Алексей Ветров
Эксперт по защите данных IC-TECH
На практике Роскомнадзор возвращает уведомления из-за некорректного заполнения формы или из-за отсутствия ключевых сведений. Ошибки бывают как технические (опечатки, пустые поля), так и содержательные (неверно указаны категории субъектов или база данных в «облаке» за границей).
Обоснование по законодательству
- ФЗ-152, ст. 22, ч. 3: уведомление должно содержать обязательные сведения — об операторе, целях обработки, категориях субъектов, перечне данных, местонахождении баз данных, мерах безопасности и пр.
- Приказ Роскомнадзора № 94 от 30.05.2017: утвердил форму уведомления и порядок его заполнения. Незаполненные или некорректные разделы = основание для возврата.
ТОП-ошибок при заполнении уведомления
- Неполные или некорректные сведения об операторе
- забывают указать ОГРН / ОГРНИП или ИНН;
- указывают фактический адрес вместо юридического (по ЕГРЮЛ/ЕГРИП).
- Ошибки в разделе «Цели обработки»
- слишком общие фразы: «для обработки персональных данных»;
- слишком узкие (например, «для заключения договора № 5 с Петровым И.И.»).
Правильно: «Заключение и исполнение договоров на оказание услуг, ведение учёта клиентов, кадровый учёт работников».
- Неверно указанные категории субъектов
- пишут только «сотрудники», хотя есть и клиенты;
- забывают добавить пользователей сайта, контрагентов.
- Проблемы с «Местонахождением базы данных»
- указывают иностранные серверы (например, AWS в США);
- пишут «облако» без адреса дата-центра в РФ;
- не указывают фактический адрес хранения.
- Сведения о безопасности ПДн
- пустое поле или фраза «меры не применяются»;
- слишком расплывчатые ответы («меры принимаются»).
Нужно ссылаться на ФЗ-152, Постановление № 1119 и указывать организационные + технические меры.
- Ошибки в разделе «Описание мер по ст. 18.1 и 19»
- забывают упомянуть назначение ответственного;
- не указывают локализацию баз данных в РФ;
- не пишут про локальные акты и обучение сотрудников.
- Пропуск изменений
- подали уведомление один раз и больше его не обновляли, хотя сменился адрес или ответственный. Это типичная ошибка, которая приводит к штрафам при проверке.
Пример из практики
Компания подала уведомление, указав только сотрудников как субъектов ПДн. При проверке Роскомнадзор выяснил, что компания также собирает данные клиентов через сайт. Итог — предписание внести изменения и штраф за недостоверные сведения.
Рекомендации и выводы
- Перед отправкой уведомления перепроверьте все поля: особенно цели, категории субъектов и местонахождение баз данных.
- Формулируйте цели и меры безопасности чётко, официальным языком.
- Используйте актуальные адреса дата-центров, если работаете в «облаке».
- Проверяйте уведомление минимум раз в год и обновляйте при любых изменениях.
- Лучше подготовить уведомление вместе со специалистом по ПДн — это дешевле, чем штрафы (от 100 000 руб. для юрлиц).
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
