Алексей Ветров
Эксперт по защите данных IC-TECH
Самые распространённые ошибки можно разделить на три группы:
1. Ошибки в содержании уведомления
Указывают слишком общие формулировки: «обработка персональных данных», без конкретизации целей и категорий.
Не перечисляют все категории субъектов: указывают только сотрудников, но забывают про клиентов, кандидатов или представителей контрагентов.
Не указывают передачу данных третьим лицам (курьерским службам, банкам, CRM-провайдерам).
Неправильно оформляют «условия окончания обработки» (пишут «бессрочно» или оставляют поле пустым).
Не выделяют биометрические данные, хотя обрабатывают фото или видео (Роскомнадзор это относит к отдельной категории).
2. Ошибки в технических полях
Пишут «меры защиты не применяются» или оставляют поле пустым.
Указывают средства защиты, которых фактически нет (например, криптография, хотя реально только антивирус и пароли).
Не прописывают место хранения (например, просто «облако», без региона дата-центра).
Указывают зарубежные дата-центры для хранения данных граждан РФ (нарушение ст. 12 ФЗ-152).
3. Организационные ошибки
Подают уведомление уже после начала обработки, хотя закон требует сделать это до.
Забывают обновлять уведомление при изменениях (новый сайт, филиал, новый ответственный).
Подавляют уведомление от имени юрлица, но с ЭЦП, выданной на физлицо (несовпадение).
Ошибаются в реквизитах (ИНН, ОГРН, адрес).
1. Ошибки в содержании уведомления
Указывают слишком общие формулировки: «обработка персональных данных», без конкретизации целей и категорий.
Не перечисляют все категории субъектов: указывают только сотрудников, но забывают про клиентов, кандидатов или представителей контрагентов.
Не указывают передачу данных третьим лицам (курьерским службам, банкам, CRM-провайдерам).
Неправильно оформляют «условия окончания обработки» (пишут «бессрочно» или оставляют поле пустым).
Не выделяют биометрические данные, хотя обрабатывают фото или видео (Роскомнадзор это относит к отдельной категории).
2. Ошибки в технических полях
Пишут «меры защиты не применяются» или оставляют поле пустым.
Указывают средства защиты, которых фактически нет (например, криптография, хотя реально только антивирус и пароли).
Не прописывают место хранения (например, просто «облако», без региона дата-центра).
Указывают зарубежные дата-центры для хранения данных граждан РФ (нарушение ст. 12 ФЗ-152).
3. Организационные ошибки
Подают уведомление уже после начала обработки, хотя закон требует сделать это до.
Забывают обновлять уведомление при изменениях (новый сайт, филиал, новый ответственный).
Подавляют уведомление от имени юрлица, но с ЭЦП, выданной на физлицо (несовпадение).
Ошибаются в реквизитах (ИНН, ОГРН, адрес).
Обоснование по законодательству
- ФЗ-152, ст. 22: уведомление должно содержать полные и достоверные сведения.
- КоАП РФ, ст. 13.11: штрафы за отсутствие уведомления или недостоверные данные — до 100 000 руб. для юрлиц.
- ФЗ-152, ст. 19: меры защиты должны соответствовать реальным условиям обработки.
Пример из практики
Интернет-магазин в уведомлении указал только «сбор и хранение» и не прописал передачу данных курьерской службе. На проверке Роскомнадзор выявил несоответствие и назначил штраф.
Рекомендации и выводы
- Заполняйте уведомление конкретно: цели, категории субъектов, виды обработки.
- Перепроверьте технические разделы: место хранения, меры защиты.
- Следите за актуальностью — любое изменение требует обновления в течение 10 рабочих дней.
- Указывайте только те меры, которые реально применяются.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
