Перейти к содержанию
инструкция 21 ноября 2026 По состоянию на 21 ноября 2026

Дочерняя организация: отдельное уведомление

Дочерняя организация — самостоятельный оператор ПДн по ст. 22 ФЗ-152, даже если материнская компания уже состоит в реестре РКН.
Отсутствие уведомления у дочернего юрлица — отдельный состав по ч. 10 ст. 13.11 КоАП: штраф 100 000–300 000 ₽. Наличие одного реестрового номера у группы компаний законом не предусмотрено.
Если вы юрист группы компаний и не уверены, нужно ли уведомление каждой «дочке» отдельно — эта инструкция даёт пошаговый ответ.

Ст. 22 ФЗ-152 обязывает оператора — любое юридическое лицо, самостоятельно или совместно с другими обрабатывающее ПДн, — уведомить Роскомнадзор о намерении обрабатывать данные до начала обработки. Группа компаний как субъект права не существует: каждое юрлицо в холдинге является отдельным оператором. Ниже — пошаговый порядок подачи уведомления для дочернего общества, перечень ОРД и точки, в которых ошибаются чаще всего.

Шаг 1. Определите, является ли дочернее общество самостоятельным оператором

Оператор ПДн по ст. 3 ФЗ-152 — это юридическое лицо, которое организует и осуществляет обработку ПДн, а также определяет её цели и состав. Дочернее общество считается самостоятельным оператором, если оно:

  • является отдельным юрлицом с собственным ИНН и ОГРН;
  • заключает договоры от своего имени, в которых фигурируют ПДн клиентов, работников или контрагентов;
  • ведёт кадровый учёт собственного персонала;
  • самостоятельно определяет, какие данные и для каких целей собирать.

Если дочернее общество только технически обрабатывает ПДн по поручению материнской компании и само не определяет цели — оно является лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152), и в реестр операторов не включается. В этом случае поручение обработки оформляется договором или отдельным соглашением, а уведомление подаёт материнская организация.

На практике большинство дочерних обществ — самостоятельные операторы: они нанимают сотрудников, работают с клиентами и ведут бухгалтерию от своего имени.

«Ст. 22 ФЗ-152 — обязанность уведомить РКН о намерении обрабатывать ПДн лежит на операторе до начала обработки. Исключения — в ч. 2 ст. 22: данные работников в рамках трудовых отношений, данные по договору с субъектом, общедоступные данные и ряд других случаев. Если хотя бы одна цель обработки не подпадает под исключение — уведомление подаётся.»

Шаг 2. Проверьте, есть ли у дочернего общества основания для освобождения от уведомления

Ч. 2 ст. 22 ФЗ-152 перечисляет случаи, когда уведомление не требуется. Для дочернего общества актуальны следующие исключения:

  • обработка только ПДн работников в рамках трудового договора — при условии, что данные не передаются третьим лицам;
  • обработка ПДн, полученных оператором в связи с заключением договора непосредственно с субъектом, — если данные не используются за пределами этого договора и не передаются;
  • обработка без автоматизированных средств исключительно по установленным требованиям к защите неавтоматизированной обработки.

Типичная ошибка: юрист считает, что кадровая обработка покрывает все нужды «дочки», и не подаёт уведомление. Но как только организация начинает вести CRM, рассылку, программу лояльности или передаёт ПДн в группу компаний — исключение перестаёт действовать. Результат: состав по ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽.

Уведомление подано за материнскую компанию, но не за «дочку»?

Реестр РКН содержит записи по каждому юрлицу отдельно. Если дочернее общество не числится в реестре, а его обработка не попадает под исключения ч. 2 ст. 22 ФЗ-152 — риск протокола по ч. 10 ст. 13.11 КоАП реален уже при первой проверке. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Подготовьте пакет ОРД до подачи уведомления

Уведомление — это декларация о намерении обрабатывать ПДн. Но подача уведомления без внутренних документов создаёт разрыв: в реестре организация числится, а при проверке выясняется, что политики нет, согласий нет, ответственный не назначен. Инспектор квалифицирует каждое нарушение отдельно.

Минимальный комплект ОРД для дочернего общества как самостоятельного оператора:

Что подготовить до подачи уведомления

  • Политика обработки персональных данных (ст. 18.1 ФЗ-152) — опубликованная на сайте или вывешенная в офисе; содержит цели, правовые основания, перечни обрабатываемых данных, сроки, порядок реализации прав субъектов.
  • Приказ о назначении лица, ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) — отдельный документ с указанием квалификационных требований и функций.
  • Согласия субъектов по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие оформляется отдельным документом, не объединяется с договором или офертой.
  • Договор (поручение) на обработку ПДн с материнской компанией или иными юрлицами группы — если данные передаются внутри холдинга.
  • Регламент реагирования на инциденты с ПДн — порядок уведомления РКН за 24 и 72 часа по ч. 3.1 ст. 21 ФЗ-152.

Шаг 4. Подайте уведомление через портал РКН по форме Приказа № 180

Уведомление подаётся в электронном виде через портал pd.rkn.gov.ru. Требуется авторизация через ЕСИА или усиленная квалифицированная электронная подпись (УКЭП) уполномоченного лица. Форма утверждена Приказом РКН № 180 от 28.10.2022.

Что заполнить в форме:

  • Полные реквизиты дочернего общества — ИНН, ОГРН, адрес, контактные данные ответственного по ст. 22.1.
  • Цели обработки ПДн — каждая цель указывается отдельно; избыточное или расплывчатое описание при проверке трактуется против оператора.
  • Категории субъектов и категории ПДн — разграничьте работников, клиентов, контрагентов; для каждой группы — свой перечень данных.
  • Правовые основания — п. 1 (согласие), п. 5 (договор с субъектом), п. 2 (закон) по ст. 6 ФЗ-152 для каждой цели.
  • Меры защиты — применяемый уровень защищённости (УЗ-1..4) по ПП РФ № 1119 и реализованные организационно-технические меры по ст. 19 ФЗ-152.
  • Сведения о трансграничной передаче — если ПДн передаются за рубеж, указать страны и правовое основание (ст. 12 ФЗ-152).
  • Сведения об обработчике по поручению — если дочернее общество привлекает подрядчиков (ИТ-компании, колл-центры, аутсорсеры).

После отправки формы РКН включает оператора в реестр в течение 30 дней (ч. 4 ст. 22 ФЗ-152). До включения в реестр обработка формально ведётся без уведомления — поэтому подавать форму нужно до начала обработки, а не после.

Если вы юрист холдинга и готовите уведомления для нескольких «дочек» одновременно — у каждой свои цели обработки, свои категории субъектов и свои основания. Унифицированный шаблон здесь не работает: РКН при проверке сопоставляет форму уведомления с фактической деятельностью. Юристы DATUM соберут комплект ОРД под ключ для каждого юрлица группы.

Собрать ОРД под ключ

Шаг 5. Актуализируйте уведомление при изменении обработки

Уведомление — не разовый документ. Если изменились цели обработки, состав ПДн, категории субъектов, используемые информационные системы или появилась трансграничная передача — оператор обязан уведомить РКН об изменении сведений. Форма та же — Приказ РКН № 180, через pd.rkn.gov.ru.

Когда дочернее общество чаще всего забывает обновить уведомление:

  • запуск новой CRM или перевод обработки в облачный сервис;
  • передача ПДн работников в корпоративный центр расчёта зарплат (зарплатный проект);
  • начало использования сервисов веб-аналитики (cookies как ПДн по позиции РКН);
  • реорганизация — слияние, присоединение, выделение дочернего общества.

Несвоевременное обновление приравнивается к неуведомлению: состав по ч. 10 ст. 13.11 КоАП применяется не только к первичной подаче, но и к случаям, когда фактическая обработка расходится с зарегистрированной.

Как это применяется на практике

Кейс 1. В холдинге Приволжского ФО (осень 2025 года) материнская компания состояла в реестре РКН с 2019 года. Три дочерних общества — самостоятельные юрлица с собственным персоналом и клиентской базой — уведомлений не подавали, полагая, что «материнский» номер распространяется на группу. После плановой проверки РКН составил три протокола по ч. 10 ст. 13.11 КоАП. Штрафы по каждому составили сотни тысяч рублей. Дополнительно выявлено отсутствие политик обработки — протоколы по ч. 3 ст. 13.11. Совокупные расходы группы превысили стоимость годового DPO-аутсорсинга для трёх юрлиц.

Кейс 2. Дочернее общество IT-холдинга (Центральный ФО, начало 2026 года) подало уведомление своевременно, однако в форме указало только обработку данных работников. Фактически общество вело обработку пользователей SaaS-платформы — данные хранились на серверах в другой стране. При внеплановой проверке, инициированной по жалобе пользователя, инспектор зафиксировал: в реестре трансграничная передача не отражена, уведомление РКН по ст. 12 ФЗ-152 не подавалось. Юрист компании подключил DATUM на стадии составления протокола. Удалось обосновать добросовестность и оперативность устранения нарушений; итоговый штраф оказался в нижней части диапазона, предписание выполнено в установленный срок.

Услуги DATUM по теме

Типовые ситуации для юриста холдинга

Ситуация 1 — «Дочка» только что создана, обработка уже идёт. Регистрация юрлица и первый трудовой договор означают начало обработки ПДн. Уведомление РКН нужно было подать до найма первого сотрудника или до подписания первого клиентского договора. Стратегия: подать уведомление немедленно; зафиксировать дату начала фактической обработки в акте внутреннего аудита; подготовить ОРД. При проверке добровольная подача снижает вероятность штрафа в пользу предупреждения по ст. 4.1.1 КоАП для организаций, отвечающих критериям малого предприятия.

Ситуация 2 — Уведомление подано, но ОРД нет. РКН при проверке запрашивает документы, перечисленные в ст. 18.1 ФЗ-152: политику обработки, приказ о назначении ответственного, согласия субъектов. Отсутствие каждого из них — отдельный состав по ч. 3 ст. 13.11 (политика) или ч. 2 ст. 13.11 (согласие без обязательных реквизитов). Стратегия: до получения запроса от РКН собрать пакет ОРД и разместить политику на сайте дочернего общества.

Ситуация 3 — Согласия оформлены до 01.09.2025 в составе договора или оферты. ФЗ-156 от 24.06.2025 ввёл требование к согласию как отдельному документу (ст. 9 ФЗ-152 в редакции с 01.09.2025). Ранее полученные согласия обратной силы не теряют, но новые согласия, получаемые после 01.09.2025, должны соответствовать обновлённым реквизитам. Стратегия: провести ревизию форм согласия; для новых субъектов использовать только актуальные формы; для существующих субъектов при обновлении договора — переоформить согласие по новым требованиям.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный комплект по ст. 18.1 ФЗ-152: политика обработки персональных данных (опубликованная), приказ о назначении ответственного по ст. 22.1, согласия субъектов по ст. 9 (для случаев, когда согласие является основанием обработки), договоры с обработчиками по поручению (п. 3 ст. 6 ФЗ-152), регламент реагирования на инциденты, журнал учёта обращений субъектов. Для ИСПДн — документация по уровню защищённости (ПП РФ № 1119) и мерам защиты (Приказ ФСТЭК № 21).

2. Как составить политику обработки ПДн?

Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна содержать: наименование и контакты оператора, цели обработки, правовые основания, перечень обрабатываемых ПДн, категории субъектов, порядок реализации прав субъектов (запрос, уточнение, удаление), сведения о трансграничной передаче (если есть), меры защиты. Документ размещается в открытом доступе — на сайте или на информационном стенде. Использовать шаблон из интернета без адаптации под реальную деятельность опасно: инспектор РКН сверяет политику с фактической обработкой, и расхождения — повод для протокола.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Квалификационные требования установлены ч. 4 ст. 22.1: наличие соответствующих знаний в области защиты ПДн. На практике назначают юриста, сотрудника ИБ-подразделения или привлекают DPO-аутсорсера. Назначение оформляется приказом с указанием функций. Отдельное уведомление РКН о назначении не требуется, но сведения об ответственном отражаются в уведомлении по ст. 22 при подаче или обновлении.

4. Можно ли использовать шаблон политики из интернета?

Шаблон допустим как отправная точка, но не как готовый документ. Политика должна отражать реальные цели и состав обработки конкретного оператора. Типичные ошибки готовых шаблонов: перечислены категории ПДн, которые организация не обрабатывает; отсутствуют фактические основания для обработки; указаны несуществующие сроки хранения. При проверке РКН расхождение политики и фактической обработки квалифицируется как нарушение ст. 18.1 ФЗ-152.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн по ст. 9 ФЗ-152 оформляется отдельным документом — не может быть встроено в договор, оферту или политику конфиденциальности. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия, способ его отзыва. Ранее полученные согласия обратной силы не теряют. Новые согласия, получаемые после 01.09.2025, должны соответствовать обновлённым требованиям — в том числе согласия работников при найме.

Итог

Дочернее общество как самостоятельное юрлицо обязано подать уведомление в РКН, собрать полный комплект ОРД и с 01.09.2025 использовать обновлённые формы согласий — независимо от того, что материнская компания уже состоит в реестре операторов. Отсутствие уведомления, несоответствие уведомления фактической обработке или неполный ОРД — три отдельных основания для протокола по ст. 13.11 КоАП. В группе компаний каждое нарушение умножается на количество юрлиц.

Практика DATUM по сопровождению холдингов в части ФЗ-152 включает проверку уведомлений всех юрлиц группы, формирование единого стандарта ОРД с адаптацией под деятельность каждой «дочки» и назначение DPO-аутсорсера по ст. 22.1 для организаций, которым нецелесообразно держать отдельного специалиста в штате.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

21 ноября 2026 года