Как подать уведомление в Роскомнадзор: подробный гайд

В материале — пошаговая инструкция по заполнению уведомления в РКН: от обоснования подачи и исключений до конкретных рекомендаций по каждой графе формы. Разбираем, какие документы проверяют, что грозит за неподачу и как учесть особенности работы с ERP-системами.

Скачать руководство

Обоснование подачи уведомления в Роскомнадзор

В соответствии со ст. 22 Федерального закона № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных (далее — ПДн) обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор, далее — РКН) о своем намерении осуществлять обработку ПДн, за исключением случаев, прямо указанных в ч. 2 ст. 22.
Когда уведомление в РКН может не подаваться:
В настоящее время без уведомления РКН обработка ПДн допускается только в случаях, предусмотренных пп. 7–9 ч. 2 ст. 22, в частности:
Обработка ПДн в государственных информационных системах, созданных для целей обеспечения безопасности государства и общественного порядка.
Обработка ПДн, осуществляемая исключительно без использования средств автоматизации.
Случаи, связанные с транспортной безопасностью (в пределах, установленных законом).
Таким образом, если организация ведёт ПДн клиентов в любой автоматизированной системе (МИС, CRM, ERP, 1С, таблицы и т.п.), то, как правило, обработка не попадает под исключение «без автоматизации», и уведомление в РКН требуется.
Почему на практике «проще уведомить», чем пытаться обосновывать исключение
Во многих организациях ПДн клиента появляются ещё до заключения договора (например, при предварительной записи по телефону, через мессенджер, сайт, формы обратной связи). При наличии автоматизации это обычно означает, что компания ведёт обработку ПДн уже на этапе записи/коммуникации, а значит безопаснее и юридически устойчивее заранее подать уведомление в РКН и выстроить корректные основания обработки на каждом этапе (запись → оказание услуг → расчёты/закрывающие документы → маркетинг и т.д.).
Важно: для РКН подача уведомления не является «индульгенцией» — проверка может быть проведена как в организации, подавшей уведомление, так и в организации, которая его не подала. Поэтому параллельно необходимо обеспечивать выполнение требований 152-ФЗ (локальные акты, правовые основания, режим доступа, меры защиты, сроки хранения и т.п.).
Документы и организационные меры, которые обычно запрашивают/проверяют
Чтобы подтвердить надлежащую организацию обработки ПДн, у оператора должны быть (в зависимости от масштаба и процессов):
Корректно оформленные основания обработки (в т.ч. согласия там, где они действительно требуются).
«Положение (политика) об обработке персональных данных» и иные локальные акты, описывающие жизненный цикл ПДн (получение, хранение, доступы, передачи, удаление, сроки хранения, ответы субъектам и т.д.).
Внутренние регламенты/приказы о назначении ответственных лиц, порядке доступа, обучении сотрудников.
Меры информационной безопасности и подтверждающие материалы (по необходимости).
Ответственность за неподачу уведомления
С 30.05.2025 предусмотрен отдельный состав административной ответственности за непредставление (или несвоевременное представление) уведомления о намерении осуществлять обработку ПДн. Размер штрафов установлен, в частности, ч. 10 ст. 13.11 КоАП РФ (для юридических лиц — в пределах, предусмотренных статьёй).
Уведомление об изменениях и прекращении обработки
Помимо первичного уведомления, оператор обязан:
При изменении сведений, указанных в уведомлении, — уведомить РКН не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
При прекращении обработки ПДн — уведомить РКН в течение 10 рабочих дней с даты прекращения обработки.
Применительно к использованию «Клиентикс ERP»
При использовании «Клиентикс ERP» лицензиат, подключаясь к системе, принимает условия договора (оферты), по которому ООО «ОИС Развитие» (лицензиар) заявляет выполнение определённого набора мер по обеспечению безопасности ПДн, обрабатываемых в системе, а также предоставляет форму согласия, которую лицензиат (как оператор ПДн своих клиентов) использует при необходимости (форма дана в приложении к договору).

При этом:
Сбор и хранение необходимых согласий и/или обеспечение иных правовых оснований обработки ПДн — зона ответственности оператора (лицензиата).
Использование CRM (в т.ч. облачной) обычно означает обработку ПДн с использованием средств автоматизации, поэтому в большинстве случаев оператору требуется уведомление РКН до начала обработки (если нет оснований из пп. 7–9 ч. 2 ст. 22).

Согласие на обработку персональных данных

В приложении к договору приведена примерная форма согласия, которая может быть использована как основа при разработке собственного Согласия. С 01.09.2025 согласие на обработку персональных данных оформляется отдельно от иных документов/информации, подтверждаемых или подписываемых субъектом персональных данных (то есть не «в составе» договора, анкеты, заявления и т.п.). В связи с этим согласие рекомендуется оформлять самостоятельным документом.
При разработке Согласия необходимо учитывать п. 4 ст. 9 152-ФЗ, согласно которому согласие в письменной форме должно содержать:
Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органеж.
Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя).
Наименование (либо Ф.И.О.) и адрес оператора, получающего согласие.
Цель обработки персональных данных.
Наименование (либо Ф.И.О.) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.
Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки.
Срок действия согласия, а также способ его отзыва, если иное не установлено федеральным законом.
Подпись субъекта персональных данных.
Если согласие даёт представитель субъекта персональных данных, оператор обязан проверить полномочия такого представителя.
Примечания (внутренние для оператора)
Если договор с субъектом не заключается, обязательно указывается конкретный вид услуги/основание и срок действия согласия (например, фиксированный срок либо правило его определения).
Если обрабатываются ПДн несовершеннолетнего, согласие оформляет родитель/законный представитель, а оператор проверяет полномочия. Для этого используется отдельный шаблон с реквизитами представителя и документом, подтверждающим полномочия.
Перечень ПДн должен соответствовать фактическим полям и разделам, которые оператор заполняет в «Клиентикс ERP».

Заполнение уведомления в РКН

Уведомление подается по утвержденной форме через сервис Роскомнадзора.
Сведения об операторе
Раздел заполняется в соответствии с данными ЕГРЮЛ/ЕГРИП: полное наименование, ОГРН/ИНН, юридический адрес, фактический адрес, контактные телефоны, e-mail, пр.
Цели обработки ПДн
При заполнении уведомления важно корректно определить цели обработки персональных данных. Цель обработки — это ответ на вопрос: зачем оператор обрабатывает персональные данные (например: оказание медицинских услуг; уведомления о записи; маркетинговые рассылки и т.п.).
В практической работе с согласиями применяется следующий подход: одно согласие — одна цель обработки. Это означает, что каждое согласие оформляется под конкретную цель, чтобы оно было:
Конкретным (очевидно, на что именно субъект соглашается).
Информированным (субъект понимает объём и характер обработки).
Удобным для отзыва без прекращения иных законных процессов (например, отказ от маркетинга не должен затрагивать оказание медицинских услуг).
Иными словами, связка выглядит так: согласие – одна цель – перечень ПДн для достижения этой конкретной цели.
Поэтому в уведомлении каждую цель обработки указывают отдельной записью, и для каждой цели отдельно выбирают соответствующие категории персональных данных и категории субъектов, чьи ПДн обрабатываются.
Категории субъектов
В разделе «Категории субъектов», как правило, указывают следующие категории (в зависимости от фактически осуществляемых процессов):
Клиенты — указывается в большинстве случаев как основная категория.
Законные представители пациентов (родители/опекуны) — указывается при оказании услуг несовершеннолетним и/или при оформлении документов через представителя.
Посетители сайта — указывается при наличии на сайте виджета онлайнзаписи, форм обратной связи, личного кабинета и иных инструментов сбора данных.
Работники — указывается при наличии сотрудников, состоящих в трудовых отношениях с оператором.
Соискатели — указывается при сборе резюме и иных данных соискателей.
Контрагенты (ИП/самозанятые/представители юридических лиц) — указывается при ведении договорной работы и хранении контактных/идентификационных данных представителей контрагентов. И т.д.
Правовое основание обработки персональных данных
В поле «Правовое основание обработки персональных данных» обычно указывают те основания, которые фактически применяются у оператора. Как правило, для частной клиники это:
Обработка на основании согласия субъекта персональных данных (в тех случаях, когда согласие является выбранным/необходимым основанием).
Обработка, необходимая для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия невозможно (применимо в исключительных ситуациях).
Дополнительно, при необходимости, в этом же разделе указывают иные используемые основания — в зависимости от конкретных процессов организации.
Далее в поле «Перечень действий с персональными данными» отметьте те действия, которые фактически выполняются при обработке ПДн в вашей организации.
Способы обработки
В «Способах обработки» для клиники почти всегда:
Смешанная обработка (и автоматизация, и бумага).
С передачей по внутренней сети юридического лица.
С передачей по сетям связи/интернет (если есть онлайн-запись, облачная ERP, почта, мессенджеры).
Описание мер
Для заполнения поля «Описание мер» открывается 152-ФЗ и читаются статьи 18.1 и 19, и по порядку перечисляются меры, принятые или не принятые в организации, и те, что приняты – указываются в этом поле уведомления. Рассмотрим по порядку:
(*) указанные документы разрабатываются Оператором самостоятельно или при обращении в организации, оказывающие подобную помощь.
Средства обеспечения безопасности
Здесь указываются СЗИ из стр.9 таблицы №1 (при их наличии) – перечисляются наименования, а также можно указать:
Антивирус, применяемый в организации – указать название.
Двухфакторная авторизация доступа при работе в ИСПДн.
Использование шифровальных (криптографических) средств
В разделе «Использование шифровальных (криптографических) средств» указываются сведения о применении СКЗИ (средств криптографической защиты информации), если они фактически используются при обработке ПДн (например, КриптоПро, ViPNet/Континент/S-Terra и т.п.).
Сведения об ответственном за организацию обработки ПДн
В данном блоке указываются сведения об ответственном за организацию обработки ПДн (ФИО, почтовый адрес, телефон, e-mail), дата начала обработки ПДн, срок/условие прекращения обработки (общим правилом), а также отмечается, осуществляется ли трансграничная передача ПДн (при наличии — заполняются сведения о странах/получателях по форме).
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
В данном разделе по данным, обрабатываемым в «Клиентикс ERP», укажите следующие местонахождения ЦОД (адреса размещения БД):
Московская область, г. Мытищи, ул. Силикатная, д. 19
Владимирская область, г. Владимир, ул. Энергетиков, д. 37, корп. 2
Рязанская область, г. Сасово, ул. Пушкина, д. 21
Собственный ЦОД — Нет.
Заполните «Сведения об организации, ответственной за хранение данных», как указано в примере ниже:
Тип организации — юридическое лицо
Организационно-правовая форма — Общество с ограниченной ответственностью
Наименование организации — ООО «ОИС Развитие»
ОГРН — 1247800008565
ИНН — 7801730900
Страна местонахождения организации, ответственной за хранение данных — Россия
Адрес местонахождения организации, ответственной за хранение данных — город Санкт-Петербург, пр-кт Большой В.О., д. 89 литера А, помещ. 1н оф. 7 раб.место 2
При необходимости для внесения данные о местонахождении базы данных работников или иных баз данных нажмите кнопку «добавить сведения».
Сведения об обеспечении безопасности персональных данных
Требования к защите ПДн установлены в следующих постановлениях (список только для коммерческих организаций):
Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" – применяется при обработке биометрических ПДн на материальных носителях и их хранении вне ИСПДн. Фото/видео могут относиться к биометрическим ПДн только если используются для установления личности. Если биометрические ПДн не обрабатываются, требования №512, как правило, не применяются;
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Из них также перечислим требования:
В соответствие с Постановлением №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации":
В соответствие с Постановлением №1119 для обеспечения 4-го уровня защищенности:
Дополнительные меры (применяются при необходимости по результатам определения уровня защищенности):
Информация об исполнителе
Далее заполните информацию об исполнителе. Исполнителем является лицо, заполняющее форму уведомления в Роскомнадзор. Это может быть не ответственный за обработку персональных данных, а совсем другой человек, фактически заполнивший уведомление.
Важно: Если планируется подача уведомления в электронном виде с использованием ЭЦП, необходимо указывать данные лица, которому принадлежит ЭЦП.
После заполнения формы уведомления
Поставьте галочки в опциях ниже, подпишите документ и отправьте выбранным способом.
Сохраните в блокнот сформированные код / номер уведомления и ключ. Они потребуются в дальнейшем для проверки статуса уведомления.
Отправленная заявка рассматривается в течение 30 дней, после чего организация вносится в реестр операторов.
Проверить статус отправленного уведомления можно по ссылке с помощью номера и кода, который вы получили после отправки уведомления.
Если спустя указанный срок организация не внесена в реестр операторов, вы можете обратиться в электронную приемную Роскомнадзора для уточнения информации.
Больше актуальных новостей и экспертных материалов в наших соцсетях
Подписывайтесь на удобную площадку, чтобы быть в курсе последних изменений законодательства и получать практические материалы для бизнеса.