Как зарегистрироваться в реестре с нуля
Обязанность уведомить Роскомнадзор о намерении обрабатывать персональные данные действует с 2006 года, однако большинство компаний до сих пор упускают этот шаг или подают уведомление с ошибками. С 30.05.2025 санкции по ст. 13.11 КоАП существенно выросли: за неуведомление штраф достигает 300 000 ₽, а за повторное нарушение — выше. Справочник объясняет ключевые термины, порядок подачи уведомления по форме Приказа РКН № 180 и ошибки, из-за которых запись в реестре не защищает от претензий регулятора.
Что такое реестр операторов и зачем в нём быть?
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку ПДн, а также определяет цели и состав такой обработки (ст. 3 ФЗ-152). Практически любая коммерческая организация, нанимающая сотрудников или ведущая клиентскую базу, является оператором.
Реестр операторов персональных данных — информационная система Роскомнадзора (pd.rkn.gov.ru), в которой отражаются сведения о каждом операторе: наименование, цели обработки, категории субъектов, принятые меры защиты, сведения о трансграничной передаче. Запись в реестре фиксирует заявленный периметр обработки. Если реальная обработка выходит за его рамки, это отдельное нарушение.
Исключения из обязанности уведомить перечислены в ч. 2 ст. 22 ФЗ-152: обработка ПДн сотрудников в рамках трудовых отношений, обработка в связи с заключением договора с субъектом, отдельные категории общедоступных данных. Однако исключения толкуются узко: если компания ведёт базу клиентов, маркетинговые рассылки или аналитику поведения — уведомление обязательно.
Какие термины нужно знать юристу перед подачей уведомления?
Для корректного заполнения формы Приказа РКН № 180 от 28.10.2022 необходимо понимать несколько ключевых понятий.
Цель обработки персональных данных — конкретный и заранее определённый результат, ради которого оператор собирает и использует ПДн (ст. 5 ФЗ-152). Формулировка «прочие законные цели» не соответствует принципу конкретности и может стать основанием для предписания РКН.
Правовое основание обработки — норма права или договорная конструкция, легитимирующая обработку без согласия субъекта, либо само согласие (ст. 6 ФЗ-152). В уведомлении указываются все основания, которые оператор планирует применять: исполнение договора, исполнение законной обязанности, согласие субъекта и другие из перечня п. 1–11 ч. 1 ст. 6.
Трансграничная передача персональных данных — передача ПДн на территорию иностранного государства иностранному органу государственной власти, иностранному физическому или юридическому лицу (ст. 3 ФЗ-152). Если оператор использует зарубежные сервисы аналитики, облачные хранилища или CRM с серверами за рубежом — сведения о трансграничной передаче обязательно включаются в уведомление.
Уровень защищённости (УЗ) — совокупность требований к информационной системе персональных данных (ИСПДн), определяемая в зависимости от категорий ПДн, типа актуальных угроз и числа субъектов (ПП РФ № 1119 от 01.11.2012). УЗ влияет на перечень технических мер по Приказу ФСТЭК № 21. В уведомление вносится описание принятых мер защиты, а не номер уровня — однако юристу полезно понимать, к какому УЗ относится каждая ИСПДн.
Ответственный за обработку персональных данных — лицо, назначенное оператором-юрлицом на основании ч. 1 ст. 22.1 ФЗ-152. Данные этого лица вносятся в уведомление. Отсутствие назначенного ответственного на момент подачи уведомления — типовая ошибка, выявляемая при проверке.
Уведомление заполнено — что проверить до подачи?
Даже корректно заполненное уведомление не защищает от штрафа, если реальный периметр обработки шире заявленного или меры защиты не соответствуют уровню ИСПДн. Юристы DATUM проверят комплект до подачи по чек-листу из 38 пунктов и выявят расхождения, которые станут основанием для предписания РКН при первой же проверке.
Заказать аудит 152-ФЗОтвет за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как подать уведомление о намерении обрабатывать персональные данные?
Форма уведомления утверждена Приказом РКН № 180 от 28.10.2022. Уведомление подаётся через портал pd.rkn.gov.ru с использованием ЕСИА (Госуслуги) или усиленной квалифицированной электронной подписи (УКЭП). Бумажный вариант — через почту или лично в территориальный орган РКН.
Что подготовить для подачи уведомления
- Приказ о назначении лица, ответственного за обработку ПДн (ст. 22.1 ФЗ-152) — данные вносятся в форму уведомления.
- Перечень целей обработки с привязкой к правовым основаниям по ст. 6 ФЗ-152 — по одной записи на каждую самостоятельную цель.
- Сведения об ИСПДн: наименование, адрес хранения, категории субъектов, меры защиты — включая описание технических мер по Приказу ФСТЭК № 21.
- Сведения о трансграничной передаче: перечень стран, наименование получателей, цели передачи — при наличии.
- ЕСИА-доступ уполномоченного лица или УКЭП организации — для электронной подачи через pd.rkn.gov.ru.
После подачи уведомления РКН включает оператора в реестр в течение 30 дней. Отсутствие ответа в этот срок не означает отказ — технически запись появляется автоматически при корректном заполнении. При обнаружении ошибок РКН направляет запрос на уточнение. Изменение сведений (например, появление новых целей обработки или смена ответственного) оформляется отдельным уведомлением об изменении сведений по той же форме.
Какие ошибки приводят к штрафу даже после регистрации?
Наличие записи в реестре операторов не означает автоматическое соответствие ФЗ-152. РКН при проверке оценивает соответствие заявленного периметра фактической обработке. Типовые расхождения, которые приводят к штрафу:
- Цели шире заявленных. Оператор уведомил об обработке для «исполнения договора», а фактически ведёт профилирование клиентов для таргетированной рекламы — самостоятельная цель, требующая отдельной записи и, как правило, согласия по ст. 9 ФЗ-152.
- Не указана трансграничная передача. Использование Google Analytics 4, Salesforce, HubSpot с серверами за пределами РФ — трансграничная передача, требующая уведомления РКН до начала передачи (ст. 12 ФЗ-152).
- Устаревшие сведения об ответственном. Сотрудник, указанный в уведомлении, уволился, а новое уведомление об изменении сведений подано не было. Это фиксируется при проверке как неактуальность реестровой записи.
- Меры защиты не соответствуют УЗ. В уведомлении заявлен УЗ-3, однако фактически отсутствует часть базовых мер по Приказу ФСТЭК № 21 — предписание об устранении с последующей проверкой.
При плановой или внеплановой проверке РКН оценивает не только наличие уведомления, но и всю совокупность организационных и технических мер. Проверочные листы охватывают политику обработки ПДн (ст. 18.1 ФЗ-152), наличие согласий (ст. 9), соблюдение требований к хранению (ст. 19), реагирование на обращения субъектов (ст. 20). Профилактический визит — мягкая форма контроля — не приостанавливает деятельность, но фиксирует нарушения для последующего дела.
Если юрист выявил, что компания обрабатывает ПДн без уведомления РКН, — штраф по ч. 10 ст. 13.11 КоАП составит 100 000–300 000 ₽. Подать уведомление нужно до того, как РКН зафиксирует нарушение: срок включения в реестр — 30 дней с момента подачи, а не с момента начала обработки.
Подготовиться к проверке РКНПрактика: как нарушения реестрового учёта приводили к штрафам
Кейс 1. Производственная компания Приволжского ФО (осень 2025) не подавала уведомление с момента регистрации юридического лица — 8 лет. Обработка ПДн сотрудников и клиентов велась через облачную CRM с серверами в Германии. РКН зафиксировал нарушение по двум основаниям: отсутствие в реестре (ч. 10 ст. 13.11 КоАП) и незафиксированная трансграничная передача (ст. 12 ФЗ-152). Штраф по совокупности составил суммарно несколько сотен тысяч рублей. Уведомление о намерении обрабатывать и уведомление о трансграничной передаче поданы после предписания — без обжалования.
Кейс 2. Юридический департамент торговой сети Центрального ФО (начало 2026) провёл внутренний аудит перед плановой проверкой РКН. Выявлено: уведомление подавалось в 2018 году и с тех пор не обновлялось — несмотря на запуск программы лояльности и мобильного приложения (новые цели, биометрические функции СКУД). Юристы DATUM помогли подать уведомление об изменении сведений и подготовить комплект ОРД до начала проверки. Проверка завершилась предписанием об устранении двух замечаний без административного дела.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверим уведомление, ОРД и меры защиты по чек-листу 38 пунктов
- Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания
- Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП
Частые вопросы
1. Как подготовиться к проверке РКН?
Начните с проверки актуальности записи в реестре на pd.rkn.gov.ru: цели, правовые основания, сведения о трансграничной передаче должны совпадать с реальной обработкой. Параллельно проверьте наличие политики обработки ПДн (ч. 2 ст. 18.1 ФЗ-152), актуальных согласий субъектов, приказа о назначении ответственного по ст. 22.1 и журнала обращений субъектов. РКН при проверке запрашивает эти документы в первую очередь. При плановой проверке уведомление поступает не менее чем за три рабочих дня — этого достаточно, чтобы устранить формальные пробелы, но недостаточно для полноценной подготовки с нуля.
2. Какие индикаторы риска применяет РКН для внеплановых проверок?
Роскомнадзор применяет индикаторы риска — формализованные признаки, при наступлении которых орган вправе назначить внеплановую проверку. К типовым относятся: жалоба субъекта ПДн с конкретными сведениями о нарушении, публикация базы с ПДн в открытом доступе или даркнете, истечение срока устранения нарушений по ранее выданному предписанию. С 2023 года профилактический визит стал самостоятельной формой контроля — он не требует индикатора риска и предполагает консультативный режим без составления протокола.
3. Можно ли отказаться отвечать на запрос РКН?
Нет. Оператор обязан предоставить РКН документы и сведения, необходимые для осуществления государственного контроля, в установленные сроки (ст. 23 ФЗ-152). Непредоставление документов в ходе проверки квалифицируется как воспрепятствование деятельности должностного лица контрольного органа и влечёт самостоятельную административную ответственность. На практике нежелательно даже затягивать ответ без уважительных причин — это фиксируется в акте проверки и учитывается при оценке добросовестности оператора.
4. Что грозит за невыполнение предписания РКН?
Невыполнение предписания об устранении нарушений в установленный срок влечёт ответственность по ч. 1 ст. 19.5 КоАП: для юридических лиц — штраф от 10 000 до 20 000 ₽ либо административное приостановление деятельности. Помимо этого, РКН вправе обратиться в суд с заявлением об ограничении доступа к информационным системам или сайту оператора. Обжалование предписания возможно в вышестоящий орган РКН или в арбитражный суд; оспаривание не приостанавливает исполнение автоматически, поэтому важно подавать жалобу одновременно с ходатайством об обеспечительных мерах.
Итог
Регистрация в реестре операторов ПДн — не разовая процедура, а процесс, который требует поддержания актуальности: при расширении целей обработки, смене ответственного, подключении зарубежных сервисов или запуске новых продуктов необходимо подавать уведомление об изменении сведений. Запись в реестре снижает риск штрафа по ч. 10 ст. 13.11 КоАП, но не заменяет полноценный комплект ОРД и технические меры защиты.
DATUM сопровождает операторов на всех стадиях взаимодействия с Роскомнадзором: от первичной регистрации и актуализации уведомления до представления интересов при проверке и обжалования постановлений по ст. 13.11 КоАП в арбитраже.
11 ноября 2026 года