Как подать уведомление в Роскомнадзор об обработке персональных данных
Персональные данные — это любая информация о человеке, которая помогает хотя бы косвенно его идентифицировать. Например, номер телефона, СНИЛС, ИНН, электронная почта. А госномер автомобиля — нет, потому что идентифицирует транспортное средство и общедоступен.
Когда бизнес собирает информацию о клиентах или сотрудниках, он становится оператором персональных данных — ОПД — и должен правильно работать с такими сведениями. В частности, подавать уведомление в Роскомнадзор, РКН, до начала обработки персональных данных.
Рассказываем, как заполнить такое уведомление, когда его нужно подать и что будет, если этого не сделать.
Кто должен подавать уведомление в РКН
Подавать уведомление нужно:
- Всем работодателям.
- Компаниям и ИП, которые собирают персональные данные о клиентах, покупателях, сотрудниках. Например, если просите клиента оставить номер мобильного телефона.
- Владельцам онлайн‑сервисов: сайтов, интернет‑магазинов, мобильных приложений, которые собирают данные пользователей.
- Компаниям и ИП, которые передают данные третьим лицам — например, колл‑центрам или службам доставки.
- Компаниям и ИП, которые обрабатывают чувствительные данные: информацию о здоровье, политических взглядах, религиозных убеждениях.
Есть три случая, когда не нужно подавать уведомление в Роскомнадзор:
- Данные обрабатывают без средств автоматизации.
- Данные находятся в государственных инфосистемах, созданных для защиты безопасности страны и общественного порядка.
- Данные обрабатывают ради транспортной безопасности.
Данные обрабатывают без средств автоматизации — то есть их собирает ответственный сотрудник и заполняет от руки таблицы и формы. Далее эти сведения хранятся в бумажных досье и карточках. При этом бизнес не пользуется бухгалтерскими программами типа 1С или любыми другими аналогичными.
Данные находятся в государственных инфосистемах, созданных для защиты безопасности страны и общественного порядка. Сюда входят, например:
- полицейские системы для борьбы с преступностью;
- системы видеонаблюдения в общественных местах для контроля за безопасностью граждан.
Данные обрабатывают ради транспортной безопасности. Это, к примеру, сведения из систем:
- видеонаблюдения на вокзалах, в аэропортах, портах и метро;
- контроля доступа, в том числе пропуска, биометрия, сканеры.
На практике это значит, что почти все операторы персональных данных должны подавать уведомление в РКН.
Способы подачи и форма уведомления
Уведомления подают по форме, утвержденной РКН. Ее можно найти на официальном сайте ведомства.
Уведомление можно подать тремя способами:
- На сайте Роскомнадзора.
- Через Госуслуги.
- На бумаге в региональное управление Роскомнадзора.
Разберем каждый способ подробнее.
Как подать уведомление
Выбор способа зависит от того, есть ли у бизнеса усиленная квалифицированная электронная подпись — УКЭП — и учетная запись на Госуслугах.
На сайте Роскомнадзора. Понадобится УКЭП. Чтобы подписывать документы электронной подписью, должен быть установлен плагин КриптоПро ЭЦП Browser plug‑in. Инструкция, как его установить.
Через Госуслуги. Понадобится:
- для ИП — подтвержденная учетная запись;
- для ООО — привязка учетной записи сотрудника, который подает уведомление, к кабинету компании на Госуслугах.
На Госуслугах введите в поиске «Роскомнадзор» или «Уведомление о начале осуществления отдельных видов работ и услуг». Затем выберите «Уведомление о намерении осуществлять обработку персональных данных». Заполните все необходимые поля в форме и отправьте.
На бумаге. Можно заполнить форму на сайте, распечатать и отправить ее почтой в территориальный орган Роскомнадзора либо привезти лично. Но этот способ подачи более трудоемкий по сравнению с предыдущими. А еще процесс рассмотрения уведомления может затянуться, так как он не автоматизирован.
Порядок и сроки подачи
Уведомление в Роскомнадзор подают до начала обработки персональных данных.
Подавать дополнительное уведомление нужно в двух случаях:
- Если что‑то изменилось: например, цели обработки, категории обрабатываемых данных, юридический адрес компании или адрес регистрации ИП.
- Если прекратили обработку персональных данных.
Сроки подачи уведомления зависят от ситуации.
Как заполнить уведомление об обработке персональных данных
Когда уведомление заполняют онлайн, в большинстве строк выбирают подходящий ответ из предложенного списка. Но некоторые строки нужно заполнить текстом — собрали их в таблицу.
Что делать после подачи уведомления
Если уведомление заполнили правильно, Роскомнадзор пришлет подтверждение и внесет сведения о компании или ИП в реестр. Срок — не позднее 30 дней с даты регистрации уведомления.
Дальше бизнесу нужно:
- хранить подтверждение подачи уведомления;
- проверить реестр;
- обновлять сведения.
Хранить подтверждение подачи уведомления. Если подавали уведомление через Госуслуги — РКН пришлет квитанцию о приеме, в которой будет указан регистрационный номер. Если на сайте РКН — придет подтверждение о приеме.
Если подавали уведомление на бумаге в территориальном отделении Роскомнадзора, выдадут копию уведомления с отметкой о принятии. Ее лучше тоже сохранить.
Проверить реестр. Для этого на сайте Роскомнадзора есть раздел Реестр операторов. Там можно ввести ИНН компании или ИП. Если поиск по ИНН не сработает, можно попробовать искать по названию или регистрационному номеру, который указан в уведомлении.
Обновлять сведения. Если сведения о компании или ИП изменятся или бизнес прекратит обработку данных по какой‑то причине, нужно отправить в РКН уведомление об этом.
Штрафы за неподачу уведомления в РКН
Бизнес оштрафуют, если он:
- не уведомит Роскомнадзор о начале обработки персональных данных;
- направит уведомление после начала обработки персональных данных.
Штраф может быть такой:
- для самозанятых — от 5 000 до 10 000 ₽;
- для руководителя компании — от 30 000 до 50 000 ₽;
- для юрлиц и ИП — от 100 000 до 300 000 ₽.
За несообщение ведомству об утечке персональных данных штраф для бизнеса может быть до 3 млн рублей.
Как сообщить о прекращении обработки персональных данных
Бизнес должен прекратить обработку персональных данных, если:
- компанию ликвидируют или реорганизуют;
- ИП снимается с учета;
- вступило в силу решение суда о прекращении оператором обработки персональных данных;
- наступил срок или условия прекращения обработки персональных данных, которые оператор раньше указал в уведомлении;
- аннулировали лицензию на ведение деятельности, если одним из ее условий был запрет на передачу персональных данных третьим лицам.
Оператор обязан уведомить о прекращении обработки персональных данных Роскомнадзор в течение 10 рабочих дней с того момента, как произошло событие, например ИП прекратил деятельность. Для этого нужно заполнить уведомление по форме на сайте Роскомнадзора.
Главное
- Оператором персональных данных может быть физлицо, самозанятый, ИП — с сотрудниками и без них, юрлицо.
- Оператор должен сообщать в РКН о своем намерении обрабатывать персональные данные. Для этого ему нужно отправить уведомление до начала обработки данных.
- Еще обязательно сообщать в Роскомнадзор об изменениях сведений в первичном уведомлении, о прекращении обработки и об утечке данных.
- Уведомить РКН можно Почтой России, через сайт РКН и через личный кабинет Госуслуг.
- РКН не сообщает о добавлении в реестр операторов персональных данных. Найти себя в реестре можно на сайте ведомства.
Подпишитесь на рассылки
Собираем самые полезные материалы, интересные мероприятия и важные новости в коротких письмах. Вы можете подписаться на одну из рассылок или на все сразу.
Дважды в неделю
Как вести бизнес в России
Важные новости, бизнес‑кейсы, разборы законов и практические советы для предпринимателей
Раз в неделю
Как зарабатывать на маркетплейсах
Новости торговых площадок, инструкции для селлеров и лайфхаки успешных продавцов
Раз в две недели
Мероприятия для бизнеса
Анонсы вебинаров, конференций и других событий для предпринимателей
Раз в две недели
Рассылка для бухгалтеров
Новости и советы, которые помогут упростить работу и больше зарабатывать
Какие у вас бывают сложности с обработкой персональных данных?
Я из Приднестровья. Что делать нерезидентам РФ? У меня сайт в доменной зоне ru уже 15 лет, скрипт доски объявлений на php. На сайт РКН невозможно зайти с молдавскими ip адресами, только с российскими. Попал на сайт росскомнадзора с помощью OpenVPN с российским ip, но там всё для граждан РФ, какой я должен регион выбрать, если я из Приднестровья? У меня на сайте 3 формы для взаимодействия пользователей с сайтом. Оставляют свои имена, email и номера телефонов. Роскомнадзор не отвечает на эти вопросы. Получается все желающие, даже нерезиденты РФ могут зарегистрировать домен второго уровня в ru, а его могут заблокировать в любой момент, потому что его сайта нет в реестре РКН.