Уведомление в Роскомнадзор об обработке персональных данных
- С 1 сентября 2022 года после 266-ФЗ уведомление обязательно для почти всех операторов — отменены исключения для работодателей, договорных отношений, общественных объединений.
- Штраф за неподачу — до 300 тыс. ₽ для юрлиц (ч. 10 ст. 13.11 КоАП). Раньше было 5 тыс. — рост в 60 раз.
- Подача — через портал РКН или Госуслуги. Внесение в реестр — до 30 календарных дней.
- Освобождены только 3 категории: гос. ИС защиты безопасности, обработка без автоматизации (только бумага), транспортная безопасность.
- Кто обязан подавать уведомление
- Кто освобождён от уведомления
- Когда подавать уведомление
- Что указать в уведомлении
- Как подать через pd.rkn.gov.ru
- Как подать через Госуслуги
- Как проверить себя в реестре операторов
- Уведомление об изменениях
- Штрафы за неподачу и нарушения
- Чек-лист готовности к подаче
- Частые вопросы
1. Кто обязан подавать уведомление
Согласно ст. 22 152-ФЗ, оператор персональных данных обязан уведомить Роскомнадзор до начала обработки. Под определение оператора попадает любое лицо, которое организует или осуществляет обработку ПД и определяет цели и содержание этой обработки.
До 1 сентября 2022 года в законе был длинный список исключений. 266-ФЗ от 14.07.2022 почти все эти исключения отменил.
Что изменилось: «было — стало»
| До 01.09.2022 — освобождены | После 01.09.2022 — обязаны уведомить |
|---|---|
| Работодатели по сотрудникам (трудовые отношения) | Обязаны |
| Стороны договора (по контрагентам) | Обязаны |
| Общественные объединения по членам | Обязаны |
| Однократный пропуск/допуск на территорию | Обязаны |
| Общедоступные ПД | Обязаны |
На практике это означает: если у вас есть сайт с формой обратной связи или вы ведёте электронную базу клиентов / сотрудников — вы обязаны подать уведомление.
Категории, которые точно попадают под обязанность:
- Юридические лица любой формы (ООО, АО, фонды, ассоциации)
- Индивидуальные предприниматели с любыми клиентами или сотрудниками
- Государственные и муниципальные органы
- Самозанятые при обработке ПД клиентов в автоматизированной форме (CRM, таблицы)
2. Кто освобождён от уведомления
Закрытый перечень из ч. 2 ст. 22 152-ФЗ. Освобождение действует только если оператор работает исключительно в одном из этих режимов:
- Государственные ИС по защите государственной и общественной безопасности — речь о ведомственных системах, не о коммерческой обработке.
- Обработка без средств автоматизации — только бумажные носители, без компьютера и без любых электронных систем хранения. На практике это редкий случай.
- Транспортная безопасность — обработка в рамках законодательства о транспортной безопасности.
Если оператор хотя бы частично использует электронные средства (CRM, Excel, 1С, email-рассылка) — он не освобождён.
3. Когда подавать уведомление
До начала обработки персональных данных — это требование ч. 1 ст. 22 152-ФЗ. На практике сроки выглядят так:
- Новый бизнес — до запуска сайта, до приёма первого клиента или сотрудника
- Действующий бизнес без уведомления — подать немедленно; чем дольше тянуть, тем выше риск проверки
- Изменение характера обработки — за 15 рабочих дней до начала нового вида обработки
РКН вносит сведения в реестр операторов в течение 30 календарных дней с момента получения уведомления (без учёта праздничных дней).
4. Что указать в уведомлении
Состав сведений установлен ч. 3 ст. 22 152-ФЗ. С 2022 года список расширен — добавлены сведения о трансграничной передаче и месте нахождения базы данных.
| # | Что указать |
|---|---|
| 1 | Наименование (ФИО), адрес оператора |
| 2 | Цель обработки ПД (для каждой — отдельно) |
| 3 | Категории субъектов: клиенты, сотрудники, поставщики, посетители сайта |
| 4 | Перечень обрабатываемых ПД: ФИО, телефон, email, паспорт и т. д. |
| 5 | Правовое основание: договор, согласие, требование закона |
| 6 | Перечень действий: сбор, хранение, использование, передача, удаление |
| 7 | Описание организационных и технических мер защиты |
| 8 | ФИО и контакты ответственного за обработку ПД |
| 9 | Дата начала обработки |
| 10 | Срок или условие прекращения обработки |
| 11 | Сведения о трансграничной передаче (страны, цели) |
| 12 | Место нахождения базы данных (страна, регион) |
Важно: категория ПД, правовое основание и способы обработки указываются для каждой цели отдельно — нельзя написать одной строкой для всех целей.
Перед подачей уведомления должны быть готовы внутренние документы — политика обработки ПД и приказ о назначении ответственного. Без них корректно заполнить форму не получится.
5. Как подать через pd.rkn.gov.ru
Это основной способ. Не требует регистрации на Госуслугах для юрлица.
- Перейдите на pd.rkn.gov.ru/operators-registry/notification/form/
- Выберите тип оператора: юрлицо, ИП, физлицо, госорган
- Заполните 12 разделов формы (см. таблицу выше)
- Распечатайте сформированное уведомление, подпишите ручкой и поставьте печать
- Отсканируйте подписанный документ
- Отправьте через ту же форму как электронную копию или заказным письмом с уведомлением о вручении в территориальное управление РКН
- Сохраните номер заявления — по нему можно проверить статус на странице проверки
Если у вас есть усиленная квалифицированная электронная подпись (УКЭП) — можно подписать уведомление электронно и отправить полностью без бумаги.
6. Как подать через Госуслуги
Способ для ИП и юрлиц с подтверждённой учётной записью на Госуслугах.
- Авторизуйтесь на gosuslugi.ru
- В поиске введите «Уведомление об обработке персональных данных»
- Выберите услугу «Уведомление в Роскомнадзор о начале обработки персональных данных»
- Заполните электронную форму (поля те же, что на pd.rkn.gov.ru)
- Подпишите усиленной квалифицированной электронной подписью
- Отправьте — заявление поступит в РКН
- Статус отслеживайте в личном кабинете Госуслуг
Сравнение способов подачи
| Способ | УКЭП | Скорость | Удобство |
|---|---|---|---|
| Электронно через pd.rkn.gov.ru без УКЭП | Не нужна | Средняя | Нужно распечатать и отправить почтой |
| Электронно через pd.rkn.gov.ru с УКЭП | Нужна | Быстро | Полностью без бумаги |
| Через Госуслуги | Нужна | Быстро | Удобно для ИП и физлиц |
| На бумаге заказным письмом | Не нужна | Медленно | Самый старый способ |
7. Как проверить себя в реестре операторов
Прежде чем подавать новое уведомление — проверьте, не внесена ли организация в реестр уже. Реестр публичный.
- Откройте pd.rkn.gov.ru/operators-registry/operators-list/
- Введите ИНН организации или часть наименования
- Если запись найдена — проверьте актуальность сведений
- Если сведения устарели — подайте уведомление об изменениях (см. следующий раздел)
- Если записи нет — подавайте уведомление впервые
Подробнее о реестре операторов и его функциях — в отдельной статье «Реестр операторов персональных данных: как проверить и подать уведомление».
8. Уведомление об изменениях
Если после подачи изменились какие-то сведения — оператор обязан подать уведомление об изменениях в течение 15 рабочих дней.
Когда нужно подавать:
- Сменилось наименование или юридический адрес
- Изменились цели обработки ПД
- Добавились или убраны категории субъектов
- Изменился перечень обрабатываемых ПД
- Появилась трансграничная передача (или прекратилась)
- Сменился ответственный за обработку ПД
- Изменилось место нахождения базы данных
- Прекращена обработка ПД (тогда — уведомление о прекращении)
Форма для изменений: pd.rkn.gov.ru/operators-registry/notification/updateform/. Логика заполнения та же, что у первичного уведомления.
9. Штрафы за неподачу и нарушения
Главный риск — административный штраф по ч. 10 ст. 13.11 КоАП РФ. С 30 мая 2025 года размеры выросли в десятки раз.
| Лицо | Было до 30.05.2025 | Стало с 30.05.2025 |
|---|---|---|
| Физические лица | 1–2 тыс. ₽ | 5–10 тыс. ₽ |
| Должностные лица | 3–6 тыс. ₽ | 30–50 тыс. ₽ |
| Юридические лица | 3–5 тыс. ₽ | 100–300 тыс. ₽ |
Кроме штрафа, отсутствие в реестре операторов — это дополнительное основание для проверки. РКН в первую очередь проверяет тех, кто не подал уведомление, поскольку это маркер общего пренебрежения требованиями 152-ФЗ.
Подробнее обо всех штрафах за нарушения 152-ФЗ — в статье «Штрафы за персональные данные с 30 мая 2025: полная таблица».
Хронология изменений
10. Чек-лист готовности к подаче
- Проверили организацию в реестре операторов по ИНН — записи нет
- Назначен ответственный за обработку ПД (приказ оформлен)
- Определены все цели обработки ПД (для каждой — отдельный пункт в уведомлении)
- Подготовлен перечень категорий субъектов и обрабатываемых ПД
- Определены способы и сроки обработки
- Описаны организационные и технические меры защиты
- Готова политика обработки ПД для публикации на сайте
- Известно место нахождения базы данных (страна, регион)
- Если есть передача за рубеж — собраны сведения для трансграничной передачи
- Выбран способ подачи: электронно через pd.rkn.gov.ru, через Госуслуги или на бумаге
11. Частые вопросы
С 1 сентября 2022 года после вступления в силу 266-ФЗ — практически все операторы персональных данных: юрлица, ИП, физлица в коммерческой деятельности, государственные органы. Освобождены только три категории: гос. ИС защиты безопасности, обработка без средств автоматизации (только бумага), обработка для целей транспортной безопасности.
С 30 мая 2025 года по части 10 статьи 13.11 КоАП РФ: для юридических лиц — от 100 до 300 тысяч рублей, для должностных лиц — 30–50 тысяч, для физлиц — 5–10 тысяч. Раньше штраф для юрлиц был до 5 тысяч — рост в 60 раз.
Через портал персональных данных pd.rkn.gov.ru/operators-registry/notification/form/, через Госуслуги (для подтверждённых учётных записей с УКЭП), либо на бумаге заказным письмом в территориальное управление РКН. Электронный способ через pd.rkn.gov.ru — основной.
На странице pd.rkn.gov.ru/operators-registry/operators-list/ — поиск по ИНН или наименованию. Если компания уже в реестре, повторно подавать уведомление не нужно. Срок внесения после подачи — до 30 календарных дней.
В течение 15 рабочих дней с момента изменения сведений: наименования или адреса оператора, целей и способов обработки, категорий ПД, сведений о трансграничной передаче, а также при прекращении обработки. Подаётся через ту же форму на pd.rkn.gov.ru.