18 разделов уведомления по Приказу РКН №180
Приказ РКН №180 устанавливает структуру уведомления из 18 обязательных разделов. Каждый раздел привязан к конкретной норме ФЗ-152: ст. 22 задаёт обязанность, ст. 18.1 — требования к политике, ст. 22.1 — ответственного за обработку. Ошибка в любом разделе — основание для отказа во включении в реестр или предписания при проверке.
Что такое уведомление по ст. 22 ФЗ-152 и зачем оно нужно?
По ст. 22 ФЗ-152 оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до начала такой обработки. Уведомление подаётся через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи. Срок включения в реестр операторов — 30 дней с момента подачи.
Из обязанности есть исключения: ст. 22 ФЗ-152 перечисляет случаи, когда уведомление не требуется — в частности, обработка ПДн исключительно в рамках трудовых отношений или при наличии договора непосредственно с субъектом. Однако большинство коммерческих операторов под эти исключения не подпадают. Юрист, проверяющий комплаенс, должен первым делом установить, обязан ли клиент уведомить РКН, и если да — актуальны ли поданные сведения.
Уведомление в реестре есть, но сведения устарели?
Если компания изменила перечень категорий ПДн, добавила новые цели обработки или сменила ответственного — реестровые данные надо актуализировать. Расхождение между реестром и фактической обработкой фиксируется при проверке как самостоятельное нарушение. Юристы DATUM соберут ОРД под ключ: политику, согласия, приказы, актуальное уведомление в РКН.
Собрать ОРД под ключОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Какие разделы входят в форму уведомления по Приказу РКН №180?
Форма уведомления содержит 18 разделов. Каждый раздел соответствует сведениям, которые оператор обязан раскрыть в реестре. Ниже — пошаговый разбор каждого из них.
Шаг 1. Наименование и адрес оператора
Полное наименование юридического лица, ОГРН, ИНН, юридический адрес. Для индивидуального предпринимателя — ФИО, ОГРНИП, адрес регистрации. Данные должны совпадать с ЕГРЮЛ/ЕГРИП на дату подачи.
Шаг 2. Цели обработки персональных данных
Цели формулируются конкретно: «исполнение трудового договора», «направление рекламных сообщений с согласия субъекта», «оказание медицинских услуг». Нельзя писать «в соответствии с законодательством» или «иные цели». Ст. 5 ФЗ-152 требует, чтобы обработка велась строго в рамках заявленных целей — цели в реестре и фактические должны совпадать.
Шаг 3. Категории персональных данных
Указываются все категории ПДн, обрабатываемых оператором: общие (ФИО, дата рождения, контакты), специальные по ст. 10 ФЗ-152 (здоровье, национальность, судимость), биометрические по ст. 11 ФЗ-152 (изображение, голос, отпечатки). Для каждой специальной категории — правовое основание по п. 2 ст. 10.
Шаг 4. Категории субъектов
Работники, клиенты, контрагенты, посетители сайта, пациенты — перечень должен охватывать всех лиц, чьи данные оператор обрабатывает. Если среди субъектов есть несовершеннолетние — это указывается отдельно.
Шаг 5. Правовые основания обработки
Ст. 6 ФЗ-152 содержит 11 оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанности по закону (п. 2). Основание должно соответствовать каждой заявленной цели. Несоответствие основания цели — нарушение ч. 1 ст. 13.11 КоАП.
Шаг 6. Перечень действий с персональными данными
Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, уничтожение. Указываются только те действия, которые оператор фактически осуществляет.
Шаг 7. Описание мер по защите персональных данных
В соответствии со ст. 19 ФЗ-152 оператор описывает организационные и технические меры: разграничение доступа, шифрование, антивирусная защита, уровень защищённости по ПП РФ №1119. Указывается достаточный уровень детализации — без раскрытия конфиденциальных технических параметров.
Шаг 8. Фамилия, имя, отчество и контактные данные ответственного лица
По ст. 22.1 ФЗ-152 оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. В уведомлении указываются ФИО, должность, телефон и email этого лица. Назначение оформляется приказом. Ответственный должен соответствовать требованиям квалификации по ч. 4 ст. 22.1.
Шаг 9. Дата начала обработки персональных данных
Фактическая дата, с которой оператор начал обрабатывать ПДн. Если обработка началась до подачи уведомления — это указывается честно. Задним числом корректировать дату не следует: несоответствие проверяется по договорам, журналам, базам данных.
Шаг 10. Срок обработки или условие её прекращения
Конкретный срок («5 лет с даты заключения договора», «75 лет для кадровых документов») или условие («до достижения цели» / «до отзыва согласия субъектом»). Ст. 5 ФЗ-152 запрещает хранение ПДн дольше, чем необходимо для достижения цели.
Шаг 11. Сведения об обеспечении безопасности ПДн
Указывается, какой уровень защищённости ИСПДн установлен оператором по ПП РФ №1119 (УЗ-1, УЗ-2, УЗ-3 или УЗ-4), какие меры по Приказу ФСТЭК №21 применяются. Если оператор использует сертифицированные средства защиты — реквизиты сертификатов.
Шаг 12. Осуществление трансграничной передачи
Если ПДн передаются за рубеж — указывается страна назначения, наименование получателя, правовое основание по ст. 12 ФЗ-152. Для стран без адекватной защиты требуется предварительное уведомление РКН. Перечень стран с адекватной защитой утверждён Приказом РКН — его актуальность надо проверять перед подачей уведомления.
Шаг 13. Место нахождения базы данных
По ч. 5 ст. 18 ФЗ-152 (требования локализации, действующие с 01.09.2015) запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах на территории РФ. Указывается адрес ЦОД или серверного оборудования. Нарушение локализации — ч. 8 ст. 13.11 КоАП, штраф от 1 до 6 млн рублей.
Шаг 14. Поручение обработки третьим лицам
Если оператор передаёт обработку ПДн по поручению — указываются наименование и ИНН лица, осуществляющего обработку по поручению, и перечень действий, которые оно вправе осуществлять. Поручение оформляется договором или дополнительным соглашением по п. 3 ст. 6 ФЗ-152.
Шаг 15. Сведения о наличии согласия на распространение
Если оператор публикует ПДн — размещает на сайте, передаёт третьим лицам для распространения — это отдельное основание по ст. 10.1 ФЗ-152. Согласие на распространение оформляется отдельно от обычного согласия. Отсутствие такого согласия при фактическом распространении — нарушение ч. 2 ст. 13.11 КоАП.
Шаг 16. Порядок уничтожения ПДн при достижении цели
Описывается процедура: кто уничтожает, каким способом (удаление из баз, уничтожение носителей), в какой срок после достижения цели или отзыва согласия. Ст. 21 ФЗ-152 обязывает уничтожить ПДн в течение 30 дней с момента достижения цели обработки, если иное не предусмотрено законом.
Шаг 17. Порядок обработки обращений субъектов
Субъект вправе обратиться с требованием предоставить информацию о его ПДн, уточнить, заблокировать или уничтожить их. Ст. 20 ФЗ-152 устанавливает срок ответа — 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. В уведомлении указывается контактное лицо и порядок направления обращений.
Шаг 18. Наличие политики обработки персональных данных
Оператор подтверждает, что политика опубликована в открытом доступе, и указывает URL или способ ознакомления. Ст. 18.1 ФЗ-152 обязывает публиковать документ, определяющий политику оператора. Отсутствие политики или недоступность URL — нарушение ч. 3 ст. 13.11 КоАП, штраф от 30 000 до 60 000 рублей.
Что подготовить до подачи уведомления
- Актуальные сведения из ЕГРЮЛ/ЕГРИП: наименование, адрес, ОГРН, ИНН
- Перечень всех целей обработки и соответствующих правовых оснований по ст. 6 ФЗ-152
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
- Опубликованная политика обработки ПДн с URL для раздела 18
- Адреса серверов и ЦОД для подтверждения локализации по ч. 5 ст. 18 ФЗ-152
Как изменения ФЗ-156 от 24.06.2025 влияют на содержание уведомления?
С 01.09.2025 согласие на обработку ПДн должно оформляться отдельным документом — его нельзя включать в трудовой договор, оферту или политику конфиденциальности. Это требование ФЗ-156 от 24.06.2025, внёсшего изменения в ч. 1 ст. 9 ФЗ-152. Ранее полученные согласия переоформлять не требуется — обратной силы нет.
Для разделов 2, 5 и 15 уведомления это означает следующее: если основанием обработки является согласие субъекта — оператор должен убедиться, что форма согласия соответствует новым требованиям ст. 9. Согласие должно содержать обязательные реквизиты: ФИО субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.
Нарушение требований к составу согласия после 01.09.2025 квалифицируется по ч. 2 ст. 13.11 КоАП — штраф от 300 000 до 700 000 рублей для юридического лица. При повторном нарушении — ч. 2.1: от 1 000 000 до 1 500 000 рублей.
Если вы юрист и обнаружили, что согласия клиентов или работников не соответствуют требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 — каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 (до 700 000 рублей). Юристы DATUM проведут аудит и приведут ОРД в соответствие.
Заказать аудит 152-ФЗТипичные ошибки при заполнении формы и их последствия
Сценарий 1. Цели не соответствуют фактической обработке. Компания в уведомлении указала цель «исполнение договора», но фактически направляет клиентам рекламные рассылки. При проверке инспектор сопоставляет реестр с фактической деятельностью — через запросы к субъектам или анализ сайта. Результат: протокол по ч. 1 ст. 13.11 КоАП (штраф до 300 000 рублей) и предписание об устранении. Стратегия: перед подачей уведомления составить карту обработки ПДн и сверить каждую цель с фактическими процессами.
Сценарий 2. Раздел 8 (ответственный) заполнен формально. В реестре указан ответственный, который уволился или переведён на другую должность. РКН проверяет актуальность сведений при плановой проверке: запрашивает приказ и сверяет с реестром. Несоответствие — предписание и штраф. По ст. 22.1 ФЗ-152 изменение ответственного лица надо отражать в реестре через уведомление об изменении сведений по форме Приказа №180. Срок — не позднее 10 рабочих дней с момента изменения.
Сценарий 3. Раздел 12 (трансграничная передача) не заполнен при наличии зарубежных сервисов. Компания использует CRM на серверах в ЕС и не указала это в уведомлении. В 2025 году РКН ужесточил контроль над трансграничной передачей: при наличии зарубежных поставщиков — инспектор запросит документацию. Ненаправление уведомления о трансграничной передаче влечёт самостоятельное нарушение ч. 5 ст. 18 ФЗ-152 и ч. 8 ст. 13.11 КоАП в части локализации. Стратегия: провести инвентаризацию всех зарубежных сервисов до подачи уведомления.
Как это применяется на практике
Кейс 1. Юридическая служба торговой компании (Уральский ФО, весна 2026) обнаружила при аудите, что уведомление в реестре содержит неактуальные цели — компания запустила программу лояльности, но в реестр изменения не вносила два года. После аудита DATUM подготовил актуализированное уведомление и комплект ОРД. При последующей плановой проверке инспектор не выявил расхождений между реестром и фактической обработкой — предписание не выносилось.
Кейс 2. Арбитражный суд региона (Северо-Западный ФО, начало 2026) рассматривал дело по ч. 3 ст. 13.11 КоАП: оператор не опубликовал политику обработки ПДн, раздел 18 уведомления содержал несуществующий URL. Штраф — в нижней части диапазона 30 000 — 60 000 рублей с учётом первичности нарушения и последующего устранения. Компания подала исправленное уведомление и разместила политику до вынесения постановления — суд учёл это как смягчающее обстоятельство по ст. 4.2 КоАП. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Услуги DATUM по теме
- Комплект ОРД под ключ — политика, согласия, приказы, уведомление РКН
- Аудит соответствия 152-ФЗ — проверка реестра и фактической обработки по 38 пунктам
- DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет включает: уведомление в реестре РКН по ст. 22 ФЗ-152, политику обработки ПДн по ст. 18.1, приказ о назначении ответственного по ст. 22.1, согласия субъектов по ст. 9 (для тех видов обработки, где они требуются), регламент реагирования на обращения субъектов, журнал учёта инцидентов. Полный пакет ОРД содержит 38 документов — перечень зависит от категорий ПДн и целей обработки конкретного оператора.
2. Как составить политику обработки ПДн?
Политика должна соответствовать требованиям ч. 2 ст. 18.1 ФЗ-152 и содержать: общие принципы обработки, перечень целей, правовые основания, категории субъектов и ПДн, меры защиты, порядок реализации прав субъектов, контактные данные ответственного. Политика публикуется в открытом доступе на сайте оператора. Отсутствие документа или его недоступность — нарушение ч. 3 ст. 13.11 КоАП (штраф 30 000 — 60 000 рублей).
3. Кого назначить ответственным по ст. 22.1?
Ответственный за организацию обработки ПДн назначается приказом руководителя. По ч. 4 ст. 22.1 ФЗ-152 это лицо не может выполнять функции, несовместимые с независимым контролем — назначение генерального директора формально допустимо, но на практике предпочтительнее выделить отдельного сотрудника или привлечь DPO-аутсорсера. Ответственный взаимодействует с РКН, отвечает на запросы субъектов и организует внутренний контроль.
4. Можно ли использовать шаблон политики из интернета?
Типовой шаблон из открытых источников, как правило, не учитывает специфику конкретного оператора: категории ПДн, цели, правовые основания и перечень действий. Инспектор РКН проверяет соответствие политики реестровым данным и фактической обработке. Если политика скопирована с чужого сайта — несоответствие очевидно. Рекомендуется составлять документ на основе карты обработки ПДн конкретной организации.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — требование ФЗ-156 от 24.06.2025, внёсшего изменения в ч. 1 ст. 9 ФЗ-152. Его нельзя включать в трудовой договор, оферту или любой другой документ. Обязательные реквизиты: ФИО субъекта и его контакты, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия согласия, способ отзыва. Ранее полученные согласия переоформлять не требуется — норма не имеет обратной силы.
6. Что делать, если уведомление уже подано, но данные изменились?
При изменении сведений — новые цели, категории ПДн, смена ответственного, новые зарубежные подрядчики — оператор обязан подать уведомление об изменении сведений по форме Приказа РКН №180. Срок подачи — не позднее 10 рабочих дней с момента изменения. Расхождение между реестром и фактической обработкой при проверке фиксируется как нарушение по ч. 1 или ч. 8 ст. 13.11 КоАП в зависимости от характера изменений.
Итог
Уведомление по Приказу РКН №180 — не технический формальный документ, а публичное раскрытие того, как оператор обрабатывает ПДн. Каждый из 18 разделов привязан к норме ФЗ-152 и проверяется при плановой и внеплановой проверках. Ошибки в разделах о целях, трансграничной передаче, локализации или ответственном лице создают прямые основания для штрафов по ст. 13.11 КоАП.
Юристы DATUM сопровождают операторов при подаче первичного уведомления, актуализации реестровых данных и прохождении проверок РКН. Практика по 152-ФЗ — с 2014 года.
16 декабря 2026 года