Уведомление об обработке персональных данных в Роскомнадзор: инструкция для интернет-магазинов

Владельцам интернет-магазинов согласно 152-ФЗ «О персональных данных», необходимо направить уведомление в Роскомнадзор. Это требование распространяется на юридических лиц, индивидуальных предпринимателей и даже на физических лиц.

В этой статье пошагово описано, как правильно подать уведомление в Роскомнадзор.

  1. Каковы штрафы за нарушение
  2. Подготовка к подаче уведомления в Роскомнадзор
  3. Как подать уведомление
  4. Как правильно заполнить уведомление
  5. Если интернет-магазин прекратил деятельность, как правильно информировать Роскомнадзор

Штрафы за невыполнение требований Роскомнадзора по обработке персональных данных

С 30 мая 2025 года повышаются штрафы за невыполнение или несвоевременное выполнение требований по уведомлению Роскомнадзора об обработке персональных данных:

  • физическим лицам грозит штраф от 5000 до 10 000 рублей;
  • должностным лицам грозит штраф от 30 000 до 50 000 рублей;
  • организациям и ИП грозит штраф от 100 000 до 300 000 рублей.

За нарушение обязанности уведомить об утечке персональных данных — 1 – 3 млн руб. За утечку персональных данных о не менее чем 1 000 физлиц или не менее 10 000 идентификаторов — 3 – 5 млн руб. За утечку данных о не менее чем 10 000 физлиц или не менее 100 000 идентификаторов — 5 – 10 млн руб. За утечку данных о более чем 100 000 физлицах или более 1 млн идентификаторов — 10 – 15 млн руб. За утечку данных спецкатегории — 10 – 15 млн руб. За утечку биометрических данных — 15 – 20 млн руб. За повторную утечку персональных данных любой категории — 1 – 3% годовой выручки.

Подготовка к подаче уведомления

До начала подачи уведомления необходимо проверить — подавалось ли уведомление в Роскомнадзор ранее. Это можно сделать на сайте Роскомнадзора в Реестре операторов персональных данных.

Если уведомление уже было отправлено, настоятельно рекомендуем проверить правильность указанных в нем данных. В частности, следует убедиться, что все цели обработки и категории персональных данных указаны корректно, а также проверить информацию о лице, ответственном за организацию обработки персональных данных.

Согласно Приказу Роскомнадзора от 28 октября 2022 года № 180, были утверждены новые формы уведомлений. Если уведомление было направлено до 26 декабря 2022 года, его необходимо обновить.

Рекомендуем периодически обновлять данные в уведомлении. Согласно закону, уведомление должно быть направлено не позднее 15-го числа месяца, следующего за тем, в котором произошли изменения.

Как подать уведомление

1. Для подачи уведомления об обработке персональных данных необходимо перейти на официальный сайт Роскомнадзора.

2. Перейдите в раздел «Электронные формы заявлений».

Если уведомление подается впервые, то нажмите «Перейти к заполнению формы электронного уведомления».

Если необходимо внести изменения, то нажмите «Перейти к заполнению уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных».

3. Уведомление может быть подано одним из следующих способов:

    • в электронном формате, при наличии усиленной квалифицированной электронной подписи.
    • на портале Госуслуг с использованием средств аутентификации ЕСИА, если у вас есть подверженная учетная запись.
    • в бумажном виде — для этого форму необходимо заполнить, распечатать и отправить в территориальных орган Роскомнадзора. 

Как заполнить уведомление

1. Выберите регион регистрации, где зарегистрирована ваша организация в качестве ЮЛ, ИП или самозанятого:

2. В разделе «Сведения об операторе» заполните информацию о реквизитах вашего интернет-магазина. Укажите тип оператора персональных данных, которым является ваша организация: ЮЛ, ИП или физическое лицо. Заполните все необходимые реквизиты вашей организации.

3. В разделе «Цели обработки персональных данных» укажите цели, которые соответствуют деятельности вашего интернет-магазина. 

Нельзя объединять несколько целей. Каждая цель указывается отдельным пунктом.

Могут быть следующие цели обработки:

  • «Предоставление покупателям услуг по договору» — именно эта задача является главной для любого интернет-магазина. В нее входит оформление заказов, доставка продукта, поддержка клиентов и предоставление данных о покупке.
  • «Направление рекламы» — используйте даннуюзадачу,еслинамереваетесьотправлять покупателям рекламу товаров, акций, новостей магазина ипрочиемаркетинговые материалы.
  • «Улучшения работы сайта и определения предпочтений пользователя» — включайте такую задачу, если используете аналитику посещаемости сайта, (например, Яндекс.Метрику).

Дополнительные примеры целей:

  • «Подбор кадров» — актуально, если интернет-магазин занимается наймом новых работников и обрабатывает личные сведения в резюме кандидатов.
  • «Составление, заключение и исполнение контрактов с контрагентами» — цель необходима, если ваша компания взаимодействует с поставщиками товаров/услуг, транспортными организациями, рекламодателями и другими партнерами.
  • «Организация и регулирование трудовых взаимоотношений» — цель используется, если вы собираете и храните данные штатных работников: ФИО, паспортные данные, контактные телефоны, адреса электронной почты и пр.)

Цели обработки информации приведены в качестве образцов. Чтобы корректно составить уведомление необходимо персонально определить и сформулировать собственные задачи, актуальные именно для вашего дела. Проверьте, чтобы цели обработки, указанные в уведомлении, совпадали с теми, что прописаны в ваших документах на сайте (например, политике конфиденциальности, пользовательском договоре или согласиях на обработку личных данных). Роскомнадзор вправе самостоятельно анализировать сайты и сопоставлять информацию, указанную в реестре и документах на сайте компании. При обнаружении расхождений в компании может быть проведено внеплановое контрольное мероприятие (согласно приказу Минцифры от 17.08.2023 № 720).

Дальше необходимо заполнить для каждой цели обработки персональных данных:

  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий;
  • способы обработки.

4. В разделе «Категории персональных данных» укажите, какие конкретно персональные данные вы обрабатываете для каждой заявленной цели обработки.

Отметьте флажком подходящие категории сведений. Если необходимых пунктов нет в перечне, поставьте галочку напротив строки «Прочие персональные данные» и дополнительно укажите недостающие категории вручную.

5. В разделе «Категории субъектов персональные данные которых обрабатываются» для интернет-магазина обычно указываются следующие:

  • Клиенты — физические лица, приобретающие товары или услуги через ваш интернет- магазин;
  • Посетители сайта — пользователи, оставляющие свои данные для подписки на новости, рассылки или участие в акциях;
  • Контрагенты — партнеры, поставщики или другие юридические лица, с которыми вы заключаете договоры;
  • Работники — сотрудники вашего интернет-магазина, чья информация необходима для ведения кадрового учета;
  • Соискатели — лица, претендующие на трудоустройство в вашу организацию.

6. Раздел «Правовое основание обработки персональных данных». До начала сбора и обработки персональных данных должно быть определено законное основание. Всего таких оснований двенадцать. Наиболее часто используются следующие: 

  • Согласие на обработку личных данных. Например, получение согласия клиента на получение рекламных сообщений.
  • Требование законодательства. Например передача необходимой информации государственным органам (налоговым службам, правоохранительным структурам).
  • Договор с субъектом. Например пользовательское соглашение или оферта с клиентом, на основании которой интернет-магазин производит обработку данных.

Отметьте подходящие пункты, основываясь на задачах обработки информации на вашем сайте, либо добавьте собственные основания обработки, руководствуясь внутренними документами. Распространённым нарушением считается указание 152-ФЗ «О персональных данных» в качестве правового базиса.

7. В разделе «Перечень действий» укажите конкретные операции, проводимые в вашем интернет-магазине.

Например, такие действия могут включать: сбор, запись, систематизацию, накопление, хранение, передачу (если передаются данные третьим лицам), уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение персональных данных.

8. В разделе «Способы обработки» выберите вариант, применяемый на сайте согласно внутренним документам.

Редко компании применяют исключительно автоматические методы обработки данных, поэтому указание смешанного подхода для всех целей будет верным решением.

9. В разделе «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»» необходимо указать меры, которые применяются для защиты персональных данных в соответствии с требованиями закона.

В соответствии с законом должны выполняться следующие мероприятия:

  • Назначено лицо, отвечающее за организацию обработки личных данных; 
  • разработана политика в отношении обработки личных данных и локальные акты по вопросам обработки личных данных;
  • осуществляется внутренний контроль обработки личных данных; 
  • произведена оценка вреда, который может быть причинен субъектам личных данных;
  • работники, осуществляющие обработку личных данных, ознакомлены с положениями законодательства РФ о личных данных и внутренними нормативными документами; 
  • проводится обучение работников правилам работы с личными данными;
  • определены угрозы безопасности личных данных при их обработке в информационных системах;
  • обеспечено применение правовых, организационных и технических мер по обеспечению безопасности личных данных в соответствии со статьей 19 Федерального закона «О личных данных»;
  • применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия (указывается, в случае если такие средства применяются для нейтрализации определенных угроз информационной безопасности или для уничтожения личных данных);
  • проведена оценка эффективности принимаемых мер по обеспечению безопасности личных данных до ввода в эксплуатацию информационной системы личных данных;
  • обеспечен учет машинных носителей личных данных;
  • проводятся мероприятия по обнаружению фактов несанкционированного доступа к личным данным и принятию мер в случае обнаружения;
  • обеспечивается возможность восстановления личных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 
  • определены правила доступа к личным данным, обрабатываемым в информационных системах личных данных;
  • осуществляется регистрация и учет всех действий, совершаемых с личными данными в информационной системе личных данных;
  • осуществляется контроль за принимаемыми мерами по обеспечению безопасности личных данных и уровня защищенности информационных систем личных данных.

10. В разделе «Средства обеспечения безопасности» необходимо указать средства, которые используются для защиты персональных данных на сайте. Например, укажите наименование средства антивирусной защиты, которые вы используете.

11. В разделе «Использование криптографических средств» укажите, применяете ли вы шифрование для обеспечения конфиденциальности передаваемой информации и защиты данных от несанкционированного доступа.

Криптографические средства могут применяться, например, если вы используете программное обеспечение КриптоПРО для цифровой подписи документов, для кадровых процессов, обмена защищёнными данными с государственными органами или банками, а также для безопасной передачи финансовой информации клиентов. Чтобы указать класс СКЗИ, наименование, серийные номера, нужно обратится к документации на криптосредство.

12. В разделе «Ответственный за организацию обработки персональных данных» необходимо предоставить информацию о лице, назначенном ответственным за организацию обработки личных данных:

  • фамилия, имя, отчество ответственного;
  • почтовый адрес;
  • номера телефона для связи;
  • адрес электронной почты.

Ответственным может быть назначен внутренний сотрудник или сторонняя организация, специализирующаяся на вопросах обработки и защиты личных данных. Предоставляйте корректные и достоверные сведения, так как в случае проверок или запросов от Роскомнадзора связь будет осуществляться именно по указанным контактам. 

Заполненные контактные данные ответственного лица после отправки уведомления станут общедоступными в реестре операторов Роскомнадзора.

13. В разделе «Дата начала обработки персональных данных» укажите дату регистрации ИП, юридического лица или получения статуса самозанятого.

14. Раздел «Срок или условие прекращения обработки персональных данных» предназначен для указания того, когда и при каких обстоятельствах прекращается обработка данных. Рекомендуем указать в данном разделе «Прекращение деятельности организации». 

15. В разделе «Осуществление трансграничной передачи персональных данных» укажите, производится ли передача персональных данных за границу, например:

  • использование CRM-систем, расположенных на зарубежных серверах;
  • применение аналитических сервисов, собирающих данные за рубежом (Google Analytics);
  • использование иностранных рекламных платформ.

Если трансграничная передача данных осуществляется, нужно подать отдельное уведомление о таком действии в Роскомнадзор.

16. В разделе «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ» необходимо указать, где территориально хранятся персональные данные.

Сервера виртуального хостинга бегет располагаются в дата-центре DataLine по адресу: г. Санкт-Петербург, территория ЦОД, ул. Жукова, д. 43

В уведомлении необходимо указать места хранения всех баз данных, в которых вы осуществляете обработку персональных данных, например дополнительно указать место хранения персональных данных работников при использовании программного обеспечения «1С».

17. Раздел «Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах» заполняется только операторами государственных/муниципальных информационных систем. Владельцам интернет-магазинов заполнять данный раздел не нужно.

18. В разделе «Сведения об обеспечении безопасности персональных данных» необходимо указать меры, предпринятые для защиты персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 №1119. Этот нормативный акт устанавливает уровни защищенности персональных данных и определяет мероприятия по их обеспечению.

Рекомендуем указать выполнение следующих мер:

  • Организован режим обеспечения безопасности пространств, предназначенных для обработки персональных данных. Для защиты помещений, где обрабатываются персональные данные, необходимо установить физическую охрану, систему видеонаблюдения и ввести строгий контроль доступа.
  • Обеспечена сохранность носителей персональных данных. Носители персональных данных на бумаге и на электронных устройствах следует защищать, к примеру хранить документы и носители в закрытых сейфах или шкафах, ограничить число людей, имеющих доступ к этим хранилищам.
  • Утвержден список лиц, которым нужен доступ к персональным данным для выполнения их служебных (трудовых) обязанностей. Персонал должен получать доступ только в рамках своих должностных обязанностей. Для этого нужно создать официальный документ, содержащий перечень сотрудников с правом доступа, а также регулярно пересматривать и обновлять этот перечень.
  • Используются средства защиты информации, прошедшие оценку соответствия требованиям законодательства. Для защиты персональных данных необходимо использовать инструменты, соответствующие законодательным нормам, например сертифицированные средства антивирусной защиты.
  • Назначено должностное лицо, ответственное за обеспечение безопасности персональных данных. Для этого определите конкретного сотрудника, который будет контролировать исполнение всех предусмотренных мер защиты.

19. Далее нужно указать контактные сведения исполнителя, который напрямую занимается оформлением и отправкой уведомления в Роскомнадзор. Исполнителем может быть не только лицо, ответственное за обработку персональных данных, но и любой иной сотрудник, которому поручено заполнить и направить уведомление. 

20. После заполнения всех необходимых разделов нужно отметить соответствующие пункты, подписать уведомление и направить в Роскомнадзор. Важно сохранить присвоенный номер и ключ. Они пригодятся для отслеживания статуса вашего уведомления.

21. После подачи уведомления на сайте Роскомнадзора в разделе «Реестр операторов» доступна функция проверки статуса поданного уведомления. Для этого используйте полученный номер и специальный ключ в соответствующем разделе «Проверка состояния уведомления».

Если интернет-магазин прекратил деятельность

Если ваш интернет-магазин прекратил свою деятельность, необходимо подать уведомление о прекращении обработки персональных данных в течение 10 рабочих дней с даты прекращения обработки персональных данных.

Для этого на сайте Роскомнадзора необходимо заполнить электронную форму.

Заполненную форму необходимо распечатать, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании.

Если вы сомневаетесь в правильности заполнения формы, то свяжитесь с нами и мы поможем вам заполнить форму.