Когда нужно подавать уведомление в Роскомнадзор
До начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своём намерении (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152‑ФЗ).
Это требование распространяется на большинство случаев обработки персональных данных, в т. ч. на обработку данных работников и соискателей.
Когда подача уведомления не обязательна
Часть 2 ст. 22 Закона № 152‑ФЗ устанавливает перечень случаев, когда обработка персональных данных возможна без предварительного уведомления Роскомнадзора:
- данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22);
- оператор обрабатывает данные вручную без использования средств автоматизации (п. 8 ч. 2 ст. 22);
- данные обрабатываются в случаях, предусмотренных законодательством о транспортной безопасности.
Во всех остальных случаях уведомление Роскомнадзора является обязательным.
Кто в компании должен заниматься подачей уведомления
Ответственный за подачу уведомления зависит от размера и структуры организации:
- Малый бизнес: часто эту задачу берёт на себя директор или бухгалтер — человек, который уже занимается отчётностью и взаимодействием с госорганами.
- Средний бизнес: обычно назначается отдельный сотрудник — специалист по кадрам, юрист или секретарь, который отвечает за документооборот.
- Крупные компании: создаётся отдельная должность — специалист по защите персональных данных (Data Protection Officer, DPO) или выделяется целый отдел информационной безопасности.
Ключевые качества ответственного сотрудника:
- понимание требований 152‑ФЗ;
- навыки работы с электронными сервисами;
- внимательность к деталям — ошибки в уведомлении могут привести к запросу на уточнение или штрафу.
Если в вашей компании нет нужного специалиста:
- проверим, не включена ли ваша организация уже в Реестр операторов;
- скорректируем сведения, если произошли изменения (смена адреса, целей обработки и т. д.) — до 15‑го числа месяца, следующего за месяцем изменений (ч. 7 ст. 22 152‑ФЗ);
- подготовим уведомление по форме Роскомнадзора и поможем его отправить (приказ от 28.10.2022 № 180).
Какие документы должны быть у организации при подаче уведомления
Перед подачей уведомления оператор должен разработать и утвердить ряд внутренних документов. Это не просто формальность — они показывают Роскомнадзору, что вы соблюдаете закон.
- Положение об обработке персональных данных — основной документ, описывающий порядок работы с данными.
- Политика обработки персональных данных — публикуется на сайте, если сбор данных идёт через интернет (ч. 2 ст. 18.1 152‑ФЗ).
- Приказ о назначении ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 152‑ФЗ).
- Регламенты и инструкции:
- регламент допуска сотрудников к обработке данных;
- инструкция по обеспечению конфиденциальности;
- перечень информационных систем, обрабатывающих данные.
- Журналы ознакомления сотрудников с локальными актами под подпись.
Если нет возможности нанять отдельного сотрудника или тратить время на изучение закона. Мы проведём аудит вашей деятельности и подготовим все необходимые документы:
- разработаем Положение и Политику обработки персональных данных с учётом специфики вашей деятельности;
- составим приказы, регламенты и инструкции;
- оформим перечень информационных систем и должностей, имеющих доступ к данным;
- подготовим шаблоны журналов ознакомления и согласий на обработку данных.
Ваши документы будут соответствовать 152‑ФЗ и готовы к проверке Роскомнадзором.
Способы подачи уведомления в РКН
Сформировать и подать уведомление можно следующими способами:
- заполнить на бумаге и отправить в Роскомнадзор;
- подать через личный кабинет на портале Госуслуг;
- подать через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи;
- сформировать уведомление через специализированные сервисы.
В течение 30 дней с даты поступления уведомления Роскомнадзор обязан внести указанные в нём сведения в Реестр (ч. 4 ст. 22 Закона № 152‑ФЗ).