Обновлено: июнь 2025. Время чтения: ~8 минут.

Если вам пришло письмо от Роскомнадзора с требованием подать уведомление об обработке персональных данных — вы не одиноки. Большинство владельцев малого бизнеса узнают об этой обязанности именно так. Хорошая новость: подать уведомление можно самостоятельно, бесплатно и за 30–40 минут. В этой статье — пошагово, без лишних слов.

Ключевые понятия: разберёмся сразу

Федеральный закон № 152-ФЗ «О персональных данных» — основной российский закон, который регулирует, как компании и ИП должны собирать, хранить и использовать личные данные людей. Принят в 2006 году, существенно обновлён в 2022 году (ФЗ-266). Именно он обязывает вас уведомить Роскомнадзор.

Оператор персональных данных — любая организация или ИП, которая самостоятельно решает: зачем собирать данные людей и как их использовать (ст. 3 ФЗ-152). Проще говоря: если у вас есть форма на сайте, CRM с клиентами или база сотрудников — вы оператор персональных данных.

Персональные данные (ПДн) — любая информация, которая позволяет прямо или косвенно опознать конкретного человека: имя, телефон, email, адрес, фото и т.д.

Реестр операторов — публичная база данных Роскомнадзора, куда вносятся все, кто легально обрабатывает персональные данные. Проверить, есть ли там ваша компания, можно на pd.rkn.gov.ru/operators-registry/.

Быстрые ответы на главные вопросы

Кто обязан? — Все, кто обрабатывает ПДн третьих лиц: ИП, ООО, АО, НКО, госорганы.

Когда подавать? — До начала обработки персональных данных.

Сколько стоит? — Бесплатно.

Что будет за нарушение? — Штраф по ст. 13.11 КоАП РФ, внеплановая проверка. Конкретные размеры — в разделе об ответственности ниже.

Нужна ли электронная подпись? — При подаче через Госуслуги — нет. УКЭП нужна только при подаче напрямую через форму портала без авторизации через Госуслуги (по состоянию на июнь 2025; уточняйте на pd.rkn.gov.ru).

Что такое уведомление оператора и зачем оно нужно

Статья 22 ФЗ-152 обязывает оператора персональных данных до начала обработки направить в Роскомнадзор уведомление установленной формы. После этого РКН вносит оператора в реестр — публичную базу данных, доступную на pd.rkn.gov.ru.

Реестр — это не просто бюрократия. Он позволяет людям узнать, кто и зачем использует их данные. РКН использует его для планирования проверок. Если вы фактически обрабатываете данные, но в реестре вас нет — это прямое основание для административного дела.

Главный вывод: уведомление в Роскомнадзор — не разовая галочка, а обязательная часть законной работы с данными клиентов, сотрудников и пользователей сайта. Подать его можно бесплатно через интернет за 30–40 минут. Не подать — значит рисковать штрафом до 300 000 рублей и внеплановой проверкой.

ФЗ-266, вступивший в силу с 1 сентября 2022 года, существенно обновил ФЗ-152: изменились требования к содержанию уведомления, добавились обязанности по трансграничной передаче данных. Если вы подавали уведомление до этой даты — проверьте, соответствует ли оно актуальным требованиям.

Кто обязан подавать уведомление в Роскомнадзор

Кто обязан

Оператором признаётся любое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки ПДн (ст. 3 ФЗ-152):

  • юридические лица любой формы (ООО, АО, ПАО, ГУП и др.)
  • индивидуальные предприниматели
  • государственные и муниципальные органы
  • НКО, фонды, ассоциации

Есть сайт с формой обратной связи? Интернет-магазин? CRM с данными клиентов? Таблица Excel с телефонами заказчиков? Вы — оператор ПДн. Вопрос только в том, попадаете ли вы под исключения.

Кто освобождён от уведомления

Часть 2 статьи 22 ФЗ-152 устанавливает закрытый перечень случаев, когда уведомление подавать не нужно:

Случай Норма
Обработка ПДн только работников оператора в рамках трудовых отношений п. 1 ч. 2 ст. 22
Данные получены для заключения договора, используются только для его исполнения и не передаются третьим лицам п. 2 ч. 2 ст. 22
Обработка общедоступных ПДн п. 4 ч. 2 ст. 22
Однократная пропускная система без передачи данных третьим лицам п. 5 ч. 2 ст. 22
Обработка без средств автоматизации в соответствии с федеральными законами п. 6 ч. 2 ст. 22

Важно: перечень оснований в ч. 2 ст. 22 ФЗ-152 может уточняться законодателем; сверяйтесь с действующей редакцией закона.

Частая ловушка: освобождение по п. 1 работает только если вы обрабатываете данные исключительно своих сотрудников. Как только в базе появляются клиенты, подрядчики или посетители сайта — освобождение перестаёт работать в полном объёме.

Спорные случаи — коротко

Самозанятые. ФЗ-152 их прямо не освобождает. Если ведёте клиентскую базу — формально вы оператор. Массового правоприменения пока нет, но риск существует.

Сайт с формой обратной связи. Собирает имя, телефон или email — значит, обрабатывает ПДн. Освобождение по п. 2 ч. 2 ст. 22 работает только если данные нужны строго для исполнения конкретного договора и никуда не передаются. На практике они попадают в почту или CRM — а это уже обработка, требующая уведомления.

Cookies. Могут быть персональными данными, если позволяют идентифицировать пользователя. Единообразной практики по этому вопросу в РФ пока нет — рекомендуем консультацию с юристом.

Когда нужно подать уведомление

Статья 22 ФЗ-152 говорит однозначно: уведомление подаётся до начала обработки. Не в течение месяца после запуска сайта, не «после найма первого менеджера» — а до.

После подачи РКН вносит оператора в реестр. На практике это занимает до 30 дней, но обязанность считается исполненной с момента отправки уведомления — не с момента появления в реестре.

При изменении любых сведений — адреса, состава категорий ПДн, появления трансграничной передачи, смены ответственного лица — нужно уведомить РКН. Срок по состоянию на июнь 2025: 10 рабочих дней с момента изменений (ч. 7 ст. 22 ФЗ-152; уточняйте в актуальной редакции).

Пошаговая инструкция: как подать уведомление в Роскомнадзор

Шаг 1 — Зарегистрируйтесь на портале pd.rkn.gov.ru

Перейдите на pd.rkn.gov.ru. Авторизуйтесь через Госуслуги (ЕСИА) — УКЭП не нужна. Для организации используйте учётную запись руководителя или уполномоченного лица.

Альтернатива — подача с УКЭП напрямую через форму портала без авторизации через Госуслуги (актуальный порядок уточняйте на pd.rkn.gov.ru).

Шаг 2 — Заполните форму уведомления

Это самый ответственный шаг. Разберём каждый раздел.

Наименование и адрес оператора. Полное официальное наименование, юридический адрес, ИНН, ОГРН. Для ИП — ФИО, ОГРНИП, адрес регистрации.

Цель обработки персональных данных. Самый частый источник ошибок. Не пишите «обработка персональных данных» — это не цель, а действие. Цель отвечает на вопрос «зачем»: заключение и исполнение договоров с клиентами, ведение кадрового учёта, маркетинговые коммуникации с согласия субъекта. Для каждой самостоятельной цели — отдельная строка.

Категории персональных данных. Разделите данные на группы:

  • Общие ПДн — ФИО, дата рождения, адрес, телефон, email;
  • Специальные категории (ст. 10 ФЗ-152) — здоровье, национальность, политические взгляды, религия и др.; обрабатываются только при наличии оснований по ст. 10 ФЗ-152;
  • Биометрические ПДн (ст. 11 ФЗ-152) — фото, видео, дактилоскопия и др.; обрабатываются только с письменного согласия субъекта (если иное не предусмотрено законом).

Правовое основание обработки. Конкретные нормы: согласие субъекта (ст. 9 ФЗ-152), исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152), требование закона — с указанием конкретного федерального закона, например, Трудового кодекса для кадрового учёта. Ссылка на «политику конфиденциальности» — не правовое основание.

Меры по обеспечению безопасности ПДн. Опишите фактически принятые меры: ограничение доступа к данным, антивирусное ПО, резервное копирование, инструктаж сотрудников, защищённые каналы передачи данных. Общие фразы «принимаем все необходимые меры» — недостаточны.

Трансграничная передача данных. Используете зарубежные сервисы — Google Analytics, облачные CRM, иностранные почтовые платформы, серверы за рубежом? Если туда попадают данные российских пользователей — это трансграничная передача. После ФЗ-266 для неё установлен отдельный уведомительный порядок (ст. 12 ФЗ-152): нужно уведомить РКН до начала такой передачи и указать страны назначения.

Ответственный за организацию обработки ПДн. После ФЗ-266 операторы обязаны назначить такое лицо (ч. 1 ст. 18.1 ФЗ-152) — его данные указываются в уведомлении.

Частые ошибки при заполнении:

  • «Обработка ПДн» в качестве цели — это действие, а не цель
  • Указание только общих категорий при фактическом сборе биометрии или специальных данных
  • Отсутствие упоминания трансграничной передачи при использовании зарубежных сервисов
  • Ссылка на «политику конфиденциальности» как правовое основание — это не норма закона

Шаг 3 — Отправьте уведомление

Три способа:

  1. Онлайн через pd.rkn.gov.ru — самый быстрый. Авторизуйтесь через Госуслуги, заполните форму, отправьте. Сохраните квитанцию об отправке.
  2. Почтой — заказным письмом с уведомлением о вручении в территориальный орган РКН по месту нахождения организации.
  3. Лично — в территориальный орган РКН. Используется редко, но допустимо.

Шаг 4 — Проверьте статус в реестре

После подачи проверьте, внесена ли ваша организация в реестр: pd.rkn.gov.ru/operators-registry/. Поиск — по ИНН, ОГРН или наименованию.

Если запись не появилась в разумный срок — проверьте статус через личный кабинет на портале или обратитесь в территориальный орган РКН.

Как изменить или отозвать уведомление

При изменении любых сведений из уведомления оператор обязан уведомить РКН (ч. 7 ст. 22 ФЗ-152). Срок — по состоянию на июнь 2025: 10 рабочих дней с момента изменений. Это касается:

  • смены наименования или адреса
  • появления новых целей обработки
  • добавления категорий ПДн
  • начала трансграничной передачи
  • смены ответственного лица

Для обновления — та же форма на портале, раздел «Изменение сведений».

При полном прекращении обработки ПДн подаётся уведомление о прекращении обработки — РКН исключает оператора из реестра.

При реорганизации (слияние, разделение, присоединение) правопреемнику или вновь созданному юрлицу, как правило, следует подать новое уведомление. Рекомендуем уточнить порядок в территориальном органе РКН применительно к конкретной ситуации.

Штрафы и ответственность за нарушение

Статья 13.11 КоАП РФ — основная норма об ответственности операторов. Санкции существенно менялись в 2022–2024 годах; приведённые данные актуальны по состоянию на июнь 2025 — сверяйтесь с действующей редакцией КоАП РФ.

Нарушение Статья КоАП РФ Штраф для организаций (июнь 2025)
Обработка ПДн без уведомления РКН или нарушение порядка уведомления ч. 1 ст. 13.11 от 60 000 до 100 000 руб.; повторно — до 300 000 руб.
Нарушение требований к локализации ПДн ч. 8 ст. 13.11 до 6 000 000 руб.
Повторное нарушение требований локализации ч. 9 ст. 13.11 до 18 000 000 руб.

Примечание. В 2024 году в Госдуму вносились законопроекты о дальнейшем повышении штрафов. По состоянию на июнь 2025 уточняйте актуальное состояние в первоисточнике.

Отсутствие в реестре — не единственное последствие. РКН вправе инициировать внеплановую проверку при жалобе от субъекта ПДн. В её ходе выявляются и другие нарушения: отсутствие политики конфиденциальности, некорректное согласие на обработку, нарушения при хранении данных.

Блокировка сайта за отсутствие в реестре как самостоятельная мера действующим законодательством прямо не предусмотрена. При систематических нарушениях и наличии судебного решения этот сценарий не исключён, но требует отдельных процессуальных оснований.

Чек-лист для оператора персональных данных

☑ Определить, являетесь ли вы оператором ПДн
☑ Проверить, есть ли основания для освобождения от уведомления (ч. 2 ст. 22 ФЗ-152)
☑ Составить перечень целей, категорий и оснований обработки
☑ Назначить лицо, ответственное за организацию обработки ПДн (ч. 1 ст. 18.1 ФЗ-152)
☑ Зарегистрироваться на pd.rkn.gov.ru (через Госуслуги)
☑ Заполнить форму уведомления без общих фраз
☑ Указать трансграничную передачу, если используете зарубежные сервисы
☑ Отправить уведомление до начала обработки данных
☑ Проверить появление записи в реестре
☑ Разместить политику обработки персональных данных на сайте (если есть)
☑ Настроить процедуру обновления уведомления при изменении сведений

Часто задаваемые вопросы

Нужно ли ИП уведомлять Роскомнадзор об обработке персональных данных?

Да, если ИП обрабатывает данные клиентов или иных третьих лиц — а не только своих сотрудников в рамках трудовых отношений. Освобождение от уведомления действует строго в рамках ч. 2 ст. 22 ФЗ-152. Если у вас есть клиентская база, заказы с именами и телефонами покупателей или форма на сайте — вы обязаны уведомить РКН.

Можно ли подать уведомление без электронной подписи (УКЭП)?

Да. При авторизации через Госуслуги (ЕСИА) УКЭП не нужна — это самый простой способ для малого бизнеса. УКЭП потребуется только при подаче напрямую через форму портала без авторизации через Госуслуги. Актуальный порядок уточняйте на pd.rkn.gov.ru, поскольку он может меняться.

Что делать, если после подачи уведомления у меня изменились данные — например, добавились новые категории клиентов или сменился юридический адрес?

Подайте уведомление об изменении сведений через тот же портал pd.rkn.gov.ru. Сделать это нужно в течение 10 рабочих дней с момента изменений (ч. 7 ст. 22 ФЗ-152; уточняйте в актуальной редакции нормы). Промедление с обновлением — такое же нарушение, как и отсутствие первичного уведомления.

Нужно ли уведомление, если я использую Google Analytics, Яндекс.Метрику или зарубежную CRM?

Скорее всего — да. Если данные российских пользователей передаются на серверы зарубежных сервисов, это квалифицируется как трансграничная передача персональных данных. По ст. 12 ФЗ-152 (в ред. ФЗ-266) необходимо уведомить РКН до начала такой передачи и указать страны назначения. Это отдельный раздел в форме уведомления — не забудьте его заполнить.

Как быстро проверить, есть ли моя компания в реестре операторов?

Перейдите на pd.rkn.gov.ru/operators-registry/ и введите ИНН, ОГРН или наименование организации. Поиск занимает меньше минуты. Если вашей компании там нет, а вы уже обрабатываете данные клиентов — нужно подать уведомление как можно скорее.

Вывод

Уведомление в Роскомнадзор — не повод для паники. Это стандартная процедура, которую можно пройти самостоятельно через интернет за 30–40 минут. Главное — не откладывать до первой проверки и обновлять сведения при любых изменениях в работе с данными.

Проверьте прямо сейчас, есть ли ваша организация в реестре операторов: pd.rkn.gov.ru/operators-registry/. Если нет — самое время исправить это до того, как за вас это сделает жалоба клиента.

Не уверены, всё ли в порядке с вашим сайтом с точки зрения 152-ФЗ?

Бесплатно проверьте свой сайт на соответствие требованиям по персональным данным на сервисе ЧистыйСайт →

Сервис автоматически проверит наличие политики конфиденциальности, корректность формы согласия на обработку ПДн и другие обязательные элементы — за несколько секунд, без регистрации.

Источники: ФЗ-152 «О персональных данных» от 27.07.2006 (в ред. ФЗ-266 от 14.07.2022 и последующих изменений), ст. 13.11 КоАП РФ, официальный портал РКН pd.rkn.gov.ru. Материал подготовлен по состоянию на июнь 2025 года; законодательство в сфере персональных данных активно развивается — сверяйтесь с актуальными редакциями нормативных актов.