Как подать уведомление в Роскомнадзор: понятная инструкция для общепита и сферы услуг
Работа с персональными данными давно перестала быть чем-то «для больших компаний». Даже маленькое кафе, барбершоп или салон, где есть сотрудники, бронирования, видеонаблюдение или сайт — автоматически становится оператором персональных данных.
И если оператор ведёт обработку ПДн — он обязан подать уведомление в Роскомнадзор. Процедура сама по себе простая, но форма большая, перемудрённая, а на каждом шаге — свои правила. Ниже — короткая, понятная и рабочая статья, по которой можно подготовиться, заполнить основные поля и избежать типовых ошибок.
Полная версия методических указаний, разбор всех нюансов и готовые формулировки доступны здесь.
1. Как подать уведомление — три варианта
Заходим на сайт РКН - https://rkn.gov.ru/activity/personal-data/for-operators/
Выбираем пункт: Уведомление о намерении осуществлять обработку персональных данных
РКН принимает уведомления тремя способами:
1) Через Госуслуги
Идеальный вариант: быстро, без очередей, в электронном виде. Нужна подтверждённая учетная запись юрлица или ИП.
2) На бумаге, почтой
Заполнить → распечатать → подписать → отправить заказным письмом с описью вложения.
Дольше, но тоже работает.
3) Электронно с УКЭП
Если есть усиленная квалифицированная подпись — можно подписать файл и направить электронно.
И если оператор ведёт обработку ПДн — он обязан подать уведомление в Роскомнадзор. Процедура сама по себе простая, но форма большая, перемудрённая, а на каждом шаге — свои правила. Ниже — короткая, понятная и рабочая статья, по которой можно подготовиться, заполнить основные поля и избежать типовых ошибок.
Полная версия методических указаний, разбор всех нюансов и готовые формулировки доступны здесь.
1. Как подать уведомление — три варианта
Заходим на сайт РКН - https://rkn.gov.ru/activity/personal-data/for-operators/
Выбираем пункт: Уведомление о намерении осуществлять обработку персональных данных
РКН принимает уведомления тремя способами:
1) Через Госуслуги
Идеальный вариант: быстро, без очередей, в электронном виде. Нужна подтверждённая учетная запись юрлица или ИП.
2) На бумаге, почтой
Заполнить → распечатать → подписать → отправить заказным письмом с описью вложения.
Дольше, но тоже работает.
3) Электронно с УКЭП
Если есть усиленная квалифицированная подпись — можно подписать файл и направить электронно.
2. Блоки формы, которые заполняют все
Регион, тип оператора, название, адрес
Всё просто:
Контакты и реквизиты
Телефон, e-mail, ИНН, ОГРН/ОГРИП, основной ОКВЭД и при необходимости — филиалы.
3. Цели обработки персональных данных
Для общепита, салонов красоты, баров, кафе и сервисных компаний чаще всего указывают:
В полной методичке — готовые формулировки «иная цель» под кафе, доставку, бьюти-сферу.
4. Категории персональных данных и субъектов
Категории ПДн
Типовой набор для большинства компаний:
ФИО, дата рождения, контакты, адрес, паспортные данные, СНИЛС, ИНН, сведения о трудовой деятельности, фото/видеоизображение лица (видеонаблюдение), данные резюме, реквизиты выплаты зарплаты.
Биометрия отмечается только если используется для идентификации (face ID, голос, отпечатки).
Обычное видеонаблюдение — не биометрия.
Категории субъектов
По умолчанию выбирают:
Для салонов красоты: если обслуживаете детей, добавляется «законные представители».
5. Правовые основания обработки (что выбирать)
Практически любому небольшому бизнесу подходят три основания:
Когда нужно согласие:
6. Перечень действий с персональными данными
Стандартный набор, который подходит для любых кафе/салонов/услуг:
«Распространение» — только если выкладываете в открытый доступ фото, видео или отзывы с именами.
7. Способы обработки
Для 99% компаний правильный вариант выглядит так:
a) смешанная
b) с передачей по внутренней сети
c) с передачей по сети Интернет
Это покрывает кассы, почту, CRM, сайт, видеонаблюдение, телефон и т. д.
8. Меры по 18.1 и 19 ФЗ «О персональных данных»
Нужно написать краткое подтверждение, что:
В полной версии методички — готовые формулировки под:
— кафе/бар,
— салон красоты,
— офис без интернета,
— облачные CRM, iiko, 1С, видеонаблюдение.
9. Шифровальные (криптографические) средства
В 99% случаев ответ — «не используются».
То, что сайт работает на HTTPS или касса передает данные — это не ваша криптография.
10. Трансграничная передача
Важно понимать простое правило:
Если компания пользуется зарубежными сервисами (WhatsApp, Zoom, Notion, Google, Meta Pixel и др.) — всегда отмечаем, что трансграничка есть.
11. Местонахождение баз данных
Базы ПД граждан РФ должны находиться в России.
Указывают:
12. Что точно не заполняют 99% бизнесов
Блок «Сведения о лицах, имеющих доступ к ПД в государственных ИС» — смело удаляем.
Это нужно только подрядчикам, работающим внутри госинформационных систем (школы, больницы, КИО и т. д.).
13. Когда заканчивается обработка ПД
Самая безопасная формулировка:
«Обработка прекращается по достижении целей обработки, по истечении сроков хранения, при отзыве согласия при отсутствии иных оснований, а также при ликвидации оператора».
Итоги
Этой статьи достаточно, чтобы:
Если требуется пройти путь «от открытия формы до полностью заполненного уведомления» — со всеми готовыми фразами, примерами, шаблонами и формулировками, то:
👉 Полная версия методических материалов
Регион, тип оператора, название, адрес
Всё просто:
- регион — по регистрации компании;
- название — полное и сокращённое;
- адрес — юридический адрес (или адрес регистрации ИП).
Контакты и реквизиты
Телефон, e-mail, ИНН, ОГРН/ОГРИП, основной ОКВЭД и при необходимости — филиалы.
3. Цели обработки персональных данных
Для общепита, салонов красоты, баров, кафе и сервисных компаний чаще всего указывают:
- ведение кадрового и бухгалтерского учета;
- соблюдение трудового, налогового, пенсионного законодательства;
- подбор персонала;
- подготовка, заключение и исполнение гражданско-правовых договоров (клиенты, доставщики, подрядчики);
- проведение статистического учета;
- обеспечение безопасности (если есть видеонаблюдение);
- обеспечение пропускного режима;
- «иная» цель — если услуги специфические.
В полной методичке — готовые формулировки «иная цель» под кафе, доставку, бьюти-сферу.
4. Категории персональных данных и субъектов
Категории ПДн
Типовой набор для большинства компаний:
ФИО, дата рождения, контакты, адрес, паспортные данные, СНИЛС, ИНН, сведения о трудовой деятельности, фото/видеоизображение лица (видеонаблюдение), данные резюме, реквизиты выплаты зарплаты.
Биометрия отмечается только если используется для идентификации (face ID, голос, отпечатки).
Обычное видеонаблюдение — не биометрия.
Категории субъектов
По умолчанию выбирают:
- работники;
- уволенные работники;
- соискатели;
- клиенты;
- посетители сайта;
- контрагенты;
- представители контрагентов.
Для салонов красоты: если обслуживаете детей, добавляется «законные представители».
5. Правовые основания обработки (что выбирать)
Практически любому небольшому бизнесу подходят три основания:
- Закон — кадровый учет, бухучет, налоги, обязанности работодателя.
- Договор — заказы, брони, доставка, взаимодействие с подрядчиками.
- Законные интересы — видеонаблюдение, безопасность, внутренняя аналитика.
Когда нужно согласие:
- маркетинг (звонки, SMS, рассылки);
- публикация отзывов/фото;
- биометрия;
- работа с несовершеннолетними.
6. Перечень действий с персональными данными
Стандартный набор, который подходит для любых кафе/салонов/услуг:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение;
- использование;
- передача;
- блокирование;
- удаление;
- уничтожение.
«Распространение» — только если выкладываете в открытый доступ фото, видео или отзывы с именами.
7. Способы обработки
Для 99% компаний правильный вариант выглядит так:
a) смешанная
b) с передачей по внутренней сети
c) с передачей по сети Интернет
Это покрывает кассы, почту, CRM, сайт, видеонаблюдение, телефон и т. д.
8. Меры по 18.1 и 19 ФЗ «О персональных данных»
Нужно написать краткое подтверждение, что:
- есть политика и локальные акты;
- назначен ответственный;
- доступ ограничен;
- используются антивирус, брандмауэр, резервное копирование;
- передачи защищены;
- данные уничтожаются после достижения целей.
В полной версии методички — готовые формулировки под:
— кафе/бар,
— салон красоты,
— офис без интернета,
— облачные CRM, iiko, 1С, видеонаблюдение.
9. Шифровальные (криптографические) средства
В 99% случаев ответ — «не используются».
То, что сайт работает на HTTPS или касса передает данные — это не ваша криптография.
10. Трансграничная передача
Важно понимать простое правило:
- Если клиент сам прислал свои данные в WhatsApp/Telegram → это НЕ трансграничная передача.
- Если вы переслали эти данные дальше через тот же мессенджер → это УЖЕ трансграничная передача.
Если компания пользуется зарубежными сервисами (WhatsApp, Zoom, Notion, Google, Meta Pixel и др.) — всегда отмечаем, что трансграничка есть.
11. Местонахождение баз данных
Базы ПД граждан РФ должны находиться в России.
Указывают:
- Страна: Российская Федерация
- Адрес ЦОДа:
- офисный адрес (если ПД хранятся локально),
- адрес дата-центра провайдера (если CRM/сайт в облаке).
- Собственный ЦОД: почти всегда «Нет».
12. Что точно не заполняют 99% бизнесов
Блок «Сведения о лицах, имеющих доступ к ПД в государственных ИС» — смело удаляем.
Это нужно только подрядчикам, работающим внутри госинформационных систем (школы, больницы, КИО и т. д.).
13. Когда заканчивается обработка ПД
Самая безопасная формулировка:
«Обработка прекращается по достижении целей обработки, по истечении сроков хранения, при отзыве согласия при отсутствии иных оснований, а также при ликвидации оператора».
Итоги
Этой статьи достаточно, чтобы:
- разобраться в логике формы РКН;
- понять, какие блоки обязательны;
- выбрать корректные цели, основания и категории;
- избежать ключевых ошибок, за которые РКН чаще всего цепляется.
Если требуется пройти путь «от открытия формы до полностью заполненного уведомления» — со всеми готовыми фразами, примерами, шаблонами и формулировками, то:
👉 Полная версия методических материалов
