Подать уведомление в Роскомнадзор по 152-ФЗ технически несложно, но юридически важно заполнить его правильно. Уведомление должно отражать реальную обработку персональных данных в компании. Если указать только сайт, но забыть сотрудников, кандидатов, CRM, подрядчиков или рассылки, сведения будут неполными. Если указать слишком широкие цели, можно создать лишние вопросы к бизнесу.
Перед подачей уведомления нужно не просто открыть электронную форму, а провести короткий аудит: кто является оператором, какие данные собираются, какие формы сайта работают, есть ли клиенты-физлица, сотрудники, кандидаты, мессенджеры, подрядчики, трансграничная передача и локализация баз.
Уведомление подает именно оператор персональных данных. Если сайт принадлежит одному юрлицу, заявки обрабатывает другое, а договор заключает третье, нужно разобраться, кто реально определяет цели обработки. Ошибки в операторе приводят к тому, что документы сайта, уведомление и договоры противоречат друг другу.
Цели должны быть конкретными. Например: обработка обращений пользователей сайта, заключение и исполнение договоров, ведение клиентской базы, кадровый учет, подбор персонала, направление ответов на обращения, исполнение требований закона. Не стоит писать «для любых законных целей» или «для деятельности компании» — такие формулировки слишком широкие.
Субъектами могут быть пользователи сайта, клиенты, представители контрагентов, сотрудники, кандидаты, подписчики, участники мероприятий. Для каждой категории нужно понимать, какие данные обрабатываются: ФИО, телефон, e-mail, должность, данные договора, сведения о работе, резюме, адрес, платежная информация, обращения и иные сведения.
Основания могут быть разными: согласие субъекта, заключение или исполнение договора, исполнение требований закона, осуществление прав и законных интересов оператора при соблюдении прав субъекта. Ошибка — все процессы пытаться закрыть одним согласием. Для сотрудников и договоров часто есть другие основания, но они должны быть правильно отражены в документах.
В уведомлении и внутренних документах важно понимать, где хранятся данные: сайт, CRM, электронная почта, сервер, облако, бухгалтерская система, кадровая программа. Также нужно описать меры защиты: ограничение доступа, пароли, резервное копирование, назначение ответственного, локальные акты, учет лиц, имеющих доступ к данным, порядок реагирования на инциденты.
Если обработка поручается внешнему лицу, нужно проверить договор. В нем должны быть цели, перечень действий, обязанности по конфиденциальности и защите данных, требования к обработчику, порядок возврата или уничтожения данных. Это касается CRM, хостинга, колл-центра, подрядчиков по рекламе, бухгалтерии, IT-поддержки и иных исполнителей.
Если данные передаются за границу или используются иностранные сервисы, может потребоваться отдельное уведомление о трансграничной передаче. Его нельзя подменить обычным уведомлением об обработке персональных данных. Также нужно учитывать требования локализации при сборе данных граждан РФ.
После подачи уведомления важно отслеживать изменения. Если сведения изменились, оператор должен обновлять информацию в установленный срок. Поэтому уведомление — это не одноразовый документ, а часть системы работы с персональными данными.
Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.
"