Алексей Ветров
Эксперт по защите данных IC-TECH
Роскомнадзор может отклонить уведомление не потому, что компания не имеет права быть оператором ПДн, а из-за ошибок или неполноты сведений. Наиболее частые причины отказа:
1. Некорректные или неполные данные
неверно указаны реквизиты (ИНН, ОГРН, адрес);
отсутствует контактный e-mail или телефон оператора;
не указан регион обработки или место хранения данных;
пропущены обязательные поля.
2. Слишком общие формулировки
в целях обработки написано: «обработка персональных данных» (РКН требует конкретики: кадровый учёт, исполнение договоров, продажи и т. д.);
в категориях субъектов указано: «физические лица» (слишком размыто, нужно: сотрудники, клиенты, кандидаты и т. д.).
3. Несоответствие фактической деятельности
в уведомлении нет упоминания о сайте, хотя на нём есть формы заявок;
не указана передача данных третьим лицам (курьеры, банки, CRM-сервисы);
заявлено только «хранение», а реально есть сбор, передача, уничтожение.
4. Ошибки в разделе «меры защиты»
указано «меры не применяются» (такое уведомление не примут);
перечислены СКЗИ или сертифицированные средства, которых фактически у компании нет (РКН может запросить подтверждение).
5. Несоответствие формальным требованиям
подача с неквалифицированной подписью (нужна КЭП);
уведомление подано от юрлица, но подпись — на физлицо;
документ на бумаге не заверен подписью и печатью (для организаций).
1. Некорректные или неполные данные
неверно указаны реквизиты (ИНН, ОГРН, адрес);
отсутствует контактный e-mail или телефон оператора;
не указан регион обработки или место хранения данных;
пропущены обязательные поля.
2. Слишком общие формулировки
в целях обработки написано: «обработка персональных данных» (РКН требует конкретики: кадровый учёт, исполнение договоров, продажи и т. д.);
в категориях субъектов указано: «физические лица» (слишком размыто, нужно: сотрудники, клиенты, кандидаты и т. д.).
3. Несоответствие фактической деятельности
в уведомлении нет упоминания о сайте, хотя на нём есть формы заявок;
не указана передача данных третьим лицам (курьеры, банки, CRM-сервисы);
заявлено только «хранение», а реально есть сбор, передача, уничтожение.
4. Ошибки в разделе «меры защиты»
указано «меры не применяются» (такое уведомление не примут);
перечислены СКЗИ или сертифицированные средства, которых фактически у компании нет (РКН может запросить подтверждение).
5. Несоответствие формальным требованиям
подача с неквалифицированной подписью (нужна КЭП);
уведомление подано от юрлица, но подпись — на физлицо;
документ на бумаге не заверен подписью и печатью (для организаций).
Обоснование по законодательству
- ФЗ-152, ст. 22, ч. 1 и 7: уведомление должно содержать полные и достоверные сведения; изменения вносятся не позднее 10 рабочих дней.
- КоАП РФ, ст. 13.11: за недостоверные сведения предусмотрены штрафы до 100 000 руб.
Пример из практики
ИП подал уведомление, указав только «обработка данных сотрудников». Но у него был сайт с формой заявки. Роскомнадзор отклонил уведомление с требованием указать категорию «клиенты» и цель обработки «заключение и исполнение договоров с клиентами».
Рекомендации и выводы
- Заполняйте все поля подробно и конкретно.
- Проверяйте, чтобы уведомление соответствовало фактической деятельности (особенно сайту и передаче данных).
- В мерах защиты указывайте реально используемые инструменты (антивирус, пароли, https, резервное копирование).
- Если получили отказ — исправьте ошибки и подайте уведомление повторно, это не штраф, а возможность доработать.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
