Как подать уведомление об обработке персональных данных в Роскомнадзор

Способы подачи уведомления

Вы можете подать уведомление об обработке персональных данных в 2025 году несколькими способами:

1. Бумажный вариант — классика для тех, кто предпочитает «живую» подпись. Заполните форму на сайте РКН, распечатайте, подпишите, поставьте печать и направьте документ в территориальный орган Роскомнадзора по месту регистрации оператора лично или почтой. Этот способ удобен, если у вас нет УКЭП или подтвержденного профиля на Госуслугах.
2. Электронно с УКЭП — для юрлиц и ИП, у которых есть такая подпись. Заполните форму на портале Роскомнадзора, подпишите усиленной квалифицированной электронной подписью и отправьте на рассмотрение. Этот способ экономит время. 
3. Через ЕСИА (портал «Госуслуги») — самый простой для тех, у кого подтвержденная учетная запись. Авторизуйтесь через ЕСИА, выберите роль (от имени организации или как физическое лицо), заполните электронную форму и направьте уведомление в Роскомнадзор. Если вы подаете от имени организации, ваша учетная запись на Госуслугах должна быть привязана к ней. Это удобно, когда нет УКЭП. 

Как заполнить уведомление

Для заполнения уведомления об обработке персональных данных в Роскомнадзор используйте официальную форму на сайте ведомства, в противном случае у вас его не примут. 

Сначала выберите регион — область, в которой зарегистрирован ваш бизнес. Затем перейдите к заполнению следующих разделов. 

Сведения об операторе

В форме уведомления об обработке персональных данных нужно подробно указать сведения об организации или индивидуальном предпринимателе, который выступает оператором. 

Заполняются следующие поля:

1. Тип оператора — юридическое лицо или ИП, которое обрабатывает персональные данные.
2. Полное наименование — официальное название организации в соответствии с уставом и ЕГРЮЛ или ЕГРИП.
3. Сокращенное наименование — аббревиатура или краткая форма, если она закреплена в документах.
4. Адрес местонахождения — индекс и фактический адрес. Чтобы указать его, нажмите кнопку «выбрать» в разделе «Адрес местонахождения».
5. Почтовый адрес — если он совпадает с юридическим, достаточно отметить галочку «совпадает с адресом местонахождения».
6. Электронная почта — рабочий e-mail организации, по которому Роскомнадзор сможет направлять уведомления.
7. Регионы обработки — территории, на которой обрабатываются персональные данные. В форме можно выбрать один или несколько регионов через поиск, либо отметить вариант «Все субъекты Российской Федерации».
8. ИНН — идентификационный номер налогоплательщика. Если ваша компания уже зарегистрирована в реестре операторов, система выдаст сообщение «Запись об операторе с таким ИНН уже существует». В таком случае можно проверить наличие сведений в реестре или заполнить уведомление об изменении сведений (используется другая форма). 
9. ОГРН — основной государственный регистрационный номер и дата регистрации организации или ИП.

Эти сведения обязательны при подаче уведомления. Указывайте их внимательно, сверяясь с учредительными документами и выпиской из ЕГРЮЛ/ЕГРИП, чтобы избежать отказа Роскомнадзора.

Цели и другие условия обработки ПДн

После заполнения сведений об операторе нужно подробно описать цели, категории данных и условия их обработки. Эта часть уведомления формирует правовую основу вашей работы с персональными данными и проверяется Роскомнадзором особенно тщательно. Все пункты заполняются по каждой цели обработки:

1. Цели обработки. Укажите, для чего организация собирает данные. Например, при работе с формами на сайте цель может быть «Продвижение товаров, работ, услуг на рынке». Если у вас есть сотрудники, добавьте цель «Ведение кадрового и бухгалтерского учета».
2. Категории персональных данных. Определите, какие сведения вы собираете: фамилия, имя, контактный телефон, адрес электронной почты, паспортные данные, сведения о трудовой деятельности и другие.
3. Категории субъектов. Укажите, чьи данные обрабатываются. Это могут быть клиенты, контрагенты, сотрудники, кандидаты на работу.
4. Правовое основание. Чаще всего это согласие субъекта, но могут быть и другие основания: обработка в связи с участием субъекта в судопроизводстве; для исполнения договора, выгодоприобретателем которого выступает субъект, и т.д. Все возможные цели указаны в уведомлении, вам нужно только поставить галочки напротив подходящих полей. 
5. Перечень действий. Опишите, что именно вы делаете с данными: сбор, хранение, систематизация, использование, передача, блокирование, уничтожение и т.д.
6. Способы обработки. Укажите, как ведется обработка: автоматизированная, смешанная, с передачей по внутренней сети организации или через интернет.
7. Меры защиты ПДн по ст. 18.1 и 19 ФЗ №152-ФЗ. Перечислите организационные и технические меры: наличие политики и других локальных актов, назначение ответственного, ограничение доступа, учет и хранение носителей информации.
8. Средства обеспечения безопасности. Укажите используемые системы защиты, антивирусные комплексы, средства контроля доступа. 
9. Криптографические средства. Если применяете шифрование — отметьте это.
10. Ответственный за обработку. Внесите данные сотрудника, назначенного приказом руководителя организации ответственным за организацию обработки ПДн. 
11. Дата начала обработки. Укажите момент, с которого фактически начат сбор и использование персональных данных.
12. Срок или условие прекращения обработки. Зафиксируйте дату или событие, по наступлении которого прекращается обработка, например «до достижения целей обработки» или «по отзыву согласия субъекта».
13. Трансграничная передача. Сообщите, передаются ли ПДн за пределы РФ.

Все эти сведения обязательны при заполнении уведомления об обработке персональных данных. Нельзя просто выбрать цель — нужно показать законное основание, конкретные действия и меры защиты, которые организация реально применяет.

Сведения о местонахождении базы данных, в которой хранятся ПДн граждан РФ

В уведомлении нужно указать, где физически размещены базы, содержащие персональные данные граждан РФ. Эти сведения обязательны для внесения в реестр операторов.

В поле «База данных №1» укажите адрес, по которому хранится информация. Если база не единственная — добавьте дополнительные записи.

Чтобы внести адрес, воспользуйтесь кнопкой «выбрать» в форме. Если данные размещены у хостинг-провайдера, уточните у него адрес центра обработки данных (ЦОД) и укажите его в уведомлении.

Таким образом, Роскомнадзор получает сведения о том, что база с персональными данными российских граждан хранится именно на территории РФ — это требование ст. 18 ФЗ №152-ФЗ.

Сведения о лицах, у которых есть доступ к ПДн или обрабатывающих данные по договору

При заполнении уведомления оператора об обработке персональных данных нужно указать лиц, которые получают доступ к данным или обрабатывают их на основании договора, если речь идет о государственных или муниципальных информационных системах.

В поле «Контакт №1» внесите сведения о таком лице: наименование организации или ФИО индивидуального предпринимателя, а также его контактные данные. Если таких лиц несколько — добавляйте их по одному с помощью кнопки «Добавить сведения».

Сведения об обеспечении безопасности ПДн

В разделе нужно подробно описать, какие организационные и технические меры применяет компания-оператор для защиты информации. Эти меры должны соответствовать требованиям, установленным Постановлением Правительства РФ от 01.11.2012 №1119 и статьями 18.1 и 19 ФЗ №152-ФЗ. 

Укажите меры безопасности, которые внедрены. Например:

• разграничение доступа;
• антивирусная защита;
• шифрование;
• резервное копирование;
• идентификация и аутентификация;
• контроль за носителями информации. 

Эти сведения показывают, что оператор обеспечивает реальную защиту данных, а не только формально выполняет требования закона.

Как проверить регистрацию в Роскомнадзоре

Регистрация в РКН занимает до 30 календарных дней. Чтобы проверить уведомление об обработке персональных данных, выполните следующие шаги:

1. Перейдите в раздел «Реестр операторов персональных данных» на официальном сайте Роскомнадзора.
2. Введите в поисковое поле ИНН вашей организации или ИП.
3. Нажмите кнопку «Найти».

Если вы внесены в реестр, система отобразит строку с названием вашей организации и основной информацией. При отсутствии записи стоит проверить, корректно ли заполнено уведомление и поступило ли оно в Роскомнадзор.

Заключение 

Подача уведомления об обработке ПДн — это только первый шаг. Важно следить, чтобы сведения в реестре были актуальными: при изменении адреса, целей обработки или ответственного лица нужно вовремя направлять корректировки.

Если оператор этого не сделает, Роскомнадзор вправе применить санкции. Кроме того, с 30 мая 2025 года штрафы существенно выросли, и теперь за неподачу уведомления об обработке персональных данных могут оштрафовать на сумму до 300 000 вместо 5 000 рублей, как это было раньше (ч.10 ст.13.11 КоАП РФ).