Работа с персональными данными клиентов или сотрудников сегодня невозможна без соблюдения требований Федерального закона № 152-ФЗ. Одно из ключевых обязательств — своевременное уведомление Роскомнадзора о начале обработки ПДн. Ниже разбираем, что необходимо подготовить, кто обязан подавать уведомление, как проходит регистрация и какие последствия грозят за нарушение сроков.

1. Что нужно подготовить перед подачей уведомления

Подача уведомления — это не формальность, а завершающий этап подготовки к работе с персональными данными.
Роскомнадзор вправе запросить внутренние документы в любой момент, поэтому до отправки уведомления важно сформировать полный пакет локальных актов, подтверждающих соответствие 152-ФЗ.

Основные документы оператора ПДн

1. Политика обработки персональных данных.
Определяет цели и основания обработки, категории субъектов, перечень данных, порядок хранения, сроки, трансграничную передачу, меры защиты.

2. Приказы и регламенты по работе с ПДн.
Включают:
• приказ о назначении ответственного за организацию обработки;
• перечень сотрудников, имеющих доступ к ПДн;
• порядок хранения, архивирования, уничтожения данных;
• правила работы с носителями информации.

3. Формы согласий и уведомления субъектов.
Бланки согласий клиентов и сотрудников, уведомление об использовании cookie и иных технологий сбора данных на сайте.

4. Журналы учета и внутренние реестры.
Например: журнал обращений субъектов ПДн, журнал учета выдачи документов с персональными данными, акты уничтожения сведений.

В зависимости от специфики бизнеса количество документов может различаться — от базового комплекта из 8–10 позиций до полноценной системы из нескольких десятков регламентов. Главное — не создавать документы «для галочки», а реально применять их в процессе работы.

2. Кто обязан подавать уведомление в Роскомнадзор

Уведомление обязательно для всех операторов ПДн — юридических лиц и индивидуальных предпринимателей, которые собирают, хранят, систематизируют или передают данные физических лиц. Это прямо указано в ст. 22 закона № 152-ФЗ.

Уведомление обязательно, если вы:

• Собираете данные клиентов или персонала.
Анкеты, договоры, CRM, пропускные системы, видеонаблюдение, сервис обратной связи — всё это обработка ПДн.

• Являетесь владельцем сайта или онлайн-сервиса.
Интернет-магазины, маркетплейсы, образовательные платформы, SaaS-сервисы — любые ресурсы, где пользователь вводит свои данные.

• Передаёте персональные данные подрядчикам.
Колл-центры, логистические компании, бухгалтерские сервисы, CRM-провайдеры — при передаче данных обязательства по уведомлению только усиливаются.

• Работаете с особыми категориями ПДн.
Биометрия, сведения о здоровье, политические или религиозные убеждения — такие операции требуют повышенного контроля и обязательной регистрации.

Исключения

Закон допускает работу без уведомления только в редких случаях:

1. Государственные операторы, работающие в рамках государственных ИСПДн.
2. Полностью неавтоматизированная обработка (только бумажные документы).
3. Обработка в сфере транспортной безопасности.

С 1 сентября 2022 года большинство прежних исключений отменены. Сегодня практически любому бизнесу необходимо подавать уведомление, иначе деятельность считается незаконной.

⚠️ Важно: до подачи уведомления оператор не имеет права собирать персональные данные. Любое действие с ПДн до регистрации — нарушение закона.

3. Как подать уведомление в Роскомнадзор: пошаговый алгоритм

1. Определите, какие данные вы реально собираете,

Пример: имя, телефон, e-mail, паспортные данные, реквизиты договора, адрес доставки.

2. Определите, для чего вы их обрабатываете

Примеры корректных целей:

• заключение и исполнение договора,

• обратная связь с клиентом,

• ведение бухгалтерского и налогового учёта,

• выполнение требований законодательства,

• организация доставки товара,
  формирование статистических данных

• запись на услуги.

Не пишите цели «на всякий случай». Только реальные!

Если ваших целей нет в списке, выберите иные и напишите свою:

3. Определите категории субъектов, чьи данные вы собираете. Для каждой цели отдельно.

Клиенты, сотрудники, подрядчики, посетители сайта.

4 Определите правовое основание обработки персональных данных

Выберите из предложенных вариантов. Если вашего варианта нет, пишите в ячейку свой вариант:

Обращаем внимание, что Федеральный закон № 152-ФЗ «О персональных данных» не является правовым основанием обработки персональных данных.

5. Перечень действий, Выберите реальные способы обработки

Чаще всего: сбор, хранение, систематизация, передача, обезличивание (если есть), уничтожение.

Не добавляйте того, чего нет.

6. Способы обработки

• автоматизированный — это например с использованием СРМ системы, когда с сайта автоматически обрабатываются в SaaS
• не автоматический — когда в записную книжку или эксейль табличку ручками внесли

С передачей по внутренней сети, например в 1С доступ имеет менеджер и бухгалтер, т.е. разные отделы в структуре вашей организации.

Например у вас бухгалтер если аутсорсинг, то тогда Передача по сети Интернет.

7. Опишите меры по защите персональных данных

Организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

Я вам показала лишь пример, все данные разрабатываются и описываются индивидуально, в зависимости от ваших бизнес процессов.

8. Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

Сюда вносите место нахождения баз. Если это ваш компьютер или тумбочка для тетрадки, значит пишите адрес где они находятся.

Если это SaaS или облачное хранилище, значит пишите сюда адрес местонахождения сервера.

9. Сведения об обеспечении безопасности персональных данных

Указывается перечень мер, реализуемый оператором в целях исполнения требований, установленных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Заключение

Регистрация оператора персональных данных — обязательное требование, без которого любая деятельность с ПДн считается незаконной.
Своевременная подача уведомления, грамотная подготовка документов и поддержание актуальности сведений позволяют избежать серьёзных штрафов, проверок и блокировок.

Если вам нужна помощь в подготовке уведомления, разработке пакета документов или проверке сайта на соответствие 152-ФЗ — специалисты sta-legal.ru готовы выполнить работу «под ключ».