Перейти к содержанию
инструкция 25 октября 2026 По состоянию на 25 октября 2026

ИП как оператор ПДн: нужно ли уведомление

ИП — полноценный оператор персональных данных по ст. 3 ФЗ-152 с момента, когда начинает обрабатывать данные клиентов, работников или покупателей. Обязанность уведомить Роскомнадзор действует, если ИП не подпадает ни под одно из исключений ч. 2 ст. 22 ФЗ-152.
С 30.05.2025 штраф за неуведомление РКН — 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП. Проверка по жалобе субъекта занимает 20 рабочих дней и охватывает весь пакет документов: политику, согласия, ОРД, назначение ответственного.
Если вы юрист, которому ИП поставил задачу привести обработку ПДн в порядок, — пошаговый разбор ниже позволяет закрыть вопрос за 5 шагов.

Статус ИП не освобождает от требований ФЗ-152. Вопрос «нужно ли уведомление» решается по чек-листу исключений из ч. 2 ст. 22, а не по организационно-правовой форме. После ответа на этот вопрос следуют четыре обязательных шага: политика, согласия, ОРД, назначение ответственного. С 01.09.2025 добавился пятый — переоформление согласий по ФЗ-156 от 24.06.2025.

Шаг 1. Определите: подпадает ли ИП под исключения ст. 22 ФЗ-152

Ст. 22 ФЗ-152 устанавливает общее правило: оператор уведомляет РКН до начала обработки ПДн. Исключения перечислены в ч. 2 той же статьи. Для ИП практически значимы три из них.

Первое: ПДн обрабатываются исключительно в связи с заключением и исполнением договора с субъектом, при этом не передаются третьим лицам без согласия, используются строго для исполнения договора и уничтожаются после его прекращения. ИП, принимающий оплату от физлиц по договору оказания услуг и нигде больше не использующий их данные, формально попадает под это исключение.

Второе: ПДн — только ФИО и контактные данные работников, обрабатываются исключительно для связи с ними. Третье: обработка не затрагивает специальные или биометрические категории, не автоматизирована и не предназначена для распространения.

«Ч. 2 ст. 22 ФЗ-152 — перечень случаев, при которых уведомление РКН не требуется. Перечень закрытый: расширительное толкование не допускается.»

На практике большинство ИП под исключения не попадают: они собирают email и телефоны для рассылок, ведут CRM, используют сервисы аналитики. Каждый из этих факторов выводит за пределы исключений. Правило безопасного поведения: если есть сомнения — подавать уведомление.

Шаг 2. Как ИП подать уведомление в РКН?

Уведомление подаётся через портал pd.rkn.gov.ru. Форма утверждена Приказом РКН №180 от 28.10.2022. Для подачи нужна учётная запись ЕСИА (Госуслуги) или усиленная квалифицированная электронная подпись.

В уведомлении указывают: наименование и адрес оператора, цели обработки, категории ПДн и субъектов, правовое основание, перечень действий с ПДн, меры защиты, информацию об ответственном по ст. 22.1, сведения о трансграничной передаче, дату начала обработки.

«Ст. 22 ФЗ-152 — уведомление подаётся до начала обработки. Срок включения в реестр операторов — 30 дней с даты получения уведомления РКН.»

Типичные ошибки при заполнении: указание «обработки ПДн» как единственной цели вместо конкретных (кадровый учёт, исполнение договора с клиентами, ведение бухгалтерии, маркетинг); несоответствие перечня мер защиты фактическому уровню защищённости; отсутствие данных об ответственном. Неточности в уведомлении — самостоятельный повод для предписания.

Уведомление в РКН подаётся до начала обработки — не после проверки

Если ИП уже обрабатывает ПДн, но уведомление не подавал, — срок нарушен. Штраф по ч. 10 ст. 13.11 КоАП с 30.05.2025 составляет 100–300 тыс. ₽. Юристы DATUM помогут подготовить уведомление корректно, закрыть пробел в ОРД и снизить риск повторного нарушения.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Какие документы обязан иметь ИП-оператор ПДн?

Перечень обязательных документов вытекает из ст. 18.1, 19, 22, 22.1 ФЗ-152. Для ИП минимальный пакет включает семь позиций.

Минимальный пакет ОРД для ИП-оператора

  • Политика обработки персональных данных — опубликована на сайте или вывешена в офисе (ч. 2 ст. 18.1 ФЗ-152)
  • Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152)
  • Согласия субъектов ПДн в форме отдельного документа с реквизитами по ст. 9 ФЗ-152 (в редакции с 01.09.2025 по ФЗ-156)
  • Перечень обрабатываемых персональных данных и их категорий
  • Регламент реагирования на запросы субъектов (ст. 20 ФЗ-152) и на инциденты (ст. 21 ФЗ-152)

Политика конфиденциальности — не маркетинговый текст, а документ с обязательными разделами: правовые основания обработки, категории ПДн и субъектов, перечень третьих лиц, которым передаются данные, порядок реализации прав субъектов, меры защиты, срок обработки. Шаблон из интернета, как правило, не отражает реальных процессов конкретного ИП и при проверке создаёт риск расхождения между заявленным и фактическим.

Ответственным по ст. 22.1 ИП назначает приказом. Закон не запрещает назначить самого себя, однако требует, чтобы лицо реально выполняло функцию: отвечало на запросы субъектов в 10 рабочих дней, вело журнал обращений, контролировало соблюдение политики.

Шаг 4. Какие изменения в согласиях требует ФЗ-156 от 24.06.2025?

С 01.09.2025 ч. 1 ст. 9 ФЗ-152 действует в редакции ФЗ-156: согласие на обработку ПДн оформляется отдельным документом и не объединяется с договором, офертой, политикой конфиденциальности или иными документами. Согласия, полученные до 01.09.2025, переоформлять не требуется — новый порядок не имеет обратной силы.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие — отдельный документ. Реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Для ИП это означает: если согласие на обработку было встроено в текст договора или приложения к оферте, с 01.09.2025 новые согласия оформляются отдельно. Проверьте все точки сбора данных: форма на сайте, бумажная анкета клиента, форма регистрации в мобильном приложении, согласие при трудоустройстве.

Отдельно — согласие на распространение ПДн по ст. 10.1 ФЗ-152. Если ИП публикует отзывы клиентов с ФИО или фотографиями — нужно отдельное согласие на распространение. Без него публикация — самостоятельный состав нарушения.

Если вы юрист и проверяете пакет документов ИП-оператора — форма согласия, составленная до 01.09.2025, для новых субъектов уже не работает. Нарушение ч. 2 ст. 9 влечёт штраф 300–700 тыс. ₽ по ч. 2 ст. 13.11 КоАП. DATUM готовит актуальные формы согласий с учётом ФЗ-156.

Заказать аудит 152-ФЗ

Шаг 5. Как ИП подготовиться к проверке Роскомнадзора?

Проверка ИП по 152-ФЗ инициируется жалобой субъекта, плановым включением в реестр или при обнаружении признаков нарушения в открытых источниках (отсутствие политики на сайте, нет записи в реестре операторов). Плановые проверки малого бизнеса ограничены мораторием, однако внеплановые по жалобам — нет.

При проверке инспектор РКН запрашивает: выписку из реестра операторов, политику обработки ПДн, образцы согласий, приказ об ответственном, журнал обращений субъектов за последние 12 месяцев, договоры с обработчиками (ч. 3 ст. 6 ФЗ-152), документы о мерах защиты.

Отсутствие любого из перечисленных документов — отдельный состав нарушения со своим штрафом. По ч. 3 ст. 13.11 КоАП отсутствие опубликованной политики влечёт штраф 30–60 тыс. ₽ для юрлица (для ИП — меньше, но существенно); по ч. 4 — непредставление информации субъекту — 40–80 тыс. ₽. Суммирование штрафов по нескольким частям ст. 13.11 законом не запрещено.

Как применяется на практике: сценарии для юриста

Сценарий 1. ИП без уведомления, проверка по жалобе клиента. Ситуация: ИП ведёт интернет-магазин, принимает заказы через сайт, собирает ФИО, email, телефон, адрес доставки. Уведомление в РКН не подавал, полагая, что малый бизнес освобождён. Клиент потребовал удалить свои данные, ИП не ответил в 10 рабочих дней. Клиент направил жалобу в РКН. Доказательства для юриста: скриншот формы заказа (факт сбора ПДн), отсутствие записи в реестре pd.rkn.gov.ru, отсутствие политики на сайте. Вероятный исход: протокол по ч. 10 ст. 13.11 (неуведомление о намерении обрабатывать), ч. 3 (нет политики), ч. 4 (нет ответа субъекту). Стратегия: немедленно подать уведомление, опубликовать политику, ответить субъекту — и ходатайствовать о замене штрафа на предупреждение по ст. 4.1.1 КоАП, если ИП — микропредприятие без предшествующих нарушений.

Сценарий 2. Согласие в тексте договора — нарушение с 01.09.2025. Ситуация: ИП оказывает образовательные услуги, согласие на обработку ПДн включено в п. 5.3 договора с клиентом. После 01.09.2025 новые клиенты подписывают этот же договор. Доказательства: текст договора, дата подписания после 01.09.2025. Вероятный исход: штраф по ч. 2 ст. 13.11 КоАП — 300–700 тыс. ₽ (нарушение требований к форме согласия). Стратегия: разработать отдельную форму согласия с реквизитами по ст. 9 ФЗ-152; заключать её одновременно с договором, но как самостоятельный документ.

Сценарий 3. ИП-работодатель без ОРД для HR. Ситуация: ИП нанял трёх сотрудников, ведёт трудовые книжки, передаёт данные в ПФР и ФСС. Никакой ОРД нет: ни политики, ни приказа об ответственном, ни согласий работников. Доказательства: кадровые документы без согласий, отсутствие записи в реестре. Вероятный исход: при проверке — нарушения по ч. 1 (обработка без надлежащего основания), ч. 3, ч. 4 ст. 13.11. Стратегия: подать уведомление в РКН, разработать кадровую ОРД, получить от каждого работника отдельное согласие по новым требованиям; срок — до ближайшего кадрового события (трудоустройство, передача данных).

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет определяется ст. 18.1, 22 и 22.1 ФЗ-152: политика обработки ПДн (опубликованная), приказ о назначении ответственного, согласия субъектов в форме отдельного документа с реквизитами по ст. 9, перечень обрабатываемых данных, регламент реагирования на запросы субъектов и инциденты. При наличии обработчиков (подрядчиков) — договоры поручения по ч. 3 ст. 6 ФЗ-152. Отсутствие каждого из документов — самостоятельный состав нарушения со своим штрафом по ст. 13.11 КоАП.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, определённые ч. 2 ст. 18.1 ФЗ-152: правовые основания обработки, цели, категории субъектов и ПДн, перечень действий с данными, порядок реализации прав субъектов (включая 10-рабочих-дневный срок ответа по ст. 20 ФЗ-152), срок обработки, меры защиты, порядок уничтожения. Политика публикуется на сайте или размещается в точке сбора данных. Шаблон из интернета допустим как отправная точка, но должен быть адаптирован под фактические процессы конкретного оператора — иначе расхождение между политикой и реальностью создаёт отдельный риск при проверке.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 обязывает юридических лиц и ИП, у которых есть работники, назначить лицо, ответственное за организацию обработки ПДн. Закон не устанавливает требований к должности или квалификации — назначить можно любого сотрудника или самого ИП приказом. Важно, чтобы назначенное лицо реально выполняло функцию: отвечало на запросы субъектов, вело журнал, контролировало актуальность документов. При отсутствии кадровых ресурсов функцию ответственного можно передать на аутсорсинг по договору DPO.

4. Можно ли использовать шаблон политики из интернета?

Использовать шаблон как основу — допустимо, публиковать его без адаптации — рискованно. Типовой шаблон не отражает конкретные цели обработки, реальный перечень третьих лиц, которым передаются данные (CRM-система, платёжный агрегатор, рекламные платформы), фактические меры защиты и применимый уровень защищённости. При проверке инспектор РКН сопоставляет политику с реальностью: расхождение — основание для предписания и штрафа по ч. 1 ст. 13.11 КоАП.

5. Какие согласия нужны после 01.09.2025?

После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом — не в тексте договора, оферты или политики. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, его контактные данные, наименование и адрес оператора, конкретная цель обработки, перечень ПДн, перечень действий, срок действия согласия, способ отзыва. Ранее полученные согласия переоформлять не требуется. Для новых субъектов с 01.09.2025 — только отдельный документ. Штраф за нарушение формы согласия — 300–700 тыс. ₽ по ч. 2 ст. 13.11 КоАП.

6. Что грозит ИП, если он не подал уведомление в РКН?

Неуведомление РКН о намерении обрабатывать ПДн квалифицируется по ч. 10 ст. 13.11 КоАП. С 30.05.2025 штраф для юридических лиц — 100–300 тыс. ₽. Для ИП расчёт идёт по правилам для должностных лиц или физических лиц (конкретный диапазон — менеджер уточняет при публикации). Если нарушение выявлено впервые и ИП — микропредприятие, суд вправе заменить штраф предупреждением по ст. 4.1.1 КоАП. При повторном нарушении замена невозможна.

Итог

ИП как оператор ПДн обязан пройти те же этапы, что и юридическое лицо: проверить, попадает ли он под исключения ст. 22 ФЗ-152, при необходимости подать уведомление по Приказу РКН №180, сформировать пакет ОРД, назначить ответственного по ст. 22.1, переоформить согласия под требования ФЗ-156 от 24.06.2025. Каждый пропущенный шаг — отдельный штраф по ст. 13.11 КоАП, суммирование которых при комплексном нарушении превращает экономию на комплаенсе в существенные потери.

Юристы DATUM сопровождают операторов ПДн по всему спектру задач — от подачи уведомления до защиты при проверке РКН: практика по 152-ФЗ с 2014 года, более 300 операторов сопровождено.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

25 октября 2026 года