О компании Услуги Ситуации Отрасли Органы Блог Отзывы F.A.Q. Кейсы Контакты
+7 (901) 499-39-49
Главная
Кейсы
7 ошибок в уведомлении Роскомнадзор (Форма № 1): как найти и исправить

7 ошибок в уведомлении Роскомнадзор (Форма № 1): как найти и исправить

+7 (495) 134-80-68

Уведомление в Роскомнадзор по ст. 22 ФЗ-152 — не «бумажка для галочки». Это публичная запись о том, что и зачем вы обрабатываете, кого и куда передаёте. Ошибки в Ф№1 всплывают на проверках и бьют по трём точкам: штрафы по КоАП 13.11, предписания, репутация. Ниже — 7 ловушек, чек-лист проверки за 30 минут и готовые формулировки, которые можно вставить в форму.

Ошибка №1: Неконкретные/избыточные цели обработки

— Где это в форме: раздел «Цели обработки персональных данных».

— Как распознать:

1) «Для обеспечения деятельности компании»;  

2) перечисление всего сразу (HR+продажи+маркетинг в одной строке); 

3) цель не совпадает с фактическим сбором (на сайте — рассылка, в уведомлении — «договор»).

— Почему это риск: нарушает ст. 5 ч. 2 ФЗ-152 (конкретность и соразмерность обработки) и вводит в заблуждение при проверке.

— Как проверить себя: Разложите сайт/процессы на сценарии: заказ, обратная связь, ЛК, рассылка, аналитика, HR; Сопоставьте каждый сценарий с пунктом ст. 6 (договор/согласие/закон); Убедитесь, что цели в согласиях ≈ целям в Ф№1.

— Как исправить (готовая формулировка):

  • «Оформление и исполнение договоров купли-продажи/оказания услуг, доставка заказов (ст. 6 ч. 1 п. 5 ФЗ-152).»
  • «Регистрация и обслуживание личного кабинета пользователя (ст. 6 ч. 1 п. 5 ФЗ-152).»
  • «Маркетинговые рассылки по отдельному согласию (ст. 6 ч. 1 п. 1 ФЗ-152).»

— Уровень критичности: Существенное нарушение / Нарушение, требующее устранения

Ошибка №2: Неучтённые категории субъектов

— Где это в форме: «Категории субъектов персональных данных».

— Как распознать: нет «кандидатов», «представителей контрагентов», «посетителей сайта» при фактической обработке этих групп.

— Почему это риск: искажение записи нарушает ст. 5 и ст. 22, а также ломает выбор мер по ПП № 1119 и Приказу ФСТЭК № 21.

— Как проверить себя: Составьте список субъектов: сотрудники, экс-сотрудники, кандидаты, клиенты (B2C), представители контрагентов (B2B), посетители сайта, участники мероприятий; Проверьте, что все группы отражены.

— Как исправить (формулировка): «Субъекты: клиенты-физлица; представители контрагентов; посетители сайта; кандидаты; сотрудники/бывшие сотрудники.»

— Критичность: Существенное нарушение / Нарушение, требующее устранения.

Ошибка №3: Спецкатегории/биометрия по факту есть, в уведомлении основания не отражены

— Где это в форме: «Категории ПДн» и «Правовые основания».

— Как распознать: есть медсправки/инвалидность, фото для публикации, пропуск с изображением — но в Ф№1 только «общие ПДн».

— Почему это риск: обработка специальных (ст. 10) и биометрических (ст. 11) ПДн требует отдельных оснований (закон, трудовое право или письменное согласие); без них — прямой путь к КоАП 13.11.

— Как проверить себя: Просмотрите HR-документы и процессы безопасности (СКУД, видео); Маркетинг: отзывы с фото/видео — это распространение (ст. 10.1); Убедитесь, что основания указаны и согласия собираются.

— Как исправить (формулировка):

«Обработка специальных категорий ПДн работников (медосмотры, охрана труда) — на основании трудового законодательства (ст. 10 ч. 2 ФЗ-152, ТК РФ).»

«Обработка и распространение изображений сотрудников/клиентов — на основании письменного согласия, ст. 11, ст. 10.1 ФЗ-152.»

— Критичность: Критическое нарушение / Недопустимое нарушение

Ошибка №4: Трансграничная передача «есть по факту», но не отражены страны/основания/локализация

— Где это в форме: «Трансграничная передача ПДн», «Место хранения/обработки».

— Как распознать: используются зарубежные облака/виджеты (CDN, шрифты, аналитика), а в Ф№1 — «трансграничная передача отсутствует».

— Почему это риск: нарушение ст. 12 ФЗ-152 (условия трансгранички) и п. 5 ст. 18 (локализация первичной записи в РФ). Плюс несоответствие фактической обработке.

— Как проверить себя:  Инвентаризируйте домены/скрипты: analytics, fonts, tag-manager, help-chat; Проверьте страны (перечень «адекватных» по приказу РКН № 128) и локализацию первичной записи в РФ; Проверьте договоры с обработчиками/порученцами.

— Как исправить (формулировка):

«Возможна трансграничная передача в государства, обеспечивающие адекватную защиту (приказ РКН № 128), а также иные государства при наличии согласия субъекта (ст. 12 ФЗ-152). Первичная запись ПДн граждан РФ осуществляется на территории РФ (п. 5 ст. 18 ФЗ-152).»

— Критичность: Критическое нарушение / Недопустимое нарушение

Ошибка №5: Нет контакта ответственного за ПДн или указан личный e-mail

— Где это в форме: «Ответственный за организацию обработки ПДн / контактные данные».

— Как распознать: пустое поле; личная почта ivan.petrov@gmail.com; незвонящий номер.

— Почему это риск: несоблюдение ст. 22.1 ФЗ-152 и ст. 18.1 — обязательство определить ответственного и обеспечить каналы связи.

— Как проверить себя:  Проверьте приказ о назначении, должность и ФИО;  Убедитесь, что указан корпоративный e-mail и рабочий телефон; Отправьте тест-письмо/звонок, зафиксируйте SLA ответа.

— Как исправить (формулировка):

«Ответственный за организацию обработки ПДн: должность/ФИО. Контакт: dpo@company.ru, +7 (_) _--.»

— Критичность: Критическое нарушение / Недопустимое нарушение.

Ошибка №6: Основания обработки перепутаны

— Где это в форме: «Правовые основания обработки ПДн».

— Как распознать: указано «согласие», где очевиден договор/закон (зарплата, доставка); или наоборот — «договор», где нужна подписка/маркетинг.

— Почему это риск: нарушает ст. 6 ФЗ-152; согласие может быть признано недействительным, а обработка — незаконной.

— Как проверить себя: Для каждого процесса выберите базовый пункт ч. 1 ст. 6: п. 5 (договор/преддоговорные меры), п. 2 (закон), п. 1 (согласие), п. 7 (законные интересы — при балансе);

Сверьте, что согласие берёте только там, где без него никак (маркетинг/распространение/резерв резюме).

— Как исправить (формулировка):

«Исполнение договора/преддоговорные меры (ст. 6 ч. 1 п. 5), исполнение обязанностей по закону (ст. 6 ч. 1 п. 2); маркетинг — на основании согласия (ст. 6 ч. 1 п. 1).»

— Критичность: Существенное нарушение / Нарушение, требующее устранения.

Ошибка №7: Запись не актуализирована после изменений

— Где это в форме: «Дата начала/изменения обработки», «Сведения об изменениях».

— Как распознать: появились новые цели/каналы (чат-виджет, вебинары, лояльность), а уведомление не менялось годами.

— Почему это риск: ст. 22 ФЗ-152 (обязанность сообщать об изменениях); Приказ РКН № 94 — порядок уведомлений и актуализации; риск претензий по КоАП 19.7.

— Как проверить себя: Сверьте текущие процессы с Ф№1; Если добавили новую цель/категорию/передачу — готовьте изменение; Отмечайте дату редактирования и храните версии.

— Как исправить (формулировка):

«Сведения актуализированы в связи с добавлением целей “онлайн-чат на сайте”, “вебинары/регистрация участников”. Дата изменения: ..20__.»

— Критичность: между Существенным нарушением /Несущественным, требующего устранения (в зависимости от масштаба изменений).

Чек-лист «Проверка уведомления за 30 минут»

Шаг

Что проверить в Ф№1

Как быстро проверить

Статус

1

Цели обработки

Список целей ≈ фактическим процессам (HR, продажи, сайт, маркетинг)

2

Категории субъектов

Есть клиенты, посетители сайта, кандидаты, представители контрагентов, сотрудники/экс-сотрудники

3

Спецкатегории/биометрия

Основания по ст. 10–11 описаны (медицина, фото/видео, СКУД)

4

Трансграничка/локализация

Страны и основания указаны; первичная запись в РФ (п. 5 ст. 18)

5

Ответственный/контакты

Корпоративная почта/телефон, приказ о назначении

6

Правовые основания

Правильно разнесены: договор/закон/согласие/законные интересы

7

Актуализация

Дата последнего изменения отражает реальные апдейты процессов

FAQ

Когда нужно обновлять уведомление?

При изменении целей, категорий субъектов, состава данных, передач (в т. ч. трансграничной), ответственного/контактов или способов обработки. Основание — ст. 22 ФЗ-152.

Что указывать, если используем зарубежное облако?

Отразить трансграничную передачу (ст. 12 ФЗ-152) и соблюдение локализации первичной записи (п. 5 ст. 18). Для стран из «адекватного» перечня (приказ РКН № 128) укажите это в описании; для иных — потребуется согласие субъекта.

Нужны ли согласия работников, если есть ТК РФ?

Базовые HR-процессы — на основании закона (ТК РФ, ст. 6 ч. 1 п. 2). Но для публикации фото/видеоматериалов, участия в PR-активностях, передачи за рубеж — письменное согласие (ст. 9, ст. 11,ст. 10.1).

Как быть с маркетинговыми рассылками?

Только по согласию (ст. 6 ч. 1 п. 1). В уведомлении цель фиксируется отдельно: «Маркетинговые рассылки (по согласию)».

Нужны ли отдельные уведомления для биометрии?

Отдельное уведомление не требуется, но в Ф№1 нужно чётко указать категорию ПДн и основание (ст. 11). Внутренние ЛНА/процедуры — обязательны (ПП № 1119, Приказ ФСТЭК № 21).

Подать уведомление в Роскомнадзор
Оставить заявку

Возврат к списку