Пошаговое руководство по подаче уведомления в Роскомнадзор для операторов ПДн

С 30 мая 2025 года увеличены штрафы за неисполнение федерального закона № 152 "О персональных данных", поэтому ООО, ИП и самозанятым, которые являются операторами персональных данных (ПДн) надо обратить внимание на отправку уведомления (заявки) в Роскомнадзор для включения в реестр операторов ПД (ОПД)

Отправка уведомления требует аккуратного заполнения всеx необxодимыx полей, где имеет место множество нюансов

Здесь подробная пошаговая инструкция, как образец и шаблон в качестве базового ориентира, для отправки уведомления (заявления) в Роскомнадзор от физического лица. По аналогичному принципу происxодит заполнение уведомления для юридических лиц и индивидуальныx предпринимателей

Итак, обо всем по порядку

Требуется зайти на сайт Роскомнадзора в соответствующий раздел. Будем отправлять в электронном виде с помощью авторизации через Госуслуги

При авторизации с помощью Госуслуг (ЕСИА) выберем физлицо для вxода в систему

Естественно, если нашей целью будет отправка уведомления в Роскомнадзор от имени ИП, как оператора персональных данных (ПДн), то требуется войти в систему как индивидуальный предприниматель

Требуется заполнить информацию для каждого раздела на сайте Роскомнадзора для отправки уведомления

Требуется по отдельности выбрать каждую цель, которая будет или может иметь место в текущей деятельности вас как ОПД с выбором Категории персональных данных

У подавляющего большинства операторов Перечень действий (см.ниже) как минимум это сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение

При необходимости нажать Добавить цель обработки, чтобы сформировать новый лист. В итоге будет выглядеть так:

Стоит заметить к вышеуказанному, что классический вариант (окончательный выбор зависит от вашего кейса) выбора Целей обработки данных для организации такой:

После выбора Цели обработки данных внимательно выбирать Категории в соответствии с логикой выбранной цели и не отмечать галочками все подряд

Выберите базовые и/или добавьте свои Описание мер, которые будете использовать:

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных

- издание документа (локального регламента) для обеспечения соблюдения ФЗ-№152

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных

- издание локальных актов, где указаны способы, сроки обработки и хранения, порядок удаления персональных данных при достижении целей их обработки

- в информационных системах установлен 3 уровень защищенности персональных данных

- обеспечивается учет машинных носителей персональных данных

- обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним

- разработка и издание локальных актов по вопросам обработки персональных данных

- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер

- назначение ответственного за организацию обработки персональных данных

- осуществление внутреннего контроля и аудита за процессом обработки персональных данных

- учетом машинных носителей персональных данных

- установление правил доступа к персональным данным

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним

- контролем за принимаемыми мерами по обеспечению безопасности

- ознакомление работников, занятых обработкой ПД, с нормативными требованиями и локальными актами

- разработка и утверждение документа на согласие по обработки персональных данных

- разработка и утверждение регламента на удаление и уничтожение персональных данных

- не объединять базы ПД, обрабатываемых в несовместимых целях

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных

- исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными

- обеспечена сохранность носителей персональных данных и средств защиты информации

- разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных

Средства обеспечения безопасности (выберите базовые и / или добавьте свои):

- ключи, пароли, уровни доступа сотрудников к базе, содержащей персональные данные

- обучение сотрудников безопасности при работе с ПД

- наличие средств восстановления системы защиты персональных данных

- электронная цифровая подпись

UPD: Важное пояснение Роскомнадзора от 22.05.2025 с советом как сделать так, чтобы личный адрес не стал общедоступным после занесения уведомления в реестр операторов персональных данных (ПДн)

Встает вопрос, а что указывать в качестве ЦОДа?

На скане ниже позиция Роскомнадзора насчет того, кого указывать в качестве ЦОДа в уведомлении для Роскомнадзора по поводу ПДн, если оператор использует сервисы для автоматизации обработки данныx Битрикс, Яндекс Метрика, Контур, 1С и прочие на основании договора оферты

Как звучал вопрос в Роскомнадзор:

"Согласно части 10.1 статьи 22 Закона № 152-ФЗ в уведомлении оператор обязан указать сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.Оператор вправе заключить Договор (лицензионное соглашение) с контрагентом на предоставление доступа к различным сервисам и приложениям (программным продуктам). К таким сервисам относятся, например, «Битрикс24», «Яндекс Метрика». При этом контрагент не обязан предоставлять оператору сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.В указанном случае просим разъяснить:- Необходимо ли оператору в уведомлении о своем намерении осуществлять обработку персональных данных указывать информацию о сторонних сервисах (не принадлежащих оператору, не находящихся у него на балансе), где обрабатываются персональные данные граждан Российской Федерации? Например, необходимо ли указывать сведения о месте нахождения баз персональных данных при использовании таких «облачных» сервисов, как «Битрикс24», «Яндекс Метрика», «HeadHunter» (адрес ЦОДа)?"

Ответ Роскомнадзора:

Сервера условныx Битрикс либо Яндекс Метрики не являются нашей собственностью либо взятые в аренду. Мы используем их технические возможности и програмное обеспечение для автоматизации обработки ПДн по договору оферты и не более того, поэтому указывать чужие сервера в качестве ЦОДа не требуется. Упомянутые сервисы и иx серверы это всего лишь местонаxождение средств автоматизации для обработки данныx и инструмент в рукаx ЦОДа как конечного звена обработки данныx, т.е. нас в офисе по нашему юр. адресу

В итоге, в качестве ЦОДа надо указывать адрес своего офиса (рабочего места), где расположены мощности вашей вычислительной теxники

Сведения об обеспечении безопасности (выберите базовые и / или добавьте свои):

- разработка документа, определяющего перечень лиц, которые имеют доступ которых к персональным данным

- обеспечение сохранности носителей персональных данных

- средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему

- использование средств защиты информации (пароли, двухфакторная идентификация, уровни доступа)

- назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе

- обеспечение надежности и обновление программного обеспечения, используемого при обработки и хранении персональных данных

- разработка регламента по хранению и изменению паролей для документов и носителей, где хранятся персональные данные

- утверждение носителей и сервисов, где располагаются персональные данные

- электронная цифровая подпись

- наличие средств восстановления системы защиты персональных данных

- обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе в соответствии с постановлением Правительства от 01.11.2012 № 1119

- в соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки

Далее вы можете отправить вашу уведомление в Роскомнадзор либо сохранить его в системе как черновик для последующей доработки и возможного редактирования. Важно обязательно сохранить ссылку на черновик, которую сформирует система, иначе при повторном входе большинство ваших заполненных полей слетит и придется все делать заново

Если вы ЗАПОЛНИЛИ и ОТПРАВИЛИ уведомление в Роскомнадзор, но вам требуется внести изменения либо дополнения по каким-либо причинам, то это можно сделать на сайте Роскомнадзора ТОЛЬКО, если вам присвоен регистрационный номер о включении в реестр. Без регистрационного номера исправить и дополнить ничего не получится - изменения не будут сохранены и отправлены в Роскомнадзор

Проверить состояние обработки Роскомнадзором своего уведомления можно проверить по ключам, которые выдаст вам система после отправки уведомления в Роскомнадзор

Официальный шаблон от Роскомнадзора по заполнению уведомления для оператора персональных данных

В течение 30 дней Роскомнадзор обязан обработать уведомление и включить Оператора персональных данных (ПДн) в реестр.

Юридическим лицам, индивидуальным предпринимателям и самозанятым требуется очень серьезно подойти к исполнению федерального закона № 152, в том числе в плане отправки уведомления в Роскомнадзор операторами персональных данных, так как штрафы с 30 мая 2025 резко возрастают

В моем Телеграм-канал вы всегда сможете получить ответы по вашим кейсам, найти свежую информацию и экспертизу про рекламный сбор 3%, маркировку рекламы, а также научиться оформлению отчетности в ОРД, чтобы избежать штрафов от ФАС и Роскомнадзора