Дата последнего обновления данной инструкции: 23 мая 2025.
Согласно 152-ФЗ «О персональных данных» владельцам интернет-магазинов, которые обрабатывают персональные данные, необходимо направить уведомление в Роскомнадзор. Это требование распространяется на юридических лиц, индивидуальных предпринимателей и также на физических лиц.
С 30 мая 2025 года повышаются штрафы за невыполнение или несвоевременное выполнение требований по уведомлению Роскомнадзора об обработке персональных данных:
В статье пошагово описано, как правильно оформить и подать уведомление в Роскомнадзор.
До начала подачи уведомления необходимо проверить - подавалось ли уведомление в Роскомнадзор ранее. Это можно сделать на сайте Роскомнадзора в Реестре операторов персональных данных.
Если уведомление уже направлялось, рекомендуем проверить насколько корректно в нем указана информация. Например, стоит проверить все ли цели обработки и категории персональных данных указаны, информацию об ответственном за организацию обработки персональных данных.
В Приказе Роскомнадзора от 28.10.2022 г. № 180 утверждены новые формы уведомлений. Если уведомление было направлено до 26 декабря 2022 года, его обязательно нужно обновить.
Рекомендуем регулярно обновлять информацию в уведомлении. Законом установлен срок уведомления - не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
1. Для подачи уведомления об обработке персональных данных необходимо перейти на официальный сайт Роскомнадзора.
2. Перейдите в раздел «Электронные формы заявлений».
Если уведомление подается впервые, то выберите «Перейти к заполнению формы электронного уведомления».
Если необходимо внести изменения, то выберите «Перейти к заполнению уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных».
3. Уведомление можно подать одним из следующих способов:
• в электронном виде, если у вас есть усиленная квалифицированная электронная подпись
• с использованием средств аутентификации ЕСИА, если у вас есть подверженная учетная запись на портале Госуслуг.
• в бумажном виде - для этого заполненную форму необходимо распечатать и отправить в территориальных орган Роскомнадзора.
1. Выберите регион регистрации, на территории которого зарегистрирована ваша организация в качестве юридического лица (ЮЛ), индивидуального предпринимателя (ИП) или самозанятого:
2. В разделе «Сведения об операторе» заполните информацию о реквизитах вашего интернет-магазина.
Поля, отмеченные символом "*", являются обязательными для заполнения.
2.1 Определите тип оператора персональных данных, которым является ваша организация: ЮЛ, ИП или физическое лицо.
2.2 Заполните все необходимые реквизиты о вашей организации по форме Роскомнадзора. Реквизиты отличаются в зависимости от типа оператора.
2.3 Заполните регион (или регионы), в которых осуществляется деятельность.
2.4 Убедитесь, что указаны все необходимые данные адреса: индекс, город, улица, номер дома и офиса.
2.5 При наличии филиалов, добавьте информацию о них.
3. В разделе «Цели обработки персональных данных» укажите цели, которые соответствуют деятельности вашего интернет-магазина.
Недопустимо объединять несколько целей в одной строке — каждая цель указывается отдельным пунктом.
Например, это могут быть следующие цели обработки:
Дополнительные примеры целей:
Цели обработки данных приведены в качестве примеров. Чтобы правильно составить уведомление необходимо индивидуально определить и сформулировать собственные цели, актуальные именно для вашего бизнеса.
Проверьте, чтобы цели обработки персональных данных, указанные в уведомлении, совпадали с теми, что указаны в ваших документах (например, политике конфиденциальности, пользовательском соглашении или согласиях на обработку персональных данных). Роскомнадзор вправе самостоятельно анализировать сайты и сравнивать информацию, указанную в реестре и документах на сайте компании. При выявлении несоответствий в компании может быть проведено внеплановое контрольное (надзорное) мероприятие (согласно приказу Минцифры от 17.08.2023 № 720).
Дальнейшую информацию необходимо заполнить для каждой цели обработки персональных данных:
4. В разделе «Категории персональных данных» укажите, какие конкретно персональные данные вы обрабатываете для каждой заявленной цели обработки.
Отметьте галочкой соответствующие категории данных. Если нужных пунктов нет в списке, поставьте галочку напротив строки «Иные персональные данные» и дополнительно укажите недостающие категории вручную.
Особенно внимательно отнеситесь к полноте предоставляемого списка. Убедитесь, что указали все обрабатываемые данные: например, дату рождения, если вы предоставляете скидки в дни рождения клиентов в рамках своей программы лояльности.
5. В разделе «Категории субъектов персональные данные которых обрабатываются» для интернет-магазина обычно указываются следующие категории:
6. Раздел «Правовое основание». До начала сбора и обработки персональных данных должно быть определено законное основание. Всего таких оснований двенадцать. Чаще всего используются следующие три:
Отметьте подходящие пункты, исходя из целей обработки данных в вашем интернет-магазине, или добавьте свои основания обработки, руководствуясь внутренними документами.
Частым нарушением является указание 152-ФЗ «О персональных данных» в качестве правового основания.
7. В разделе «Перечень действий» укажите конкретные операции, проводимые в вашем интернет-магазине.
Например, такие действия могут включать: сбор, запись, систематизацию, накопление, хранение, передачу (если передаются данные третьим лицам), уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение персональных данных.
8. В разделе «Способы обработки» выберите вариант, применяемый в вашем интернет-магазине согласно внутренним документам.
Немногие компании применяют исключительно автоматические методы обработки данных, поэтому указание смешанного подхода для всех целей будет вполне оправданным решением. Следует также уточнить, как передается информация: через интернет, внутри корпоративной сети или применяется оба варианта.
9. В разделе "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»" необходимо указать меры, которые применяются для защиты персональных данных в соответствии с требованиями закона.
В соответствии с законом должны выполняться следующие мероприятия:
10. В разделе «Средства обеспечения безопасности» необходимо указать конкретные наименования средств защиты информации, которые используются для защиты персональных данных в интернет-магазине. Например, укажите наименование средства антивирусной защиты, которые вы используете.
11. В разделе «Использование криптографических средств» укажите, применяете ли вы шифрование для обеспечения конфиденциальности передаваемой информации и защиты данных от несанкционированного доступа.
Криптографические средства могут применяться, например, если вы используете программное обеспечение КриптоПРО для цифровой подписи документов, для кадровых процессов, обмена защищёнными данными с государственными органами или банками, а также для безопасной передачи финансовой информации клиентов.
Необходимо указать класс СКЗИ, наименование, серийные номера, все эти данные можно узнать из документации на криптосредство.
12. В разделе «Ответственный за организацию обработки персональных данных» необходимо указать информацию о лице, назначенным ответственным за организацию обработки персональных данных:
Ответственным может быть назначен внутренний сотрудник или сторонняя компания, специализирующаяся на вопросах обработки и защите персональных данных
Указывайте точные и достоверные данные, так как в случае проверок или запросов от Роскомнадзора связь будет осуществляться именно по указанным контактам.
Важно отметить, что заполненные контактные данные ответственного лица после отправки уведомления станут общедоступными в реестре операторов Роскомнадзора.
13. В разделе «Дата начала обработки персональных данных» рекомендуем указать дату начала обработки персональных данных в вашей деятельности.
Например, дату заключения первого трудового договора с сотрудником или дату оформления первого договора с контрагентом.
14. Раздел «Срок или условие прекращения обработки персональных данных» предназначен для указания того, когда и при каких обстоятельствах прекращается обработка данных. Рекомендуем указать в данном разделе «Прекращение деятельности организации».
15. В разделе «Осуществление трансграничной передачи персональных данных» укажите, производится ли передача персональных данных за границу, например:
Если трансграничная передача данных осуществляется, необходимо подать отдельное уведомление о таком действии в Роскомнадзор.
Уведомление можно подать через портал персональных данных Роскомнадзора, заполнив специальную форму. Для этого необходима подтвержденная учетная запись на Госуслугах, оформленная на юридическое лицо или человека, подающего уведомление. Если онлайн-подать не удается, подготовьте уведомление по образцу с портала, подпишите и отправьте обычной почтой в Роскомнадзор.
16. В разделе «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ» необходимо указать, где территориально хранятся персональные данные.
Для обработки персональных данных с использованием платформы «inSales» укажите два адреса ЦОД, в которых осуществляется обработка персональных данных:
В уведомлении необходимо указать места хранения всех баз данных, в которых вы осуществляете обработку персональных данных, например дополнительно указать место хранения персональных данных работников при использовании программного обеспечения «1С».
17. Раздел «Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах» заполняется только операторами государственных/муниципальных информационных систем. Владельцам интернет-магазинов заполнять данный раздел не нужно.
18. В разделе «Сведения об обеспечении безопасности персональных данных» необходимо указать меры, предпринятые для защиты персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 №1119. Этот нормативный акт устанавливает уровни защищенности персональных данных и определяет мероприятия по их обеспечению.
В соответствии с этим документом рекомендуем указать выполнение следующих мер:
19. Далее необходимо указать контактные данные исполнителя, который непосредственно занимается оформлением и подачей уведомления в Роскомнадзор. Исполнителем может выступать не только лицо, ответственное за обработку персональных данных, но и любой другой сотрудник, которому поручено заполнить и направить уведомление.
20. После заполнения всех необходимых разделов нужно отметить соответствующие пункты, подписать уведомление и направить в Роскомнадзор. Важно сохранить присвоенный номер и ключ — они пригодятся для отслеживания статуса вашего уведомления.
21. После подачи уведомления на сайте Роскомнадзора в разделе «Реестр операторов» доступна функция проверки статуса поданного уведомления. Для этого используйте полученный номер и специальный ключ в соответствующем разделе «Проверка состояния уведомления».
Если ваш интернет-магазин прекратил свою деятельность, необходимо подать уведомление о прекращении обработки персональных данных в течение 10 рабочих дней с даты прекращения обработки персональных данных.
Для этого на сайте Роскомнадзора необходимо заполнить электронную форму.
Заполненную форму необходимо распечатать, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации компании.
На сайте РКН можно ознакомиться с примерами заполнения уведомлений:
Соблюдая установленные сроки и процедуры уведомления, владельцы интернет-магазинов снижают риски возникновения конфликтов с регулятором и сохраняют доверие пользователей к своему бизнесу.