Как подать заявление в РКН* об обработке персональных данных на сайте

Информирование Роскомнадзора об обработке персональных данных — это не просто соблюдение бюрократической процедуры, а ключевое требование для законного сбора и использования информации о пользователях.

Начиная с 30 мая 2025 года, в РФ существенно усилена ответственность за обработку персональных данных без направления соответствующего уведомления в РКН. Владельцы сайтов, собирающие через свои ресурсы имена, номера телефонов, электронную почту и иную личную информацию, обязаны подать уведомление. Для юридических лиц и индивидуальных предпринимателей штрафы могут доходить до 300 000 рублей.

Представленное руководство содержит пошаговый алгоритм, который поможет корректно подготовить и направить уведомление в РКН, минимизировав риск типичных ошибок и применения санкций.

Кто должен уведомлять Роскомнадзор?

Оператором персональных данных признается любое лицо, осуществляющее сбор и обработку личной информации пользователей. В эту категорию входят:

• Юридические лица (все формы организаций, включая ООО и АО).
• Индивидуальные предприниматели (ИП).
• Самозанятые граждане, чья деятельность связана с оказанием услуг через сайт.

Наличие на веб-ресурсе любых форм для связи, регистрации, подписки или оформления заказов означает, что вы работаете с персональными данными и должны уведомить об этом регулятора.

Случаи, когда уведомление не нужно

Законодательство предусматривает три исключения, когда направлять уведомление в РКН не требуется:

1. Неавтоматизированная обработка — работа с данными ведется исключительно вручную, без применения компьютерной техники.
2. Обработка в рамках государственных информационных систем, предназначенных для обеспечения безопасности.
3. Деятельность, связанная с обеспечением транспортной безопасности.

Для подавляющего большинства (более 99%) владельцев сайтов эти исключения не действуют, что делает подачу уведомления строго обязательной.

Подготовка к подаче уведомления: что сделать в первую очередь

Направление уведомления — завершающий этап. Ему должна предшествовать внутренняя организационная работа и подготовка документов.

1. Назначение ответственного сотрудника

Издается приказ, которым на конкретного работника возлагаются функции по организации обработки и защите персональных данных. В малом бизнесе эти обязанности часто исполняет непосредственно руководитель.

Информация об этом сотруднике (ФИО, должность, контакты) затем вносится в уведомление для РКН.

2. Подготовка пакета внутренних документов

Сформируйте комплект необходимой организационно-распорядительной документации:

• Положение об обработке персональных данных — ключевой документ, устанавливающий правила работы с личной информацией.
• Политика конфиденциальности сайта — документ, с которым знакомятся и соглашаются пользователи.
• Внутренние инструкции и регламенты, определяющие процедуры доступа к данным и применяемые меры безопасности.

Содержание этих документов должно быть согласовано со сведениями, которые будут указаны в уведомлении для Роскомнадзора.

3. Аудит сайта на предмет соответствия

Перед подачей уведомления проведите анализ своего сайта:

• Типы собираемых данных через все формы (ФИО, телефон, e-mail и прочее).
• Наличие во всех формах согласия на обработку (чекбокс со ссылкой на политику конфиденциальности).
• Доступность политики конфиденциальности для пользователей сайта.
• Сторонние сервисы, участвующие в обработке данных (Яндекс.Метрика, CRM-системы).
  
  

Практическое руководство: заполняем и подаем уведомление

Шаг 1. Определяемся со способом подачи

Роскомнадзор допускает три варианта подачи уведомления:

1. Через личный кабинет на официальном сайте РКН (требуется усиленная квалифицированная электронная подпись — УКЭП).
2. Через портал Госуслуг с подтвержденной учетной записью — самый удобный вариант, не требующий ЭЦП.
3. На бумажном носителе — при личном визите или почтовым отправлением в территориальный орган Роскомнадзора.

Шаг 2. Заполняем форму уведомления

Форма уведомления регламентирована приказом Роскомнадзора от 28.10.2022 №180. При заполнении не следует слепо копировать чужие шаблоны — регулятор относит это к числу распространенных нарушений.

Основные блоки уведомления:

1. Информация об операторе
   • Организации: полное и сокращенное название, ИНН, ОГРН, юридический адрес.
   • ИП: ФИО, ИНН, ОГРН ИП, адрес регистрации.
   • Контактные реквизиты (телефон, e-mail).
   • Регионы, в которых осуществляется обработка данных — территории вашей фактической деятельности.

2. Цели обработки персональных данных
   Перечислите все цели сбора информации пользователей. Классификатор РКН содержит свыше 30 стандартных формулировок, можно выбрать подходящие или ввести собственные.

   • Примеры для сайта: "Исполнение договоров гражданско-правового характера", "Реализация услуг", "Продвижение товаров и реклама".

   Критически важно: для каждой заявленной цели необходимо отдельно прописать категории данных и субъектов.

3. Категории обрабатываемых персональных данных
   Конкретизируйте, какие именно данные собирает сайт: ФИО, номер телефона, адрес электронной почты, адрес доставки и т.п.
4. Категории субъектов данных
   Укажите, данные каких лиц обрабатываются: клиенты, посетители сайта, подписчики.

5. Способы обработки информации
   Отметьте подходящие варианты:

   • автоматизированный;
   • неавтоматизированный;
   • смешанный.

   Для большинства сайтов характерен смешанный способ.
   Дополнительно укажите, осуществляется ли передача данных через интернет или локальную сеть.

6. Меры по обеспечению безопасности данных
   Опишите реализованные организационные и технические меры защиты:
   • Назначение ответственного за обработку ПДн.
   • Парольная аутентификация на рабочих местах.
   • Применение антивирусного программного обеспечения.
   • Контроль физического доступа к носителям информации.
   • Использование средств шифрования (если применяются).

Шаг 3. Отправка уведомления и получение статуса

После тщательной проверки правильности заполненных данных уведомление отправляется.

Период рассмотрения уведомления регулирующим органом — не более 30 дней с даты его получения.

По итогам рассмотрения ваша компания или ИП будут внесены в государственный реестр операторов персональных данных. Наличие записи в реестре можно проверить на сайте РКН по названию, ИНН или ОГРН.

Действия после подачи уведомления

• Контролируйте актуальность информации — при любых изменениях (смена ответственного, адреса, целей обработки) необходимо подать обновленное уведомление до 15 числа месяца, следующего за месяцем изменений.
• Актуализируйте политику конфиденциальности на сайте при изменении процедур работы с данными.
• Уведомляйте РКН о трансграничной передаче, если данные передаются за рубеж.
• В случае инцидента утечки данных проинформируйте регулятора в течение 24 часов.

Распространенные ошибки при подаче уведомления

1. Использование чужих шаблонов без адаптации под специфику своей деятельности.
2. Сбор избыточной информации — запрос данных, не обусловленных заявленными целями обработки.
3. Противоречия между внутренними документами и сведениями в уведомлении.
4. Подача уведомления при отсутствии необходимых локальных актов.
   
   

Ответственность за отсутствие уведомления

С 30 мая 2025 года размер штрафных санкций за работу без уведомления РКН существенно возрос:

Первичное нарушение может быть ограничено предупреждением, однако повторное повлечет за собой назначение штрафа в полном объеме.

Вывод

Уведомление Роскомнадзора об обработке персональных данных — обязательная процедура для владельцев сайтов, собирающих информацию о пользователях. Ужесточение штрафов с 30 мая 2025 года делает это требование как никогда актуальным.

Грамотная подготовка внутренних документов, тщательное заполнение уведомления и его своевременная передача в РКН позволяют легализовать работу с персональными данными и предотвратить существенные финансовые потери.

Не откладывайте подачу уведомления — обеспечьте правовую защиту вашему бизнесу от штрафов и внеплановых проверок.