Как подать уведомление в Роскомнадзор по 152-ФЗ и не ошибиться

Подать уведомление в Роскомнадзор по 152-ФЗ технически несложно, но юридически важно заполнить его правильно. Уведомление должно отражать реальную обработку персональных данных в компании. Если указать только сайт, но забыть сотрудников, кандидатов, CRM, подрядчиков или рассылки, сведения будут неполными. Если указать слишком широкие цели, можно создать лишние вопросы к бизнесу.

Перед подачей уведомления нужно не просто открыть электронную форму, а провести короткий аудит: кто является оператором, какие данные собираются, какие формы сайта работают, есть ли клиенты-физлица, сотрудники, кандидаты, мессенджеры, подрядчики, трансграничная передача и локализация баз.

Уведомление подает именно оператор персональных данных. Если сайт принадлежит одному юрлицу, заявки обрабатывает другое, а договор заключает третье, нужно разобраться, кто реально определяет цели обработки. Ошибки в операторе приводят к тому, что документы сайта, уведомление и договоры противоречат друг другу.

Цели должны быть конкретными. Например: обработка обращений пользователей сайта, заключение и исполнение договоров, ведение клиентской базы, кадровый учет, подбор персонала, направление ответов на обращения, исполнение требований закона. Не стоит писать «для любых законных целей» или «для деятельности компании» — такие формулировки слишком широкие.

Субъектами могут быть пользователи сайта, клиенты, представители контрагентов, сотрудники, кандидаты, подписчики, участники мероприятий. Для каждой категории нужно понимать, какие данные обрабатываются: ФИО, телефон, e-mail, должность, данные договора, сведения о работе, резюме, адрес, платежная информация, обращения и иные сведения.

Основания могут быть разными: согласие субъекта, заключение или исполнение договора, исполнение требований закона, осуществление прав и законных интересов оператора при соблюдении прав субъекта. Ошибка — все процессы пытаться закрыть одним согласием. Для сотрудников и договоров часто есть другие основания, но они должны быть правильно отражены в документах.

В уведомлении и внутренних документах важно понимать, где хранятся данные: сайт, CRM, электронная почта, сервер, облако, бухгалтерская система, кадровая программа. Также нужно описать меры защиты: ограничение доступа, пароли, резервное копирование, назначение ответственного, локальные акты, учет лиц, имеющих доступ к данным, порядок реагирования на инциденты.

Если обработка поручается внешнему лицу, нужно проверить договор. В нем должны быть цели, перечень действий, обязанности по конфиденциальности и защите данных, требования к обработчику, порядок возврата или уничтожения данных. Это касается CRM, хостинга, колл-центра, подрядчиков по рекламе, бухгалтерии, IT-поддержки и иных исполнителей.

Если данные передаются за границу или используются иностранные сервисы, может потребоваться отдельное уведомление о трансграничной передаче. Его нельзя подменить обычным уведомлением об обработке персональных данных. Также нужно учитывать требования локализации при сборе данных граждан РФ.

• указан не тот оператор;
• не описаны все категории субъектов;
• забыты сотрудники или кандидаты;
• не отражены сайт, CRM, рассылки или мессенджеры;
• цели обработки сформулированы слишком широко;
• не указаны подрядчики и поручения обработки;
• не проверена трансграничная передача;
• после изменения процессов уведомление не обновлено.

После подачи уведомления важно отслеживать изменения. Если сведения изменились, оператор должен обновлять информацию в установленный срок. Поэтому уведомление — это не одноразовый документ, а часть системы работы с персональными данными.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.