Разрабатываете SaaS, мобильное приложение, CRM, маркетплейс или просто собираете данные через сайт? Если ваша IT-компания или проект обрабатывают персональные данные (ПДн) пользователей или клиентов в России, подача уведомления в Роскомнадзор — не бюрократия, а обязательное требование закона (152-ФЗ). Игнорирование грозит штрафами и репутационными рисками. Разберем пошагово, как IT-специалистам и компаниям пройти этот процесс без ошибок.
Почему это КРИТИЧНО важно для IT?
-
Автоматизация = Обязанность: Практически любая автоматизированная обработка ПДн (сбор через формы, хранение в БД, аналитика) требует уведомления РКН. Ваши сайты, приложения и сервисы — это "средства автоматизации" по закону.
- Широкий охват ПДн: Для IT операторов ПДн — это не только ФИО и телефон, но и Email, логины, хеши паролей, IP-адреса, Cookie, данные User-Agent (если позволяют идентифицировать лицо), Данные аккаунтов (история действий, платежей, предпочтений), Данные для аналитики (при связке с идентификатором пользователя).
- Трансграничность: Использование зарубежных хостингов (AWS, Google Cloud и т.д.), сервисов аналитики (Google Analytics) или CRM (Hubspot) — это трансграничная передача ПДн, которую обязательно нужно указывать в уведомлении и иметь законные основания.
-
Обработчики: Если вы используете внешние сервисы для хостинга, рассылок, поддержки (даже если это Mailchimp, Zendesk, Yandex.Cloud) — они ваши "Обработчики", их данные тоже вносятся в уведомление.
-
Проверки РКН: IT-сектор — под пристальным вниманием регулятора. Неправильное уведомление или его отсутствие — частый повод для проверок и штрафов.
Инструкция для IT-компаний и проектов:
Шаг 1: Оцениваем необходимость (IT-фокус)
-
Вам НЕ нужно уведомлять РКН, ТОЛЬКО если:
Вы обрабатываете исключительно ФИО (очень редкий случай в IT).
Обработка ведется полностью вручную на бумаге (практически нереально для IT). Данные строго для исполнения конкретного договора с пользователем и не выходят за эти рамки (например, данные только для входа в ваш личный кабинет SaaS, без аналитики и рассылок). -
Вам ОБЯЗАТЕЛЬНО нужно уведомлять, если:
У вас есть регистрация/авторизация пользователей (логин/пароль/email/телефон).
Вы собираете данные форм (обратная связь, заказы).
Используете веб-аналитику, связывающую данные с пользователем.
Ведёте базу клиентов (CRM).
Отправляете email/SMS уведомления или маркетинговые рассылки.
Храните данные на серверах (любых, включая облачные).
Интегрируетесь со сторонними сервисами, передавая им ПДн (платежки, доставка, аналитика).
Шаг 2: Готовим сведения (IT-специфика)
Собираем информацию, уделяя особое внимание цифровым аспектам:
- Оператор: Реквизиты вашей IT-компании (ЮЛ/ИП).
-
Цели обработки (Примеры для IT):
"Обеспечение функционирования и безопасности онлайн-сервиса [Название]".
"Регистрация и авторизация пользователей в системе".
"Исполнение договоров оказания IT-услуг (SaaS/PaaS/IaaS)".
"Обработка заказов и оплат в интернет-магазине/маркетплейсе".
"Проведение маркетинговых и рекламных кампаний".
"Анализ поведения пользователей для улучшения сервиса" (указывайте, если используется).
"Техническая поддержка пользователей". - Категории субъектов: Пользователи сайта/приложения, клиенты (физические лица), подписчики рассылки, соискатели вакансий.
-
Категории ПДн (Типичные для IT):
Идентификационные данные (логин, email, телефон, ID аккаунта).
Данные для входа (хеши паролей).
Данные профиля (ФИО, аватар - если есть).
Данные устройства и соединения (IP-адрес, Cookie, User-Agent - если используются для идентификации или профилирования).
Данные заказов/транзакций.
Данные обращений в поддержку.
Данные для рассылок. -
Правовое основание: Чаще всего для IT это:
Согласие субъекта ПДн (особенно для маркетинга, необязательных данных, аналитики за пределами функционала сервиса). Крайне важно иметь правильно оформленное согласие в интерфейсе!
Заключение/исполнение договора (данные, необходимые для работы сервиса: регистрация, оплата, доступ).
Законные интересы оператора (с осторожностью, например, безопасность сервиса, предотвращение мошенничества). Требует балансировки интересов и оценки рисков. - Действия с ПДн: Сбор, запись, хранение, систематизация, использование, передача (обработчикам), обезличивание, удаление.
-
Меры безопасности (Ключевое для IT!):
Укажите соответствие требованиям Приказа ФСТЭК № 21 (угрозы 1-3 типов) и Приказа ФСБ № 378 (шифрование при передаче по открытым сетям).
Кратко опишите ключевые техмеры: использование СКЗИ (SSL/TLS), межсетевые экраны (Firewall), антивирусы, системы обнаружения вторжений (IDS/IPS), разграничение прав доступа, резервное копирование, политики паролей, шифрование дисков/БД (если используется).
Упомяните Политику обработки ПДн, размещенную на сайте. - Местонахождение БД: Адрес размещения серверов (ваш офис, дата-центр в России, или облачный провайдер + его юр. адрес в РФ, если есть). Если БД за границей - это трансграничка!
-
Трансграничная передача (Очень важно для IT!):
ЕСТЬ, если данные хранятся/обрабатываются на серверах за пределами РФ (даже в "безопасных" юрисдикциях) или передаются иностранным сервисам (аналитика, рассылки, CDN, хостинг).
Укажите страну(-ы) передачи и правовое основание (чаще всего - письменное согласие субъекта, явно информирующее о такой передаче!). Без согласия - трансграничная передача запрещена! -
Обработчики (Обязательно для IT!):
Хостинг-провайдеры (российские и иностранные).
Сервисы email/SMS рассылок (SendGrid, Mailchimp, UniSender и т.д.).
CRM-системы (Hubspot, Salesforce, amoCRM и т.д.).
Системы аналитики (Google Analytics 4, Яндекс.Метрика - если передаются ПДн или псевдонимизированные данные, позволяющие идентифицировать пользователя).
Платежные агрегаторы (CloudPayments, ЮKassa и т.д. - при передаче ПДн).
Сервисы поддержки (Zendesk, HelpDesk и т.д.).
Укажите для каждого: Наименование, ИНН/ОГРН (если есть у иностранца), страну, предмет поручения (например, "Хранение данных БД", "Организация email-рассылок", "Обработка обращений в техническую поддержку"). - Дата начала обработки: Дата запуска сервиса/сайта или начала сбора данных.
- Срок обработки: Обычно "До достижения целей обработки или до отзыва согласия субъектом ПДн".
Шаг 3: Подаем через Портал РКН (Электронно + КЭП)
- Ссылка: https://pd.rkn.gov.ru/operators-registry/notification/form/
- КЭП - Ваш ключ: Подача возможна только с усиленной квалифицированной электронной подписью (КЭП) руководителя компании или ИП. Получите ее в аккредитованном УЦ (например, Контур, Такском, КРИПТО-ПРО). Без КЭП - вход закрыт.
- Заполняем форму: Внимательно вносим все подготовленные данные. Поля для IT-специфики (обработчики, трансграничка, меры безопасности) заполняем особо тщательно./li>
- Подписываем и отправляем: Заверяем форму КЭП и отправляем. Срок рассмотрения уведомления составляет 30 календарных дней.
Шаг 4: Мониторим статус и актуализируем
- Получаем электронную квитанцию с номером.
- Отслеживаем статус в реестре: https://pd.rkn.gov.ru/operators-registry/ (должен смениться на "Внесено в реестр").
-
Актуализация ОБЯЗАТЕЛЬНА при любых изменениях в IT-инфраструктуре:
Сменили хостинг/облако (в т.ч. регион серверов!).
Подключили новый сервис-обработчик (новый CDN, аналитику, CRM).
Изменили состав собираемых данных или цели их использования.
Обновили меры безопасности.
Сменили юр. адрес/руководителя. - Срок: 10 рабочих дней с момента изменения.
- Как: В личном кабинете на портале РКН найти свое уведомление -> "Внести изменения".
IT-специфичные риски и советы:
- "Забытые" обработчики: Самый частый промах. Каждый SaaS, который видит ваши данные (хостинг, аналитика, рассылки, поддержка, CDN) - обработчик. Составьте полный список.
- "Невидимая" трансграничка: Использование зарубежных сервисов или облаков (даже если серверы "условно в РФ") = трансграничная передача. Требует согласия пользователя!
- Некорректные меры безопасности: Указать "Применяем ФСТЭК-21" недостаточно. Опишите ключевые реальные меры (шифрование, MFA, брандмауэр). Будьте готовы подтвердить это документами (Политика безопасности, настройки).
- Цели обработки: Разделяйте "необходимые для работы сервиса" (договор) и "маркетинг/аналитику" (согласие). Не пишите размыто
- Согласие для трансгранички и обработчиков: Если передаете данные за рубеж или обработчику, это должно быть явно прописано в согласии пользователя, которое он подтверждает (галочка, кнопка).
- Аналитика ≠ Анонимность: Если данные из Google Analytics/Яндекс.Метрики можно связать с конкретным пользователем (через User ID, сохраненные логины и т.д.) - это ПДн, требующие уведомления и законного основания.
- Мобильные приложения: Требования те же + особенности политики конфиденциальности в App Store/Google Play.
Подача уведомления в РКН - базовый элемент легальности вашего IT-проекта
Подача уведомления в РКН — не просто формальность, а базовый элемент легальности вашего IT-проекта в части работы с персональными данными. Понимание IT-специфики при его подготовке критически важно. Не надейтесь на "авось" или "мы маленькие". РКН активно мониторит цифровую среду. Потратьте время на корректное оформление уведомления и его актуализацию — это сэкономит вам нервы, деньги и репутацию в будущем. Убедитесь, что ваша Политика конфиденциальности на сайте полностью соответствует данным, указанным в уведомлении!
