Уведомление об обработке персональных данных в Роскомнадзор: пошаговое руководство

2026-02-05
Административное право
24 минуты

Содержание статьи:

Ситуация с персональными данными в России за последние пару лет изменилась радикально. Если раньше большинство компаний спокойно работало, прикрываясь исключениями из закона, то теперь правила игры стали жесткими. По сути, если у вас есть хотя бы один сотрудник или форма обратной связи на сайте, вы уже попали под прицел регулятора. Я постоянно вижу одну и ту же картину: предприниматель уверен, что раз он «малый бизнес», то Роскомнадзор его не заметит. Это опасная иллюзия.

Главная проблема сегодня заключается не просто в самом факте подачи бумаги, а в том, что сведения в уведомлении должны на 100% совпадать с вашими внутренними локальными актами. Малейшее расхождение становится поводом для проверки и вполне реальных штрафов, которые теперь исчисляются сотнями тысяч рублей. В этой статье я дам вам четкую схему: как не просто «отписаться» перед ведомством, а выстроить систему защиты, которая выдержит любой аудит.

Кратко по сути вопроса:

С 1 сентября 2022 года почти все исключения из обязанности уведомлять Роскомнадзор отменены. Теперь даже если вы обрабатываете данные только своих сотрудников или клиентов по договорам, вы обязаны подать уведомление. Сделать это нужно до начала обработки. Если вы уже работаете, но уведомление еще не подали - это нужно исправить немедленно. Форма подается в электронном или бумажном виде и включает в себя данные о целях обработки, категориях физлиц и способах защиты информации.

Кому обязательно подавать уведомление и почему исключений больше нет

Долгое время бизнес пользовался лазейкой в статье 22 закона о персональных данных. Можно было не уведомлять регулятора, если вы обрабатывали данные только в рамках трудовых отношений или для исполнения конкретного договора с клиентом. Забудьте об этом. Законодатель решил, что контроль должен быть тотальным.

Теперь логика такая: осуществляете обработку - уведомляйте. Под обработкой понимается любое действие: сбор, запись, систематизация, хранение, даже простое удаление данных. Смотрите сами: если к вам на сайт зашел человек и оставил имя в поле «Заказать звонок», вы уже стали оператором персональных данных. Если вы выдали дисконтную карту покупателю - вы оператор. Если у вас в штате работает один-единственный бухгалтер - вы снова оператор.

В моей практике часто встречается вопрос: «А если я ИП без сотрудников?». Ответ зависит от того, как вы взаимодействуете с клиентами. Если вы ведете базу в Excel или CRM, где есть имена и телефоны физлиц, вы обязаны находиться в реестре Роскомнадзора. Игнорирование этого факта не освобождает от ответственности, а только добавляет рисков при плановых проверках ведомства.

Законодательная база: на чем основываются требования регулятора

Чтобы не гадать, нужно ли вам что-то подавать, давайте обратимся к нормам права. В российском законодательстве эта сфера регулируется жестко:

Федеральный закон № 152-ФЗ «О персональных данных», статья 22: это база. Именно здесь закреплена обязанность оператора направить уведомление до начала обработки.
Статья 18.1 закона № 152-ФЗ: требования к обеспечению безопасности. Уведомление это лишь вершина айсберга, под которой скрываются ваши внутренние регламенты.
КоАП РФ, статья 13.11: здесь прописаны штрафы. За неподачу уведомления суммы могут показаться небольшими, но за нарушение правил обработки (которые вскроются после подачи кривого уведомления) штрафы достигают 700 000 рублей и выше.
Приказ Роскомнадзора об утверждении форм уведомлений: документ, который определяет, какие галочки и в каких полях вы должны поставить. Форма периодически обновляется, поэтому крайне важно использовать актуальный бланк.
Постановление Правительства № 1119: уровни защищенности персональных данных. Эти данные также фигурируют в отчетности перед ведомством.

За годы практики я убедился: Роскомнадзор не ищет формальных поводов наказать тех, кто честно пытается соблюдать закон. Но он беспощаден к тем, кто подает заведомо ложные или противоречивые сведения. Поэтому ссылки на законы это не просто формальность, а фундамент вашей защиты.

Миф об обработке данных	Реальность по закону
Данные сотрудников можно не заявлять в Роскомнадзор.	Исключение отменено. Данные сотрудников указываются в уведомлении на общих основаниях.
Если я использую облачную CRM, то за данные отвечает провайдер.	Оператором являетесь вы. Провайдер лишь лицо, осуществляющее обработку по вашему поручению.
Уведомление подается один раз и навсегда.	При любом изменении (смена адреса, новых целей обработки) нужно подать информационное письмо.
Малый бизнес не проверяют.	Проверки могут быть внеплановыми, например, по жалобе любого «недовольного» клиента.
Достаточно политики конфиденциальности на сайте.	Это только один из документов. Без уведомления и внутренних приказов защита не работает.
Штрафы за персональные данные копеечные.	Штрафы выросли. За повторные нарушения они могут парализовать работу небольшой компании.

Как правильно составить уведомление: секреты экспертной подготовки

Заполнение формы на портале персональных данных выглядит обманчиво простым. Но дьявол кроется в деталях. Например, поле «Цели обработки». Многие пишут просто: «Для ведения хозяйственной деятельности». Это верный путь к замечаниям от инспектора. Цели должны быть конкретными: «Исполнение трудовых договоров», «Проведение маркетинговых акций», «Заключение сделок купли-продажи».

Еще один скользкий момент: местонахождение баз данных. В России действует правило локализации. Это значит, что первичный сбор данных граждан РФ должен происходить на серверах, физически расположенных в России. В уведомлении вы должны указать точный адрес дата-центра. Если вы используете зарубежный сервис рассылок или иностранную облачную платформу без российского «зеркала», у вас серьезные проблемы.

Теперь обратим внимание на передачу данных третьим лицам. Если у вас есть внешний бухгалтер или охранное предприятие, которое проверяет паспорта на входе, это нужно отразить. Вы передаете данные по поручению, и этот факт должен быть легализован в уведомлении. Но самое интересное начинается, когда дело доходит до трансграничной передачи, тут требования еще строже.

Обратите внимание:

С марта 2023 года уведомление о трансграничной передаче данных подается отдельно. Если ваши данные «улетают» на зарубежные сервера, не забудьте проверить этот пункт, иначе штрафы за несоблюдение процедур будут неизбежны.

Мой опыт: реальный кейс из практики

В моей практике был случай с региональной торговой сетью. Руководство решило, что раз они работают только в офлайне и данные собирают через бумажные анкеты для карт лояльности, Роскомнадзор до них не доберется. Уведомление они не подавали годами. Все изменилось после жалобы одного уволенного сотрудника, который решил «насолить» бывшему работодателю и написал заявление о незаконной обработке его данных.

При проверке выяснилось, что компания не только не числится в реестре операторов, но и хранит анкеты клиентов в открытом доступе на складе. Я добился минимизации штрафов, оперативно подготовив пакет документов и подав корректное уведомление «задним числом» (насколько это было возможно в рамках правового поля), но нервов клиенту это стоило немалых. Я доказал, что отсутствие злого умысла и быстрая реакция на предписание могут смягчить позицию регулятора, но лучше бы мы сделали все вовремя.

Этот кейс наглядно показывает: поводом для проверки становится не ваше величие, а случайность или конфликт. В современных реалиях информационной прозрачности скрыть факт обработки данных практически невозможно. Поэтому я рекомендую: делайте аудит базы данных прямо сейчас, не дожидаясь звонка из ведомства.

Ваши документы соответствуют требованиям Роскомнадзора?

Заполнение уведомления без проведения внутреннего аудита это игра в рулетку с государством. Ошибки в категориях данных или целях обработки могут стоить вашему бизнесу сотен тысяч рублей штрафов и блокировки ресурсов.

Я проведу глубокий анализ вашей ситуации, проверю легальность хранения данных и помогу правильно оформить все отношения с регулятором.

Получить анализ ситуации

* Стоимость письменного анализа - 25 000 руб.

Типичные ошибки:

Использование шаблона из интернета

Каждое уведомление должно строиться на базе ваших реальных бизнес-процессов, а не скачанного образца пятилетней давности.

Указание неактуального адреса сервера

Если ваши данные переехали из одного облака в другое, а в реестре старый адрес - это нарушение правил отчетности.

Игнорирование биометрии

Фотографии на пропусках или видеозапись с распознаванием лиц требуют особого порядка уведомления и защиты.

Отсутствие ответственного лица

В уведомлении нужно указать ФИО и контакты сотрудника, ответственного за обработку. Ошибка здесь: указывать уволенного человека.

Неполный перечень категорий данных

Если вы собираете СНИЛС, но не указали его в уведомлении, любая проверка признает это незаконным сбором избыточных данных.

Важный момент для понимания: квалифицированный юрист для бизнеса всегда начинает работу не с заполнения анкеты, а с инвентаризации данных. Нужно понять, зачем вам вообще то или иное поле в анкете клиента. Если оно лишнее - лучше его удалить и не заявлять в Роскомнадзор, чем потом оправдываться за утечку или нецелевое использование.

Вопросы и ответы

Можно ли работать без подачи уведомления, если у меня всего 5 клиентов?

Закон не устанавливает минимальный порог по количеству субъектов персональных данных. Даже если у вас один единственный клиент - физическое лицо, чьи данные вы записываете и храните (например, для оформления договора или доставки), вы формально обязаны подать уведомление в Роскомнадзор. Раньше можно было ссылаться на исключение для договоров, но сейчас оно практически не работает в том виде, в каком его привыкли воспринимать. Моя позиция однозначна: риск получить штраф или блокировку сайта выше, чем трудозатраты на подачу уведомления. Рекомендую оформить документы как можно скорее, чтобы ваш бизнес находился в легальном поле.

Как проверить, числится ли моя компания в реестре Роскомнадзора?

Это делается очень просто и полностью бесплатно. Вам нужно зайти на официальный портал персональных данных Роскомнадзора в раздел «Реестр операторов». Там есть форма поиска, куда достаточно ввести ИНН вашей организации или индивидуального предпринимателя. Если система выдаст карточку компании, значит, вы уже в реестре. Однако не спешите радоваться. Крайне важно открыть эту карточку и проверить, актуальны ли там данные. Часто бывает, что компания подавала уведомление 10 лет назад, и с тех пор сменились цели обработки, ответственные лица и даже адрес. В таком случае необходимо подать информационное письмо о внесении изменений, иначе при проверке это будет расценено как предоставление недостоверных сведений.

Нужно ли подавать уведомление, если данные обрабатываются только на бумаге?

Это один из самых частых вопросов. Закон № 152-ФЗ регулирует обработку персональных данных как с использованием средств автоматизации (компьютеров), так и без них (на бумаге). Однако обязанность уведомлять Роскомнадзор касается именно тех случаев, когда обработка осуществляется либо полностью автоматизировано, либо когда данные заносятся в некую систему, позволяющую осуществлять поиск (картотеки, базы данных). На практике почти любой современный бизнес так или иначе использует компьютер: для печати тех же бумажных договоров, для ведения учета в 1С. Поэтому избежать уведомления, ссылаясь на «бумажный» формат, в 99% случаев не получится. Регулятор исходит из того, что цифровая составляющая присутствует всегда.

Что будет, если я подам уведомление с ошибками?

Последствия зависят от характера ошибок. Если это техническая опечатка, Роскомнадзор может просто вернуть уведомление без внесения в реестр с указанием на необходимость исправления. Это «легкий» вариант. Гораздо хуже, если вы укажете сведения, которые прямо противоречат вашей Политике конфиденциальности на сайте или реальному положению дел. Например, если вы не укажете трансграничную передачу данных, а сами используете иностранный сервис для сбора аналитики (например, Google Analytics без специальных настроек). В таком случае вы сами даете регулятору повод для углубленной проверки и штрафа по ст. 13.11 КоАП РФ за нарушение правил обработки. Ошибки в уведомлении - это маркер для инспектора, что в компании нет порядка в сфере ПДн.

Как часто нужно обновлять информацию в реестре?

Закон не устанавливает периодичность «переподтверждения» данных. Вы обязаны направить изменения в течение 10 рабочих дней с момента, как эти самые изменения произошли. Например, вы назначили нового ответственного за обработку данных, изменили юридический адрес, начали собирать новые типы данных (например, паспортные данные там, где раньше был только телефон) или сменили провайдера хостинга. Любой из этих фактов требует подачи информационного письма. Если у вас ничего не меняется, переподавать уведомление не нужно. Логика такая: актуальность данных в реестре это ваша зона ответственности, и регулятор проверяет ее в первую очередь при любом запросе.

Нужно ли платить госпошлину за включение в реестр?

Нет, процедура подачи уведомления об обработке персональных данных и включение компании в соответствующий реестр Роскомнадзора являются полностью бесплатными услугами со стороны государства. Вам не нужно платить никаких пошлин или сборов. Если кто-то предлагает вам «оплатить госпошлину за регистрацию в РКН», знайте - это мошенники или недобросовестные посредники. Деньги могут потребоваться только на услуги профессионального юриста, который подготовит внутренние документы (приказы, регламенты, модель угроз) и правильно заполнит форму уведомления, чтобы исключить риски претензий со стороны контролирующих органов в будущем. Само по себе нахождение в реестре - право и обязанность, не облагаемые налогом.

Дорожная карта процесса

1
Инвентаризация бизнес-процессов
▼

Составляем полный список данных, которые собирает компания: от ФИО курьеров до cookie-файлов на сайте. Определяем цели для каждой категории.

2
Назначение ответственных лиц
▼

Издаем приказ о назначении ответственного за организацию обработки персональных данных. Его данные будут указаны в уведомлении.

3
Подготовка внутренних документов
▼

Разрабатываем Политику обработки персональных данных и Положение о защите данных. Эти документы – база для ответов в форме Роскомнадзора.

4
Заполнение электронной формы
▼

Через портал Роскомнадзора заполняем уведомление. Важно: используем УКЭП руководителя для мгновенной подачи или печатаем бумажный вариант.

5
Профессиональная подготовка жалобы или возражений
▼

Если уведомление вернули или возникла спорная ситуация с регулятором на этапе обработки данных, подключаем юридический ресурс для защиты интересов.

6
Контроль внесения в реестр
▼

В течение 30 дней проверяем появление записи в реестре. Сохраняем номер записи – он обязателен для отчетности.

Алгоритм действий:

Проведите аудит всех форм сбора данных на вашем сайте и в офисе.
Убедитесь, что серверы с базами данных физически находятся в РФ.
Сформулируйте цели обработки для каждой категории (сотрудники, клиенты, контрагенты).
Подготовьте текст Политики конфиденциальности и опубликуйте его на сайте.
Зайдите на портал Роскомнадзора в раздел «Подать уведомление».
Заполните форму, сопоставляя каждый пункт с вашими внутренними приказами.
Отправьте уведомление через Госуслуги или подпишите его УКЭП.
Получите подтверждение о регистрации в реестре и сохраните его.
Назначьте ежеквартальную проверку актуальности данных в реестре.

Проверьте свою ситуацию прямо сейчас

Отметьте подходящие пункты:

Вашей компании нет в публичном реестре Роскомнадзора

Вы используете формы обратной связи без галочки согласия

Данные хранятся на серверах за пределами России

УЗНАТЬ ЭКСПЕРТНЫЙ ВЕРДИКТ

Анализ завершен:

Если вы отметили хотя бы 1 пункт - ваша ситуация требует детального изучения. Если все 3 - риск проигрыша при проверке или судебном споре без юриста составляет более 80%. Рекомендую подготовить документы для первичного анализа, пока автоматизированные системы контроля не выявили нарушения в автоматическом режиме.

Подача уведомления в Роскомнадзор это не финал работы, а только официальный старт ваших прозрачных отношений с государством. Не стоит бояться этой процедуры, бояться нужно несоответствия того, что написано на бумаге, тому, что происходит у вас в серверной. Правильно выстроенная система защиты персональных данных сегодня это такая же гигиена бизнеса, как сдача налоговой отчетности. Помните: любая экономия на юридической безопасности сегодня может обернуться блокировкой вашего основного канала продаж завтра.

Нужна моя помощь?

Более 20 лет защищаю права доверителей.

Работаю с каждой проблемой как с собственной.

Посмотрите полный каталог услуг

20+лет опыта

6200+ситуаций

94%успеха

Конфиденциально и без обязательств:

Получить консультацию

Дополнительная инфо

Проверка Роскомнадзора: как подготовиться, пройти и не допустить критических ошибок

2026-02-05
Административное право
23 минуты

Подробное руководство по проверкам Роскомнадзора от опытного юриста. Узнайте, как подготовиться, пройти проверку и избежать штрафов. Актуальные советы 2023 года.

Как составить ответ Роскомнадзору

2026-02-05
Административное право
19 минут

Подробное руководство по составлению эффективного ответа на запрос, предписание или предупреждение Роскомнадзора. Правовые стратегии, образцы документов, реальные кейсы и практические советы от опытного юриста.