Уведомление Роскомнадзора об обработке персональных данных: инструкция для интернет-магазинов

Дата последнего обновления данной инструкции: 23 мая 2025.

Согласно 152-ФЗ «О персональных данных» владельцам интернет-магазинов, которые обрабатывают персональные данные, необходимо направить уведомление в Роскомнадзор. Это требование распространяется на юридических лиц, индивидуальных предпринимателей и также на физических лиц.

С 30 мая 2025 года повышаются штрафы за невыполнение или несвоевременное выполнение требований по уведомлению Роскомнадзора об обработке персональных данных:

• физическим лицам грозит штраф от 5000 до 10 000 рублей;
• должностным лицам грозит штраф от 30 000 до 50 000 рублей;
• организациям и индивидуальным предпринимателям грозит штраф от 100 000 до 300 000 рублей.

В статье пошагово описано, как правильно оформить и подать уведомление в Роскомнадзор.

1. Подготовка к подаче уведомления
2. Как подать уведомление
3. Как заполнить уведомление
4. Если интернет-магазин прекратил деятельность

Подготовка к подаче уведомления

До начала подачи уведомления необходимо проверить - подавалось ли уведомление в Роскомнадзор ранее. Это можно сделать на сайте Роскомнадзора в Реестре операторов персональных данных.

Если уведомление уже направлялось, рекомендуем проверить насколько корректно в нем указана информация. Например, стоит проверить все ли цели обработки и категории персональных данных указаны, информацию об ответственном за организацию обработки персональных данных. 

В Приказе Роскомнадзора от 28.10.2022 г. № 180 утверждены новые формы уведомлений. Если уведомление было направлено до 26 декабря 2022 года, его обязательно нужно обновить.

Рекомендуем регулярно обновлять информацию в уведомлении. Законом установлен срок уведомления - не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения. 

Как подать уведомление

1. Для подачи уведомления об обработке персональных данных необходимо перейти на официальный сайт Роскомнадзора.

2. Перейдите в раздел «Электронные формы заявлений».

Если уведомление подается впервые, то выберите «Перейти к заполнению формы электронного уведомления».

Если необходимо внести изменения, то выберите «Перейти к заполнению уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных».

3. Уведомление можно подать одним из следующих способов:

    • в электронном виде, если у вас есть усиленная квалифицированная электронная подпись
    • с использованием средств аутентификации ЕСИА, если у вас есть подверженная учетная запись на портале Госуслуг.
    • в бумажном виде - для этого заполненную форму необходимо распечатать и отправить в территориальных орган Роскомнадзора. 

Как заполнить уведомление

1. Выберите регион регистрации, на территории которого зарегистрирована ваша организация в качестве юридического лица (ЮЛ), индивидуального предпринимателя (ИП) или самозанятого:

2. В разделе «Сведения об операторе» заполните информацию о реквизитах вашего интернет-магазина.

Поля, отмеченные символом "*", являются обязательными для заполнения.

2.1 Определите тип оператора персональных данных, которым является ваша организация: ЮЛ, ИП или физическое лицо.

2.2 Заполните все необходимые реквизиты о вашей организации по форме Роскомнадзора. Реквизиты отличаются в зависимости от типа оператора.

2.3 Заполните регион (или регионы), в которых осуществляется деятельность.

2.4 Убедитесь, что указаны все необходимые данные адреса: индекс, город, улица, номер дома и офиса.

2.5 При наличии филиалов, добавьте информацию о них.

3. В разделе «Цели обработки персональных данных» укажите цели, которые соответствуют деятельности вашего интернет-магазина.

Недопустимо объединять несколько целей в одной строке — каждая цель указывается отдельным пунктом.

Например, это могут быть следующие цели обработки:

• "Предоставление клиентам услуг по договору" - именно эта цель является основной для любого интернет-магазина. В нее входит оформление заказов, доставка товара, поддержка клиентов и предоставление информации о покупке).
• "Направление рекламы" - используйте данную цель, если планируете отправлять покупателям рекламу товаров, акций, новостей магазина и другие маркетинговые материалы.
• "Улучшения работы сайта и определения предпочтений пользователя" - включайте такую цель, если используете аналитику посещаемости сайта, (например, Яндекс.Метрику).

Дополнительные примеры целей:

• "Подбор персонала" - актуально, если интернет-магазин занимается приемом новых сотрудников и обрабатывает персональных данные в резюме кандидатов.
• "Подготовка, заключение и исполнение договоров с контрагентами" - цель необходима, если ваша компания взаимодействует с поставщиками товаров/услуг, транспортными компаниями, рекламодателями и иными партнерами.
• "Организация и регулирование трудовых отношений" - цель используется, если вы собираете и храните данные штатных сотрудников: ФИО, паспортные данные, контактные телефоны, адреса электронной почты и др.)

Цели обработки данных приведены в качестве примеров. Чтобы правильно составить уведомление необходимо индивидуально определить и сформулировать собственные цели, актуальные именно для вашего бизнеса.

Проверьте, чтобы цели обработки персональных данных, указанные в уведомлении, совпадали с теми, что указаны в ваших документах (например, политике конфиденциальности, пользовательском соглашении или согласиях на обработку персональных данных). Роскомнадзор вправе самостоятельно анализировать сайты и сравнивать информацию, указанную в реестре и документах на сайте компании. При выявлении несоответствий в компании может быть проведено внеплановое контрольное (надзорное) мероприятие (согласно приказу Минцифры от 17.08.2023 № 720).

Дальнейшую информацию необходимо заполнить для каждой цели обработки персональных данных:

• категории персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание обработки персональных данных;
• перечень действий;
• способы обработки.

4. В разделе «Категории персональных данных» укажите, какие конкретно персональные данные вы обрабатываете для каждой заявленной цели обработки.

Отметьте галочкой соответствующие категории данных. Если нужных пунктов нет в списке, поставьте галочку напротив строки «Иные персональные данные» и дополнительно укажите недостающие категории вручную. 

Особенно внимательно отнеситесь к полноте предоставляемого списка. Убедитесь, что указали все обрабатываемые данные: например, дату рождения, если вы предоставляете скидки в дни рождения клиентов в рамках своей программы лояльности.

5. В разделе «Категории субъектов персональные данные которых обрабатываются» для интернет-магазина обычно указываются следующие категории:

• Клиенты - физические лица, приобретающие товары или услуги через ваш интернет- магазин;
• Посетители сайта - пользователи, оставляющие свои данные для подписки на новости, рассылки или участие в акциях;
• Контрагенты - партнеры, поставщики или другие юридические лица, с которыми вы заключаете договоры;
• Работники - сотрудники вашего интернет-магазина, чья информация необходима для ведения кадрового учета;
• Соискатели - лица, претендующие на трудоустройство в вашу организацию.

6. Раздел «Правовое основание». До начала сбора и обработки персональных данных должно быть определено законное основание. Всего таких оснований двенадцать. Чаще всего используются следующие три: 

• Согласие на обработку персональных данных. Например, получение согласия клиента на получение рекламных сообщений.
• Требование законодательства. Например передача необходимой информации государственным органам (налоговым службам, правоохранительным структурам).
• Договор с субъектом. Например пользовательское соглашение или оферта с клиентом, на основании которой интернет-магазин осуществляет обработку данных.

Отметьте подходящие пункты, исходя из целей обработки данных в вашем интернет-магазине, или добавьте свои основания обработки, руководствуясь внутренними документами.

Частым нарушением является указание 152-ФЗ «О персональных данных» в качестве правового основания.

7. В разделе «Перечень действий» укажите конкретные операции, проводимые в вашем интернет-магазине.

Например, такие действия могут включать: сбор, запись, систематизацию, накопление, хранение, передачу (если передаются данные третьим лицам), уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение персональных данных.

8. В разделе «Способы обработки» выберите вариант, применяемый в вашем интернет-магазине согласно внутренним документам.

Немногие компании применяют исключительно автоматические методы обработки данных, поэтому указание смешанного подхода для всех целей будет вполне оправданным решением. Следует также уточнить, как передается информация: через интернет, внутри корпоративной сети или применяется оба варианта.

9. В разделе "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»" необходимо указать меры, которые применяются для защиты персональных данных в соответствии с требованиями закона.

В соответствии с законом должны выполняться следующие мероприятия:

• назначено лицо, ответственное за организацию обработки персональных данных; 
• разработана политика в отношении обработки персональных данных и локальные акты по вопросам обработки персональных данных;
• осуществляется внутренний контроль обработки персональных данных; 
• проведена оценка вреда, который может быть причинен субъектам персональных данных;
• работники, осуществляющие обработку персональных данных, ознакомлены с положениями законодательства РФ о персональных данных и внутренними нормативными документами; 
• проводится обучение работников правилам работы с персональными данными;
• определены угрозы безопасности персональных данных при их обработке в информационных системах;
• обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
• применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия (указывается, в случае если такие средства применяются для нейтрализации определенных угроз информационной безопасности или для уничтожения персональных данных);
• проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• обеспечен учет машинных носителей персональных данных;
• проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию мер в случае обнаружения;
• обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 
• определены правила доступа к персональным данным, обрабатываемых в информационных системах персональных данных;
• осуществляется регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

10. В разделе «Средства обеспечения безопасности» необходимо указать конкретные наименования средств защиты информации, которые используются для защиты персональных данных в интернет-магазине. Например, укажите наименование средства антивирусной защиты, которые вы используете.

11. В разделе «Использование криптографических средств» укажите, применяете ли вы шифрование для обеспечения конфиденциальности передаваемой информации и защиты данных от несанкционированного доступа.

Криптографические средства могут применяться, например, если вы используете программное обеспечение КриптоПРО для цифровой подписи документов, для кадровых процессов, обмена защищёнными данными с государственными органами или банками, а также для безопасной передачи финансовой информации клиентов. 

Необходимо указать класс СКЗИ, наименование, серийные номера, все эти данные можно узнать из документации на криптосредство.

12. В разделе «Ответственный за организацию обработки персональных данных» необходимо указать информацию о лице, назначенным ответственным за организацию обработки персональных данных: 

• фамилия, имя, отчество ответственного;
• почтовый адрес;
• номера контактного телефона;
• адрес электронной почты.

Ответственным может быть назначен внутренний сотрудник или сторонняя компания, специализирующаяся на вопросах обработки и защите персональных данных

Указывайте точные и достоверные данные, так как в случае проверок или запросов от Роскомнадзора связь будет осуществляться именно по указанным контактам. 

Важно отметить, что заполненные контактные данные ответственного лица после отправки уведомления станут общедоступными в реестре операторов Роскомнадзора.

13. В разделе «Дата начала обработки персональных данных» рекомендуем указать дату начала обработки персональных данных в вашей деятельности.

Например, дату заключения первого трудового договора с сотрудником или дату оформления первого договора с контрагентом.

14. Раздел «Срок или условие прекращения обработки персональных данных» предназначен для указания того, когда и при каких обстоятельствах прекращается обработка данных. Рекомендуем указать в данном разделе «Прекращение деятельности организации». 

15. В разделе «Осуществление трансграничной передачи персональных данных» укажите, производится ли передача персональных данных за границу, например:

• использование CRM-систем, расположенных на зарубежных серверах;
• применение аналитических сервисов, собирающих данные за рубежом (Google Analytics);
• использование иностранных рекламных платформ.

Если трансграничная передача данных осуществляется, необходимо подать отдельное уведомление о таком действии в Роскомнадзор.

Уведомление можно подать через портал персональных данных Роскомнадзора, заполнив специальную форму. Для этого необходима подтвержденная учетная запись на Госуслугах, оформленная на юридическое лицо или человека, подающего уведомление. Если онлайн-подать не удается, подготовьте уведомление по образцу с портала, подпишите и отправьте обычной почтой в Роскомнадзор.

16. В разделе «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ» необходимо указать, где территориально хранятся персональные данные.

Для обработки персональных данных с использованием платформы «inSales» укажите два адреса ЦОД, в которых осуществляется обработка персональных данных:

• АО «Селектел», адрес ЦОД: г. Москва, ул. Берзарина, д. 36, стр. 3; 
  
• ООО «Облачные технологии», адрес ЦОД, г. Москва, Алтуфьевское шоссе, 33Г.
  Организацией, ответственной за хранение данных, укажите ООО «Инсейлс Рус», ОГРН: 1117746506514, ИНН: 7714843760, страна местонахождения: Россия, адрес местонахождения: 125047, г. Москва, вн.тер.г. Муниципальный Округ Тверской, ул 1-я Тверская-ямская, д. 21.
  

В уведомлении необходимо указать места хранения всех баз данных, в которых вы осуществляете обработку персональных данных, например дополнительно указать место хранения персональных данных работников при использовании программного обеспечения «1С».

17. Раздел «Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах» заполняется только операторами государственных/муниципальных информационных систем. Владельцам интернет-магазинов заполнять данный раздел не нужно.

18. В разделе «Сведения об обеспечении безопасности персональных данных» необходимо указать меры, предпринятые для защиты персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 №1119. Этот нормативный акт устанавливает уровни защищенности персональных данных и определяет мероприятия по их обеспечению.

В соответствии с этим документом рекомендуем указать выполнение следующих мер:

• Организован режим обеспечения безопасности помещений, предназначенных для обработки персональных данных. Для защиты помещений, где обрабатываются персональные данные, важно установить физическую охрану, систему видеонаблюдения и внедрить строгий контроль доступа.
• Обеспечена сохранность носителей персональных данных. Носители персональных данных на бумаге и на электронных устройствах необходимо защищать, например хранить документы и носители в закрытых сейфах или шкафах, ограничить количество людей, имеющих доступ к этим хранилищам.
• Утвержден перечень лиц, которым необходим доступ к персональным данным для выполнения их служебных (трудовых) обязанностей.  Персонал должен получать доступ только в рамках своих должностных обязанностей. Для этого нужно создать официальный документ, содержащий список сотрудников с правом доступа, а также регулярно пересматривать и обновлять этот список.
• Используются средства защиты информации, прошедшие оценку соответствия требованиям законодательства. Для защиты персональных данных необходимо использовать инструменты, соответствующие законодательным нормам, например сертифицированные средства антивирусной защиты.
• Назначено должностное лицо, ответственное за обеспечение безопасности персональных данных. Для этого определите конкретного сотрудника, который будет контролировать исполнение всех предусмотренных мер защиты.

19. Далее необходимо указать контактные данные исполнителя, который непосредственно занимается оформлением и подачей уведомления в Роскомнадзор. Исполнителем может выступать не только лицо, ответственное за обработку персональных данных, но и любой другой сотрудник, которому поручено заполнить и направить уведомление. 

20. После заполнения всех необходимых разделов нужно отметить соответствующие пункты, подписать уведомление и направить в Роскомнадзор. Важно сохранить присвоенный номер и ключ — они пригодятся для отслеживания статуса вашего уведомления.

21. После подачи уведомления на сайте Роскомнадзора в разделе «Реестр операторов» доступна функция проверки статуса поданного уведомления. Для этого используйте полученный номер и специальный ключ в соответствующем разделе «Проверка состояния уведомления».

Если интернет-магазин прекратил деятельность

Если ваш интернет-магазин прекратил свою деятельность, необходимо подать уведомление о прекращении обработки персональных данных в течение 10 рабочих дней с даты прекращения обработки персональных данных.

Для этого на сайте Роскомнадзора необходимо заполнить электронную форму.

Заполненную форму необходимо распечатать, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании.

На сайте РКН можно ознакомиться с примерами заполнения уведомлений:

• Пример заполнения уведомления об обработке о намерении осуществлять обработку персональных данных.
• Пример заполнения уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.
• Пример заполнения уведомления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных.

Соблюдая установленные сроки и процедуры уведомления, владельцы интернет-магазинов снижают риски возникновения конфликтов с регулятором и сохраняют доверие пользователей к своему бизнесу.