Заполнение уведомления в Роскомнадзор: Избегайте типичных ошибок при работе с персональными данными

Для чего нужно уведомление в Роскомнадзор и почему его заполнение — это важно?

В соответствии со статьей 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ), большинство операторов, осуществляющих обработку персональных данных (ПДн), обязаны направить уведомление о своем намерении обрабатывать ПДн в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Информация из таких уведомлений включается в специальный Реестр операторов, осуществляющих обработку персональных данных, который находится в открытом доступе на официальном сайте Роскомнадзора. Наличие оператора в этом реестре свидетельствует о его соблюдении требований законодательства в сфере ПДн.

Неподача уведомления (при наличии такой обязанности) или подача уведомления с недостоверными сведениями является административным правонарушением и может повлечь за собой штрафные санкции в соответствии со статьей 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ).

Правильное и своевременное заполнение и подача уведомления не только помогает избежать штрафов, но и формирует имидж ответственной компании, заботящейся о безопасности данных своих клиентов, сотрудников и партнеров.

Уведомление или информационное письмо: В чем разница?

Оператор подает уведомление, когда только начинает свою деятельность по обработке персональных данных или впервые подпадает под требование о его подаче.

Информационное письмо подается уже зарегистрированным в реестре оператором в случае изменения сведений, которые ранее были внесены в Реестр. Например, смена адреса, добавление новых целей обработки, категорий ПДн или субъектов.

Ключевые отличия удобно представить в таблице:

Важно: При подаче информационного письма вы не *добавляете* информацию в существующее поле реестра, а полностью *заменяете* его содержимое на актуальное. Например, если вы добавили новую цель обработки, в информационном письме нужно перечислить *все* цели (старые и новую), а не только новую.

Главный совет: Используйте портал персональных данных Роскомнадзора

Наиболее удобный и наименее рискованный способ заполнить уведомление или информационное письмо – использовать электронную форму на официальном портале персональных данных Роскомнадзора. Этот сервис имеет встроенные подсказки и проверки, что помогает избежать части ошибок. Хотя и он не гарантирует идеального заполнения без понимания сути требуемых сведений.

Типичные ошибки при заполнении уведомления и информационного письма

Даже при использовании электронной формы операторы часто допускают однотипные ошибки. Разберем наиболее распространенные из них.

Ошибка № 1: Документ оформлен без соблюдения правил делопроизводства (при подаче на бумаге)

Как бывает: Уведомление или письмо распечатывается и подписывается без использования фирменного бланка, регистрации исходящего номера и даты.

Как правильно: Если вы подаете документ на бумаге (хотя электронная форма предпочтительнее), он должен быть оформлен на официальном бланке вашей организации или заверен печатью (при наличии) на подписи руководителя или уполномоченного лица. Документ обязательно должен иметь исходящий номер и дату регистрации в соответствии с вашим внутренним документооборотом. Это придает документу юридическую силу.

Ошибка № 2: Неверное указание адреса и наименования оператора

Как бывает: Указан неполный адрес (нет индекса, региона, района, номера офиса и т.д.) или наименование организации отличается от данных в ЕГРЮЛ/ЕГРИП.

Как правильно: Укажите полное наименование оператора (как в ЕГРЮЛ/ЕГРИП) и его юридический адрес со всеми необходимыми элементами: почтовый индекс, субъект РФ, муниципальный район (если применимо), город/населенный пункт, улица, номер дома, корпус/строение (если есть), номер офиса/помещения. Почтовый адрес и адрес местонахождения могут отличаться; укажите оба, если это предусмотрено формой и соответствует реальности. Наименование должно точно совпадать с вашими учредительными документами.

Затруднение: Раздел "Филиалы"

Как бывает: Оператор не понимает, что указывать в этом поле.

Как правильно: В этом разделе указываются сведения о территориально обособленных подразделениях оператора (филиалы, представительства, отделения, крупные магазины или офисы), если они имеют отношение к процессу обработки персональных данных и входят в состав оператора. Перечисляются их наименования и адреса местонахождения.

Ошибка № 3: Неправильное правовое основание обработки персональных данных

Как бывает: Операторы указывают только Закон № 152-ФЗ или дают очень общие формулировки.

Как правильно: Закон № 152-ФЗ не является самостоятельным правовым основанием для обработки ПДн. Он лишь регулирует отношения, связанные с обработкой. Правовые основания – это конкретные нормы права или соглашения, которые дают оператору право обрабатывать данные. Согласно статье 6 Закона № 152-ФЗ, обработка может осуществляться на основании:

• Согласия субъекта ПДн.
• Федерального закона, обязывающего оператора обрабатывать ПДн (например, Налоговый кодекс РФ для налогового учета, Трудовой кодекс РФ для кадрового учета).
• Договора между оператором и субъектом ПДн (или договора, по которому субъект является выгодоприобретателем).
• Осуществления оператором своих прав и законных интересов или прав и законных интересов третьих лиц (при соблюдении баланса прав и свобод субъекта).
• Исполнения государственных или муниципальных функций, полномочий.
• Исполнения судебного акта, акта другого органа или должностного лица.

В поле "Правовое основание" необходимо перечислить конкретные федеральные законы, подзаконные акты, устав организации, договоры, согласие субъекта ПДн и другие документы, которые дают вам право обрабатывать данные для заявленных целей. Указывайте полные реквизиты: вид документа, дата принятия/подписания, номер, название/стороны.

Например: "Трудовой кодекс Российской Федерации", "Налоговый кодекс Российской Федерации", "Устав ООО "Название" от ДД.ММ.ГГГГ №...", "Договор оказания услуг от ДД.ММ.ГГГГ №...", "Согласие субъекта персональных данных от ДД.ММ.ГГГГ", "Положение об обработке персональных данных ООО "Название" от ДД.ММ.ГГГГ №... (принято в соответствии с требованиями Закона № 152-ФЗ)". Локальные акты (Положение, приказы) указываются как часть правового основания, но только в связке с законом, договором или согласием.

Ошибка № 4: Неполное или некорректное описание цели обработки

Как бывает: Используются слишком общие фразы типа "ведение базы клиентов" или "обработка ПДн по закону". Забывают про очевидные цели.

Как правильно: Цели обработки должны быть конкретными, законными и заранее определенными. Они должны соответствовать видам деятельности вашей организации, указанным в уставе или положении. Обязательно включите цели, связанные с:

• Кадровым учетом и трудовыми отношениями (для работников).
• Бухгалтерским и налоговым учетом.
• Осуществлением вашей основной деятельности (оказание услуг, продажа товаров, выполнение работ и т.д.).
• Исполнением требований законодательства (подача отчетности в ФНС, СФР и другие органы).

Формулировки должны быть четкими, например: "Осуществление кадрового и бухгалтерского учета", "Заключение и исполнение договоров с клиентами", "Обработка обращений граждан", "Проведение маркетинговых акций (при наличии согласия)".

Ошибка № 5: Ошибки в категориях персональных данных

Как бывает: Перечисляются документы (паспорт, ИНН) вместо самих данных. Используются неконкретные формулировки ("анкетные данные", "и т.п.").

Как правильно: Категории ПДн — это группы сведений о субъекте. Не документ, а информация в нем! Например, не "паспорт", а "данные документа, удостоверяющего личность (серия, номер, кем выдан, дата выдачи)".

Перечень должен быть исчерпывающим, без "и др.". Начните с данных, которые вы собираете для кадрового учета (согласно форме Т-2) и добавьте данные, обрабатываемые в рамках вашей основной деятельности. Примеры категорий:

• Фамилия, имя, отчество
• Дата и место рождения
• Адрес (регистрации, фактический)
• Паспортные данные / данные иного документа, удостоверяющего личность
• СНИЛС
• ИНН
• Семейное положение
• Социальное положение
• Образование
• Профессия
• Сведения о доходах
• Состояние здоровья (если обрабатываете чувствительные данные, например, в медицинских целях или для предоставления льгот)
• Биометрические персональные данные (например, изображение лица, отпечатки пальцев - при наличии согласия и соответствующей цели)

Если список категорий, предлагаемых в электронной форме, закончился, используйте поле "Другие категории персональных данных" для перечисления оставшихся.

Ошибка № 6: Неверное определение категорий субъектов, чьи данные обрабатываются

Как бывает: Указываются названия юридических лиц или используются расплывчатые формулировки.

Как правильно: Категории субъектов – это группы *физических лиц*, чьи данные вы обрабатываете, исходя из целей обработки и видов отношений с ними. Не юридические лица! Например:

• Работники оператора (лица, состоящие в трудовых отношениях)
• Соискатели (кандидаты на вакантные должности)
• Клиенты / Покупатели / Заказчики (лица, с которыми заключен договор оказания услуг/купли-продажи и т.п.)
• Представители клиентов / контрагентов (физические лица, действующие от имени юридических лиц)
• Посетители сайта (если собираете аналитические данные, cookie)
• Участники маркетинговых акций
• Члены семьи работников (если их данные обрабатываются, например, для оформления страховки или предоставления льгот)

Перечень должен быть полным и соответствовать заявленным целям обработки. Не допускайте "и др.".

Ошибка № 7: Неполный перечень действий с персональными данными

Как бывает: Указываются лишь одно-два действия, хотя оператор совершает гораздо больше.

Как правильно: Перечислите все действия, которые вы фактически совершаете с персональными данными в рамках заявленных целей. Согласно статье 3 Закона № 152-ФЗ, обработка персональных данных включает:

Сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Большинство операторов совершают как минимум сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу (например, в СФР, ФНС), удаление или уничтожение.

Ошибка № 8: Недостаточное описание мер по обеспечению безопасности (ст. 18.1 и 19 ФЗ-152)

Как бывает: Копируется стандартный текст из примеров или приводится слишком общее описание без конкретики.

Как правильно: В этом разделе нужно описать организационные и технические меры, которые вы применяете для защиты ПДн. Перечень мер установлен статьями 18.1 и 19 Закона № 152-ФЗ, а также подзаконными актами (например, постановлениями Правительства РФ). Не просто перечисляйте нормы закона, а опишите, как вы их выполняете.

Примеры мер:

• Организационные:
  • Назначен ответственный за организацию обработки ПДн.
  • Разработаны и утверждены локальные нормативные акты по вопросам обработки и защиты ПДн (Политика, Положение, приказы, инструкции).
  • Осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону № 152-ФЗ.
  • Работники, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства и локальных актов.
  • Обеспечивается разделение доступа к информационным системам ПДн (ИС ПДн).
• Технические:
  • Определены угрозы безопасности ПДн при их обработке.
  • Применяются средства защиты информации, прошедшие процедуру оценки соответствия (антивирусное ПО, средства защиты от НСД, межсетевые экраны и т.д.).
  • Проводится оценка эффективности принимаемых мер.
  • Ведется учет машинных носителей ПДн.
  • Реализованы меры по обнаружению фактов несанкционированного доступа и реагированию на инциденты.
  • Обеспечивается восстановление ПДн, измененных или уничтоженных вследствие несанкционированного доступа.
  • Обеспечивается регистрация и учет всех действий с ПДн в ИС ПДн.
  • Осуществляется контроль за принимаемыми мерами и уровнем защищенности ИС ПДн.

Если вы используете шифровальные (криптографические) средства для защиты ПДн, обязательно укажите их наименование, регистрационные номера и производителей, см. Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Если проведена классификация ваших ИС ПДн (согласно совместному Приказу ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20), укажите присвоенный класс.

Ошибка № 9: Некорректная дата начала обработки персональных данных

Как бывает: Указывается дата регистрации юридического лица или дата подачи уведомления.

Как правильно: Укажите фактическую дату, с которой ваша организация или ИП начали обрабатывать персональные данные в объеме, подпадающем под требование об уведомлении Роскомнадзора. Часто это может быть дата принятия первого сотрудника на работу, дата заключения первого договора с клиентом - физлицом или дата, когда вы начали использовать автоматизированные системы для обработки ПДн (если ранее обработка велась без автоматизации и подпадала под исключение).

Ошибка № 10: Уведомление подписано неуполномоченным лицом

Как бывает: Документ подписывает сотрудник, не имеющий на это права.

Как правильно: Уведомление должен подписывать руководитель организации (лицо, действующее без доверенности на основании устава, например, генеральный директор) или иное лицо, уполномоченное на это надлежащим образом оформленной доверенностью. При подаче на бумаге через представителя по доверенности, копия доверенности должна быть приложена.

Ошибка № 11: Не указан исполнитель и его контактная информация

Как бывает: Поля "Исполнитель" и "Контактные данные исполнителя" остаются пустыми.

Как правильно: Обязательно заполните эти поля. Укажите ФИО и контактный телефон/e-mail сотрудника, который непосредственно готовил уведомление и может оперативно ответить на вопросы специалиста Роскомнадзора в случае необходимости уточнений. Это значительно ускоряет процесс рассмотрения.

Чем грозят ошибки при заполнении уведомления?

Самое частое последствие некорректного заполнения – отказ Роскомнадзора во внесении сведений в Реестр. В этом случае вам придет соответствующее уведомление с указанием причин отказа, и вам придется готовить и подавать документ заново, исправляя все недочеты.

Подача уведомления с заведомо недостоверными сведениями или фактическое осуществление обработки ПДн при отсутствии обязательного уведомления являются административными правонарушениями и могут повлечь наложение административного штрафа по статье 13.11 КоАП РФ. Размеры штрафов для юридических лиц могут достигать сотен тысяч рублей.

Как избежать ошибок и заполнить уведомление правильно с первого раза?

Как видите, процесс заполнения уведомления требует внимательности и понимания нюансов законодательства. Чтобы избежать ошибок и сэкономить время, вы можете:

1. Внимательно изучить Закон № 152-ФЗ и актуальные методические рекомендации Роскомнадзора.
2. Использовать только электронную форму на портале РКН.
3. Тщательно проверить каждое поле перед отправкой, сверившись с учредительными документами, локальными актами и реальными процессами обработки ПДн в вашей организации.
4. Обратиться за помощью к профессионалам. Эксперты, специализирующиеся на защите персональных данных, имеют большой опыт взаимодействия с Роскомнадзором и точно знают, как правильно заполнить уведомление или информационное письмо, чтобы избежать отказов и претензий. Это самый надежный способ гарантировать соблюдение законодательства и минимизировать риски.

Часто задаваемые вопросы (FAQ)

Нужно ли подавать уведомление, если я ИП и обрабатываю только данные своих работников?

В большинстве случаев - да. Законом предусмотрены очень узкие исключения (например, обработка без использования средств автоматизации либо в соответствии с законодательством РФ о безопасности и др.), которые редко применимы на практике.

Что делать, если я уже обрабатываю ПДн, но уведомление не подавал?

Немедленно подготовить и подать уведомление в Роскомнадзор. Факт несвоевременной подачи сам по себе является нарушением, но добровольная подача лучше, чем обнаружение этого факта в ходе проверки.

Как быстро Роскомнадзор рассматривает уведомление?

Срок рассмотрения уведомления и внесения сведений в реестр составляет 10 рабочих дней с даты поступления документа в Роскомнадзор.

Могут ли прислать запрос на уточнение данных в уведомлении?

Да, Роскомнадзор может направить запрос о предоставлении дополнительных сведений или уточнении информации, указанной в уведомлении. Это часто происходит при наличии неточностей или вопросов по заполненным полям.

Правильное оформление документов для Роскомнадзора – важный шаг на пути построения комплексной системы защиты персональных данных в вашей организации. Не допускайте досадных ошибок, которые могут привести к потере времени и потенциальным штрафам. Если вы сомневаетесь в корректности заполнения, обратитесь к специалистам либо используйте специализированные сервисы из нашего каталога.

• Пример заполнения уведомления об обработке персональных данных - Скачать
• Пример заполнения уведомления о внесении изменений в уведомление об обработке персональных данных - Скачать