Перейти к содержанию
инструкция 14 декабря 2026 По состоянию на 14 декабря 2026

Адрес местонахождения базы ПДн в уведомлении

Адрес местонахождения базы персональных данных — обязательный реквизит уведомления, которое оператор подаёт в Роскомнадзор до начала обработки по ст. 22 ФЗ-152.
Ошибка в адресе или его отсутствие в форме уведомления создаёт основание для штрафа по ч. 10 ст. 13.11 КоАП — от 100 000 до 300 000 ₽ для юридического лица.
Если вы юрист и готовите уведомление или актуализируете реестр — ниже пошаговый порядок с анализом нормы и типовых ошибок.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: за неуведомление или несвоевременное уведомление РКН о намерении обрабатывать персональные данные юридическому лицу грозит штраф по ч. 10 — от 100 000 до 300 000 ₽. Форма уведомления установлена Приказом РКН №180 от 28.10.2022, и одним из полей является адрес местонахождения базы данных. Ошибки в этом поле, по практике проверок, воспринимаются регулятором как недостоверные сведения — что влечёт предписание об устранении и повторное уведомление. Инструкция охватывает пять шагов: от анализа того, что считается «базой ПДн», до отражения адреса в организационно-распорядительной документации.

Шаг 1. Определите, что является базой ПДн в вашей организации

Закон не использует термин «база данных» как технический. В контексте ст. 22 ФЗ-152 речь идёт о совокупности персональных данных, систематизированных таким образом, что доступ к ним осуществляется с применением определённых критериев поиска. Это может быть реляционная СУБД (1С, PostgreSQL, MS SQL), облачный сервис, файловый архив или даже структурированный Excel-реестр.

Для целей заполнения уведомления юристу необходимо совместно с ИТ-подразделением провести инвентаризацию: установить, в каких системах хранятся персональные данные, где физически расположены серверы или хранилища, и есть ли дублирующие базы для резервного копирования. Каждое из мест хранения формирует отдельный адрес.

Ключевое правило: адрес указывается как адрес физического размещения оборудования, а не юридический адрес компании. Совпадение возможно, но не обязательно.

«Ст. 22 ФЗ-152 обязывает оператора до начала обработки персональных данных направить уведомление в уполномоченный орган по защите прав субъектов персональных данных. В уведомлении указывается в том числе адрес местонахождения базы данных, содержащей персональные данные.»

Шаг 2. Зафиксируйте адреса всех мест хранения ПДн

По итогам инвентаризации составьте перечень физических адресов. Типовые варианты для российской компании:

  • Собственный сервер в офисе — адрес офиса.
  • Собственный сервер в дата-центре — адрес дата-центра (указывается в договоре с ЦОД).
  • Облачный сервис российского провайдера — адрес провайдера из публичной документации или договора.
  • Облачный сервис иностранного провайдера — возникает вопрос локализации по ч. 5 ст. 18 ФЗ-152: хранение ПДн граждан РФ должно осуществляться в базах, расположенных на территории РФ.
  • Несколько площадок одновременно — указываются все адреса через разделитель в соответствующем поле формы.

Если данные хранятся у обработчика по договору-поручению (ст. 6 ФЗ-152), адрес его инфраструктуры также отражается в уведомлении наряду с вашим.

Готовите уведомление или обнаружили ошибку в реестре?

Неточный адрес базы ПДн в уведомлении — одна из трёх наиболее частых причин предписаний РКН при плановых проверках. Если форма подана, но адрес устарел или указан юридический вместо фактического, необходимо подать уведомление об изменении сведений в течение 10 рабочих дней. Юристы DATUM проверят актуальность ваших данных в реестре, подготовят корректную форму и обеспечат её подачу через pd.rkn.gov.ru.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Заполните поле адреса в форме уведомления по Приказу РКН №180

Форма уведомления, утверждённая Приказом РКН №180 от 28.10.2022, подаётся через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи. В форме есть отдельное поле «Адрес местонахождения базы данных».

Требования к заполнению поля:

  • Адрес в формате: субъект РФ, населённый пункт, улица, дом, при необходимости — корпус и помещение.
  • Если адресов несколько — перечисляются все через точку с запятой или с новой строки (в зависимости от интерфейса версии формы).
  • Не допускается указывать только страну без конкретного адреса.
  • Если оператор использует облако, где точный физический адрес серверов неизвестен, — необходимо уточнить его у провайдера до подачи уведомления.

После подачи РКН в течение 30 дней включает оператора в реестр (ч. 4 ст. 22 ФЗ-152). До истечения этого срока оператор считается поставленным в очередь, но обработка уже ведётся законно при соблюдении прочих условий.

«Ст. 22.1 ФЗ-152 требует, чтобы оператор-юридическое лицо назначило лицо, ответственное за организацию обработки персональных данных. Именно это лицо отвечает за актуальность сведений в уведомлении и обязано инициировать внесение изменений при изменении адреса базы ПДн.»

Как изменить адрес базы ПДн в реестре РКН после первичной регистрации?

При переезде серверов, смене дата-центра или переходе на другой облачный провайдер оператор обязан уведомить РКН об изменении сведений. Срок — 10 рабочих дней с момента изменения. Порядок — та же форма на pd.rkn.gov.ru, раздел «Изменение сведений». Форма также установлена Приказом РКН №180.

Типовые ситуации, при которых юрист обязан инициировать актуализацию:

  • Переход с on-premise на облако (или обратно).
  • Смена облачного провайдера, даже если оба — российские.
  • Физический переезд офиса, где стоит сервер.
  • Добавление нового места хранения (например, резервной площадки).
  • Заключение нового договора поручения с обработчиком, у которого другой адрес инфраструктуры.

Непредоставление актуальных сведений означает, что реестр содержит недостоверную информацию. При внеплановой проверке РКН это квалифицируется как нарушение ст. 22 ФЗ-152.

Если вы юрист и обнаружили, что адрес в реестре РКН не совпадает с фактическим — у вас 10 рабочих дней на подачу уведомления об изменении сведений. Промедление создаёт основание для штрафа по ч. 10 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Шаг 4. Отразите адрес базы ПДн в организационно-распорядительной документации

Адрес базы ПДн — это не только реквизит уведомления. Он должен быть закреплён во внутренних документах оператора, иначе при проверке инспектор зафиксирует расхождение между реестром и фактической документацией.

Документы, в которых отражается адрес базы ПДн:

  • Политика обработки персональных данных (ст. 18.1 ФЗ-152) — в разделе об условиях обработки и технических мерах защиты.
  • Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) — ответственный должен знать инфраструктуру.
  • Договор-поручение с обработчиком (ст. 6 ФЗ-152) — если обработка передана третьему лицу, адрес его инфраструктуры фиксируется в договоре.
  • Модель угроз и уровень защищённости ИСПДн (ПП РФ №1119, Приказ ФСТЭК №21) — физическое местонахождение базы влияет на класс угроз и применяемые меры.

Политика конфиденциальности, размещённая на сайте для субъектов персональных данных, также должна содержать информацию о том, где хранятся данные — хотя бы на уровне «серверы на территории Российской Федерации».

Шаг 5. Проверьте соответствие адреса требованиям локализации по ч. 5 ст. 18 ФЗ-152

Требование локализации — самостоятельный риск, отдельный от точности заполнения формы уведомления. По ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны осуществляться с использованием баз данных, расположенных на территории России.

Если адрес базы в уведомлении — иностранный, это автоматически указывает на нарушение локализации. Штраф по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 ₽, при повторном нарушении (ч. 9) — от 6 000 000 до 18 000 000 ₽.

Проверьте при подготовке уведомления: если хотя бы одна из используемых систем — облако с серверами за рубежом (AWS, Azure, Google Cloud без российского региона), — это нарушение ч. 5 ст. 18, которое нужно устранить до подачи уведомления, а не после.

«Ч. 8 ст. 13.11 КоАП (в редакции с 30.05.2025) устанавливает штраф за нарушение требования локализации по ч. 5 ст. 18 ФЗ-152: для юридических лиц — от 1 000 000 до 6 000 000 ₽. Повторное нарушение по ч. 9 — от 6 000 000 до 18 000 000 ₽.»

Что подготовить юристу перед подачей уведомления

  • Перечень всех ИСПДн с указанием физических адресов серверов или ЦОД — получить от ИТ-подразделения письменно.
  • Договоры с облачными провайдерами — проверить, где по договору расположена инфраструктура (российский или иностранный регион).
  • Договоры-поручения с обработчиками — зафиксировать их адреса для включения в уведомление.
  • Актуальная выписка из реестра операторов на pd.rkn.gov.ru — сверить с фактическим адресом; при расхождении — подать форму изменения сведений.
  • Политика обработки ПДн с разделом о местонахождении базы — обновить до подачи уведомления.

Практика применения: два сценария для юриста

Сценарий 1. Новый оператор — первичное уведомление. Юридическая компания, обрабатывающая персональные данные клиентов и сотрудников, готовится к первичной подаче уведомления. ИТ-отдел сообщает, что CRM стоит на сервере в офисе, а бухгалтерская система — на сервере в ЦОД одного из российских провайдеров. В уведомлении указываются оба адреса. Политика обработки ПДн актуализируется с учётом обоих мест хранения. Уведомление подаётся до начала обработки — нарушения нет.

Сценарий 2. Переход на облако без актуализации реестра. Производственная компания в ЦФО (осень 2025) сменила ERP-систему и перенесла базу данных персонала на облачную платформу российского провайдера. Уведомление в реестре осталось с прежним адресом сервера, который уже не использовался. При плановой проверке РКН инспектор зафиксировал расхождение. Компания получила предписание об устранении и была привлечена к ответственности по ч. 10 ст. 13.11 КоАП. Штраф составил сумму в нижней части диапазона. Юрист компании подал уведомление об изменении сведений на следующий день после выявления расхождения — это было учтено как смягчающее обстоятельство.

Услуги DATUM по теме

  • Комплект ОРД под ключ — 38 документов включая политику, согласия, приказ об ответственном, форму уведомления РКН.
  • Аудит соответствия 152-ФЗ — проверка актуальности уведомления, адресов баз ПДн, политики и локализации.
  • DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 включая мониторинг реестра РКН.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Базовый пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки персональных данных (ст. 18.1), приказ о назначении ответственного за обработку (ст. 22.1), согласия субъектов в установленных случаях (ст. 9), договоры-поручения с обработчиками (ст. 6), модель угроз и документы по уровню защищённости (ПП РФ №1119). Типовой комплект ОРД насчитывает порядка 38 документов в зависимости от специфики обработки.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, установленные ч. 2 ст. 18.1 ФЗ-152: цели обработки, категории субъектов и ПДн, правовые основания, перечень действий с ПДн, порядок уничтожения, меры защиты. Адрес местонахождения базы ПДн включается в раздел о мерах защиты или условиях хранения. Политика размещается в открытом доступе — на сайте или иным способом, обеспечивающим неограниченный доступ для субъектов. Использовать готовый шаблон из интернета без адаптации — рискованно: он не отражает вашу инфраструктуру и реальный состав обработки.

3. Кого назначить ответственным по ст. 22.1?

Ответственным назначается работник организации приказом руководителя. Закон не устанавливает обязательного профильного образования, но ч. 4 ст. 22.1 ФЗ-152 требует, чтобы лицо имело необходимые знания в сфере защиты персональных данных. На практике это штатный юрист, специалист по ИБ или специально нанятый сотрудник. Функцию можно передать на аутсорсинг — внешний DPO действует на основании договора и доверенности.

4. Можно ли использовать шаблон политики из интернета?

Формально закон не запрещает использовать шаблон как основу. Однако типовой шаблон не содержит конкретного адреса вашей базы ПДн, перечня ваших систем, ваших оснований обработки и ваших обработчиков. При проверке РКН политика сверяется с фактической обработкой — расхождения фиксируются как нарушение ст. 18.1 ФЗ-152. Штраф по ч. 3 ст. 13.11 КоАП — от 30 000 до 60 000 ₽. Экономия на разработке документа несопоставима с издержками проверки.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 вступил в силу ФЗ-156 от 24.06.2025, изменивший ч. 1 ст. 9 ФЗ-152: согласие на обработку персональных данных оформляется отдельным документом и не может быть совмещено с договором, офертой, политикой или иным документом. Требования к реквизитам остались прежними: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия переоформлять не требуется — обратной силы норма не имеет.

Итог

Адрес местонахождения базы ПДн в уведомлении — это не технический реквизит, а норма, обеспечивающая прозрачность обработки и проверяемость соответствия требованию локализации. Ошибка или устаревший адрес влечут как минимум предписание РКН и штраф по ч. 10 ст. 13.11 КоАП, как максимум — выявление нарушения локализации с санкцией от 1 до 18 млн ₽.

DATUM сопровождает операторов при подаче первичных уведомлений, актуализации реестровых сведений и подготовке комплекта ОРД. Практика «Ветров и партнёры» по ФЗ-152 — с 2014 года.

Смотрите также

Уведомление подано, но адрес базы устарел — или ещё не подавали?

Оценить риски по 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

14 декабря 2026 года