# Шаблон уведомления в Роскомнадзор об обработке персональных данных — v8.2, Приложение З **Версия:** 8.2 от 04.05.2026 (правки после интервью с заказчиком). ## Что нового в v8.2 относительно v8.1 - ✅ **DO-1 закрыт → пункт 9 уведомления (адрес ЦОД).** Облачный провайдер выбран — **Yandex Cloud**, регион **ru-central1**. Дата-центры на территории РФ: - Москва (основной): ул. Льва Толстого, 16 (примерный адрес кластера, точный — через DPA); - Владимирская обл. (резерв); - Калужская обл. (резерв). **Формулировка для пункта 9:** «Обработка персональных данных осуществляется с использованием инфраструктуры ООО «ЯНДЕКС.ОБЛАКО» (ИНН 7704458262), сертифицированной по требованиям ФСТЭК России до уровня защищённости УЗ-1 включительно. Серверы расположены на территории Российской Федерации в дата-центрах в городах Москва, Владимир, Калуга. Договор на обработку персональных данных (DPA) заключён в рамках использования сервисов Yandex Cloud. Заявленный нами уровень защищённости — УЗ-4 (постановление №1119, ФСТЭК пр. 21).» - ✅ **Название платформы (Диз-2):** «Лидерра». Везде в шаблоне в полях «Цель обработки», «Описание мер» и т.п. — упоминать сервис как «Лидерра». - ⏸ **Б-1 — реквизиты юр. лица:** все поля 1–4 (ИНН, ОГРН, КПП, юр. адрес, наименование, ФИО руководителя) ждут регистрации ООО. - ⏸ **OPEN-К-6 — DPA с Yandex Cloud:** задача юриста до подачи уведомления (см. Прил. Ж v8.2 и Открытые вопросы Ю/К-6). **Назначение документа:** структурная заготовка уведомления Роскомнадзора (РКН) о намерении осуществлять обработку персональных данных по форме, утверждённой **Приказом Роскомнадзора от 28.10.2022 №180** (Приложение №1 к приказу). Заполнение и подача — задача заказчика (Ю-4 в Приложении Е). Документ закрывает структурную часть Ю-4: ниже даны конкретные формулировки для всех полей формы с учётом архитектурных решений v8.1 (реселлерская модель Ю-2, четырёхуровневая изоляция CTO-5, хранение в РФ, трёхзвенная цепочка ПДн). **Что закрывает:** - **Ю-4** структурно — даны рекомендуемые формулировки по всем 11 пунктам ч. 3 ст. 22 ФЗ-152 + по матрице категорий из ч. 3.1 (введена 14.07.2022 №266-ФЗ). **Что НЕ закрывает (заказчик должен сделать сам):** - Получение **квалифицированной электронной подписи** для подачи через сайт РКН (`pd.rkn.gov.ru/operators-registry/notification/form/`); - Альтернативно — распечатка, подписание и подача на бумаге в территориальный орган РКН по месту регистрации юрлица; - Заполнение реквизитов из Б-1 (ИНН, ОГРН, юрадрес, ответственное лицо); - Финальная юридическая редактура — подача через юриста заказчика. **Срок подачи (ч. 1 ст. 22 ФЗ-152):** **до начала** обработки ПДн. Если уведомление не подано — нарушение, штрафы по ч. 10 ст. 13.11 КоАП РФ (с 30.05.2025 ужесточены: для юрлиц до 300 000 ₽, для должностных лиц — до значительных сумм; конкретику смотреть на момент подачи). **Способы подачи:** 1. Электронно через сайт РКН (`pd.rkn.gov.ru`) с КЭП — через КриптоПро ЭЦП Browser plug-in; 2. Через Госуслуги (для зарегистрированных юрлиц); 3. На бумажном носителе почтовым отправлением с описью в территориальный орган РКН по адресу регистрации юрлица. **Срок включения в реестр:** РКН проводит проверку и вносит в Реестр операторов ПДн в течение 30 дней с момента получения. Начинать обработку можно **с даты подачи**, не дожидаясь внесения в реестр. **Базовые ссылки на v8.1:** - 1.5–1.6 — реселлерская модель (формирует «цели обработки» ниже) - 22.9 — общий блок 152-ФЗ - 22.9.1 — три типа согласий - 22.9.4 — локация хранения данных в РФ - 22.10 — безопасность платежей - Приложение Ж (`Oferta_i_Politika_v8_1.md`) — категории субъектов и правовые основания (Б.1, Б.3 Политики) - Приложение Д (`Workflow_pd_subject_requests_v8_1.md`) — workflow обращений субъектов **Переменные документа** (наследуются из Приложения Ж): | Переменная | Источник | |---|---| | `{{operator_name_full}}` | Б-1: полное наименование юрлица | | `{{operator_short_name}}` | Б-1: краткое наименование | | `{{operator_inn}}` | Б-1: ИНН | | `{{operator_kpp}}` | Б-1: КПП | | `{{operator_ogrn}}` | Б-1: ОГРН | | `{{operator_address}}` | Б-1: юридический адрес (с индексом) | | `{{operator_postal_address}}` | Б-1: почтовый адрес (если отличается) | | `{{operator_phone}}` | Б-1: контактный телефон юрлица | | `{{operator_email_official}}` | Б-1: официальный email юрлица | | `{{operator_signatory_position}}` | Должность подписанта | | `{{operator_signatory_name}}` | ФИО подписанта | | `{{operator_basis}}` | Основание полномочий («Устав») | | `{{processing_start_date}}` | Дата начала обработки (= дата гос. регистрации юрлица или дата запуска сервиса) | | `{{platform_domain}}` | `crm-аналог.ru` | | `{{privacy_email}}` | Адрес для приёма обращений субъектов ПДн | | `{{responsible_person_name}}` | ФИО ответственного за организацию обработки ПДн | | `{{responsible_person_phone}}` | Его контактный телефон | | `{{responsible_person_email}}` | Его адрес электронной почты | | `{{responsible_person_address}}` | Его почтовый адрес | | `{{db_location_address}}` | Адрес местонахождения БД с ПДн граждан РФ (адрес ЦОД провайдера: Yandex/VK/Selectel) | | `{{cloud_provider_legal_name}}` | Юр. наименование провайдера (например, ООО «Яндекс.Облако») | | `{{cloud_provider_inn}}` | ИНН провайдера | **Статус документа:** структурный шаблон v0.1, готовый к заполнению переменных и юр. редактуре. --- # УВЕДОМЛЕНИЕ # о намерении осуществлять обработку персональных данных *(в соответствии с Приказом Роскомнадзора от 28.10.2022 №180, Приложение №1 — форма уведомления о намерении осуществлять обработку персональных данных; ч. 3 и ч. 3.1 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»)* В Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по {{rkn_territorial_district}}. > 📝 *Заказчику: территориальный орган РКН выбирается по адресу регистрации юрлица. Список — на pd.rkn.gov.ru.* --- ## 1. Сведения об операторе (п. 1 ч. 3 ст. 22 ФЗ-152) **Наименование оператора (полное):** {{operator_name_full}} **Сокращённое наименование:** {{operator_short_name}} **ИНН:** {{operator_inn}} **КПП:** {{operator_kpp}} **ОГРН:** {{operator_ogrn}} **Адрес местонахождения (юридический адрес):** {{operator_address}} **Почтовый адрес (если отличается от юридического):** {{operator_postal_address}} **Контактный телефон:** {{operator_phone}} **Адрес электронной почты:** {{operator_email_official}} --- ## 2. Цели обработки персональных данных (п. 2 ч. 3 ст. 22 ФЗ-152) > 📝 *Юристу: РКН требует перечислить **все** цели. Для каждой цели в части 5 ниже отдельно указываются категории субъектов, категории ПДн, правовые основания, перечень действий и способы. Поэтому здесь — **общий список**, в части 5 — **матрица**.* Оператор осуществляет обработку персональных данных в следующих целях: **Цель 1.** Регистрация и ведение учётных записей клиентов (Тенантов) в SaaS-платформе «{{platform_name}}», размещённой по адресу `https://{{platform_domain}}`. **Цель 2.** Исполнение договорных обязательств перед клиентами в рамках публичной оферты, опубликованной на сайте Оператора, включая биллинг, формирование счетов, актов, УПД и иных учётных документов. **Цель 3.** Приём, хранение и передача клиентам-Тенантам данных физических лиц-лидов, поступающих Оператору от партнёра-агрегатора (ООО «БП-Групп», `crm.bp-gr.ru`) на основании заключённого с ним корпоративного договора. Цель достигается на основании договоров с Тенантами в рамках исполнения которых эти данные доставляются. **Цель 4.** Учёт и обработка обращений субъектов персональных данных в реализацию их прав, предусмотренных статьями 14–21 ФЗ-152 (право на доступ, на уточнение, на удаление, на ограничение обработки). **Цель 5.** Обеспечение информационной безопасности и противодействие неправомерному доступу к персональным данным (ведение журналов аутентификации, аудита действий с ПДн, мониторинг событий безопасности). **Цель 6.** Маркетинговое информирование клиентов (с их отдельного согласия, отзываемого в любой момент). **Цель 7.** Обработка персональных данных работников и кандидатов в работники Оператора в рамках трудовых отношений. > 📝 *Юристу: Цель 7 — стандартная для любого юрлица. Включается, если у Оператора есть работники. Если штат — только генеральный директор как единственный работник, эта цель всё равно нужна.* --- ## 3. Описание мер по защите персональных данных (п. 7 ч. 3 ст. 22 ФЗ-152, ст. 18.1 и 19 ФЗ-152) Для обеспечения безопасности персональных данных при их обработке Оператором приняты следующие правовые, организационные и технические меры: ### 3.1. Правовые меры - утверждены внутренние документы, определяющие политику Оператора в отношении обработки персональных данных, в том числе **Политика конфиденциальности**, опубликованная на сайте `https://{{platform_domain}}/legal`; - утверждено внутреннее **Положение об обработке персональных данных работников**; - утверждено **Положение об ответственном за организацию обработки персональных данных**, лицо назначено приказом руководителя (см. часть 4 настоящего уведомления); - разработаны и утверждены **формы согласий субъектов** на обработку персональных данных, реализованные в виде функциональности учётной записи в SaaS-платформе. ### 3.2. Организационные меры - определён перечень лиц, имеющих доступ к персональным данным (внутренний приказ Оператора), с разделением на **5 ролей** (`super_admin`, `finance`, `support`, `compliance`, `viewer`) с минимально необходимым доступом для каждой роли; - введена обязательная **двухфакторная аутентификация** для всех сотрудников Оператора, имеющих доступ к административным функциям платформы; - доступ оператора поддержки к данным конкретного клиента-Тенанта возможен **только в режиме технического доступа от имени клиента** (Импersonation) с обязательным разовым подтверждением со стороны клиента через одноразовый код, направляемый на проверенный адрес электронной почты; - ведётся **журнал действий с персональными данными** (`pd_processing_log`), в который записываются все факты доступа к ПДн со стороны как клиентов-Тенантов, так и сотрудников Оператора (роль актора фиксируется); - организован процесс реагирования на запросы субъектов персональных данных в порядке статей 14, 21 ФЗ-152 (в срок не более 30 календарных дней); - регулярно (не реже одного раза в год) проводятся внутренние проверки соблюдения требований законодательства о персональных данных; - сотрудники Оператора проходят инструктаж по работе с персональными данными при приёме на работу. ### 3.3. Технические меры Технические меры реализованы в SaaS-платформе на четырёх уровнях изоляции: а) **Уровень приложения:** каждый запрос привязан к идентификатору клиента-Тенанта (`tenant_id`), проверка осуществляется через middleware фреймворка Laravel и глобальные scope-ограничения моделей; б) **Уровень очередей:** все асинхронные задачи наследуются от базового класса `TenantAwareJob`, который сохраняет и восстанавливает контекст клиента; в) **Уровень линтера:** автоматизированная проверка моделей на CI-сервере на корректность изоляции (утилита `assertTenantIsolation`) с блокировкой развертывания при нарушениях; г) **Уровень базы данных:** **Row-Level Security PostgreSQL** — 29 политик доступа на 30 таблиц с персональными данными, работающих под трёх различными ролями БД (`crm_app_user` — обычная роль, на которую действуют политики; `crm_admin_user` и `crm_migrator` — ограниченные роли с явным `BYPASSRLS` для административных задач). Дополнительные технические меры: - передача данных по сети — **исключительно по HTTPS** (TLS 1.2+) с включённым HSTS, secure cookies и Content Security Policy; - хранение паролей в виде хешей по алгоритму **bcrypt с фактором стоимости 12**; - регулярное **резервное копирование** базы данных с шифрованием (WAL-G + S3); - **мониторинг безопасности** через Sentry (трекинг ошибок), Prometheus + Grafana (метрики); - защита от типовых атак (SQL injection, XSS, CSRF) средствами фреймворка и проверками на уровне CI; - ограничение скорости запросов (rate limiting) на уровне веб-сервера (Nginx) и приложения. ### 3.4. Сведения о шифровальных (криптографических) средствах > 📝 *Юристу: РКН требует наименование и место расположения СКЗИ (если используются).* На дату подачи настоящего уведомления Оператор использует следующие шифровальные средства: - **TLS 1.2/1.3** для защиты транспорта данных между клиентом и серверной инфраструктурой (стандартные открытые библиотеки, не требуют сертификации ФСБ); - **bcrypt** для хранения паролей пользователей (алгоритм хеширования, не СКЗИ в смысле постановления Правительства №211); - **AES-256** в составе функциональности резервного копирования и шифрования объектного хранилища у облачного провайдера. Сертифицированные ФСБ России криптографические средства (СКЗИ) **не применяются**, поскольку обрабатываемые персональные данные не относятся к категориям, для которых такое применение обязательно (требования 4-го уровня защищённости по постановлению Правительства РФ от 01.11.2012 №1119; категории ПДн — иные, см. часть 5 настоящего уведомления). > 📝 *Юристу + DevOps: проверить уровень защищённости информационной системы по постановлению №1119 после выбора облачного провайдера. Для уровня защищённости 4 (наш ожидаемый случай) сертифицированные СКЗИ не обязательны. Для уровня защищённости 1–3 — обязательны. Это влияет на текст пункта 3.4.* --- ## 4. Лицо, ответственное за организацию обработки персональных данных (п. 7.1 ч. 3 ст. 22 ФЗ-152) **ФИО ответственного:** {{responsible_person_name}} **Контактный телефон:** {{responsible_person_phone}} **Адрес электронной почты:** {{responsible_person_email}} **Почтовый адрес:** {{responsible_person_address}} > 📝 *Заказчику: ответственный назначается отдельным приказом руководителя. Это может быть сам руководитель организации, либо специально назначенное лицо. Для архитектуры v8.1 функционально это лицо, имеющее в админке роль `compliance` или `super_admin`. Заранее рассмотреть вопрос замещения на период отпуска / больничного — РКН требует актуальности данных, изменения подаются в течение 15 рабочих дней.* --- ## 5. Матрица обработки по целям (ч. 3.1 ст. 22 ФЗ-152) > 📝 *Юристу: ч. 3.1 (введена 14.07.2022 №266-ФЗ) требует **по каждой цели отдельно** указать: (а) категории ПДн, (б) категории субъектов, (в) правовое основание, (г) перечень действий, (д) способы обработки. Ниже — матрица для всех 7 целей. РКН валидирует, чтобы согласие на обработку (если оно — основание) или иное правовое основание соответствовало составу собираемых данных.* ### Цель 1. Регистрация и ведение учётных записей клиентов | Параметр | Значение | |---|---| | **Категории субъектов ПДн** | Физические лица, являющиеся клиентами Оператора, либо представителями клиентов-юридических лиц, зарегистрированными на платформе. | | **Категории ПДн** | Идентификационные (фамилия, имя, отчество); контактные (адрес электронной почты, телефон); аутентификационные (пароль в виде хеша; данные двухфакторной аутентификации). | | **Правовое основание** | Пункт 5 части 1 статьи 6 ФЗ-152 (обработка необходима для исполнения договора, стороной которого является субъект); согласие субъекта (пункт 1 части 1 статьи 6 ФЗ-152), даваемое при регистрации в форме акцепта Оферты и Политики конфиденциальности. | | **Перечень действий с ПДн** | Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, обезличивание. | | **Способы обработки** | Автоматизированная обработка с использованием средств вычислительной техники. | ### Цель 2. Биллинг и финансово-учётные операции | Параметр | Значение | |---|---| | **Категории субъектов ПДн** | Клиенты-Тенанты (как выше); представители контрагентов и плательщиков. | | **Категории ПДн** | Идентификационные; контактные; платёжные (реквизиты для безналичных расчётов; история транзакций без полных номеров банковских карт — карточные данные обрабатываются на стороне платёжного шлюза, имеющего сертификацию PCI DSS, и не передаются Оператору); сведения, необходимые для формирования первичных учётных документов (ИНН, ОГРН, КПП клиента-юрлица). | | **Правовое основание** | Пункт 5 части 1 статьи 6 ФЗ-152 (исполнение договора); пункт 2 части 1 статьи 6 ФЗ-152 (обработка необходима для достижения целей, предусмотренных федеральным законом — Налоговым кодексом РФ, Федеральным законом от 22.05.2003 №54-ФЗ, Федеральным законом от 06.12.2011 №402-ФЗ «О бухгалтерском учёте»). | | **Перечень действий с ПДн** | Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (в адрес платёжных операторов и банков для проведения расчётов; в адрес налоговых органов в случаях, предусмотренных законом), блокирование, удаление. | | **Способы обработки** | Автоматизированная обработка. | ### Цель 3. Приём, хранение и передача данных физлиц-лидов клиентам-Тенантам > 📝 *Юристу (Ю-2): это **ключевая** цель, отличающая нашу деятельность от обычного SaaS. Здесь ясно фиксируется реселлерская модель и трёхзвенная цепочка ПДн.* | Параметр | Значение | |---|---| | **Категории субъектов ПДн** | Физические лица, оставившие заявки на услуги/товары на сайтах партнёра-агрегатора (ООО «БП-Групп», `crm.bp-gr.ru`) или его источниках, и чьи персональные данные были переданы Оператору указанным агрегатором в качестве лидов в рамках заключённого с ним договора. | | **Категории ПДн** | Идентификационные (фамилия, имя, отчество, при наличии — указанные физлицом в исходной форме заявки); контактные (телефон, реже — адрес электронной почты); контекстные (тематика заявки и иные сведения, добровольно сообщённые физлицом в исходной форме); технические сведения о факте оставления заявки (при их наличии в передаваемом payload). | | **Правовое основание** | Согласие физического лица на обработку персональных данных и на передачу их партнёрам агрегатора, полученное агрегатором (ООО «БП-Групп») при сборе заявки от физлица, в составе которого предусмотрена передача персональных данных в адрес Оператора как партнёра агрегатора (пункт 1 части 1 статьи 6 ФЗ-152); пункт 5 части 1 статьи 6 ФЗ-152 (обработка необходима для исполнения договора Оператора с клиентом-Тенантом, в рамках которого Оператор обязан доставлять Тенанту лиды). | | **Перечень действий с ПДн** | Получение от агрегатора через программный интерфейс (webhook); запись; хранение; передача клиенту-Тенанту через программный интерфейс платформы; удаление по истечении срока хранения или по обращению субъекта. | | **Способы обработки** | Автоматизированная обработка. | > 📝 *Юристу (Ю-2-доп): правовое основание частично опирается на согласие, собранное **другим оператором** (агрегатором). Это допустимо в трёхзвенной цепочке самостоятельных операторов, но критично, чтобы (а) формулировка согласия у агрегатора **явно** упоминала возможность передачи партнёрам, (б) в договоре с агрегатором была зеркальная гарантия (Ю-8). См. разделы Б.7 и А.9.6 Приложения Ж.* ### Цель 4. Обработка обращений субъектов ПДн в реализацию прав по 152-ФЗ | Параметр | Значение | |---|---| | **Категории субъектов ПДн** | Любые физические лица, чьи персональные данные обрабатываются Оператором (как клиенты-Тенанты, так и физлица-лиды), направившие обращение в порядке статей 14–21 ФЗ-152. | | **Категории ПДн** | Идентификационные данные заявителя (для проверки личности); контактные данные (для переписки); идентификационные данные доверенного представителя при наличии; реквизиты документов, подтверждающих полномочия (для нотариально заверенных заявлений или явок с паспортом). | | **Правовое основание** | Пункт 2 части 1 статьи 6 ФЗ-152 (обработка необходима для достижения целей, предусмотренных федеральным законом — статьями 14, 21 ФЗ-152). | | **Перечень действий с ПДн** | Сбор (получение обращения), запись, проверка, хранение, использование, передача (при необходимости — в адрес агрегатора и клиентов-Тенантов как вторичных операторов в порядке исполнения требований 152-ФЗ), удаление. | | **Способы обработки** | Смешанная обработка (автоматизированная — система учёта обращений; неавтоматизированная — ручной разбор и принятие решений). | ### Цель 5. Информационная безопасность | Параметр | Значение | |---|---| | **Категории субъектов ПДн** | Клиенты-Тенанты, физлица-лиды (в части их идентификаторов в журналах), посетители публичных страниц сайта. | | **Категории ПДн** | Технические идентификаторы (IP-адреса, User-Agent, идентификаторы сессий, файлы cookie); журналы аутентификации (попытки входа, факт входа); журналы действий с учётной записью. | | **Правовое основание** | Пункт 7 части 1 статьи 6 ФЗ-152 (обработка необходима для осуществления прав и законных интересов оператора при условии, что не нарушаются права и свободы субъекта). | | **Перечень действий с ПДн** | Сбор, запись, хранение, использование, удаление по истечении сроков хранения (3 года для журналов аудита, иные сроки в зависимости от категории). | | **Способы обработки** | Автоматизированная обработка. | ### Цель 6. Маркетинговое информирование | Параметр | Значение | |---|---| | **Категории субъектов ПДн** | Клиенты-Тенанты, давшие отдельное согласие на маркетинговые рассылки. | | **Категории ПДн** | Контактные данные (адрес электронной почты, телефон); сведения о статусе клиента (тариф, период регистрации) для сегментации. | | **Правовое основание** | Согласие субъекта (пункт 1 части 1 статьи 6 ФЗ-152), даваемое отдельно от Оферты и отзываемое субъектом в любой момент путём отметки в Личном кабинете или ссылкой в письме. | | **Перечень действий с ПДн** | Сбор, хранение, использование (формирование сегментов, отправка сообщений), удаление при отзыве согласия. | | **Способы обработки** | Автоматизированная обработка. | ### Цель 7. Обработка персональных данных работников | Параметр | Значение | |---|---| | **Категории субъектов ПДн** | Работники Оператора, лица, претендующие на трудоустройство. | | **Категории ПДн** | Сведения, предусмотренные Трудовым кодексом РФ для ведения кадрового учёта (ФИО, паспортные данные, СНИЛС, ИНН, образование, трудовая деятельность, размер оплаты труда, сведения о близких родственниках в случаях, предусмотренных законом). | | **Правовое основание** | Пункт 2.3 части 1 статьи 6 ФЗ-152 (обработка необходима для исполнения полномочий работодателя по Трудовому кодексу РФ); согласие работника на обработку ПДн, не относящихся непосредственно к трудовым отношениям. | | **Перечень действий с ПДн** | Сбор, запись, хранение, использование, передача (в государственные органы — ФНС, СФР, в случаях, предусмотренных законом), удаление по истечении сроков, установленных Трудовым кодексом РФ и законодательством об архивном деле. | | **Способы обработки** | Смешанная обработка. | --- ## 6. Дата начала обработки персональных данных (п. 8 ч. 3 ст. 22 ФЗ-152) **{{processing_start_date}}** > 📝 *Заказчику: согласно разъяснениям РКН, для большинства организаций датой начала обработки ПДн считается **дата государственной регистрации юридического лица** (поскольку с этого момента начинается обработка ПДн работников и контрагентов). Если уведомление подаётся уже после регистрации — указывается фактическая дата гос. регистрации, и подача уведомления является исполнением просроченной обязанности (без штрафа за просрочку, если подано добровольно до проверки).* --- ## 7. Срок или условие прекращения обработки персональных данных (п. 9 ч. 3 ст. 22 ФЗ-152) Обработка персональных данных осуществляется в течение всего срока деятельности Оператора. Прекращение обработки происходит при наступлении одного из следующих условий: а) ликвидация Оператора как юридического лица; б) прекращение оказания услуг по SaaS-платформе (с уведомлением субъектов и уничтожением их персональных данных в порядке, предусмотренном статьёй 21 ФЗ-152); в) для каждого субъекта ПДн отдельно — отзыв согласия субъекта, истечение срока хранения, удаление по требованию субъекта или по достижении цели обработки. Сроки хранения отдельных категорий персональных данных установлены в Политике конфиденциальности Оператора (раздел 8) и составляют от срока действия учётной записи (для клиентов-Тенантов) до 5 лет (для журналов обработки и согласий). --- ## 8. Сведения о наличии или отсутствии трансграничной передачи персональных данных (п. 10 ч. 3 ст. 22 ФЗ-152) **Трансграничная передача персональных данных Оператором не осуществляется.** > 📝 *Заказчику + DevOps: критически важно. Все три рассматриваемых облачных провайдера (DO-1: Yandex Cloud, VK Cloud, Selectel) — российские резиденты, и хранение полностью в РФ. Если в будущем появится необходимость трансграничной передачи (например, использование иностранного сервиса аналитики или CDN с серверами за пределами РФ) — необходимо подать уведомление об изменении сведений по форме Приложения №2 к Приказу №180 в течение 15 рабочих дней с момента изменения. Это особый и сложный кейс, требующий отдельного согласования с РКН.* --- ## 9. Сведения о месте нахождения базы данных, содержащей персональные данные граждан РФ (п. 10.1 ч. 3 ст. 22 ФЗ-152) База данных, содержащая персональные данные граждан Российской Федерации, размещается на территории Российской Федерации в соответствии с требованиями части 5 статьи 18 ФЗ-152. **Адрес местонахождения базы данных:** {{db_location_address}} **Сведения о провайдере услуг хостинга / облачной инфраструктуры:** - Наименование: {{cloud_provider_legal_name}} - ИНН: {{cloud_provider_inn}} - Основание размещения: договор оказания услуг хостинга / услуг облачной инфраструктуры с провайдером. > 📝 *DevOps + юристу: после выбора провайдера (DO-1) подставить точные реквизиты. Адрес — адрес ЦОД. Для Yandex Cloud в Москве — обычно «Россия, г. Москва, ул. Льва Толстого, 16». Для VK Cloud, Selectel — свои адреса. РКН не требует точного номера стойки, но требует точный почтовый адрес ЦОД.* --- ## 10. Сведения о лицах, имеющих доступ к ПДн в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 ФЗ-152) **Не применимо.** Оператор не обрабатывает персональные данные в составе государственных или муниципальных информационных систем. --- ## 11. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями Правительства РФ (п. 11 ч. 3 ст. 22 ФЗ-152) Безопасность персональных данных обеспечивается в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными постановлением Правительства Российской Федерации от 01.11.2012 №1119. **Установленный уровень защищённости информационной системы персональных данных:** четвёртый. > 📝 *Юристу: уровень защищённости определяется по постановлению №1119 в зависимости от:* > *— категории обрабатываемых ПДн (специальные / биометрические / общедоступные / иные);* > *— объёма (более или менее 100 000 субъектов);* > *— типа угроз (актуальные ли угрозы 1-го, 2-го или 3-го типа).* > > *Для нашей архитектуры: ПДн **иные** (не специальные), субъектов потенциально **более 100 000** (объём растёт с базой клиентов и лидов), угрозы **3-го типа** (нет угроз, связанных с недокументированными возможностями). По таблице постановления №1119 это даёт **уровень защищённости 4**. Подтвердить с информационной безопасностью / юристом до подачи. Если попадает в УЗ-3 или выше — потребуются сертифицированные СКЗИ (это меняет пункт 3.4).* В соответствии с установленным уровнем защищённости приняты следующие меры: - организационные меры в соответствии с разделом 3.2 настоящего уведомления; - технические меры в соответствии с разделом 3.3 настоящего уведомления, включая четырёхуровневую изоляцию данных клиентов с применением Row-Level Security PostgreSQL; - определены угрозы безопасности персональных данных, актуальные при их обработке в информационной системе Оператора, на основе модели угроз ФСТЭК России; - проведена оценка эффективности принятых мер по защите персональных данных; - ведётся учёт машинных носителей информации, содержащих персональные данные; - обнаруживаются факты несанкционированного доступа к персональным данным средствами систем мониторинга безопасности. --- ## Подпись и печать **Уполномоченное лицо:** {{operator_signatory_position}} {{operator_signatory_name}}, действующий на основании {{operator_basis}}. ________________________ / {{operator_signatory_name}} / М.П. Дата составления: ________________ > 📝 *Заказчику: при электронной подаче — подписывается КЭП через сайт РКН. При бумажной подаче — собственноручная подпись + печать организации (если используется).* --- # Приложения к шаблону ## Приложение З.А. Чек-лист подачи - [ ] Заполнены все переменные `{{...}}` из раздела «Переменные документа» - [ ] Подтверждён уровень защищённости (ожидаемый — УЗ-4) — раздел 11 - [ ] Назначен ответственный за организацию обработки ПДн отдельным приказом руководителя — раздел 4 - [ ] Утверждена Политика конфиденциальности (см. Приложение Ж) и опубликована на сайте Оператора — потребуется ссылка для подтверждения РКН - [ ] Утверждено внутреннее Положение об обработке персональных данных работников - [ ] Подписан договор с облачным провайдером, известен точный адрес ЦОД для пункта 9 — задача DO-1 - [ ] Подписан договор с агрегатором (ООО «БП-Групп», crm.bp-gr.ru) с зеркальной гарантией о согласии физлиц (Ю-8) — раздел 5, Цель 3 - [ ] Получена квалифицированная электронная подпись (КЭП) для электронной подачи — либо подготовлен пакет документов для бумажной подачи - [ ] Произведена юридическая проверка финального текста уведомления — задача OPEN-Ж-1 + новая - [ ] Уведомление подписано уполномоченным лицом, проставлена дата - [ ] Подача через `pd.rkn.gov.ru` или Госуслуги (электронно) или почтой с описью (бумажно) - [ ] Получено подтверждение приёма уведомления Роскомнадзором - [ ] В течение 30 дней — проверена запись в Реестре операторов ПДн (`pd.rkn.gov.ru/operators-registry`) - [ ] Полученный регистрационный номер из Реестра подставлен в Политику конфиденциальности (поле `{{rkn_notification_number}}`) и опубликована новая редакция ## Приложение З.Б. Сценарии изменения сведений После подачи и внесения в Реестр **любое изменение** сведений из настоящего уведомления подаётся в РКН отдельным уведомлением по форме Приложения №2 к Приказу №180 в срок: - **не позднее 15-го числа месяца, следующего за месяцем изменений** (ч. 7 ст. 22 ФЗ-152) — для большинства случаев; - **немедленно после обнаружения** — при исправлении ошибок в ранее поданном уведомлении. Типичные изменения, требующие уведомления: | Что изменилось | Какой пункт уведомления | Триггер в архитектуре v8.1 | |---|---|---| | Юр. наименование, адрес, реквизиты Оператора | 1 | Реорганизация, переезд | | Цели обработки (новая или ушедшая цель) | 2, 5 | Запуск нового продукта, смена бизнес-модели | | Описание мер защиты | 3 | Внедрение новых СКЗИ, смена облачного провайдера | | Ответственное лицо | 4 | Кадровые изменения | | Категории субъектов / категории ПДн / правовые основания | 5 | Расширение функциональности (например, введение биометрии) | | Срок и условия прекращения обработки | 7 | Изменение сроков хранения в Политике | | Появление трансграничной передачи | 8 | Подключение зарубежного сервиса (CDN, аналитика) — **критично, требует отдельного согласования с РКН** | | Местонахождение БД | 9 | Смена облачного провайдера, переезд ЦОД | | Уровень защищённости | 11 | Достижение порога 100 000 субъектов или появление специальных категорий ПДн | ## Приложение З.В. Связанные документы и зависимости | Внешний документ / решение | Зависимость для подачи уведомления | |---|---| | **Б-1** (реквизиты юрлица заказчика) | Без них нельзя заполнить раздел 1 | | **DO-1** (выбор облачного провайдера) | Без него нельзя заполнить раздел 9 (адрес БД) и раздел 11 (если решение об уровне защищённости опирается на сертификации провайдера) | | **Ю-2-доп** (формулировка согласия физлица) | Не блокирует подачу формально (РКН не проверяет формулировки на стороне партнёра), но критично для юридической защиты позиции «правовое основание» в разделе 5 Цели 3 | | **Ю-8** (зеркальные гарантии в договоре с агрегатором) | См. Ю-2-доп | | **Приложение Ж** (`Oferta_i_Politika_v8_1.md`) | Политика должна быть опубликована до подачи уведомления — РКН может запросить ссылку или проверить наличие на сайте | | **Приложение Д** (`Workflow_pd_subject_requests_v8_1.md`) | Не требуется при подаче, но является фактическим описанием процесса по разделу 5 Цели 4 — должен существовать как внутренний документ | | **Приказ о назначении ответственного за обработку ПДн** | Внутренний приказ Оператора, должен быть издан до или одновременно с подачей | --- # ЧАСТЬ В. РАБОЧИЕ МАТЕРИАЛЫ ## В.1. Открытые вопросы для финализации | ID | Вопрос | Кому | Приоритет | Влияние | |---|---|---|---|---| | **OPEN-З-1** | Подтвердить уровень защищённости ИСПДн (ожидание — УЗ-4 по постановлению №1119) | юрист + ИБ | P0 | Если УЗ-3 или выше — нужны сертифицированные СКЗИ, меняется раздел 3.4 | | **OPEN-З-2** | Назначить ответственного за организацию обработки ПДн (отдельный приказ) | бизнес | P0 | Без назначения — нельзя заполнить раздел 4 | | **OPEN-З-3** | Получить КЭП для электронной подачи или подготовить бумажный пакет | бизнес + DevOps | P0 | Технический блокер подачи | | **OPEN-З-4** | Подтвердить выбор облачного провайдера (закрыть DO-1) | бизнес + DevOps | P0 | Раздел 9 — адрес БД | | **OPEN-З-5** | Подготовить и утвердить **Политику конфиденциальности** (Приложение Ж после юр. редактуры) | юрист | P0 | Должна быть опубликована до подачи уведомления | | **OPEN-З-6** | Уведомление о начале обработки vs. ретроспективное (если юрлицо уже зарегистрировано и обрабатывает ПДн работников) | юрист | P1 | Влияет на формулировку даты начала и риск замечаний от РКН | | **OPEN-З-7** | Утвердить отдельный приказ о Положении об обработке ПДн работников (для Цели 7 раздела 5) | юрист | P1 | РКН может запросить при проверке | | **OPEN-З-8** | Сформулировать модель угроз и оценку эффективности мер защиты (для раздела 11) | ИБ | P1 | Формальное требование постановления №1119; для УЗ-4 — упрощённый формат | | **OPEN-З-9** | Решить: подавать уведомление в момент юридической регистрации платформы или после Б-1 на спринте 0 | бизнес | P1 | Влияет на сроки запуска; раньше = безопаснее по штрафам, но требует более раннего получения КЭП | | **OPEN-З-10** | Точный территориальный орган РКН (по адресу регистрации юрлица) | бизнес | P1 | Для бумажной подачи; для электронной — определяется автоматически | | **OPEN-З-11** | Проверить, действительно ли Цель 3 (приём лидов) интерпретируется РКН как требующая уведомления — или агрегатор может «нести» эту цель за нас как первоисточник? | юрист | P1 | Консервативный подход — указываем; вопрос только в формулировках | | **OPEN-З-12** | Включать ли явно в раздел 5 Цель 5 (информационная безопасность) или она «растворяется» в Целях 1–4 | юрист | P2 | Большинство шаблонов отделяют; РКН принимает оба варианта | | **OPEN-З-13** | Согласовать с информационной безопасностью список фактически применяемых криптографических средств для пункта 3.4 | ИБ | P1 | Влияет на достоверность формулировок | | **OPEN-З-14** | Решить, нужно ли отдельное Положение о пропускном режиме (если предполагается работа с офиса с приёмом гостей) — это влияет на отдельную цель «контроль доступа в помещения» | юрист + бизнес | P3 | Для онлайн-сервиса без офиса — неактуально | ## В.2. Что обновить в смежных документах при подаче уведомления | Документ | Что меняется | |---|---| | `Oferta_i_Politika_v8_1.md` (Приложение Ж), пункт Б.1.2 | После получения регистрационного номера — подставить `{{rkn_notification_number}}` и `{{rkn_notification_date}}`, опубликовать новую редакцию Политики (бамп `document_version_policy` → v1.1) | | `Oferta_i_Politika_v8_1.md` (Приложение Ж), Часть В.4 (чек-лист публикации v1.0) | Отметить пункт «Подано уведомление в Роскомнадзор, получен номер (Ю-4)» как выполненный | | `Открытые_вопросы_v8_1.md` | Закрыть Ю-4 структурно (после подачи); если нужно оставить — переименовать в Ю-4-исп («исполнено») | | `CRM_bp-gr_Инструкция_v8_1.md`, раздел 22.9.4 | Заменить ремарку «отдельный артефакт, готовится при необходимости» на ссылку на это Приложение З | | `CRM_bp-gr_Инструкция_v8_1.md`, раздел 28 «Приложения» | Добавить шифр З = `Уведомление_РКН_v8_1.md`. Обновить общую сводку: теперь приложения А, Б, В, Г, Д, Е, Ж, З | | Внутренние документы Оператора | Издать приказ о назначении ответственного, утвердить Положение об обработке ПДн работников | ## В.3. Версионирование | Версия | Дата | Изменения | |---|---|---| | draft v0.1 | 04.05.2026 | Первый структурный шаблон в рамках сессии 03–04.05.2026, на основе Приложения Ж и архитектуры v8.1 | | v1.0 (план) | TBD | Финализация после OPEN-З-1..14, юр. проверка, заполнение всех `{{...}}` | | v1.1 (план) | TBD | После подачи и получения регистрационного номера в Реестре РКН — фиксация номера для использования в Политике конфиденциальности | --- *Драфт v0.1 от 04.05.2026. Готовится в рамках сессии 03–04.05.2026 как Приложение З к v8.1 (закрытие Ю-4 на структурном уровне).*