Алексей Ветров
Эксперт по защите данных IC-TECH
Если организация или ИП начинает собирать и использовать новые категории персональных данных (например, данные клиентов, а раньше — только сотрудников; данные о здоровье; биометрические данные и т. д.), необходимо подать обновлённое уведомление в Роскомнадзор. Сделать это нужно в течение 10 рабочих дней с момента начала обработки новых категорий.
В уведомлении нужно указать полный список категорий субъектов (сотрудники, клиенты, посетители сайта и др.) и конкретные категории данных (ФИО, контакты, паспортные данные, данные о детях, сведения о здоровье и т. д.).
В уведомлении нужно указать полный список категорий субъектов (сотрудники, клиенты, посетители сайта и др.) и конкретные категории данных (ФИО, контакты, паспортные данные, данные о детях, сведения о здоровье и т. д.).
Обоснование по законодательству
- ФЗ-152, ст. 22, ч. 1: уведомление должно подаваться до начала обработки персональных данных.
- ФЗ-152, ст. 22, ч. 7: при изменении сведений (в т. ч. добавлении новых категорий ПДн) оператор обязан уведомить Роскомнадзор в течение 10 рабочих дней.
- КоАП РФ, ст. 13.11: за несвоевременное или недостоверное уведомление предусмотрен штраф до 100 000 руб. для организаций.
Когда нужно подавать обновлённое уведомление
- компания, которая раньше обрабатывала только данные сотрудников, начала собирать данные клиентов (например, через сайт или CRM);
- запуск новой услуги, где собираются данные детей или родителей;
- добавление обработки паспортных данных или СНИЛС, которых ранее не было;
- начало обработки биометрии (фото, видео, отпечатки пальцев, система распознавания лиц);
- расширение форм на сайте (например, теперь собирается не только e-mail, но и адрес проживания).
Пример:
ИП вел учёт только сотрудников, но затем открыл сайт и начал принимать заявки от клиентов с телефонами и e-mail. В течение 10 рабочих дней необходимо подать обновлённое уведомление, добавив категорию «клиенты-физлица».
Как подать уведомление пошагово
- На сайте Роскомнадзора в разделе «Реестр операторов ПДн» выбрать опцию «Внести изменения».
- Указать новые категории субъектов и перечень собираемых персональных данных.
- Подписать обновление квалифицированной электронной подписью (КЭП).
- Отправить уведомление и дождаться подтверждения о внесении изменений (до 30 календарных дней).
Альтернативный вариант — направить бумажное уведомление в территориальное управление Роскомнадзора.
Рекомендации и выводы
- Все новые категории ПДн (например, клиенты, подписчики, посетители сайта) должны быть отражены в уведомлении.
- Срок подачи — не позднее 10 рабочих дней с момента начала обработки.
- Внутренние документы по 152-ФЗ тоже нужно актуализировать (политика, согласия, регламенты обработки).
- Лучше подать изменения заранее, до начала сбора новых данных, чтобы исключить претензии Роскомнадзора.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
