормы пользования личной информацией, хранящейся в базе данных, и ведется учёт всех операций с ней в этой базе.

Работники, непосредственно выполняющие обработку персональных данных, знают положения законодательства России о персональных данных, включая правила защиты и документы, устанавливающие политику обработки.

Определен человек, отвечающий за обработку персональных данных.

На корпоративном сайте опубликован документ с политикой по обработке персональных данных и информацией о соблюдении требований их защиты.

В информационных системах созданы модели угроз безопасности персональной информации. Уровень защиты персональных данных в информационных системах составляет третий.

Ведется регистрация машинно-читаемых носителей личной информации.

Проводится внутренний контроль соблюдения при обработке персональных данных положений Федерального закона Российской Федерации № 152 «О персональных данных» и других нормативных актов, принятых на его основании.

Для защиты сайта компании и персональной информации используются программы и технические решения, которые прошли проверку на безопасность. Список средств защиты: Kaspersky Small Office Security Версия 3.0 (13.0.4.456).

Предотвращено неограниченное попадание или нахождение незарегистрированных людей в местах обработки личной информации.

Пример заполнения поля «Описание мер, предусмотренных статьей 18.1. и 19 Федерального закона «О персональных данных»».

• Утверждены документы, устанавливающие политику оператора в области обработки персональных данных. В них определены составы обрабатываемых данных, категории субъектов, способы и сроки их обработки и хранения, а также порядок уничтожения персональных данных для каждой цели обработки.
• Выбрали человека, отвечающего за обработку персональных данных.
• Разделены права доступа к материальным носителям персональных данных и к персональным данным, обработанным в информационной системе.
• Сотрудники, получившие доступ к обработке персональных данных, прошли ознакомление с законом Российской Федерации об их защите, а также с требованиями к обработке.
• Система настроена для выявления случаев несанкционированного доступа к личным сведениям и осуществления действий по выявлению, предотвращению и устранению последствий кибератак на информационные системы с персональными данными, а также реагирования на компьютерные инциденты в них.
• На корпоративном сайте опубликован документ, устанавливающий политику по обработке персональных данных, а также информацию о соблюдении требований к их защите.
• Внутренний контроль и аудит соблюдения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при обработке персональных данных проводятся.
• На сайте компании действует программное обеспечение для защиты персональных данных и используются средства технической защиты, которые прошли проверку на соответствие установленным требованиям: Kaspersky Small Office Security версия 3.0 (13.0.4.456).

Пример 3 от Роскомнадзора. Прописывание мер, предписанных статьями 18.1. и 19 Федерального закона «О персональных данных».

Созданы локальные нормативные акты по обработке персональных данных.
Лица, непосредственно занимающиеся обработкой персональных данных, знакомы с законодательством РФ о персональных данных, в том числе с требованиями к их защите, документами, определяющими политику обработки, и локальными актами.
Назначен ответственный за организацию обработки персональных данных. На стенде (или сайте) размещен документ, определяющий политику обработки персональных данных, а также сведения о выполняемых требованиях к их защите.
Разработаны модели угроз безопасности персональным данным в информационных системах. В информационных системах установлен 3 уровень защищенности персональных данных. Обеспечивается учет машинных носителей с персональными данными. Обеспечивается восстановление персональных данных, измененных или уничтоженных вследствие несанкционированного доступа.
Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, и обеспечивается регистрация и учёт всех действий с данными в системе.
Проводится внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам.
Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещениях, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации. Для обеспечения безопасности применяются программно-технические средства.

Электронная цифровая подпись, антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных.

Использование шифровальных (криптографических) средств: используются

класс СКЗИ: КС1;

Средства шифрования: КриптоПРО 5.0 от ООО «Информационные системы».

Ответственный за обработку персональных данных

Ответственность за обработку персональных данных может возлагаться на постоянного работника, которого руководитель утверждает распоряжением.

• Необходимы знания и навыки, чтобы разобраться в вопросе и объяснить коллегам правила безопасности.
• Инстанция с властными полномочиями, выдающая приказ, подлежащий выполнению.

Доступ к разным зонам может регулироваться разными ролями: юрист отвечает за одну зону, а HR-менеджер и бухгалтер — за другую.

Оператор может доверить обработку персональных данных другому предприятию при соблюдении условий, описанных в ч. 3 ст. 6 Закона №152-ФЗ. Одним из таких условий является получение согласия владельца персональных данных на то, чтобы другая компания выполняла обработку его информации по поручению оператора.

Трансграничная передача персональных данных

В данном меню необходимо отметить соответствующую графу: выполняется или не выполняется.

Использование шифровальных (криптографических) средств

При применении необходимо указать наименование применяемых средств криптографии и класс средств криптографической защиты информации (СКЗИ).

Информация об адресе хранилища базы данных с персональными данными граждан России.

Здесь приводится информация о серверах и местоположении.

В разделе «Собственный ЦОД» можно выбрать «да» или «нет». При выборе варианта «нет» необходимо указать информацию о компании, которая отвечает за хранение данных.

Информация о защите персональных данных

Напишите, какие действия предприняла ваша компания для соблюдения постановления Правительства РФ от 01.11.2012 № 1119.

Варианты могут быть такими:

• Утверждён документ, который определяет перечень лиц, которым требуется доступ к персональным данным, обрабатываемым в информационной системе, для исполнения ими служебных обязанностей.
• Для противодействия текущим угрозам применяются средства защиты информации, соответствующие законам РФ по обеспечению информационной безопасности.
• Доступ в помещения с персональными данными ограничен, введено удостоверение личности и проверка полномочий.
• На технике предустановлено антивирусное ПО.
• Доступ к данным защищен паролями, хранящимися конфиденциально.
• Оценка безопасности обработки личных данных.
• Информационная система и персональные данные защищены.
• другое