Как подать уведомление в Роскомнадзор: пошаговая инструкция для оператора по обработке персональных данных

С 30 мая 2025 года начинают начисляться повышенные штрафы за несоблюдение положений Федерального закона № 152-ФЗ «О персональных данных». В связи с этим организациям, индивидуальным предпринимателям и самозанятым, обрабатывающим персональные данные, следует обратить особое внимание на необходимость подачи уведомления в Роскомнадзор для внесения в реестр операторов персональных данных (ОПД).

Заполнение уведомления требует внимательного подхода — необходимо корректно указать все обязательные сведения с учетом многочисленных нюансов.

В данной статье мы сделали пошаговый гайд, который может служить ориентиром при подаче уведомления в Роскомнадзор от лица организации. Аналогичный порядок применяется и для других форм операторов персональных данных (ПД).

Для подачи заявления нужно зайти на сайт Роскомнадзора и в левом боковом меню выбрать «Электронные формы заявлений».

Внизу на этой странице нужно выбрать «Перейти к заполнению формы электронного заявления».

Мы будем отправлять электронное уведомление, используя усиленную квалифицированную электронную подпись. Поэтому мы нажимаем на ссылку «Перейти к форме» в пункте 2 «Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи».

Если вы хотите отправить уведомление, авторизовавшись через Госуслуги, выбирайте пункт 3 «Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА».

Далее, заполняем раздел «Сведения об операторе». Поля, отмеченные красной звездочкой, нужно заполнить обязательно.

После этого переходим к заполнению блока «Цели обработки персональных данных». Из выпадающего списка необходимо поочередно выбрать все цели, которые применимы или потенциально могут применяться в вашей текущей деятельности как ОПД. В нашем примере, ведение кадрового и бухгалтерского учета.

Важно! Выбор целей и постановка галочки в каждом чекбоксе должны быть обоснованными и соответствовать вашей реальной практике, так как наш пример приведен исключительно в ознакомительных целях и служит лишь ориентиром.

Типовой набор целей обработки данных для организации:

• подготовка, заключение и исполнение договоров гражданско-правового характера с контрагентами — для самозанятых, чаще всего, этой цели достаточно;
• проведение статистического учета — выбираете, если на сайте установлены инструменты веб-аналитики, например, Яндекс Метрика, ВК пиксель и др.;
• продвижение товаров, работ, услуг на рынке;
• ведение кадрового и бухгалтерского учета;
• обеспечение соблюдения трудового, налогового, пенсионного законодательства.

В разделе «Категории субъектов персональных данных» нужно отметить всех субъектов, чьи данные компания использует для ведения кадрового и бухгалтерского учета (поскольку в нашем примере выбрана такая цель обработки ПД).

В разделе «Правовое основание обработки персональных данных» галочками нужно отметить те утверждения, которые соответствуют действительности для конкретной цели (в нашем случае — ведение кадрового и бухгалтерского учета).

В разделе «Перечень действий» галочками нужно отметить, те действия, которые компания осуществляет для выполнения цели обработки персональных данных (в нашем примере — ведение кадрового и бухгалтерского учета).

В разделе «Способы обработки персональных данных» из выпадающих списков нужно выбрать те способы, которые компания использует, в нашем случае, для ведения кадрового и бухгалтерского учета.

При наличии других целей обработки персональных данных — нажмите на кнопку «Добавить цель обработки», после чего заполните все разделы аналогично примеру с целью «Ведение кадрового и бухгалтерского учета».

В разделе «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» нужно описать, какими средствами и мерами обеспечивается безопасность ПД.

Вы можете выбрать меры обеспечения безопасности из предложенного списка и/или указать собственные. Например:

• разработка и издание локальных актов по вопросам обработки ПД;
• назначение ответственного за организацию обработки ПД;
• установление правил доступа к ПД;
• разработка и утверждение документа на согласие по обработки ПД;
• обеспечение сохранности носителей ПД и средств защиты информации и т.д.

В разделе «Средства обеспечения безопасности» можно указать:

• ключи,
• пароли,
• электронную цифровую подпись,
• уровни доступа сотрудников к базе, содержащей ПД,
• обучение сотрудников безопасности при работе с ПД,
• наличие инструментов восстановления системы защиты ПД.

В разделе «Использование шифровальных (криптографических) средств» из выпадающего списка нужно выбрать один из двух вариантов — используются ли последнии или не используются при обработке ПД. В случае использования нужно галочкой отметить класс СКЗИ.

В разделе «Наименование, изготовители, серийные номера средств шифрования» нужно указать соответствующие данные.

Далее необходимо указать информацию о лице, ответственном за обработку персональных данных.

В разделе «Дата начала обработки персональных данных» нужно указать соответствующую дату — чаще всего это дата регистрации юридического лица.

В разделе «Сроки или условия прекращения обработки персональных данных» из выпадающего списка нужно выбрать либо дату окончания, либо условия окончания обработки ПД. Если вы выбираете второй вариант — укажите причину в дополнительном поле. Например, ликвидация предприятия.

В разделе «Осуществление трансграничной передачи персональных данных» из выпадающего списка нужно выбрать, осуществляется ли данная передача или нет.

Важно! Использование Google Analytics считается трансграничной передачей данных на территорию иностранного государства. Поэтому важно указать это для цели «Проведение статистического учета».

В разделе «Сведения о местонахождении базы данных информации, содержащие персональные данные граждан РФ» нужно указать адреса нахождения всех баз данных.

В разделе «Сведения об обеспечении безопасности персональных данных» нужно указать, как обеспечивается безопасность персональных данных в компании. Например:

• разрабатывается документ, определяющий перечень лиц, имеющих доступ к ПД;
• используются средства защиты информации: пароли, уровни доступа, двухфакторная идентификация;
• обеспечивается сохранность носителей ПД;
• используется электронная цифровая подпись;
• разрабатывается регламент по хранению и изменению паролей и т.д.

На финальном этапе нужно заполнить данные лица, подающего уведомление, а также приложить машиночитаемую доверенность, на основание которой лицо подписывает данное уведомление.

Если уведомление заполняется руководителем организации, то нужно поставить галочку возле фразы «Уведомление будет подписано лицом, имеющим право действовать без доверенности от имени оператора».

В конце не забудьте поставить галочки возле фразы «Я ознакомлен с порядком подачи уведомления в электронном виде», а также возле фразы «Я подтверждаю свое согласие на передачу информации в электронной форме уведомления (в том числе персональных данных) по открытым каналам связи сети Интернет».

После этого вы можете отправить ваше уведомление в Роскомнадзор — для этого нужно щелкнуть на кнопку «Подписать и отправить электронное уведомление». Также вы можете сохранить в системе черновик для последующей доработки и возможного редактирования.

Если вы уже отправили уведомление в Роскомнадзор и позже возникла необходимость внести в него изменения или дополнения, сделать это через сайт ведомства возможно только в том случае, если вашему уведомлению присвоен регистрационный номер и оно включено в реестр. Без этого номера система не позволит сохранить изменения или отправить их в Роскомнадзор — корректировки просто не будут учтены.

Проверить статус обработки вашего уведомления в Роскомнадзоре можно с помощью специальных ключей, которые система предоставляет после отправки уведомления.

В течение 30 дней Роскомнадзор должен рассмотреть уведомление и внести оператора персональных данных в соответствующий реестр. Все данные публикуются в открытом доступе, включая, в частности, и адрес оператора. Проверить наличие записи можно на страничке «Реестр операторов» на официальном сайте Роскомнадзора.