portal/docs/Uvedomlenie_RKN_v8_2.md

Шаблон уведомления в Роскомнадзор об обработке персональных данных — v8.2, Приложение З

Версия: 8.2 от 04.05.2026 (правки после интервью с заказчиком).

Что нового в v8.2 относительно v8.1

• ✅ DO-1 закрыт → пункт 9 уведомления (адрес ЦОД). Облачный провайдер выбран — Yandex Cloud, регион ru-central1. Дата-центры на территории РФ:

  • Москва (основной): ул. Льва Толстого, 16 (примерный адрес кластера, точный — через DPA);
  • Владимирская обл. (резерв);
  • Калужская обл. (резерв).

  Формулировка для пункта 9: «Обработка персональных данных осуществляется с использованием инфраструктуры ООО «ЯНДЕКС.ОБЛАКО» (ИНН 7704458262), сертифицированной по требованиям ФСТЭК России до уровня защищённости УЗ-1 включительно. Серверы расположены на территории Российской Федерации в дата-центрах в городах Москва, Владимир, Калуга. Договор на обработку персональных данных (DPA) заключён в рамках использования сервисов Yandex Cloud. Заявленный нами уровень защищённости — УЗ-4 (постановление №1119, ФСТЭК пр. 21).»

• ✅ Название платформы (Диз-2): «Лидерра». Везде в шаблоне в полях «Цель обработки», «Описание мер» и т.п. — упоминать сервис как «Лидерра».

• ⏸ Б-1 — реквизиты юр. лица: все поля 1–4 (ИНН, ОГРН, КПП, юр. адрес, наименование, ФИО руководителя) ждут регистрации ООО.

• ⏸ OPEN-К-6 — DPA с Yandex Cloud: задача юриста до подачи уведомления (см. Прил. Ж v8.2 и Открытые вопросы Ю/К-6).

Назначение документа: структурная заготовка уведомления Роскомнадзора (РКН) о намерении осуществлять обработку персональных данных по форме, утверждённой Приказом Роскомнадзора от 28.10.2022 №180 (Приложение №1 к приказу). Заполнение и подача — задача заказчика (Ю-4 в Приложении Е). Документ закрывает структурную часть Ю-4: ниже даны конкретные формулировки для всех полей формы с учётом архитектурных решений v8.1 (реселлерская модель Ю-2, четырёхуровневая изоляция CTO-5, хранение в РФ, трёхзвенная цепочка ПДн).

Что закрывает:

• Ю-4 структурно — даны рекомендуемые формулировки по всем 11 пунктам ч. 3 ст. 22 ФЗ-152 + по матрице категорий из ч. 3.1 (введена 14.07.2022 №266-ФЗ).

Что НЕ закрывает (заказчик должен сделать сам):

• Получение квалифицированной электронной подписи для подачи через сайт РКН (pd.rkn.gov.ru/operators-registry/notification/form/);
• Альтернативно — распечатка, подписание и подача на бумаге в территориальный орган РКН по месту регистрации юрлица;
• Заполнение реквизитов из Б-1 (ИНН, ОГРН, юрадрес, ответственное лицо);
• Финальная юридическая редактура — подача через юриста заказчика.

Срок подачи (ч. 1 ст. 22 ФЗ-152): до начала обработки ПДн. Если уведомление не подано — нарушение, штрафы по ч. 10 ст. 13.11 КоАП РФ (с 30.05.2025 ужесточены: для юрлиц до 300 000 ₽, для должностных лиц — до значительных сумм; конкретику смотреть на момент подачи).

Способы подачи:

1. Электронно через сайт РКН (pd.rkn.gov.ru) с КЭП — через КриптоПро ЭЦП Browser plug-in;
2. Через Госуслуги (для зарегистрированных юрлиц);
3. На бумажном носителе почтовым отправлением с описью в территориальный орган РКН по адресу регистрации юрлица.

Срок включения в реестр: РКН проводит проверку и вносит в Реестр операторов ПДн в течение 30 дней с момента получения. Начинать обработку можно с даты подачи, не дожидаясь внесения в реестр.

Базовые ссылки на v8.1:

• 1.5–1.6 — реселлерская модель (формирует «цели обработки» ниже)
• 22.9 — общий блок 152-ФЗ
• 22.9.1 — три типа согласий
• 22.9.4 — локация хранения данных в РФ
• 22.10 — безопасность платежей
• Приложение Ж (Oferta_i_Politika_v8_1.md) — категории субъектов и правовые основания (Б.1, Б.3 Политики)
• Приложение Д (Workflow_pd_subject_requests_v8_1.md) — workflow обращений субъектов

Переменные документа (наследуются из Приложения Ж):

Переменная	Источник
{{operator_name_full}}	Б-1: полное наименование юрлица
{{operator_short_name}}	Б-1: краткое наименование
{{operator_inn}}	Б-1: ИНН
{{operator_kpp}}	Б-1: КПП
{{operator_ogrn}}	Б-1: ОГРН
{{operator_address}}	Б-1: юридический адрес (с индексом)
{{operator_postal_address}}	Б-1: почтовый адрес (если отличается)
{{operator_phone}}	Б-1: контактный телефон юрлица
{{operator_email_official}}	Б-1: официальный email юрлица
{{operator_signatory_position}}	Должность подписанта
{{operator_signatory_name}}	ФИО подписанта
{{operator_basis}}	Основание полномочий («Устав»)
{{processing_start_date}}	Дата начала обработки (= дата гос. регистрации юрлица или дата запуска сервиса)
{{platform_domain}}	crm-аналог.ru
{{privacy_email}}	Адрес для приёма обращений субъектов ПДн
{{responsible_person_name}}	ФИО ответственного за организацию обработки ПДн
{{responsible_person_phone}}	Его контактный телефон
{{responsible_person_email}}	Его адрес электронной почты
{{responsible_person_address}}	Его почтовый адрес
{{db_location_address}}	Адрес местонахождения БД с ПДн граждан РФ (адрес ЦОД провайдера: Yandex/VK/Selectel)
{{cloud_provider_legal_name}}	Юр. наименование провайдера (например, ООО «Яндекс.Облако»)
{{cloud_provider_inn}}	ИНН провайдера

Статус документа: структурный шаблон v0.1, готовый к заполнению переменных и юр. редактуре.

---

УВЕДОМЛЕНИЕ

о намерении осуществлять обработку персональных данных

(в соответствии с Приказом Роскомнадзора от 28.10.2022 №180, Приложение №1 — форма уведомления о намерении осуществлять обработку персональных данных; ч. 3 и ч. 3.1 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»)

В Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по {{rkn_territorial_district}}.

📝 Заказчику: территориальный орган РКН выбирается по адресу регистрации юрлица. Список — на pd.rkn.gov.ru.

---

1. Сведения об операторе (п. 1 ч. 3 ст. 22 ФЗ-152)

Наименование оператора (полное): {{operator_name_full}}

Сокращённое наименование: {{operator_short_name}}

ИНН: {{operator_inn}}

КПП: {{operator_kpp}}

ОГРН: {{operator_ogrn}}

Адрес местонахождения (юридический адрес): {{operator_address}}

Почтовый адрес (если отличается от юридического): {{operator_postal_address}}

Контактный телефон: {{operator_phone}}

Адрес электронной почты: {{operator_email_official}}

---

2. Цели обработки персональных данных (п. 2 ч. 3 ст. 22 ФЗ-152)

📝 Юристу: РКН требует перечислить все цели. Для каждой цели в части 5 ниже отдельно указываются категории субъектов, категории ПДн, правовые основания, перечень действий и способы. Поэтому здесь — общий список, в части 5 — матрица.

Оператор осуществляет обработку персональных данных в следующих целях:

Цель 1. Регистрация и ведение учётных записей клиентов (Тенантов) в SaaS-платформе «{{platform_name}}», размещённой по адресу https://{{platform_domain}}.

Цель 2. Исполнение договорных обязательств перед клиентами в рамках публичной оферты, опубликованной на сайте Оператора, включая биллинг, формирование счетов, актов, УПД и иных учётных документов.

Цель 3. Приём, хранение и передача клиентам-Тенантам данных физических лиц-лидов, поступающих Оператору от партнёра-агрегатора (ООО «БП-Групп», crm.bp-gr.ru) на основании заключённого с ним корпоративного договора. Цель достигается на основании договоров с Тенантами в рамках исполнения которых эти данные доставляются.

Цель 4. Учёт и обработка обращений субъектов персональных данных в реализацию их прав, предусмотренных статьями 14–21 ФЗ-152 (право на доступ, на уточнение, на удаление, на ограничение обработки).

Цель 5. Обеспечение информационной безопасности и противодействие неправомерному доступу к персональным данным (ведение журналов аутентификации, аудита действий с ПДн, мониторинг событий безопасности).

Цель 6. Маркетинговое информирование клиентов (с их отдельного согласия, отзываемого в любой момент).

Цель 7. Обработка персональных данных работников и кандидатов в работники Оператора в рамках трудовых отношений.

📝 Юристу: Цель 7 — стандартная для любого юрлица. Включается, если у Оператора есть работники. Если штат — только генеральный директор как единственный работник, эта цель всё равно нужна.

---

3. Описание мер по защите персональных данных (п. 7 ч. 3 ст. 22 ФЗ-152, ст. 18.1 и 19 ФЗ-152)

Для обеспечения безопасности персональных данных при их обработке Оператором приняты следующие правовые, организационные и технические меры:

3.1. Правовые меры

• утверждены внутренние документы, определяющие политику Оператора в отношении обработки персональных данных, в том числе Политика конфиденциальности, опубликованная на сайте https://{{platform_domain}}/legal;
• утверждено внутреннее Положение об обработке персональных данных работников;
• утверждено Положение об ответственном за организацию обработки персональных данных, лицо назначено приказом руководителя (см. часть 4 настоящего уведомления);
• разработаны и утверждены формы согласий субъектов на обработку персональных данных, реализованные в виде функциональности учётной записи в SaaS-платформе.

3.2. Организационные меры

• определён перечень лиц, имеющих доступ к персональным данным (внутренний приказ Оператора), с разделением на 5 ролей (super_admin, finance, support, compliance, viewer) с минимально необходимым доступом для каждой роли;
• введена обязательная двухфакторная аутентификация для всех сотрудников Оператора, имеющих доступ к административным функциям платформы;
• доступ оператора поддержки к данным конкретного клиента-Тенанта возможен только в режиме технического доступа от имени клиента (Импersonation) с обязательным разовым подтверждением со стороны клиента через одноразовый код, направляемый на проверенный адрес электронной почты;
• ведётся журнал действий с персональными данными (pd_processing_log), в который записываются все факты доступа к ПДн со стороны как клиентов-Тенантов, так и сотрудников Оператора (роль актора фиксируется);
• организован процесс реагирования на запросы субъектов персональных данных в порядке статей 14, 21 ФЗ-152 (в срок не более 30 календарных дней);
• регулярно (не реже одного раза в год) проводятся внутренние проверки соблюдения требований законодательства о персональных данных;
• сотрудники Оператора проходят инструктаж по работе с персональными данными при приёме на работу.

3.3. Технические меры

Технические меры реализованы в SaaS-платформе на четырёх уровнях изоляции:

а) Уровень приложения: каждый запрос привязан к идентификатору клиента-Тенанта (tenant_id), проверка осуществляется через middleware фреймворка Laravel и глобальные scope-ограничения моделей;

б) Уровень очередей: все асинхронные задачи наследуются от базового класса TenantAwareJob, который сохраняет и восстанавливает контекст клиента;

в) Уровень линтера: автоматизированная проверка моделей на CI-сервере на корректность изоляции (утилита assertTenantIsolation) с блокировкой развертывания при нарушениях;

г) Уровень базы данных: Row-Level Security PostgreSQL — 29 политик доступа на 30 таблиц с персональными данными, работающих под трёх различными ролями БД (crm_app_user — обычная роль, на которую действуют политики; crm_admin_user и crm_migrator — ограниченные роли с явным BYPASSRLS для административных задач).

Дополнительные технические меры:

• передача данных по сети — исключительно по HTTPS (TLS 1.2+) с включённым HSTS, secure cookies и Content Security Policy;
• хранение паролей в виде хешей по алгоритму bcrypt с фактором стоимости 12;
• регулярное резервное копирование базы данных с шифрованием (WAL-G + S3);
• мониторинг безопасности через Sentry (трекинг ошибок), Prometheus + Grafana (метрики);
• защита от типовых атак (SQL injection, XSS, CSRF) средствами фреймворка и проверками на уровне CI;
• ограничение скорости запросов (rate limiting) на уровне веб-сервера (Nginx) и приложения.

3.4. Сведения о шифровальных (криптографических) средствах

📝 Юристу: РКН требует наименование и место расположения СКЗИ (если используются).

На дату подачи настоящего уведомления Оператор использует следующие шифровальные средства:

• TLS 1.2/1.3 для защиты транспорта данных между клиентом и серверной инфраструктурой (стандартные открытые библиотеки, не требуют сертификации ФСБ);
• bcrypt для хранения паролей пользователей (алгоритм хеширования, не СКЗИ в смысле постановления Правительства №211);
• AES-256 в составе функциональности резервного копирования и шифрования объектного хранилища у облачного провайдера.

Сертифицированные ФСБ России криптографические средства (СКЗИ) не применяются, поскольку обрабатываемые персональные данные не относятся к категориям, для которых такое применение обязательно (требования 4-го уровня защищённости по постановлению Правительства РФ от 01.11.2012 №1119; категории ПДн — иные, см. часть 5 настоящего уведомления).

📝 Юристу + DevOps: проверить уровень защищённости информационной системы по постановлению №1119 после выбора облачного провайдера. Для уровня защищённости 4 (наш ожидаемый случай) сертифицированные СКЗИ не обязательны. Для уровня защищённости 1–3 — обязательны. Это влияет на текст пункта 3.4.

---

4. Лицо, ответственное за организацию обработки персональных данных (п. 7.1 ч. 3 ст. 22 ФЗ-152)

ФИО ответственного: {{responsible_person_name}}

Контактный телефон: {{responsible_person_phone}}

Адрес электронной почты: {{responsible_person_email}}

Почтовый адрес: {{responsible_person_address}}

📝 Заказчику: ответственный назначается отдельным приказом руководителя. Это может быть сам руководитель организации, либо специально назначенное лицо. Для архитектуры v8.1 функционально это лицо, имеющее в админке роль compliance или super_admin. Заранее рассмотреть вопрос замещения на период отпуска / больничного — РКН требует актуальности данных, изменения подаются в течение 15 рабочих дней.

---

5. Матрица обработки по целям (ч. 3.1 ст. 22 ФЗ-152)

📝 Юристу: ч. 3.1 (введена 14.07.2022 №266-ФЗ) требует по каждой цели отдельно указать: (а) категории ПДн, (б) категории субъектов, (в) правовое основание, (г) перечень действий, (д) способы обработки. Ниже — матрица для всех 7 целей. РКН валидирует, чтобы согласие на обработку (если оно — основание) или иное правовое основание соответствовало составу собираемых данных.

Цель 1. Регистрация и ведение учётных записей клиентов

Параметр	Значение
Категории субъектов ПДн	Физические лица, являющиеся клиентами Оператора, либо представителями клиентов-юридических лиц, зарегистрированными на платформе.
Категории ПДн	Идентификационные (фамилия, имя, отчество); контактные (адрес электронной почты, телефон); аутентификационные (пароль в виде хеша; данные двухфакторной аутентификации).
Правовое основание	Пункт 5 части 1 статьи 6 ФЗ-152 (обработка необходима для исполнения договора, стороной которого является субъект); согласие субъекта (пункт 1 части 1 статьи 6 ФЗ-152), даваемое при регистрации в форме акцепта Оферты и Политики конфиденциальности.
Перечень действий с ПДн	Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, обезличивание.
Способы обработки	Автоматизированная обработка с использованием средств вычислительной техники.

Цель 2. Биллинг и финансово-учётные операции

Параметр	Значение
Категории субъектов ПДн	Клиенты-Тенанты (как выше); представители контрагентов и плательщиков.
Категории ПДн	Идентификационные; контактные; платёжные (реквизиты для безналичных расчётов; история транзакций без полных номеров банковских карт — карточные данные обрабатываются на стороне платёжного шлюза, имеющего сертификацию PCI DSS, и не передаются Оператору); сведения, необходимые для формирования первичных учётных документов (ИНН, ОГРН, КПП клиента-юрлица).
Правовое основание	Пункт 5 части 1 статьи 6 ФЗ-152 (исполнение договора); пункт 2 части 1 статьи 6 ФЗ-152 (обработка необходима для достижения целей, предусмотренных федеральным законом — Налоговым кодексом РФ, Федеральным законом от 22.05.2003 №54-ФЗ, Федеральным законом от 06.12.2011 №402-ФЗ «О бухгалтерском учёте»).
Перечень действий с ПДн	Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (в адрес платёжных операторов и банков для проведения расчётов; в адрес налоговых органов в случаях, предусмотренных законом), блокирование, удаление.
Способы обработки	Автоматизированная обработка.

Цель 3. Приём, хранение и передача данных физлиц-лидов клиентам-Тенантам

📝 Юристу (Ю-2): это ключевая цель, отличающая нашу деятельность от обычного SaaS. Здесь ясно фиксируется реселлерская модель и трёхзвенная цепочка ПДн.

Параметр	Значение
Категории субъектов ПДн	Физические лица, оставившие заявки на услуги/товары на сайтах партнёра-агрегатора (ООО «БП-Групп», crm.bp-gr.ru) или его источниках, и чьи персональные данные были переданы Оператору указанным агрегатором в качестве лидов в рамках заключённого с ним договора.
Категории ПДн	Идентификационные (фамилия, имя, отчество, при наличии — указанные физлицом в исходной форме заявки); контактные (телефон, реже — адрес электронной почты); контекстные (тематика заявки и иные сведения, добровольно сообщённые физлицом в исходной форме); технические сведения о факте оставления заявки (при их наличии в передаваемом payload).
Правовое основание	Согласие физического лица на обработку персональных данных и на передачу их партнёрам агрегатора, полученное агрегатором (ООО «БП-Групп») при сборе заявки от физлица, в составе которого предусмотрена передача персональных данных в адрес Оператора как партнёра агрегатора (пункт 1 части 1 статьи 6 ФЗ-152); пункт 5 части 1 статьи 6 ФЗ-152 (обработка необходима для исполнения договора Оператора с клиентом-Тенантом, в рамках которого Оператор обязан доставлять Тенанту лиды).
Перечень действий с ПДн	Получение от агрегатора через программный интерфейс (webhook); запись; хранение; передача клиенту-Тенанту через программный интерфейс платформы; удаление по истечении срока хранения или по обращению субъекта.
Способы обработки	Автоматизированная обработка.

📝 Юристу (Ю-2-доп): правовое основание частично опирается на согласие, собранное другим оператором (агрегатором). Это допустимо в трёхзвенной цепочке самостоятельных операторов, но критично, чтобы (а) формулировка согласия у агрегатора явно упоминала возможность передачи партнёрам, (б) в договоре с агрегатором была зеркальная гарантия (Ю-8). См. разделы Б.7 и А.9.6 Приложения Ж.

Цель 4. Обработка обращений субъектов ПДн в реализацию прав по 152-ФЗ

Параметр	Значение
Категории субъектов ПДн	Любые физические лица, чьи персональные данные обрабатываются Оператором (как клиенты-Тенанты, так и физлица-лиды), направившие обращение в порядке статей 14–21 ФЗ-152.
Категории ПДн	Идентификационные данные заявителя (для проверки личности); контактные данные (для переписки); идентификационные данные доверенного представителя при наличии; реквизиты документов, подтверждающих полномочия (для нотариально заверенных заявлений или явок с паспортом).
Правовое основание	Пункт 2 части 1 статьи 6 ФЗ-152 (обработка необходима для достижения целей, предусмотренных федеральным законом — статьями 14, 21 ФЗ-152).
Перечень действий с ПДн	Сбор (получение обращения), запись, проверка, хранение, использование, передача (при необходимости — в адрес агрегатора и клиентов-Тенантов как вторичных операторов в порядке исполнения требований 152-ФЗ), удаление.
Способы обработки	Смешанная обработка (автоматизированная — система учёта обращений; неавтоматизированная — ручной разбор и принятие решений).

Цель 5. Информационная безопасность

Параметр	Значение
Категории субъектов ПДн	Клиенты-Тенанты, физлица-лиды (в части их идентификаторов в журналах), посетители публичных страниц сайта.
Категории ПДн	Технические идентификаторы (IP-адреса, User-Agent, идентификаторы сессий, файлы cookie); журналы аутентификации (попытки входа, факт входа); журналы действий с учётной записью.
Правовое основание	Пункт 7 части 1 статьи 6 ФЗ-152 (обработка необходима для осуществления прав и законных интересов оператора при условии, что не нарушаются права и свободы субъекта).
Перечень действий с ПДн	Сбор, запись, хранение, использование, удаление по истечении сроков хранения (3 года для журналов аудита, иные сроки в зависимости от категории).
Способы обработки	Автоматизированная обработка.

Цель 6. Маркетинговое информирование

Параметр	Значение
Категории субъектов ПДн	Клиенты-Тенанты, давшие отдельное согласие на маркетинговые рассылки.
Категории ПДн	Контактные данные (адрес электронной почты, телефон); сведения о статусе клиента (тариф, период регистрации) для сегментации.
Правовое основание	Согласие субъекта (пункт 1 части 1 статьи 6 ФЗ-152), даваемое отдельно от Оферты и отзываемое субъектом в любой момент путём отметки в Личном кабинете или ссылкой в письме.
Перечень действий с ПДн	Сбор, хранение, использование (формирование сегментов, отправка сообщений), удаление при отзыве согласия.
Способы обработки	Автоматизированная обработка.

Цель 7. Обработка персональных данных работников

Параметр	Значение
Категории субъектов ПДн	Работники Оператора, лица, претендующие на трудоустройство.
Категории ПДн	Сведения, предусмотренные Трудовым кодексом РФ для ведения кадрового учёта (ФИО, паспортные данные, СНИЛС, ИНН, образование, трудовая деятельность, размер оплаты труда, сведения о близких родственниках в случаях, предусмотренных законом).
Правовое основание	Пункт 2.3 части 1 статьи 6 ФЗ-152 (обработка необходима для исполнения полномочий работодателя по Трудовому кодексу РФ); согласие работника на обработку ПДн, не относящихся непосредственно к трудовым отношениям.
Перечень действий с ПДн	Сбор, запись, хранение, использование, передача (в государственные органы — ФНС, СФР, в случаях, предусмотренных законом), удаление по истечении сроков, установленных Трудовым кодексом РФ и законодательством об архивном деле.
Способы обработки	Смешанная обработка.

---

6. Дата начала обработки персональных данных (п. 8 ч. 3 ст. 22 ФЗ-152)

{{processing_start_date}}

📝 Заказчику: согласно разъяснениям РКН, для большинства организаций датой начала обработки ПДн считается дата государственной регистрации юридического лица (поскольку с этого момента начинается обработка ПДн работников и контрагентов). Если уведомление подаётся уже после регистрации — указывается фактическая дата гос. регистрации, и подача уведомления является исполнением просроченной обязанности (без штрафа за просрочку, если подано добровольно до проверки).

---

7. Срок или условие прекращения обработки персональных данных (п. 9 ч. 3 ст. 22 ФЗ-152)

Обработка персональных данных осуществляется в течение всего срока деятельности Оператора. Прекращение обработки происходит при наступлении одного из следующих условий:

а) ликвидация Оператора как юридического лица;

б) прекращение оказания услуг по SaaS-платформе (с уведомлением субъектов и уничтожением их персональных данных в порядке, предусмотренном статьёй 21 ФЗ-152);

в) для каждого субъекта ПДн отдельно — отзыв согласия субъекта, истечение срока хранения, удаление по требованию субъекта или по достижении цели обработки.

Сроки хранения отдельных категорий персональных данных установлены в Политике конфиденциальности Оператора (раздел 8) и составляют от срока действия учётной записи (для клиентов-Тенантов) до 5 лет (для журналов обработки и согласий).

---

8. Сведения о наличии или отсутствии трансграничной передачи персональных данных (п. 10 ч. 3 ст. 22 ФЗ-152)

Трансграничная передача персональных данных Оператором не осуществляется.

📝 Заказчику + DevOps: критически важно. Все три рассматриваемых облачных провайдера (DO-1: Yandex Cloud, VK Cloud, Selectel) — российские резиденты, и хранение полностью в РФ. Если в будущем появится необходимость трансграничной передачи (например, использование иностранного сервиса аналитики или CDN с серверами за пределами РФ) — необходимо подать уведомление об изменении сведений по форме Приложения №2 к Приказу №180 в течение 15 рабочих дней с момента изменения. Это особый и сложный кейс, требующий отдельного согласования с РКН.

---

9. Сведения о месте нахождения базы данных, содержащей персональные данные граждан РФ (п. 10.1 ч. 3 ст. 22 ФЗ-152)

База данных, содержащая персональные данные граждан Российской Федерации, размещается на территории Российской Федерации в соответствии с требованиями части 5 статьи 18 ФЗ-152.

Адрес местонахождения базы данных:

{{db_location_address}}

Сведения о провайдере услуг хостинга / облачной инфраструктуры:

• Наименование: {{cloud_provider_legal_name}}
• ИНН: {{cloud_provider_inn}}
• Основание размещения: договор оказания услуг хостинга / услуг облачной инфраструктуры с провайдером.

📝 DevOps + юристу: после выбора провайдера (DO-1) подставить точные реквизиты. Адрес — адрес ЦОД. Для Yandex Cloud в Москве — обычно «Россия, г. Москва, ул. Льва Толстого, 16». Для VK Cloud, Selectel — свои адреса. РКН не требует точного номера стойки, но требует точный почтовый адрес ЦОД.

---

10. Сведения о лицах, имеющих доступ к ПДн в государственных и муниципальных информационных системах (п. 10.2 ч. 3 ст. 22 ФЗ-152)

Не применимо. Оператор не обрабатывает персональные данные в составе государственных или муниципальных информационных систем.

---

11. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями Правительства РФ (п. 11 ч. 3 ст. 22 ФЗ-152)

Безопасность персональных данных обеспечивается в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными постановлением Правительства Российской Федерации от 01.11.2012 №1119.

Установленный уровень защищённости информационной системы персональных данных: четвёртый.

📝 Юристу: уровень защищённости определяется по постановлению №1119 в зависимости от: — категории обрабатываемых ПДн (специальные / биометрические / общедоступные / иные); — объёма (более или менее 100 000 субъектов); — типа угроз (актуальные ли угрозы 1-го, 2-го или 3-го типа).

Для нашей архитектуры: ПДн иные (не специальные), субъектов потенциально более 100 000 (объём растёт с базой клиентов и лидов), угрозы 3-го типа (нет угроз, связанных с недокументированными возможностями). По таблице постановления №1119 это даёт уровень защищённости 4. Подтвердить с информационной безопасностью / юристом до подачи. Если попадает в УЗ-3 или выше — потребуются сертифицированные СКЗИ (это меняет пункт 3.4).

В соответствии с установленным уровнем защищённости приняты следующие меры:

• организационные меры в соответствии с разделом 3.2 настоящего уведомления;
• технические меры в соответствии с разделом 3.3 настоящего уведомления, включая четырёхуровневую изоляцию данных клиентов с применением Row-Level Security PostgreSQL;
• определены угрозы безопасности персональных данных, актуальные при их обработке в информационной системе Оператора, на основе модели угроз ФСТЭК России;
• проведена оценка эффективности принятых мер по защите персональных данных;
• ведётся учёт машинных носителей информации, содержащих персональные данные;
• обнаруживаются факты несанкционированного доступа к персональным данным средствами систем мониторинга безопасности.

---

Подпись и печать

Уполномоченное лицо:

{{operator_signatory_position}} {{operator_signatory_name}}, действующий на основании {{operator_basis}}.

________________________ / {{operator_signatory_name}} /

М.П.

Дата составления: ________________

📝 Заказчику: при электронной подаче — подписывается КЭП через сайт РКН. При бумажной подаче — собственноручная подпись + печать организации (если используется).

---

Приложения к шаблону

Приложение З.А. Чек-лист подачи

• Заполнены все переменные {{...}} из раздела «Переменные документа»
• Подтверждён уровень защищённости (ожидаемый — УЗ-4) — раздел 11
• Назначен ответственный за организацию обработки ПДн отдельным приказом руководителя — раздел 4
• Утверждена Политика конфиденциальности (см. Приложение Ж) и опубликована на сайте Оператора — потребуется ссылка для подтверждения РКН
• Утверждено внутреннее Положение об обработке персональных данных работников
• Подписан договор с облачным провайдером, известен точный адрес ЦОД для пункта 9 — задача DO-1
• Подписан договор с агрегатором (ООО «БП-Групп», crm.bp-gr.ru) с зеркальной гарантией о согласии физлиц (Ю-8) — раздел 5, Цель 3
• Получена квалифицированная электронная подпись (КЭП) для электронной подачи — либо подготовлен пакет документов для бумажной подачи
• Произведена юридическая проверка финального текста уведомления — задача OPEN-Ж-1 + новая
• Уведомление подписано уполномоченным лицом, проставлена дата
• Подача через pd.rkn.gov.ru или Госуслуги (электронно) или почтой с описью (бумажно)
• Получено подтверждение приёма уведомления Роскомнадзором
• В течение 30 дней — проверена запись в Реестре операторов ПДн (pd.rkn.gov.ru/operators-registry)
• Полученный регистрационный номер из Реестра подставлен в Политику конфиденциальности (поле {{rkn_notification_number}}) и опубликована новая редакция

Приложение З.Б. Сценарии изменения сведений

После подачи и внесения в Реестр любое изменение сведений из настоящего уведомления подаётся в РКН отдельным уведомлением по форме Приложения №2 к Приказу №180 в срок:

• не позднее 15-го числа месяца, следующего за месяцем изменений (ч. 7 ст. 22 ФЗ-152) — для большинства случаев;
• немедленно после обнаружения — при исправлении ошибок в ранее поданном уведомлении.

Типичные изменения, требующие уведомления:

Что изменилось	Какой пункт уведомления	Триггер в архитектуре v8.1
Юр. наименование, адрес, реквизиты Оператора	1	Реорганизация, переезд
Цели обработки (новая или ушедшая цель)	2, 5	Запуск нового продукта, смена бизнес-модели
Описание мер защиты	3	Внедрение новых СКЗИ, смена облачного провайдера
Ответственное лицо	4	Кадровые изменения
Категории субъектов / категории ПДн / правовые основания	5	Расширение функциональности (например, введение биометрии)
Срок и условия прекращения обработки	7	Изменение сроков хранения в Политике
Появление трансграничной передачи	8	Подключение зарубежного сервиса (CDN, аналитика) — критично, требует отдельного согласования с РКН
Местонахождение БД	9	Смена облачного провайдера, переезд ЦОД
Уровень защищённости	11	Достижение порога 100 000 субъектов или появление специальных категорий ПДн

Приложение З.В. Связанные документы и зависимости

Внешний документ / решение	Зависимость для подачи уведомления
Б-1 (реквизиты юрлица заказчика)	Без них нельзя заполнить раздел 1
DO-1 (выбор облачного провайдера)	Без него нельзя заполнить раздел 9 (адрес БД) и раздел 11 (если решение об уровне защищённости опирается на сертификации провайдера)
Ю-2-доп (формулировка согласия физлица)	Не блокирует подачу формально (РКН не проверяет формулировки на стороне партнёра), но критично для юридической защиты позиции «правовое основание» в разделе 5 Цели 3
Ю-8 (зеркальные гарантии в договоре с агрегатором)	См. Ю-2-доп
Приложение Ж (Oferta_i_Politika_v8_1.md)	Политика должна быть опубликована до подачи уведомления — РКН может запросить ссылку или проверить наличие на сайте
Приложение Д (Workflow_pd_subject_requests_v8_1.md)	Не требуется при подаче, но является фактическим описанием процесса по разделу 5 Цели 4 — должен существовать как внутренний документ
Приказ о назначении ответственного за обработку ПДн	Внутренний приказ Оператора, должен быть издан до или одновременно с подачей

---

ЧАСТЬ В. РАБОЧИЕ МАТЕРИАЛЫ

В.1. Открытые вопросы для финализации

ID	Вопрос	Кому	Приоритет	Влияние
OPEN-З-1	Подтвердить уровень защищённости ИСПДн (ожидание — УЗ-4 по постановлению №1119)	юрист + ИБ	P0	Если УЗ-3 или выше — нужны сертифицированные СКЗИ, меняется раздел 3.4
OPEN-З-2	Назначить ответственного за организацию обработки ПДн (отдельный приказ)	бизнес	P0	Без назначения — нельзя заполнить раздел 4
OPEN-З-3	Получить КЭП для электронной подачи или подготовить бумажный пакет	бизнес + DevOps	P0	Технический блокер подачи
OPEN-З-4	Подтвердить выбор облачного провайдера (закрыть DO-1)	бизнес + DevOps	P0	Раздел 9 — адрес БД
OPEN-З-5	Подготовить и утвердить Политику конфиденциальности (Приложение Ж после юр. редактуры)	юрист	P0	Должна быть опубликована до подачи уведомления
OPEN-З-6	Уведомление о начале обработки vs. ретроспективное (если юрлицо уже зарегистрировано и обрабатывает ПДн работников)	юрист	P1	Влияет на формулировку даты начала и риск замечаний от РКН
OPEN-З-7	Утвердить отдельный приказ о Положении об обработке ПДн работников (для Цели 7 раздела 5)	юрист	P1	РКН может запросить при проверке
OPEN-З-8	Сформулировать модель угроз и оценку эффективности мер защиты (для раздела 11)	ИБ	P1	Формальное требование постановления №1119; для УЗ-4 — упрощённый формат
OPEN-З-9	Решить: подавать уведомление в момент юридической регистрации платформы или после Б-1 на спринте 0	бизнес	P1	Влияет на сроки запуска; раньше = безопаснее по штрафам, но требует более раннего получения КЭП
OPEN-З-10	Точный территориальный орган РКН (по адресу регистрации юрлица)	бизнес	P1	Для бумажной подачи; для электронной — определяется автоматически
OPEN-З-11	Проверить, действительно ли Цель 3 (приём лидов) интерпретируется РКН как требующая уведомления — или агрегатор может «нести» эту цель за нас как первоисточник?	юрист	P1	Консервативный подход — указываем; вопрос только в формулировках
OPEN-З-12	Включать ли явно в раздел 5 Цель 5 (информационная безопасность) или она «растворяется» в Целях 1–4	юрист	P2	Большинство шаблонов отделяют; РКН принимает оба варианта
OPEN-З-13	Согласовать с информационной безопасностью список фактически применяемых криптографических средств для пункта 3.4	ИБ	P1	Влияет на достоверность формулировок
OPEN-З-14	Решить, нужно ли отдельное Положение о пропускном режиме (если предполагается работа с офиса с приёмом гостей) — это влияет на отдельную цель «контроль доступа в помещения»	юрист + бизнес	P3	Для онлайн-сервиса без офиса — неактуально

В.2. Что обновить в смежных документах при подаче уведомления

Документ	Что меняется
Oferta_i_Politika_v8_1.md (Приложение Ж), пункт Б.1.2	После получения регистрационного номера — подставить {{rkn_notification_number}} и {{rkn_notification_date}}, опубликовать новую редакцию Политики (бамп document_version_policy → v1.1)
Oferta_i_Politika_v8_1.md (Приложение Ж), Часть В.4 (чек-лист публикации v1.0)	Отметить пункт «Подано уведомление в Роскомнадзор, получен номер (Ю-4)» как выполненный
Открытые_вопросы_v8_1.md	Закрыть Ю-4 структурно (после подачи); если нужно оставить — переименовать в Ю-4-исп («исполнено»)
CRM_bp-gr_Инструкция_v8_1.md, раздел 22.9.4	Заменить ремарку «отдельный артефакт, готовится при необходимости» на ссылку на это Приложение З
CRM_bp-gr_Инструкция_v8_1.md, раздел 28 «Приложения»	Добавить шифр З = Уведомление_РКН_v8_1.md. Обновить общую сводку: теперь приложения А, Б, В, Г, Д, Е, Ж, З
Внутренние документы Оператора	Издать приказ о назначении ответственного, утвердить Положение об обработке ПДн работников

В.3. Версионирование

Версия	Дата	Изменения
draft v0.1	04.05.2026	Первый структурный шаблон в рамках сессии 03–04.05.2026, на основе Приложения Ж и архитектуры v8.1
v1.0 (план)	TBD	Финализация после OPEN-З-1..14, юр. проверка, заполнение всех {{...}}
v1.1 (план)	TBD	После подачи и получения регистрационного номера в Реестре РКН — фиксация номера для использования в Политике конфиденциальности

---

Драфт v0.1 от 04.05.2026. Готовится в рамках сессии 03–04.05.2026 как Приложение З к v8.1 (закрытие Ю-4 на структурном уровне).