05 февр. 2025 г. в 11:32Защита персональных данных

Уведомление в Роскомнадзор 2025: какие документы нужны для регистрации

Реестр операторов персональных ведет Роскомнадзор. Он же следит, как компании соблюдают права владельцев данных и остальные требования закона № 152-ФЗ. Все компании и ИП, которые работают с данными физлиц, обязаны уведомить РКН перед началом такой работы, а также подготовить внушительный комплект документов.

Иллюстрация: freepik/freepik

Уведомление в Роскомнадзор

Уведомление в Роскомнадзор — это документ, подтверждающий намерение ИП или юрлица обрабатывать, накапливать, хранить и использовать персональные данные граждан (ст. 22 закона от 27.07.2006 № 152-ФЗ).

Операторы персональных данных — это все компании и предприниматели, которые собирают информацию о своих клиентах, покупателях, сотрудниках, пациентах. Например, интернет-магазины, банки, больницы, госучреждения — операторы ПД.

В некоторых случаях организации вправе не уведомлять Роскомнадзор об обработке ПД, они перечислены в п. 7–9 ч. 2 ст. 22 закона № 152-ФЗ. Всего с тремя типами персональных данных можно работать, не уведомляя контрольный орган:

используются в информационных системах для обеспечения госбезопасности и общественного порядка;
обеспечивают безопасность в сфере транспортного комплекса;
обрабатываются без использования средств автоматизации.

Все остальные обязаны уведомить РКН до того как начинают работать с ПД. Форму уведомления Роскомнадзор утвердил в своем приказе от 28.10.2022 № 180.

Оператор ПД направляет уведомление одним из удобных способов:

На бумаге. Распечатывает уведомление в бумажном виде на сайте Роскомнадзора, заполняет, подписывает и предоставляет в местное отделение ведомства — лично или письмом по почте.
В электронной форме. Заполняет электронную форму на сайте Роскомнадзора. Форма подписывается электронной подписью.
На портале «Госуслуг».

После получения уведомления Роскомнадзор в течение 30 дней вносит сведения об операторе ПД в реестр. Организация может опубликовать на своем сайте плашку о том, что имеет статус оператора персональных данных. Это делается для повышения лояльности клиентов и партнеров, а также подтверждения, что компания соблюдает законодательство и обеспечивает безопасность чужих данных.

Уведомление в Роскомнадзор — это основной документ, без которого организация не вправе собирать и использовать данные граждан. Кроме этого, оператору необходимо подготовить целый комплект документов — внутренних регламентов, приказов, инструкций и локальных актов. У каждой организации он свой, зависит от вида деятельности и категории ПД (ст. 18.1 закона № 152-ФЗ).

Политика обработки персональных данных

Политика — это внутренний документ, который объясняет, как компания собирает, хранит и использует персональные данные (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Она должна быть понятной как для сотрудников, так и для клиентов.

Что нужно указать в политике:

цели обработки данных — например, для выполнения договора или предоставления услуг;
перечень данных, которые обрабатываются — ФИО, телефон, email и т.д.;
порядок защиты данных и ответственность компании за их сохранность.

Например, интернет-магазин может прописать в политике, что данные клиента (ФИО, адрес доставки, номер телефона) используются для оформления заказа и обратной связи.

На сайте «Роском Онлайн» вы можете заказать как комплексные, так и локальные услуги, связанные с обработкой персональных данных и соблюдением закона № 152-ФЗ. Не знаете с чего начать? Скачайте чек-лист со списком документов (более 60 позиций) или запишитесь на бесплатную консультацию.

Получить консультацию бесплатно

Согласие на обработку персональных данных

Документ позволяет компании законно собирать и использовать данные. Согласие должно быть получено у каждого человека, чьи данные вы обрабатываете, если иное не предусмотрено законом (ст. 9 закона № 152-ФЗ).

Что важно в согласии:

конкретная формулировка, какие данные собираются и с какой целью;
подтверждение, что человек не против использования своих данных (подпись на бумажном документе или проставление«галочки» на сайте оператора).

Например, когда вы нанимаете нового сотрудника, он подписывает согласие, позволяя компании хранить его паспортные данные, СНИЛС и информацию о месте жительства.

Согласие на распространение персональных данных

Если организация планирует передавать персональные данные третьим лицам, необходимо получить на это отдельное согласие (ч. 9 ст. 9 закона № 152-ФЗ). Важно понимать, что обработка и распространение данных — это разные процессы, и для каждого требуется четкое разрешение.

Что должно быть в согласии:

четкое указание категорий данных, которые будут передаваться;
перечень лиц или организаций, которым могут быть переданы данные — например, партнеры компании, государственные органы;
цели передачи данных — например, для исполнения договора или предоставления услуг.

Допустим, интернет-магазин сотрудничает с курьерской службой. Чтобы передать курьерам адреса клиентов для доставки заказов, необходимо получить у клиентов согласие на распространение их данных.

Получить бесплатную консультацию по регистрации в Роскомнадзоре и подготовке документов для работы с персональными данными

Приказ о назначении ответственного сотрудника

Каждая организация обязана назначить сотрудника, который будет отвечать за соблюдение правил работы с персональными данными. Этот приказ фиксирует, кто именно несет ответственность (ст. 22.1 закона № 152-ФЗ).

Что включает приказ:

ФИО сотрудника и его должность;
обязанности сотрудника — например, контроль за безопасностью данных и своевременным обновлением документов;
дату вступления приказа в силу.

В небольшой компании эту роль часто выполняет руководитель отдела кадров. В приказе указывается, что он следит за правильностью хранения трудовых книжек, согласий сотрудников и других документов.

Соглашение о неразглашении информации

Документ защищает персональные данные от утечек внутри компании. Соглашение подписывается с сотрудниками и подрядчиками, которые имеют доступ к конфиденциальной информации.

Что включает соглашение:

перечень данных, которые считаются конфиденциальными;
обязанности сотрудника по защите данных — например, запрет передавать их третьим лицам;
ответственность за нарушение соглашения — штрафы, увольнение, возмещение ущерба.

Менеджер по персоналу имеет доступ к личным делам сотрудников, где содержатся их паспортные данные. Подписав соглашение о неразглашении, он обязуется не разглашать эту информацию даже после увольнения.

Правила осуществления внутреннего контроля

Операторы персональных данных должны обеспечивать безопасность чужих данных и проводить мероприятия, направленные на устранение угроз, взломов баз, утечек ПД (п. 4 ч. 1 ст. 18.1, ст. 19 закона № 152-ФЗ).

Правила описывают, как в компании организован процесс контроля за обработкой персональных данных. Он помогает не только соблюдать законодательство, но и оперативно выявлять нарушения.

Что должно быть в правилах:

регулярность проверки соблюдения правил — например, ежеквартальный аудит;
порядок действий при обнаружении нарушений — например, составление акта и привлечение ответственного сотрудника;
меры для предотвращения утечек данных — шифрование, обучение сотрудников.

Например, в компании раз в полгода проводится внутренний аудит, в ходе которого проверяется, как хранятся согласия сотрудников, настроены ли пароли на рабочих компьютерах и соблюдаются ли сроки уничтожения устаревших данных.

Приказ о допуске

Приказ о допуске оформляется для того, чтобы определить сотрудников, которые имеют право работать с персональными данными. Это важный документ, который фиксирует зону ответственности и предотвращает доступ к данным посторонних лиц.

Что указывается в приказе:

список сотрудников, которые получают доступ к персональным данным;
категории данных, с которыми разрешено работать;
уровень доступа — например, просмотр, редактирование, передача третьим лицам;
меры ответственности за нарушение порядка работы с данными.

Допустим, в компании вводится приказ, согласно которому доступ к данным клиентов имеют только менеджеры отдела продаж. Этот доступ ограничивается только информацией, необходимой для заключения и сопровождения сделок. Сотрудники других отделов, например бухгалтерия или склад, не имеют права работать с данными клиентов.

Акт об уничтожении персональных данных

Документ фиксирует процесс удаления персональных данных, которые больше не нужны компании, или их уничтожение в случае окончания срока хранения. Акт необходим для подтверждения того, что данные были уничтожены корректно и не могут быть восстановлены.

Что включает акт:

дату и место уничтожения данных;
описание уничтоженных данных — например, копии паспортов, резюме, анкеты;
способ уничтожения — сжигание, уничтожение на шредере, удаление с электронных носителей;
подписи ответственных лиц, участвовавших в процессе.

Компания завершила проект, в рамках которого обрабатывались данные покупателей: копии паспортов и банковских реквизитов. После завершения всех расчетов и аудита формируется акт, где указывается, что данные удалены с серверов и бумажные копии уничтожены с помощью шредера.

Подведем итоги

Мы рассмотрели лишь малую часть документов, необходимых для работы с персональными данными и включения в реестр операторов. Количество документов для разных организаций может отличаться в зависимости от конкретных факторов — направления деятельности компании, категорий субъектов ПД, наличия сотрудников, целей обработки, используемых средств и т.д.

Коротко о других документах:

Правила рассмотрения запросов субъектов ПД — устанавливают порядок действий для должностных лиц: как зарегистрировать запрос, как отвечать представителям владельцев данных и т.д.
Приказ о хранении бумажных носителей — определяет, где хранить документы и формы, кто ответственный за хранение.
Приказ об утверждении перечня информационных систем — утверждает автоматизированные системы для работы с ПД — кадровый учет, начисление зарплаты.
Инструкция по проведению инструктажа — с работниками компании проводят инструктаж по работе с автоматизированными системами, ознакамливают с ответственностью за нарушения, определяют границы доступа к базам.
Акт оценки потенциального вреда — каждой категории персональных данных присваивается степень вреда, который может быть нанесен в случае происшествий, например, утечек, взломов баз данных, несанкционированного доступа: низкий, средний, высокий, чрезвычайно высокий.

На сайте «Роском Онлайн» скачайте чек-лист с исчерпывающим перечнем документов и ссылками на НПА. Вы получите более 60 документов и форм, необходимых для работы с персональными данными и соблюдения требований закона № 152-ФЗ. Переходите на сайт, чтобы изучить полный перечень услуг и оставить заявку на бесплатную консультацию.

Читайте также:

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFGSoWX2

Консалтинг Онлайн

«Консалтинг Онлайн» - комплексное юридическое сопровождение бизнеса от создания до ликвидации

12 937 подписчиков 343 поста

Маруся Медведева23 мая 2025 г. в 12:20
Бухгалтер ООО Примус
Подскажите, а что делать если Уведомление подано, но часом позже выявлена опечатка в дате: там 2027 год случайно, вместо 2017. Чтобы внести изменения, я так понимаю, надо дождаться регистрационного номера записи, а они на это целых 30 дней отводят... Это криминально или не очень, то что мы будем ждать пока присвоят номер, потом только сможем исправить опечатку?
Татьяна Ратникова11 июн. 2025 г. в 15:18
"Он же следит, как компании соблюдают права владельцев данных" Следит каким образом? Собирает жалобы? Других способов не придумала, подскажите, пожалуйста.
VadimBA12 нояб. 2025 г. в 17:36
Вам ранее @Жанна задавала вопросы. Вы специально их игнорируете?
Вот эти:
https://www.klerk.ru/blogs/fedresurs/668072/#comment__1455731
https://www.klerk.ru/blogs/fedresurs/668320/#comment__1456148
Если не знаете ответа, так и скажите.