Как правильно подать уведомление об обработке ПДн в Роскомнадзор (РКН)

Почему это КРИТИЧНО важно для IT?

• Автоматизация = Обязанность: Практически любая автоматизированная обработка ПДн (сбор через формы, хранение в БД, аналитика) требует уведомления РКН. Ваши сайты, приложения и сервисы — это "средства автоматизации" по закону.
• Широкий охват ПДн: Для IT операторов ПДн — это не только ФИО и телефон, но и Email, логины, хеши паролей, IP-адреса, Cookie, данные User-Agent (если позволяют идентифицировать лицо), Данные аккаунтов (история действий, платежей, предпочтений), Данные для аналитики (при связке с идентификатором пользователя).
• Трансграничность: Использование зарубежных хостингов (AWS, Google Cloud и т.д.), сервисов аналитики (Google Analytics) или CRM (Hubspot) — это трансграничная передача ПДн, которую обязательно нужно указывать в уведомлении и иметь законные основания.
• Обработчики: Если вы используете внешние сервисы для хостинга, рассылок, поддержки (даже если это Mailchimp, Zendesk, Yandex.Cloud) — они ваши "Обработчики", их данные тоже вносятся в уведомление.
• Проверки РКН: IT-сектор — под пристальным вниманием регулятора. Неправильное уведомление или его отсутствие — частый повод для проверок и штрафов.

Инструкция для IT-компаний и проектов:

Шаг 1: Оцениваем необходимость (IT-фокус)

• Вам НЕ нужно уведомлять РКН, ТОЛЬКО если:
  Вы обрабатываете исключительно ФИО (очень редкий случай в IT).
  Обработка ведется полностью вручную на бумаге (практически нереально для IT). Данные строго для исполнения конкретного договора с пользователем и не выходят за эти рамки (например, данные только для входа в ваш личный кабинет SaaS, без аналитики и рассылок).
• Вам ОБЯЗАТЕЛЬНО нужно уведомлять, если:
  У вас есть регистрация/авторизация пользователей (логин/пароль/email/телефон).
  Вы собираете данные форм (обратная связь, заказы).
  Используете веб-аналитику, связывающую данные с пользователем.
  Ведёте базу клиентов (CRM).
  Отправляете email/SMS уведомления или маркетинговые рассылки.
  Храните данные на серверах (любых, включая облачные).
  Интегрируетесь со сторонними сервисами, передавая им ПДн (платежки, доставка, аналитика).

Шаг 2: Готовим сведения (IT-специфика)

Собираем информацию, уделяя особое внимание цифровым аспектам:

• Оператор: Реквизиты вашей IT-компании (ЮЛ/ИП).
• Цели обработки (Примеры для IT):
  "Обеспечение функционирования и безопасности онлайн-сервиса [Название]".
  "Регистрация и авторизация пользователей в системе".
  "Исполнение договоров оказания IT-услуг (SaaS/PaaS/IaaS)".
  "Обработка заказов и оплат в интернет-магазине/маркетплейсе".
  "Проведение маркетинговых и рекламных кампаний".
  "Анализ поведения пользователей для улучшения сервиса" (указывайте, если используется).
  "Техническая поддержка пользователей".
• Категории субъектов: Пользователи сайта/приложения, клиенты (физические лица), подписчики рассылки, соискатели вакансий.
• Категории ПДн (Типичные для IT):
  Идентификационные данные (логин, email, телефон, ID аккаунта).
  Данные для входа (хеши паролей).
  Данные профиля (ФИО, аватар - если есть).
  Данные устройства и соединения (IP-адрес, Cookie, User-Agent - если используются для идентификации или профилирования).
  Данные заказов/транзакций.
  Данные обращений в поддержку.
  Данные для рассылок.
• Правовое основание: Чаще всего для IT это:
  Согласие субъекта ПДн (особенно для маркетинга, необязательных данных, аналитики за пределами функционала сервиса). Крайне важно иметь правильно оформленное согласие в интерфейсе!
  Заключение/исполнение договора (данные, необходимые для работы сервиса: регистрация, оплата, доступ).
  Законные интересы оператора (с осторожностью, например, безопасность сервиса, предотвращение мошенничества). Требует балансировки интересов и оценки рисков.
• Действия с ПДн: Сбор, запись, хранение, систематизация, использование, передача (обработчикам), обезличивание, удаление.
• Меры безопасности (Ключевое для IT!):
  Укажите соответствие требованиям Приказа ФСТЭК № 21 (угрозы 1-3 типов) и Приказа ФСБ № 378 (шифрование при передаче по открытым сетям).
  Кратко опишите ключевые техмеры: использование СКЗИ (SSL/TLS), межсетевые экраны (Firewall), антивирусы, системы обнаружения вторжений (IDS/IPS), разграничение прав доступа, резервное копирование, политики паролей, шифрование дисков/БД (если используется).
  Упомяните Политику обработки ПДн, размещенную на сайте.
• Местонахождение БД: Адрес размещения серверов (ваш офис, дата-центр в России, или облачный провайдер + его юр. адрес в РФ, если есть). Если БД за границей - это трансграничка!
• Трансграничная передача (Очень важно для IT!):
  ЕСТЬ, если данные хранятся/обрабатываются на серверах за пределами РФ (даже в "безопасных" юрисдикциях) или передаются иностранным сервисам (аналитика, рассылки, CDN, хостинг).
  Укажите страну(-ы) передачи и правовое основание (чаще всего - письменное согласие субъекта, явно информирующее о такой передаче!). Без согласия - трансграничная передача запрещена!
• Обработчики (Обязательно для IT!):
  Хостинг-провайдеры (российские и иностранные).
  Сервисы email/SMS рассылок (SendGrid, Mailchimp, UniSender и т.д.).
  CRM-системы (Hubspot, Salesforce, amoCRM и т.д.).
  Системы аналитики (Google Analytics 4, Яндекс.Метрика - если передаются ПДн или псевдонимизированные данные, позволяющие идентифицировать пользователя).
  Платежные агрегаторы (CloudPayments, ЮKassa и т.д. - при передаче ПДн).
  Сервисы поддержки (Zendesk, HelpDesk и т.д.).
  Укажите для каждого: Наименование, ИНН/ОГРН (если есть у иностранца), страну, предмет поручения (например, "Хранение данных БД", "Организация email-рассылок", "Обработка обращений в техническую поддержку").
• Дата начала обработки: Дата запуска сервиса/сайта или начала сбора данных.
• Срок обработки: Обычно "До достижения целей обработки или до отзыва согласия субъектом ПДн".

Шаг 3: Подаем через Портал РКН (Электронно + КЭП)

1. Ссылка: https://pd.rkn.gov.ru/operators-registry/notification/form/
2. КЭП - Ваш ключ: Подача возможна только с усиленной квалифицированной электронной подписью (КЭП) руководителя компании или ИП. Получите ее в аккредитованном УЦ (например, Контур, Такском, КРИПТО-ПРО). Без КЭП - вход закрыт.
3. Заполняем форму: Внимательно вносим все подготовленные данные. Поля для IT-специфики (обработчики, трансграничка, меры безопасности) заполняем особо тщательно./li>
4. Подписываем и отправляем: Заверяем форму КЭП и отправляем. Срок рассмотрения уведомления составляет 30 календарных дней.

Шаг 4: Мониторим статус и актуализируем

• Получаем электронную квитанцию с номером.
• Отслеживаем статус в реестре: https://pd.rkn.gov.ru/operators-registry/ (должен смениться на "Внесено в реестр").
• Актуализация ОБЯЗАТЕЛЬНА при любых изменениях в IT-инфраструктуре:
  Сменили хостинг/облако (в т.ч. регион серверов!).
  Подключили новый сервис-обработчик (новый CDN, аналитику, CRM).
  Изменили состав собираемых данных или цели их использования.
  Обновили меры безопасности.
  Сменили юр. адрес/руководителя.
• Срок: 10 рабочих дней с момента изменения.
• Как: В личном кабинете на портале РКН найти свое уведомление -> "Внести изменения".

IT-специфичные риски и советы:

• "Забытые" обработчики: Самый частый промах. Каждый SaaS, который видит ваши данные (хостинг, аналитика, рассылки, поддержка, CDN) - обработчик. Составьте полный список.
• "Невидимая" трансграничка: Использование зарубежных сервисов или облаков (даже если серверы "условно в РФ") = трансграничная передача. Требует согласия пользователя!
• Некорректные меры безопасности: Указать "Применяем ФСТЭК-21" недостаточно. Опишите ключевые реальные меры (шифрование, MFA, брандмауэр). Будьте готовы подтвердить это документами (Политика безопасности, настройки).
• Цели обработки: Разделяйте "необходимые для работы сервиса" (договор) и "маркетинг/аналитику" (согласие). Не пишите размыто
• Согласие для трансгранички и обработчиков: Если передаете данные за рубеж или обработчику, это должно быть явно прописано в согласии пользователя, которое он подтверждает (галочка, кнопка).
• Аналитика ≠ Анонимность: Если данные из Google Analytics/Яндекс.Метрики можно связать с конкретным пользователем (через User ID, сохраненные логины и т.д.) - это ПДн, требующие уведомления и законного основания.
• Мобильные приложения: Требования те же + особенности политики конфиденциальности в App Store/Google Play.

Подача уведомления в РКН - базовый элемент легальности вашего IT-проекта

Подача уведомления в РКН — не просто формальность, а базовый элемент легальности вашего IT-проекта в части работы с персональными данными. Понимание IT-специфики при его подготовке критически важно. Не надейтесь на "авось" или "мы маленькие". РКН активно мониторит цифровую среду. Потратьте время на корректное оформление уведомления и его актуализацию — это сэкономит вам нервы, деньги и репутацию в будущем. Убедитесь, что ваша Политика конфиденциальности на сайте полностью соответствует данным, указанным в уведомлении!