В связи с увеличением с 30 мая 2025 года административных штрафов за нарушения в сфере персональных данных организации, ИП и самозанятые срочно подают в Роскомнадзор уведомление о начале обработки персональных данных. Заполнение уведомления зачастую вызывает затруднения, поскольку не всем операторам понятен смысл содержащихся в документе юридических терминов и формулировок.
Рассказываем, как правильно заполнить форму уведомления об обработке и намерении осуществлять обработку персональных данных, утв. приказом Роскомнадзора от 28.10.2022 №180.
Сведения об операторе персональных данных
В этом разделе нужно указать регион регистрации компании (где компания поставлена на налоговый учет), ее наименование (для ИП, самозанятых и физлиц - ФИО), ИНН, ОГРН, адрес фактического местонахождения (может не совпадать с адресом регистрации), адрес электронной почты и регионы обработки персональных данных.
Обязательному заполнению подлежат все поля, отменные красной звездочкой.
Цель обработки персональных данных
В этом разделе указывают, зачем компании потребовались персональные данные физлиц. Цели сбора и обработки персональных данных могут быть сами разными. Классификатор, используемый при заполнении уведомления на портале Роскомнадзора, предлагает на выбор 37 целей обработки персональных данных. Можно как выбрать из предложенных вариантов, так и указать свои цели, использовав опцию «Иные».
Не надо отмечать все цели обработки, которые предлагает классификатор. Из вариантов нужно выбрать именно те цели, которые действительно важны для компании. В большинстве случаев для компаний с наемными работниками выбор ограничивается следующим перечнем целей:
- подготовка, заключение и исполнение гражданско-правовых договоров;
- ведение кадрового и бухгалтерского учета;
- обеспечение соблюдения трудового законодательства;
- обеспечение соблюдения налогового законодательства;
- обеспечение соблюдения пенсионного законодательства;
- обеспечение пропускного режима на территорию оператора;
- подбор персонала (соискателей) на вакантные должности.
Категории персональных данных
Здесь нужно перечислить конкретные персональных данные, которые будут обрабатываться в рамках указанных целей обработки. Категории персональных данных перечисляются применительно к каждой цели.
Например, в уведомлении указаны три цели обработки. Значит, нужно заполнить три раздела «Категории персональных данных». Указываемые в этих разделах персональные данные (ФИО, паспортные данные, контактные телефоны и т.д.) для разных целей обработки могут повторяться – ошибкой это не считается.
Категории персональных данных разделены на три вида: общие (паспортные данные и т.д.), специальные (данные о заболеваниях и т.д.) и биометрические (изображение лица, отпечатки пальцев и т.д.). Указать нужно все данные, которые компания будет обрабатывать в рамках указанных целей.
К примеру, для цели обработки персональных данных «Ведение кадрового и бухгалтерского учета» в данном разделе нужно указать: ФИО, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчетного счета, профессия, должность, сведения о трудовой деятельности, отношение к воинской обязанности, сведения о воинском учете, сведения об образовании.
Набор персональных данных не должен выходить за пределы выбранной цели. Например, для цели «Подготовка, заключение и исполнение гражданско-правовых договоров» нельзя собирать сведения о национальной принадлежности физлиц, их философских и религиозных убеждениях, политических взглядах и т.д.
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Иначе компанию могут оштрафовать по ч.1 ст.13.11 КоАП РФ. Штраф для организации может составить от 60 000 до 100 000 рублей.
Категории субъектов, персональные данные которых обрабатываются
В этом разделе перечисляют физлиц, у которых будет запрашиваться личная информация. Раздел заполняют применительно к каждой цели обработки персональных данных.
Например, для цели обработки персональных данных «Ведение кадрового и бухгалтерского учета» в разделе указывают следующих субъектов персональных данных: работников, соискателей, родственников работников и уволенных работников. Для цели «Подготовка, заключение и исполнение гражданско-правовых договоров» - контрагентов, представителей контрагентов, выгодоприобретателей по договорам, клиентов и посетителей сайта (при наличии такового).
Правовое основание обработки персональных данных
Этот раздел заполняют для каждой цели обработки персональных данных. В нем указывают, на основании чего у компании возникли право и обязанность по обработке персональных данных физлиц.
Право на обработку данных предоставляется на основании письменного согласия физлица (владельца данных), а обязанность по сбору этих данных – на основании конкретного закона или подзаконного акта (например, ТК РФ, НК РФ и т.д.) или гражданско-правового договора.
Поэтому для цели «Ведение кадрового и бухгалтерского учета» в данном разделе нужно отметить следующие основания:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством на оператора функций, полномочий и обязанностей.
Для цели «Подготовка, заключение и исполнение гражданско-правовых договоров» необходимо отметить:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для исполнения договора.
Также в разделе предусмотрено поле для указания реквизитов законов и подзаконных актов, которые обязывают компанию собирать персональные данные физлиц. В общем случае в этом поле нужно указать ст. 431 НК РФ, ст. 85, 86, 87, 88, 89 и 90 ТК РФ, ст. 9 Федерального закона от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования» и ст.4 Федерального закона от 28.03.1998 №53-ФЗ «О воинской обязанности и военной службе».
Дополнительно к перечисленным нормам законов и подзаконных актов в поле нужно указать согласие физлиц на обработку их персональных данных.
- Подача уведомлений в Роскомнадзор: как заполнить, должны ли подавать самозанятые и будут ли штрафовать за нарушение сроков сдачи
- Уведомление в Роскомнадзор: кто и зачем обязан подавать, как правильно оформить и какие ошибки можно допустить
- Подача уведомлений в Роскомнадзор и работа с персональными данными на сайтах компаний
- «1С:Бухгалтерия 8»: как сформировать уведомление об обработке персональных данных
- Рекомендации 1С по заполнению уведомления
- Как исправить уведомление об обработке персональных данных в Роскомнадзор
Перечень действий с персональными данными
Данный раздел заполняют применительно к каждой выбранной цели обработки персональных данных. В нем указывают, что планируется делать с персональными данными физлиц.
В общем случае здесь нужно перечислить следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, обезличивание, блокирование, удаление и уничтожение. Если компания планирует передавать персональные данные третьим лицам, в разделе нужно указать на такое действие, как «передача (предоставление, доступ)».
Способы обработки персональных данных
Раздел заполняют применительно к каждой цели обработки персональных данных. В разделе указывают, как именно будет производиться обработка персональных данных – автоматизировано, неавтоматизированно, смешанным способом.
Также здесь нужно указать, будут ли передаваться персональные данные по интернету и внутренней сети организации или нет. В большинстве случаев обработка осуществляется смешанным способом (на компьютере и на бумаге) с передачей данных по интернету.
Меры обеспечения безопасности персональных данных
В этом разделе, однократно заполняемом для всех указанных в уведомлении целей обработки персональных данных, перечисляются применяемые меры по защите обрабатываемых данных. Эти меры перечислены в ст.18.1 и 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». К таким мерам, в частности, относится:
- назначение ответственного за организацию обработки персональных данных;
- утверждение политики обработки персональных данных и локальных актов по вопросам их обработки;
- осуществление внутреннего контроля и аудита обработки персональных данных;
- применение технических средств защиты информации;
- установлением правил доступа к персональным данным;
- учет машинных носителей персональных данных и т.д.
В уведомлении нужно указать только те меры, которые компания действительно применяет в своей деятельности.
Также в этом разделе нужно указать, применяет ли компания шифровальные (криптографические) средства при работе с персональными данными или нет. Если средства шифрования применяются, нужно указать их класс, наименование, изготовителя, и серийный номер. Если средств шифрования нет, то в соответствующем поле ставят значение «не используются».
Ответственный за организацию обработки персональных данных
Здесь нужно указать ФИО должностного лица компании, ответственного за обработку персональных данных. Если уведомление подает от своего имени ИП, самозанятый или физлицо, они указывают свое ФИО. Дополнительно здесь можно указать (не обязательно) почтовый адрес ответственного лица, его телефон и адрес электронной почты.
Другие сведения
В уведомлении обязательно нужно указать дату начала обработки персональных данных (может не совпадать с датой регистрации компании), срок обработки (можно указать – до ликвидации компании) и планирует ли компания осуществление трансграничной передачи персональных данных или нет.
Также в уведомлении нужно указать сведения о ЦОД – центре обработки данных, под которым понимается место хранения базы данных, содержащей обрабатываемые персональные данные.
- Какие компании могут получить штрафы за нарушения правил обработки персональных данных в 2025 году
- Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН
- Как компании разработать политику обработки персональных данных в 2025 году
- Как работать с персональными данными в 2025 году, чтобы не получить штраф Роскомнадзора
В материале использованы фото: BritCats Studio / Shutterstock / Fotodom.
Здравствуйте. Раньше в примерах и в целях обработки на сайте был вариант "оказание услуг или выполнение работ по договорам с клиентами(контрагентами). Сейчас этого нет. Отменили данную категорию или надо вручную цель создать?
Бухгалтер-калькулятор, В классификаторе целей обработки персональных данных, используемом на сайте РКН, данный вариант не представлен. Вместо него используется более обобщенный вариант цели - подготовка, заключение и исполнение гражданско-правового договора. Можете использовать для указания в качестве цели именно это определение.
Но перечень целей, приведенный на сайте РКН, не является исчерпывающим. Вы можете указать любую цель, какую сочтете более уместной для вашей ситуации, в том числе и - оказание услуг или выполнение работ по договорам с клиентами(контрагентами).
Чем отличается цель ведение кадрового и бухгалтерского учета;
обеспечение соблюдения трудового законодательства;
обеспечение соблюдения налогового законодательства;
обеспечение соблюдения пенсионного законодательства
Прижимистый главбух, Эти цели отличаются между собой предметом и субъектным составом лиц, которые получают персональные данные работников. В первом случае персональные данные обрабатывает преимущественно сам работодатель.
Персональные данные он собирает для трудоустройства работников и для прочих кадровых мероприятий и ведения бухучета на основе полученных сведений. Во втором случае данные уже не участвуют в бухучете. В третьем случае данные передаются в налоговую инспекцию, а в последнем - в СФР.
chitatel, Получается нужно выбирать выше перечисленные 4 цели?
Охранник со сканвордом, Не обязательно. Приведенные цели служат лишь в качестве примера. Но если у вас есть работники, то нужно указать на эти цели. Применительно к работникам перечислять все 4 эти цели не требуется. Можете указать свои собственные цели.
Например, 1 цель - ведение кадрового и бухгалтерского учета, 2-я - обеспечение соблюдения трудового, налогового и пенсионного законодательства - вторую цель пишете через запятую, чтобы не перегружать уведомление сразу 4-мя целями только по одним работникам. Если вы заключаете сделки - пишете и 3 цель - оформление и исполнение договоров ГПХ.
chitatel, Здравствуйте, как возможно перечислить цели через запятую, если форма дает право на заполнение одной цели за раз?
Душка из бухгалтерии, Добавить внизу кнопочка есть
Душка из бухгалтерии, Выбираете иная и текстом указываете все, что нужно
chitatel, При выборе значения "Иная" в списке целей в уведомлении, в поле ввода своей цели показывается пояснение: "указывается одна конкретная цель обработки персональных данных". Насколько склейка 3 целей (обеспечение соблюдения трудового, налогового и пенсионного законодательства) этому соответствует?