Перейти к содержанию
инструкция 21 октября 2026 По состоянию на 21 октября 2026

Кто обязан подавать уведомление в Роскомнадзор по ст. 22

Уведомление РКН по ст. 22 ФЗ-152 — обязанность оператора персональных данных, не подпадающего ни под одно из восьми исключений ч. 2 той же статьи.
Нарушение обязанности — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП (редакция с 30.05.2025). Реестр операторов РКН содержит сведения о целях, правовых основаниях и категориях обрабатываемых данных: расхождение реальной обработки с реестром создаёт самостоятельный риск по ч. 1 ст. 13.11.
→ Если вы юрист, которому нужно за один сеанс проверить, должна ли компания стоять в реестре, и собрать полный комплект ОРД, — эта инструкция даёт пошаговый маршрут.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи, оборотный штраф за повторную утечку достигает 500 млн ₽. На этом фоне вопрос «кто обязан уведомить РКН» перестал быть формальным: неверный ответ стоит от 100 000 ₽ в первый раз и существенно дороже при повторном нарушении. Ниже — семь шагов, которые позволяют юристу дать компании точный ответ и исполнить обязанность корректно.

Шаг 1. Установите, является ли компания оператором ПДн

Оператор по ст. 3 ФЗ-152 — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных, а также определяет цели и содержание обработки. Ключевой критерий — самостоятельное определение целей. Если компания обрабатывает данные исключительно по инструкции другого лица и не определяет цели, она является обработчиком (лицом, действующим по поручению), а не оператором.

На практике операторами являются: работодатели (данные работников), интернет-магазины (данные покупателей), медицинские организации (данные пациентов), банки и МФО (данные заёмщиков), SaaS-сервисы, определяющие цели своей обработки. Обработчик (например, облачный провайдер, кол-центр на аутсорсе, бухгалтерская компания) уведомление подаёт только в отношении той обработки, цели которой определяет самостоятельно.

Шаг 2. Проверьте, подпадает ли компания под исключения ч. 2 ст. 22 ФЗ-152

Ч. 2 ст. 22 ФЗ-152 содержит закрытый перечень случаев, когда уведомление не требуется. Перед подачей уведомления проверьте каждый пункт. Исключения применяются только если компания обрабатывает данные исключительно в рамках одного из указанных оснований — без выхода за его пределы.

«Ст. 22 ч. 2 ФЗ-152 устанавливает закрытый перечень исключений: данные только работников оператора; данные по договору с субъектом без передачи третьим лицам и без общедоступных баз; данные только для пропускного режима (без передачи); однократная передача данных по запросу без баз; специальные категории при жизненно важных интересах; данные общественных объединений; обезличенные данные. Если компания вышла за рамки хотя бы одного исключения — уведомление обязательно.»

Типичная ошибка: компания считает, что подпадает под исключение «данные только работников», но параллельно ведёт базу клиентов или контрагентов. В этом случае исключение не работает — уведомление подаётся по всем целям обработки.

Не уверены, должна ли ваша компания стоять в реестре РКН?

Если юрист ещё не провёл полный анализ оснований, а регуляторный риск уже реален — DATUM проверит статус компании, выявит несоответствия и подготовит уведомление под ключ. Неуведомление при обязанности стоит 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП (редакция с 30.05.2025).

Проверить обязанность уведомить

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Определите цели обработки и правовые основания по ст. 6 ФЗ-152

Уведомление описывает не компанию в целом, а конкретные цели обработки. Перед заполнением формы составьте реестр целей: кадровый учёт, исполнение договоров с клиентами, маркетинговые рассылки, видеонаблюдение, обработка данных контрагентов и т. д. Для каждой цели укажите правовое основание по ст. 6 ФЗ-152 — согласие (п. 1), договор с субъектом (п. 5), исполнение обязанности (п. 2) и иные из 11 оснований.

Если цели обработки сформулированы избыточно широко («в любых законных целях») или не соответствуют реальным операциям, РКН при проверке квалифицирует это как нарушение принципа целевого ограничения по ст. 5 ФЗ-152. Практически важно: уведомление должно отражать фактическую обработку, а не желаемую.

Шаг 4. Подготовьте документы, необходимые до подачи уведомления

Уведомление — не первый документ, а последний на этапе подготовки. До его подачи необходимо сформировать базовый комплект ОРД, поскольку инспектор РКН при документарной проверке запрашивает именно его. Отсутствие документов создаёт самостоятельные основания для штрафа по ч. 3 ст. 13.11 КоАП (отсутствие политики) и иным частям.

Что подготовить до подачи уведомления

  • Политика обработки персональных данных — с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152: цели, правовые основания, состав ПДн, сроки обработки, меры защиты.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 — с указанием конкретного физического лица и его обязанностей.
  • Согласия субъектов в формате отдельного документа по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (требование действует с 01.09.2025): отдельно от договора, оферты, политики.
  • Перечень лиц, допущенных к обработке ПДн, и обязательства о неразглашении.
  • Инструкция (регламент) по обработке ПДн для подразделений, которые фактически работают с данными.

Шаг 5. Заполните и подайте уведомление через портал РКН

Форма уведомления о намерении обрабатывать ПДн утверждена Приказом РКН №180 от 28.10.2022. Подача — через личный кабинет на pd.rkn.gov.ru с использованием ЕСИА (Госуслуги) или УКЭП. В уведомлении указываются: полное и сокращённое наименование оператора, ИНН, адрес, цели обработки, категории субъектов и ПДн, правовые основания, способы обработки, описание мер защиты, сведения об ответственном по ст. 22.1, информация о трансграничной передаче.

После подачи уведомления оператор включается в реестр в течение 30 дней. До включения в реестр обработку начинать не запрещено — уведомление подаётся о намерении, а не по факту. Однако если обработка уже ведётся без уведомления — это нарушение ч. 10 ст. 13.11 КоАП.

При изменении сведений (смена адреса, расширение целей, новые категории ПДн) оператор обязан направить уведомление об изменениях. При прекращении обработки — уведомление о прекращении. Формы для обоих случаев также установлены Приказом РКН №180.

Если компания ведёт обработку больше года, а уведомление не подавалось или реестровые сведения устарели — риск штрафа по ч. 10 ст. 13.11 актуален прямо сейчас. DATUM проверит реестр, актуализирует уведомление и соберёт ОРД под ключ.

Собрать ОРД под ключ

Шаг 6. Назначьте ответственного за организацию обработки ПДн по ст. 22.1

Ст. 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. Это физическое лицо (работник или привлечённый специалист), которое обеспечивает соблюдение требований закона, проводит внутренний контроль, ознакомляет работников с нормами и доводит требования до структурных подразделений. Требования к квалификации установлены ч. 4 ст. 22.1.

Ответственный указывается в уведомлении РКН. Его контактные данные публикуются на сайте оператора. Отсутствие назначенного ответственного — самостоятельное нарушение, которое РКН фиксирует при любой форме проверки. Если штатного специалиста нет, функцию можно передать на аутсорсинг: ст. 22.1 не запрещает привлечение внешнего DPO при условии оформления поручения и наличия реальных полномочий.

Шаг 7. Приведите согласия субъектов в соответствие с требованиями с 01.09.2025

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом. Его нельзя встраивать в трудовой договор, оферту, политику конфиденциальности или иной документ иного назначения. Обязательные реквизиты согласия: ФИО субъекта и контактные данные, наименование и адрес оператора, цель обработки, перечень обрабатываемых ПДн, перечень действий с ними, срок действия и способ отзыва.

Согласия, полученные до 01.09.2025, обратной силы не имеют — переоформлять их не требуется, если они соответствовали требованиям на момент получения. Но при обновлении форм или получении новых согласий после 01.09.2025 — только отдельный документ. Для юриста это означает ревизию всех форм на сайте, в CRM и в кадровом делопроизводстве.

Как выглядит практика: два сценария из работы юристов по 152-ФЗ

Сценарий 1. Дистрибьюторская компания (Сибирский ФО, начало 2026) не подавала уведомление в РКН с момента основания, ссылаясь на исключение «данные только работников». При этом компания вела базу клиентов в CRM и направляла маркетинговые рассылки. Юрист при плановой проверке внутренней документации выявил несоответствие: исключение ч. 2 ст. 22 ФЗ-152 на клиентскую базу не распространяется. Уведомление было подано до прихода РКН. Нарушение ч. 10 ст. 13.11 зафиксировано не было, так как инспекция прошла после включения в реестр.

Сценарий 2. Сервисная компания (Центральный ФО, лето 2025) стояла в реестре РКН, однако после масштабирования продукта начала передавать данные пользователей зарубежному аналитическому сервису. Трансграничная передача в уведомлении не была отражена. РКН при внеплановой проверке квалифицировал это как нарушение ч. 1 ст. 13.11 КоАП (обработка за пределами заявленных целей и способов). Штраф составил сумму в нижней части диапазона по ч. 1 ст. 13.11 в действующей редакции. Юрист помог оспорить размер, ссылаясь на первичность нарушения и возможность применения ст. 4.1 КоАП.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный комплект включает: политику обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1, согласия субъектов в формате отдельного документа по ст. 9 (с 01.09.2025 — требование ФЗ-156), перечень лиц с доступом к ПДн и их обязательства о неразглашении, регламент работы с ПДн для подразделений, уведомление РКН с подтверждением о включении в реестр. Дополнительно для компаний с УЗ-3 и выше — документы по Приказу ФСТЭК №21 и ПП РФ №1119.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания по ст. 6 ФЗ-152, категории обрабатываемых ПДн, перечень третьих лиц и основания передачи, сроки обработки и критерии их определения, порядок уничтожения ПДн, меры защиты, порядок обработки запросов субъектов. Шаблоны из открытых источников, как правило, не отражают реальную обработку конкретной компании и создают риск при проверке — политика должна описывать фактические процессы.

3. Кого назначить ответственным по ст. 22.1?

Ответственный по ст. 22.1 ФЗ-152 — это конкретное физическое лицо с квалификацией в области защиты ПДн. Штатный юрист, специалист по ИБ или привлечённый внешний DPO — все варианты допустимы. Главное условие: у лица должны быть реальные полномочия и доступ к информации об обработке. Назначение номинального ответственного без фактических функций не защищает от штрафа, если РКН установит, что контроль обработки фактически никем не осуществляется.

4. Можно ли использовать шаблон политики из интернета?

Формально — да, если шаблон содержит все обязательные разделы по ч. 2 ст. 18.1 ФЗ-152 и актуализирован под поправки 2025 года. На практике универсальные шаблоны не учитывают специфику конкретной компании: типы ПДн, каналы сбора, перечень третьих лиц, сроки хранения. РКН при проверке сравнивает политику с реальной обработкой — расхождение создаёт основание для штрафа по ч. 3 ст. 13.11 КоАП и по существу нарушения.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется только как отдельный документ — не встроенный в договор, оферту или политику. Обязательные реквизиты: ФИО и контакты субъекта, наименование и адрес оператора, цель, перечень ПДн, перечень действий, срок и способ отзыва. Для биометрии, специальных категорий и данных для распространения — дополнительно самостоятельные согласия по ст. 10, 10.1, 11 ФЗ-152.

6. Что будет, если уведомление подано, но реестровые сведения устарели?

Оператор обязан актуализировать уведомление при изменении любого из указанных сведений — целей, способов, категорий ПДн, ответственного, трансграничной передачи. Расхождение реестровых данных с фактической обработкой квалифицируется РКН как обработка за пределами заявленных целей по ч. 1 ст. 13.11 КоАП — штраф 150 000–300 000 ₽ в первый раз, 300 000–500 000 ₽ при повторном нарушении по ч. 1.1.

Итог

Обязанность уведомить РКН по ст. 22 ФЗ-152 распространяется на большинство компаний, обрабатывающих ПДн: исключения из ч. 2 ст. 22 узки и применимы только при строгом соответствии их условиям. Семь шагов этой инструкции охватывают полный цикл — от установления статуса оператора до актуализации согласий под требования ФЗ-156 от 24.06.2025.

DATUM сопровождает операторов на всех этапах: от первичного анализа обязанности уведомить до формирования полного комплекта ОРД, назначения ответственного по ст. 22.1 и сопровождения проверок РКН.

Смотрите также

Нужно уведомить РКН или собрать ОРД под ключ?

Подготовить уведомление РКН

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.

21 октября 2026 года