Категории ПДн в уведомлении: как не указать лишнего
С 30.05.2025 статья 13.11 КоАП действует в расширенной редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи. Контрольная проверка состава категорий в уведомлении стала первым пунктом в чек-листе РКН при плановых и внеплановых проверках. Ниже — пошаговый разбор: какие категории существуют по ФЗ-152, как соотнести их с реальной обработкой, что исключить, чтобы не расширять предмет проверки, и как зафиксировать принятое решение в ОРД.
Шаг 1. Разберитесь, какие категории ПДн выделяет ФЗ-152
Федеральный закон «О персональных данных» разграничивает три режима обработки в зависимости от чувствительности сведений. Юристу важно знать эту классификацию, прежде чем открывать форму уведомления на pd.rkn.gov.ru.
Общие ПДн — фамилия, имя, отчество, дата рождения, адрес, телефон, email, должность, стаж и аналогичные сведения, не подпадающие под специальный режим. Их обработка допускается по любому из 11 оснований ст. 6 ФЗ-152, в том числе без согласия — если это нужно для исполнения договора или выполнения обязанности по закону.
Специальные категории по ст. 10 ФЗ-152 — расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья и интимная жизнь, судимость. Обработка по общему правилу запрещена; допускается только в исчерпывающем перечне исключений п. 2 ст. 10. Если компания не попадает ни в одно исключение — специальные категории вообще не должны присутствовать в уведомлении.
Биометрические ПДн по ст. 11 ФЗ-152 — сведения, характеризующие физиологические и биологические особенности человека, по которым его можно идентифицировать: фото лица, голос, отпечатки пальцев, радужка глаза, ДНК. Обработка — только при наличии письменного согласия субъекта (за рядом исключений п. 2 ст. 11). Хранение биометрии в целях идентификации в контрольно-пропускных системах подчиняется отдельному режиму; размещение в ЕБС — ФЗ-572 от 29.12.2022.
На практике юристы допускают две ошибки. Первая — включают в уведомление специальные или биометрические категории «на всякий случай», не соотнося с реальной обработкой. Вторая — не включают общие категории, которые фактически обрабатываются (например, геолокацию или сведения о доходах). Обе ошибки одинаково опасны при проверке.
Шаг 2. Проведите инвентаризацию фактической обработки до заполнения формы
Уведомление заполняется по каждой цели обработки отдельно. Перед тем как открыть форму Приказа РКН №180 от 28.10.2022, зафиксируйте, что компания реально делает с персональными данными.
Составьте внутренний реестр операций обработки. Для каждой операции определите: кто субъект (сотрудник, клиент, контрагент, посетитель сайта), какие конкретно поля собираются, для какой цели, на каком правовом основании, в каких системах хранятся. Это займёт от одного дня для малого бизнеса до нескольких недель для компании с несколькими информационными системами.
Что проверить перед заполнением уведомления
- Перечислите все ИСПДн (1С, CRM, ERP, кадровую систему, сайт, мобильное приложение) и состав полей в каждой.
- Сопоставьте каждое поле с классификацией ФЗ-152: общие / специальные / биометрические.
- Проверьте, есть ли правовое основание по ст. 6 (или ст. 10, ст. 11) для каждой категории.
- Убедитесь, что специальные категории обрабатываются только при наличии исключения по ст. 10 ФЗ-152.
- Зафиксируйте результат инвентаризации в акте или служебной записке с датой и подписью ответственного.
Результат инвентаризации — это ваш рабочий документ. Категории в уведомлении должны точно отражать этот документ: ни больше, ни меньше. РКН при проверке сравнивает заявленный состав с реальными системами. Расхождение в любую сторону — основание для протокола.
Уведомление готово, но не уверены в составе категорий?
Если вы юрист и сейчас готовите или пересматриваете уведомление — расхождение между заявленными категориями и реальной обработкой выявляется только при структурированной инвентаризации. Это именно та ошибка, которую РКН фиксирует в первую очередь. Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов: от состава категорий в уведомлении до соответствия политики конфиденциальности и пакета ОРД.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Заполните форму уведомления: правила для каждой категории
Форма уведомления установлена Приказом РКН №180 от 28.10.2022. Подаётся через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок включения в реестр — 30 дней с момента подачи (ч. 4 ст. 22 ФЗ-152).
Общие ПДн. Заполняйте перечень строго по инвентаризации. Не указывайте категории «про запас». Если компания собирает ФИО, дату рождения, телефон, email и место работы — именно эти поля и указываются. Включение адреса регистрации без фактической обработки расширяет предмет проверки без оснований.
Специальные категории. Если компания — медицинская организация или работодатель, который обрабатывает медицинские справки для допуска к работе, — специальные категории (состояние здоровья) обоснованы. Указывайте только те подвиды специальных ПДн, которые реально обрабатываются. Например, если HR хранит листки временной нетрудоспособности, но не собирает сведения о религиозных взглядах — последние в уведомление не включаются.
Биометрические ПДн. Это самая рискованная категория для юриста-практика. Многие ошибочно включают в биометрию сканы паспортов и фотографии в личных делах. По разъяснениям РКН, фотография является биометрией только тогда, когда она используется для идентификации личности (например, в СКУД с функцией распознавания лиц). Фото для оформления пропуска без автоматической идентификации — общие ПДн. Включение биометрии в уведомление без фактического применения специальных технологий идентификации — частая ошибка, которая усложняет проверку.
Шаг 4. Проверьте согласованность уведомления с политикой и ОРД
Уведомление — только один документ из системы ОРД. Категории ПДн, заявленные в реестре РКН, должны совпадать с тем, что написано в политике обработки ПДн, в согласиях субъектов и в регламентах работы с данными. Любое расхождение между этими документами — повод для штрафа по ч. 3 ст. 13.11 КоАП (за ненадлежащую политику) или по ч. 1 (за обработку вне заявленных целей и категорий).
Политика обработки ПДн по ст. 18.1 ФЗ-152 должна содержать перечень обрабатываемых категорий. Если в уведомлении указаны «специальные категории — состояние здоровья», а в политике этот раздел отсутствует — несоответствие очевидно при первом же запросе инспектора.
Согласия по ст. 9 ФЗ-152 — ещё один контрольный рубеж. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом и не может быть включено в текст договора, оферты или политики. В тексте согласия обязательно указывается перечень ПДн. Если в согласии указаны «состояние здоровья», а в уведомлении этой категории нет — это расхождение. И наоборот.
Ответственный по ст. 22.1 ФЗ-152 должен контролировать актуальность уведомления. При изменении состава обрабатываемых категорий (запустили новую ИСПДн, изменили процессы) — уведомление обновляется через портал РКН. Срок для уведомления об изменениях — в рамках той же формы Приказа РКН №180.
Какие типичные ошибки выявляет РКН при проверке категорий?
Инспекторы РКН при проверке сравнивают три источника: данные реестра операторов, политику конфиденциальности на сайте и реальные системы обработки. Ниже — три сценария из практики.
Сценарий 1. Компания включила биометрические ПДн без фактической обработки. Торговая компания (Центральный ФО, весна 2025) указала в уведомлении биометрические ПДн, потому что в офисе стоял турникет с фотофиксацией. При проверке выяснилось, что система не использует автоматическое распознавание лиц — фото не обрабатываются программно для идентификации. РКН зафиксировал несоответствие: заявленная категория шире фактической обработки. Компания получила предписание и штраф в сотни тысяч рублей по ч. 1 ст. 13.11 КоАП. Ситуацию усугубило отсутствие правового основания для биометрии в политике обработки ПДн.
Сценарий 2. Специальные категории в уведомлении без правового основания. Небольшая производственная компания (Приволжский ФО, осень 2024) указала в уведомлении «состояние здоровья» как категорию ПДн, ссылаясь на хранение медицинских книжек. Правовое основание для специальных категорий по ст. 10 ФЗ-152 в ОРД не было закреплено. Инспектор РКН запросил подтверждение исключения из п. 2 ст. 10 — документы не были готовы. Итог: протокол по ч. 1 ст. 13.11 КоАП. Стратегия для таких случаев — заблаговременно зафиксировать правовое основание в регламенте и политике ещё до включения специальных категорий в уведомление.
Сценарий 3. Уведомление устарело после запуска нового сервиса. IT-компания (Северо-Западный ФО, начало 2025) запустила мобильное приложение с функцией геолокации, не обновив уведомление в реестре РКН. При обращении субъекта ПДн с запросом РКН провёл проверку и выявил расхождение: приложение собирало геолокацию, не заявленную в уведомлении. Штраф — по ч. 1 ст. 13.11 КоАП. Своевременное обновление уведомления через форму Приказа РКН №180 заняло бы час — обжалование протокола потребовало трёх месяцев.
Если вы юрист и выявили расхождение между уведомлением и реальной обработкой — нужно действовать до плановой проверки РКН: обновить реестровую запись, синхронизировать политику и пересобрать согласия под требования ФЗ-156 от 24.06.2025. Юристы DATUM соберут комплект ОРД под ключ и подадут уточнённое уведомление.
Собрать ОРД под ключУслуги DATUM по теме
- Комплект ОРД под ключ — 38 документов: политика, согласия, приказы, регламенты.
- Аудит соответствия 152-ФЗ — проверка уведомления, ОРД и реальной обработки по 38 пунктам.
- DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 на абонентском обслуживании.
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1, согласия субъектов по ст. 9 (с 01.09.2025 — отдельный документ по ФЗ-156), приказ о назначении ответственного по ст. 22.1, регламент реагирования на запросы субъектов и утечки, а также журналы учёта запросов и инцидентов. На практике полный пакет ОРД включает от 30 до 38 документов в зависимости от масштаба обработки.
2. Как составить политику обработки ПДн?
Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна содержать: цели обработки, правовые основания, перечень обрабатываемых категорий ПДн, порядок и условия обработки, права субъектов и порядок их реализации, меры по обеспечению безопасности, срок хранения. Политика публикуется в открытом доступе (сайт, стенд, личный кабинет). Шаблон из интернета без адаптации к реальным процессам компании создаёт расхождение с уведомлением и фактической обработкой.
3. Кого назначить ответственным по ст. 22.1?
Ответственным за организацию обработки ПДн по ст. 22.1 ФЗ-152 может быть штатный сотрудник или внешний специалист (DPO-аутсорсинг). Требования к квалификации установлены ч. 4 ст. 22.1: знание законодательства в области ПДн, умение организовать внутренний контроль. Назначение оформляется приказом. Ответственный представляет компанию при взаимодействии с РКН, отвечает на запросы субъектов в течение 10 рабочих дней (ст. 20 ФЗ-152) и контролирует актуальность уведомления.
4. Можно ли использовать шаблон политики из интернета?
Использовать шаблон как отправную точку — допустимо. Но публиковать без адаптации — нет. РКН при проверке сопоставляет политику с реальными системами обработки и уведомлением. Типовой шаблон не отражает ни ваши конкретные ИСПДн, ни состав категорий, ни сроки хранения, ни перечень третьих лиц, которым передаются ПДн. Несоответствие — основание для штрафа по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽ для юрлица за отсутствие или ненадлежащую политику).
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн по ст. 9 ФЗ-152 оформляется отдельным документом и не может быть частью договора, оферты или политики конфиденциальности. Обязательные реквизиты: наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок согласия, способ отзыва. Ранее полученные согласия обратной силы закон не имеет — переоформлять их не требуется, но новые отношения с субъектами требуют нового формата. Согласие на распространение ПДн по ст. 10.1 ФЗ-152 — всегда отдельный документ вне зависимости от даты.
6. Что делать, если уведомление в реестре устарело?
Если состав обрабатываемых категорий изменился — подайте уведомление об изменении сведений через портал pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022. Срок не установлен жёстко, но действовать нужно до начала обработки по новым категориям. Промедление при выявлении расхождения инспектором — отягчающее обстоятельство. Штраф за обработку ПДн без уведомления о намерении обрабатывать — по ч. 10 ст. 13.11 КоАП: 100 000–300 000 ₽ для юрлица.
Итог
Категории ПДн в уведомлении — не техническая строка, а граница проверки. Избыточно заявленные категории расширяют предмет контрольного мероприятия; недостающие создают основание для протокола по ч. 1 ст. 13.11 КоАП. Оба варианта решаются одинаково: инвентаризация реальной обработки, сопоставление с классификацией ФЗ-152 и синхронизация уведомления с политикой и согласиями.
Юристы DATUM сопровождают операторов при уведомлении РКН, аудите соответствия и сборке полного пакета ОРД — от инвентаризации обработки до подачи уточнённого уведомления через портал pd.rkn.gov.ru.
21 октября 2026 года