Уведомление в РКН об обработке ПДн: пошаговая инструкция 2026

Кто обязан подать уведомление в Роскомнадзор об обработке ПДн

Статья 22 ФЗ-152 устанавливает общее правило: оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) до начала обработки персональных данных. Уведомление подается один раз — при начале деятельности в качестве оператора. Последующие изменения в процессах обработки данных требуют направления обновленного уведомления.

Обязанность распространяется на всех операторов: юридических лиц (ООО, АО, НКО, государственные органы), индивидуальных предпринимателей, а также физических лиц, обрабатывающих данные в коммерческих целях. Важно: оператором является любое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных. Даже небольшой интернет-магазин или сайт с формой обратной связи является оператором персональных данных.

Исключения: кто освобожден от уведомления

Часть 2 статьи 22 ФЗ-152 устанавливает исчерпывающий перечень случаев, когда уведомление не требуется. Исключения носят ограниченный характер и не распространяются на большинство коммерческих организаций.

Основание для освобождения Условия применения Примеры
Обработка только для трудовых отношений Только данные сотрудников, только для нужд трудового договора Небольшая компания без клиентских баз, обрабатывающая только кадровые данные
Данные участников общественных объединений Данные только членов организации, только для деятельности организации НКО, профсоюзы, религиозные организации
Общедоступные ПДн Данные взяты исключительно из открытых источников Справочники с публично доступными контактами
ФИО и данные для разовой пропускной системы Только ФИО, никакой другой обработки Журнал посетителей офиса
Государственные автоматизированные системы Системы, созданные на основании федерального закона ГИС, единые государственные реестры

Обратите внимание: если компания обрабатывает данные клиентов (даже только имя и email), она не попадает ни под одно из исключений и обязана направить уведомление. Ошибочное самоотнесение к исключениям является одним из наиболее распространенных нарушений, выявляемых при проверках.

Содержание уведомления: что нужно указать

Форма уведомления утверждена приказом Роскомнадзора. Уведомление должно содержать следующие обязательные сведения:

  1. Наименование и адрес оператора — полное наименование юридического лица или ФИО ИП, юридический адрес, ИНН, ОГРН
  2. Цели обработки — конкретные цели, для которых осуществляется обработка данных
  3. Категории ПДн — перечень обрабатываемых данных (ФИО, адрес, email, телефон, платежные данные и т.д.)
  4. Категории субъектов — клиенты, сотрудники, пользователи сайта, контрагенты
  5. Правовые основания обработки — ссылки на нормы закона или указание на согласие субъектов
  6. Перечень действий с ПДн — сбор, хранение, систематизация, передача, уничтожение
  7. Меры по обеспечению безопасности — описание технических и организационных мер защиты
  8. ФИО ответственного за обработку ПДн — согласно требованию статьи 22.1 ФЗ-152
  9. Сведения о трансграничной передаче — если данные передаются за рубеж
  10. Место нахождения баз данных с ПДн — адрес сервера, где хранятся данные (обязанность хранить данные россиян в России — статья 18.1 ФЗ-152)

Статья 22 ФЗ-152: Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Уведомление должно быть направлено в письменной форме или в форме электронного документа.

Пошаговая инструкция: как подать уведомление через pd.rkn.gov.ru

Шаг 1. Подготовка сведений

Перед заполнением формы соберите следующую информацию: полные реквизиты организации (ИНН, ОГРН, юридический адрес), перечень всех процессов обработки данных (для каждого — категория данных, цели, основания, сроки хранения), сведения об информационных системах персональных данных (ИСПДн) — их наименования и адреса нахождения, данные об ответственном за организацию обработки ПДн. Составление этого перечня займет больше всего времени — рекомендуется провести внутренний аудит процессов до подачи уведомления.

Шаг 2. Регистрация на портале РКН

Перейдите на сайт pd.rkn.gov.ru и зарегистрируйтесь или войдите через учетную запись на Госуслугах. Для подачи уведомления от юридического лица потребуется учетная запись руководителя организации или уполномоченного представителя с соответствующей доверенностью. Удобнее всего использовать авторизацию через ЕСИА (Госуслуги) — это ускоряет идентификацию заявителя.

Шаг 3. Заполнение электронной формы

В личном кабинете выберите раздел уведомлений об обработке персональных данных и заполните все поля формы. Система разбита на несколько разделов, соответствующих требованиям статьи 22 ФЗ-152. Наиболее трудоемкий раздел — описание процессов обработки данных: для каждого процесса необходимо указать категорию данных, цель, основание, срок хранения. Если у компании 10-15 различных процессов обработки — заполнение займет 1-2 часа.

Шаг 4. Подписание и отправка

После заполнения формы уведомление подписывается усиленной квалифицированной электронной подписью (УКЭП) руководителя или уполномоченного представителя. Это обязательное требование для электронной подачи. Без УКЭП уведомление придется подавать в бумажной форме по почте или лично. После отправки система присваивает уведомлению регистрационный номер, по которому оно вносится в реестр операторов на сайте РКН.

Шаг 5. Внесение в реестр и получение подтверждения

Роскомнадзор рассматривает уведомление и вносит оператора в реестр операторов, осуществляющих обработку персональных данных. Реестр является публичным и доступен на сайте ркн.gov.ru. Факт включения в реестр подтверждается уведомлением в личном кабинете. С этого момента оператор официально зарегистрирован и его данные доступны субъектам персональных данных для проверки.

Обновление уведомления: когда это необходимо

Первоначальное уведомление подается один раз. Однако при изменении любого из параметров обработки данных необходимо направить обновленное уведомление в течение 10 рабочих дней (статья 22 ФЗ-152). Изменения, требующие обновления уведомления:

  • Начало обработки новой категории данных, не указанной в уведомлении
  • Добавление новой цели обработки
  • Смена ответственного за организацию обработки ПДн
  • Изменение места нахождения баз данных (переезд на новый сервер или хостинг)
  • Начало трансграничной передачи данных
  • Прекращение деятельности в качестве оператора (ликвидация, реорганизация)

Штрафы за нарушения при уведомлении

Статья 13.11 КоАП РФ предусматривает ответственность за нарушения в сфере персональных данных. Осуществление обработки данных без уведомления или с нарушением установленного порядка уведомления квалифицируется по части 1 статьи 13.11. С 30 мая 2025 года размеры штрафов увеличились: для должностных лиц — от 10 000 до 20 000 рублей, для юридических лиц — от 60 000 до 100 000 рублей. При повторном нарушении в течение года штрафы возрастают: для юридических лиц — до 300 000 рублей. Кроме штрафа, Роскомнадзор вправе вынести предписание об устранении нарушений, а злостное уклонение от выполнения предписания влечет дополнительную ответственность.

Локализация данных: связь с уведомлением

Статья 18.1 ФЗ-152 обязывает операторов при сборе персональных данных граждан Российской Федерации обеспечивать хранение, систематизацию, накопление, уточнение и извлечение данных с использованием баз данных, расположенных на территории Российской Федерации. Это требование непосредственно связано с уведомлением: в нем необходимо указать адрес сервера, где хранятся данные. Если данные хранятся за рубежом — это нарушение требования о локализации, которое влечет отдельную ответственность. При проверке РКН сопоставляет адрес сервера из уведомления с фактическим местом хранения данных.

Типичные ошибки при подаче уведомления

Неполный перечень процессов обработки

Наиболее распространенная ошибка — указать в уведомлении только основные бизнес-процессы, забыв о вспомогательных. Например, интернет-магазин указывает обработку данных для исполнения заказов, но забывает про аналитику сайта, email-рассылки, хранение данных в CRM, кадровый учет. Каждый самостоятельный процесс обработки персональных данных должен быть отражен в уведомлении отдельно. Несоответствие между реальной деятельностью и содержанием уведомления выявляется при плановой проверке и является самостоятельным нарушением.

Несоответствие уведомления и политики конфиденциальности

Перечень категорий данных, субъектов, целей и сроков хранения в уведомлении должен совпадать с тем, что указано в публичной политике конфиденциальности. Расхождения между этими документами создают правовую неопределенность и фиксируются при проверке. Рекомендуется синхронизировать оба документа при каждом обновлении: изменяете политику — одновременно обновляйте уведомление.

Неактуальные сведения об ответственном за ПДн

Смена ответственного за организацию обработки ПДн является основанием для обновления уведомления. На практике компании часто меняют сотрудников на этой должности, но забывают обновить сведения в реестре Роскомнадзора. При проверке инспектор может запросить данные об ответственном и сверить их с уведомлением.

Реестр операторов: как пользоваться публичным реестром

После подачи уведомления и его рассмотрения Роскомнадзором сведения об операторе вносятся в публичный реестр операторов, осуществляющих обработку персональных данных. Реестр доступен на сайте ркн.gov.ru в разделе персональных данных. Любой пользователь может проверить, подала ли интересующая его компания уведомление и зарегистрирована ли она как оператор. Субъекты данных вправе использовать реестр для проверки того, правомерно ли оператор обрабатывает их данные. Наличие компании в реестре не означает само по себе, что она соблюдает все требования ФЗ-152 — это лишь подтверждение факта подачи уведомления.

Уведомление при реорганизации или ликвидации

При реорганизации юридического лица (слиянии, разделении, присоединении, преобразовании) возникает вопрос о правопреемстве в части обязанностей оператора персональных данных. Правопреемник обязан направить в Роскомнадзор уведомление от своего имени, поскольку оператором персональных данных является конкретное юридическое лицо. При ликвидации оператор направляет уведомление об исключении из реестра и уничтожении персональных данных. Уничтожение данных при ликвидации должно быть подтверждено актами уничтожения — это требование статьи 21 ФЗ-152.

Практические рекомендации по организации процесса уведомления

  1. Перед подачей уведомления проведите полный аудит всех процессов обработки данных в компании
  2. Составьте внутренний реестр процессов обработки ПДн — он станет основой и для уведомления, и для политики конфиденциальности
  3. Назначьте приказом ответственного за обработку ПДн до подачи уведомления
  4. Проверьте, что все серверы с данными граждан РФ расположены на территории России
  5. Синхронизируйте уведомление с политикой конфиденциальности — перечни должны совпадать
  6. Установите напоминание для проверки актуальности уведомления раз в год или при изменении процессов
  7. Храните подтверждения о подаче и обновлении уведомлений для возможного использования при проверках

Уведомление для ИП: особенности и распространенные вопросы

Индивидуальные предприниматели также являются операторами персональных данных и несут те же обязанности по уведомлению, что и юридические лица. Распространенное заблуждение: небольшой бизнес или ИП освобождены от требований ФЗ-152. Это не так: масштаб деятельности не является критерием для освобождения от обязанностей оператора. ИП с онлайн-записью клиентов, интернет-магазином или подпиской на рассылку обрабатывает персональные данные и обязан подать уведомление.

Для ИП процедура подачи уведомления аналогична процедуре для юридических лиц. Авторизация на портале pd.rkn.gov.ru осуществляется через ЕСИА (Госуслуги) с учетной записью самого ИП. В форме уведомления в качестве наименования оператора указывается ФИО предпринимателя и его ОГРНИП. Для подписания уведомления УКЭП рекомендуется получить квалифицированный сертификат в любом аккредитованном удостоверяющем центре.

Связь уведомления с проверками Роскомнадзора

При плановой или внеплановой проверке Роскомнадзор обязательно проверяет наличие оператора в реестре и соответствие уведомления реальной деятельности. Если оператор не зарегистрирован в реестре — это первое и очевидное нарушение, фиксируемое в начале проверки. Если уведомление не соответствует фактической обработке данных — это отдельное нарушение. Практика проверок показывает, что инспекторы особое внимание уделяют следующим расхождениям: в уведомлении указан один состав данных, а на сайте собирается другой; в уведомлении не указана трансграничная передача, но сайт использует зарубежные сервисы; адрес сервера в уведомлении не совпадает с фактическим местом хранения данных.

Из практики проверок РКН 2024-2025 годов: одним из наиболее частых нарушений, выявляемых при проверках средних и малых компаний, является либо полное отсутствие уведомления при наличии очевидных признаков обработки ПДн (форма на сайте, рассылки, CRM), либо существенное расхождение между содержанием уведомления и реальными процессами обработки данных в компании.

Итого: уведомление как первый шаг к соответствию ФЗ-152

Уведомление Роскомнадзора — это официальная точка входа в реестр операторов и публичное заявление о намерении обрабатывать персональные данные в соответствии с законом. Само по себе уведомление не гарантирует соответствия ФЗ-152 — для этого нужен весь пакет документов и выстроенные процессы. Но без уведомления любая иная деятельность по защите персональных данных лишена законного основания. Поэтому уведомление РКН является первым и обязательным шагом в построении системы защиты персональных данных для любого оператора — независимо от размера бизнеса и сферы деятельности.

Что происходит после внесения в реестр

Включение в реестр операторов не является разрешением Роскомнадзора на обработку данных — это всего лишь уведомление регулятора. После включения в реестр оператор несет полную ответственность за соответствие своей деятельности требованиям ФЗ-152. РКН вправе проводить плановые проверки (не чаще раза в 3 года) и внеплановые проверки (по жалобам субъектов, по поручению прокуратуры, в случаях угрозы нарушения прав граждан). Наличие актуального уведомления не исключает проверку — но его отсутствие гарантированно влечет нарушение уже при первом визите инспектора.

Помощь в подготовке и подаче уведомления

Специалисты 152fzpro.ru помогут подготовить уведомление в Роскомнадзор, предварительно проведя аудит всех процессов обработки персональных данных в вашей компании. Мы составим полный перечень процессов, категорий данных и субъектов, синхронизируем уведомление с политикой конфиденциальности и внутренними документами, обеспечим подачу уведомления через портал pd.rkn.gov.ru. После подачи уведомления контролируем внесение в реестр и сообщаем о результате. Обращайтесь за консультацией — поможем избежать штрафов и пройти проверку без нарушений.

Часто задаваемые вопросы об уведомлении РКН

Вопрос Ответ
Нужно ли уведомление, если сайт только собирает email? Да. Email-адрес является персональными данными, сбор email — обработка ПДн, требующая уведомления.
Нужно ли уведомление, если база данных за рубежом? Да, и это дополнительно нарушает требование о локализации данных россиян в России (ст. 18.1 ФЗ-152).
Сколько времени занимает внесение в реестр? После подачи электронного уведомления — как правило, от 3 до 10 рабочих дней.
Что будет, если подать уведомление после начала работы сайта? Формально это нарушение (уведомление подается до начала обработки). Лучше подать с опозданием, чем не подать вовсе.
Нужно ли уведомление для лендинга с одной формой? Да, если через форму собираются персональные данные (имя, телефон, email). Лендинг является точкой сбора ПДн.

Если у вас остались вопросы о порядке подачи уведомления или о том, подпадает ли ваша деятельность под обязанность уведомления, — обратитесь к специалистам 152fzpro.ru. Мы проведем экспресс-анализ вашей ситуации и дадим однозначный ответ о необходимости и порядке уведомления для конкретного бизнеса.