Алексей Ветров
Эксперт по защите данных IC-TECH
При подаче уведомления в Роскомнадзор операторы ПДн часто допускают одни и те же ошибки. Из-за них уведомление может быть отклонено или Роскомнадзор признает сведения недостоверными. Наиболее распространённые ошибки:
Слишком общие формулировки.
– пишут «обработка персональных данных» вместо конкретных целей («ведение кадрового учёта», «обработка заказов клиентов»).
– в категориях ПДн указывают «данные сотрудников» вместо конкретики («ФИО, паспортные данные, СНИЛС, телефон»).
Пропуск обязательных полей.
– не указывают регион/место хранения баз данных;
– оставляют пустым раздел «меры защиты».
Неправильно указанные источники ПДн.
– пишут «из различных источников», что Роскомнадзор считает нарушением;
– указывают незаконные варианты («приобретённые базы»).
Неучёт всех категорий субъектов.
– фиксируют только сотрудников, но забывают про клиентов или посетителей сайта;
– не указывают данные подрядчиков и соискателей.
Ошибки в видах обработки.
– указывают только «сбор и хранение», забывая про «передачу курьерским службам, банкам»;
– вписывают «распространение», хотя данные публично не публикуются.
Неточности в месте хранения.
– пишут «облако» или «на сервере», без конкретного региона/адреса;
– указывают зарубежные дата-центры (что нарушает ст. 12 ФЗ-152).
Фиктивные меры защиты.
– указывают «шифрование и криптография», хотя на практике применяют только пароли и антивирус;
– Роскомнадзор выявляет несоответствие при проверке.
Несоответствие фактической деятельности.
– указаны только «кадры», но сайт принимает заявки от клиентов;
– заявлены одни категории ПДн, а реально обрабатываются другие.
Слишком общие формулировки.
– пишут «обработка персональных данных» вместо конкретных целей («ведение кадрового учёта», «обработка заказов клиентов»).
– в категориях ПДн указывают «данные сотрудников» вместо конкретики («ФИО, паспортные данные, СНИЛС, телефон»).
Пропуск обязательных полей.
– не указывают регион/место хранения баз данных;
– оставляют пустым раздел «меры защиты».
Неправильно указанные источники ПДн.
– пишут «из различных источников», что Роскомнадзор считает нарушением;
– указывают незаконные варианты («приобретённые базы»).
Неучёт всех категорий субъектов.
– фиксируют только сотрудников, но забывают про клиентов или посетителей сайта;
– не указывают данные подрядчиков и соискателей.
Ошибки в видах обработки.
– указывают только «сбор и хранение», забывая про «передачу курьерским службам, банкам»;
– вписывают «распространение», хотя данные публично не публикуются.
Неточности в месте хранения.
– пишут «облако» или «на сервере», без конкретного региона/адреса;
– указывают зарубежные дата-центры (что нарушает ст. 12 ФЗ-152).
Фиктивные меры защиты.
– указывают «шифрование и криптография», хотя на практике применяют только пароли и антивирус;
– Роскомнадзор выявляет несоответствие при проверке.
Несоответствие фактической деятельности.
– указаны только «кадры», но сайт принимает заявки от клиентов;
– заявлены одни категории ПДн, а реально обрабатываются другие.
Обоснование по законодательству
- ФЗ-152, ст. 22: уведомление должно содержать полные и достоверные сведения.
- КоАП РФ, ст. 13.11: за недостоверные или неполные сведения — штраф до 100 000 руб. для юрлиц.
- Роскомнадзор при проверках сверяет уведомление с фактическими процессами обработки данных.
Пример из практики
Интернет-магазин в уведомлении указал только «сбор и хранение», забыв про «передачу курьерским службам». На проверке Роскомнадзор выявил несоответствие и назначил штраф.
Рекомендации и выводы
- Заполняйте уведомление максимально подробно и конкретно.
- Проверяйте: цели, категории субъектов, виды обработки, место хранения, меры защиты.
- Убедитесь, что уведомление соответствует фактическим процессам компании.
- Лучше подготовить уведомление с помощью специалистов — это дешевле штрафов.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
