CloudPayments
Войти

Уведомление в Роскомнадзор об обработке ПДн: когда, как и что указать

Получить CloudPayments бесплатно

Нужно ли уведомлять: критерии и исключения

По ст. 22 оператор обязан уведомить Роскомнадзор до начала обработки ПДн. Исключения существуют (например, обработка кадровых данных при соблюдении условий, обработка в рамках договора без распространения), но трактуются узко. Если есть сомнения — уведомляйте: практика РКН показывает, что «ошибочное» уведомление безопаснее его отсутствия.

Проверьте факторы:

  • вы используете сайт/формы, принимаете заявки, ведете CRM;
  • передаете ПДн подрядчикам (хостинг, кол‑центр, маркетинг);
  • планируете трансграничную передачу;
  • обрабатываете спецкатегории или биометрию;
  • осуществляете распространение (ст. 10.1).

Если хотя бы один пункт «да», уведомление почти наверняка нужно.

Когда подавать и как обновлять сведения

  • Срок: до начала обработки ПДн;
  • Обновление: при изменении целей, категорий ПДн, перечня мер безопасности, сведений об ответственном, трансграничной передаче и др.;
  • Отзыв: при прекращении обработки.

Соблюдайте принцип актуальности — устаревшие сведения в реестре трактуются как нарушение.

Получить CloudPayments бесплатно

Пошаговая инструкция по заполнению уведомления

  1. Опишите процессы: цели, категории субъектов, состав ПДн, сроки хранения;
  2. Определите правовые основания (ст. 6) и необходимость согласий (ст. 9, 10, 10.1, 11);
  3. Укажите меры безопасности (ст. 19): организационные и технические;
  4. Определите факты трансграничной передачи (ст. 21) — страны, меры;
  5. Заполните форму на портале РКН (электронная подача предпочтительна);
  6. Проверьте корректность контактов (оператора, ответственного);
  7. Зафиксируйте поданную форму (PDF/скриншоты) и исходящий номер.

Совет: держите «реестр процессов» — с него удобно копировать в форму уведомления и обратно.

Типичные ошибки и как их избежать

  • Неуказанные каналы сбора (сайт, формы, телефония);
  • Пустые/общие формулировки целей («маркетинг») без конкретики;
  • Отсутствие сведений о подрядчиках и поручении обработки (ст. 12);
  • Неполный перечень мер безопасности;
  • Неактуальные сведения (старый ответственный/адрес сайта).

Используйте предварительный чек‑лист и двойную проверку данных.

Реестр операторов: как проверить себя

После обработки уведомления оператор появляется в реестре (ст. 22.1). Проверьте карточку: корректно ли отражены цели, категории ПДн, сайт/домены, сведения об ответственном. Сохраняйте контрольные копии на дату проверки.

Изменения 2025: на что обратить внимание

Усиление контроля за распространением ПДн (ст. 10.1) и трансграничной передачей, требования к конкретности целей, к мерам безопасности и учету согласий. Подготовьте обновленные формулировки и убедитесь, что карточка в реестре соответствует фактической обработке.

Чек‑лист перед подачей

  • Описаны процессы, цели и сроки хранения;
  • Определены правовые основания, согласия и исключения;
  • Перечень мер безопасности актуален;
  • Прописаны подрядчики и договоры поручения;
  • Проверены домены/сайты, контакты и ответственный;
  • Подготовлены сканы/выписки для архива соответствия.
Получить CloudPayments бесплатно