Регистрация сайта в Роскомнадзоре как оператора персональных данных: как правильно заполнить форму уведомления

С 1 марта 2024 года вступили в силу изменения в законодательстве, касающиеся обработки персональных данных. Теперь подавляющее большинство компаний, имеющих сайты с формами обратной связи, онлайн-заказов, регистрации, а также использующих cookies, обязаны пройти регистрацию в Роскомнадзоре как операторы персональных данных.

Особенно остро встал вопрос заполнения формы уведомления, размещённой на официальном сайте Роскомнадзора:

Форма уведомления об обработке ПДн.

Наибольшие трудности у заявителей вызывает поле «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона „О персональных данных“», которое не имеет чёткого пояснения в самой форме.

Согласно статье 18.1 Федерального закона №152-ФЗ, оператор персональных данных обязан принять правовые, организационные и технические меры, направленные на выполнение требований по защите персональных данных.

А статья 19 этого же закона обязывает оператора обеспечивать безопасность персональных данных, включая защиту от:

- неправомерного доступа;

- утраты;

- изменения;

- распространения;

- иных незаконных действий.

Форма уведомления требует кратко, но содержательно описать, какие именно меры реализованы оператором на практике. При этом Роскомнадзор вправе по запросу потребовать документы, подтверждающие реализацию заявленных мер.

Ниже приведён обобщённый пример заполнения поля «Описание мер по ст. 18.1 и 19»:

Это не единственно верный шаблон — каждый оператор должен адаптировать формулировку под свою деятельность, реальные меры и внутренние документы.

Формально в форму вносится краткое описание, но по запросу РКН необходимо иметь:

1. Политику обработки персональных данных (публичную, размещённую на сайте);

2. Приказ о назначении ответственного за ПД;

3. Положения об обработке ПД работников и клиентов;

4. Положение о защите информации;

5. Приказ об утверждении перечня лиц, имеющих доступ к ПД;

6. Правила обработки запросов субъектов ПД;

7. Перечень ИСПДн и акт их классификации;

8. Локальный акт по внутреннему аудиту обработки ПД;

9. Журнал обращений субъектов;

10. Акт оценки вреда субъектам ПД (в случае инцидента);

11. Документы, подтверждающие меры технической защиты (антивирус, резервное копирование, логирование доступа и др.).

Важно: все эти документы должны быть не просто написаны, но внедрены в деятельность организации. Формальный подход «для галочки» может обернуться административной ответственностью в случае проверки.

Если компания обрабатывает персональные данные, но не зарегистрировалась как оператор ПДн в Роскомнадзоре, она может быть привлечена к ответственности по ст. 13.11 КоАП РФ, включая штрафы:

а.) для должностных лиц — от 10 000 до 20 000 рублей;

б.) для юридических лиц — от 30 000 до 150 000 рублей.

Повторное нарушение или инциденты, связанные с утечкой ПД, могут повлечь более серьёзные последствия, включая блокировку сайта.

Регистрация в Роскомнадзоре как оператор персональных данных — это неформальный процесс, а отражение реального факта обработки и защиты информации о пользователях. Заполнение формы — это первый шаг. Главная задача — иметь на руках внутренние документы и реально применять меры защиты в соответствии с законодательством.

Если у вас возникают сомнения в корректности формулировок или документов, стоит обратиться к специалисту. Типовые шаблоны из интернета часто устарели или не соответствуют специфике вашей деятельности.