Перейти к содержанию
инструкция 21 октября 2026 По состоянию на 21 октября 2026

Кто освобождён от уведомления РКН: 5 исключений по ст. 22 ч. 2

Обязанность уведомить Роскомнадзор о намерении обрабатывать персональные данные закреплена ст. 22 ФЗ-152. Ч. 2 той же статьи предусматривает пять закрытых оснований, при которых оператор вправе приступить к обработке без направления уведомления.
Отсутствие в реестре без законного основания — нарушение ч. 10 ст. 13.11 КоАП, штраф 100 000 — 300 000 ₽. Ошибочное применение исключения даёт тот же результат: оператор считается не уведомившим РКН.
→ Если вы юрист и проверяете комплаенс компании — разберём, под какое из пяти оснований подпадает конкретная обработка и что ещё нужно вместо уведомления.

С 30.05.2025 вступили в силу изменения в ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): штраф за неуведомление РКН о намерении обрабатывать ПДн вырос до 100 000 — 300 000 ₽. Параллельно с 01.09.2025 действуют новые требования к согласию субъектов (ФЗ-156 от 24.06.2025): согласие — отдельный документ. Это меняет расчёт применимости ряда исключений по ч. 2 ст. 22. Ниже — пять оснований, условия их применения, типовые ошибки и обязательный минимум документов для каждого случая.

Шаг 1. Установите, какое именно исключение по ч. 2 ст. 22 вы применяете

Ч. 2 ст. 22 ФЗ-152 содержит исчерпывающий перечень. Применение любого из оснований не освобождает оператора от других обязанностей по закону — назначить ответственного (ст. 22.1), принять политику (ст. 18.1), собрать корректные согласия (ст. 9). Уведомление — только одна из обязанностей, не системообразующая.

Пять оснований по ч. 2 ст. 22 ФЗ-152:

  • Основание 1. Обработка ПДн исключительно в рамках трудового законодательства — данные работников обрабатываются только в целях, прямо предусмотренных ТК РФ и иными актами трудового права.
  • Основание 2. Обработка ПДн, полученных оператором при заключении договора с субъектом, — если ПДн не распространяются, не передаются третьим лицам без согласия и используются исключительно для исполнения договора.
  • Основание 3. Обработка ПДн, относящихся к членам (участникам) общественного объединения или религиозной организации, — в рамках их уставной деятельности, при условии что ПДн не распространяются без согласия субъектов.
  • Основание 4. Обработка ПДн, которые субъект сделал общедоступными самостоятельно.
  • Основание 5. Обработка ПДн, включающей только ФИО субъекта, без привязки к иным персональным данным.
«Ст. 22 ч. 2 ФЗ-152 — оператор вправе осуществлять обработку без уведомления уполномоченного органа при наличии одного из перечисленных в данной части оснований. Перечень является закрытым.»

Ключевой практический вопрос: применяется ли исключение в целом ко всей обработке или только к конкретной её части. Если в компании обрабатываются данные работников (основание 1) и одновременно данные клиентов (договорное основание 2) — каждое направление проверяется отдельно. Выход за пределы любого основания обязывает подать уведомление по форме Приказа РКН №180 от 28.10.2022.

Не уверены, под какое основание подпадает ваша обработка?

Если компания применяет исключение «на глаз», без формального анализа — риск штрафа по ч. 10 ст. 13.11 КоАП составляет 100 000 — 300 000 ₽. Юристы DATUM проверят, выполняются ли все условия ч. 2 ст. 22, и при необходимости подготовят уведомление через pd.rkn.gov.ru. Срок — рабочая неделя.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Проверьте условия применения каждого из пяти оснований

Каждое основание содержит внутренние ограничения. Нарушение хотя бы одного — и исключение не работает.

Основание 1 — трудовые отношения. Применяется, если обработка ведётся строго в целях, предусмотренных ТК РФ: приём, перевод, увольнение, зарплата, охрана труда. Типовая ошибка — включать в эту категорию данные кандидатов, которые ещё не стали работниками: соискатели трудовой договор не заключили, трудовые отношения не возникли. Вторая ошибка — использовать данные работников в маркетинге, при передаче в банки-партнёры по зарплатному проекту без отдельного согласия. После 01.09.2025 такое согласие — отдельный документ по ст. 9 ФЗ-152 в редакции ФЗ-156.

Основание 2 — договор с субъектом. Три обязательных условия одновременно: ПДн получены при заключении договора, используются только для его исполнения, не передаются третьим лицам без согласия. Если хоть часть данных клиента передаётся в CRM-систему SaaS-подрядчика за рубежом — это уже трансграничная передача и, возможно, нарушение локализации по ч. 5 ст. 18. Договорное исключение не покрывает такие случаи автоматически.

Основание 3 — уставная деятельность НКО. Применяется только к общественным объединениям и религиозным организациям в отношении их членов. Компании, ТСЖ и кооперативы под это основание не подпадают, если иное прямо не следует из статуса юрлица.

Основание 4 — общедоступные данные. Субъект должен сам разместить данные в открытый доступ. Парсинг с открытых источников, агрегация из публичных профилей или передача третьим лицом — это разные правовые ситуации, и каждая требует отдельной оценки. С 01.09.2025 распространение ПДн требует отдельного согласия по ст. 10.1 ФЗ-152 — даже если данные общедоступны.

Основание 5 — только ФИО. Речь идёт об обработке исключительно фамилии, имени, отчества без привязки к иным данным. На практике это редкий случай: даже контактный телефон или должность делают запись персональными данными в расширенном составе — исключение перестаёт действовать.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — с 01.09.2025 согласие субъекта на обработку ПДн оформляется отдельным документом, не объединяется с договором, офертой или политикой. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Шаг 3. Составьте обязательный минимум ОРД для оператора без уведомления

Отсутствие уведомления не освобождает от организационно-распорядительной документации. Ст. 18.1 ФЗ-152 обязывает любого оператора — независимо от наличия в реестре — принять меры по обеспечению обработки.

Что подготовить оператору, применяющему исключение по ч. 2 ст. 22

  • Политика обработки персональных данных (ст. 18.1 ФЗ-152) — размещена в открытом доступе, содержит цели, категории субъектов, сроки, меры защиты и порядок обращений субъектов.
  • Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) — обязателен для юридических лиц; требования к квалификации — ч. 4 ст. 22.1.
  • Согласия субъектов по ст. 9 ФЗ-152 — отдельный документ с 01.09.2025 (ФЗ-156), если обработка не основана на ином законном основании (договор, закон, жизненный интерес).
  • Локальные акты, регулирующие обработку ПДн работников (если применяется основание 1): положение о защите ПДн работников, согласие на передачу в банк и т. д.
  • Журнал учёта обращений субъектов — для фиксации запросов на доступ, уточнение, уничтожение; срок ответа субъекту — 10 рабочих дней по ст. 20 ФЗ-152.

Ст. 18.1 ч. 2 ФЗ-152 устанавливает минимальный состав политики: категории субъектов, перечень ПДн, цели, правовые основания, способы, сроки обработки и хранения, меры защиты, порядок обращений. Шаблон из интернета, как правило, не отражает специфику конкретного оператора и не содержит актуальных редакционных изменений. После 01.09.2025 политику потребовалось актуализировать с учётом ФЗ-156 и отдельного согласия.

Назначение ответственного по ст. 22.1 — самостоятельная обязанность, не связанная с уведомлением РКН. Если лицо не назначено или приказ не оформлен, это отдельное нарушение при проверке.

Шаг 4. Зафиксируйте применённое основание во внутреннем акте

Практическая ошибка — нигде не фиксировать, на каком основании компания не уведомила РКН. При проверке инспектор запросит обоснование. Устные объяснения в протоколе не работают.

Рекомендуется отразить применённое основание в одном из документов ОРД — например, в положении об обработке ПДн или в приказе о назначении ответственного. Формулировка должна воспроизводить условия применяемого пункта ч. 2 ст. 22 ФЗ-152 и содержать ссылку на конкретные категории субъектов и цели обработки.

Если компания расширяет обработку — добавляет новые категории субъектов, новые цели или начинает передавать данные третьим лицам — основание по ч. 2 ст. 22 может перестать работать. В этот момент нужно подать уведомление в РКН по форме Приказа №180 через портал pd.rkn.gov.ru. Промедление — нарушение ч. 10 ст. 13.11 КоАП.

«Ст. 22 ч. 1 ФЗ-152 — оператор до начала обработки ПДн обязан уведомить уполномоченный орган, если иное не установлено ч. 2. Форма уведомления — Приказ РКН №180 от 28.10.2022. Срок включения в реестр — 30 дней с момента принятия уведомления.»

При изменении сведений об обработке действующий оператор (уже включённый в реестр) обязан направить уведомление об изменении — также по форме Приказа №180. Оператор, применявший исключение и не состоявший в реестре, при выходе за рамки ч. 2 ст. 22 подаёт первичное уведомление о намерении обрабатывать.

Если вы юрист и проверяете документы компании перед проверкой РКН — оцените, зафиксировано ли основание по ч. 2 ст. 22 во внутреннем акте. Без этого любое исключение выглядит как отсутствие уведомления. Юристы DATUM соберут ОРД под ключ с учётом применяемого основания и требований ФЗ-156.

Собрать ОРД под ключ

Шаг 5. Проверьте актуальность исключения при изменении процессов

Исключения по ч. 2 ст. 22 привязаны к конкретным условиям на момент обработки. Бизнес меняется: компания нанимает подрядчика, запускает CRM, начинает передавать данные в рекламные сети. Каждое изменение требует повторной оценки применимости основания.

Типовые триггеры, при которых исключение перестаёт работать: передача ПДн работников в облачный КЭДО-сервис (обработчик по поручению), использование данных клиентов в ретаргетинге, передача реестра участников НКО внешней организации. В каждом случае нужно либо подать уведомление в РКН, либо убедиться, что новый контур обработки покрывается иным основанием.

С 01.07.2025 действуют ужесточённые требования к локализации по ч. 5 ст. 18 ФЗ-152. Перенос первичной записи ПДн граждан РФ на зарубежные серверы — нарушение, которое квалифицируется по ч. 8 ст. 13.11 КоАП, штраф 1 000 000 — 6 000 000 ₽. Это отдельный риск, не связанный с вопросом уведомления, но часто выявляемый одновременно.

Как применяется практика: два сценария

Кейс 1. Юрист производственной компании (Сибирский ФО, начало 2026) провёл внутренний аудит и обнаружил, что компания не уведомила РКН, полагаясь на основание 1 (трудовые отношения). При этом в той же базе хранились данные покупателей — физических лиц по договорам розничной продажи. Основание 1 не покрывало эту часть обработки. По результатам проверки РКН составлен протокол по ч. 10 ст. 13.11 КоАП. Штраф назначен в нижней части диапазона — с учётом добровольного устранения нарушения и первичности.

Кейс 2. Юридический директор медиакомпании (Центральный ФО, осень 2025) зафиксировал в положении об обработке ПДн, что компания применяет основание 2 (договор с авторами контента). Но при проверке РКН установил: ПДн авторов передавались в бухгалтерский аутсорсинг без договора поручения и без согласия. Договорное исключение не распространялось на передачу третьим лицам. Компания получила предписание; договор поручения заключили в течение 10 рабочих дней, уведомление в РКН направили в той же срок — дело не дошло до штрафа.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн, если он не уведомлял РКН?

Отсутствие уведомления не освобождает от ОРД. По ст. 18.1 ФЗ-152 оператор обязан иметь: политику обработки ПДн (опубликованную), приказ о назначении ответственного по ст. 22.1, согласия субъектов с реквизитами по ст. 9 (отдельный документ с 01.09.2025), локальные регламенты и журнал обращений субъектов. Проверяющий запросит все эти документы независимо от наличия записи в реестре РКН.

2. Как составить политику обработки ПДн, чтобы она отражала применяемое исключение по ч. 2 ст. 22?

Политика должна содержать обязательные разделы по ч. 2 ст. 18.1: цели, правовые основания, категории субъектов и ПДн, сроки хранения, меры защиты, порядок обращений. Если компания применяет исключение по ч. 2 ст. 22, в разделе «правовые основания» следует прямо указать соответствующий пункт и пояснить, почему он применим. Шаблоны из открытых источников, как правило, не содержат этой привязки и не учитывают изменения ФЗ-156 от 24.06.2025.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным за организацию обработки ПДн назначается работник оператора-юрлица. Ч. 4 ст. 22.1 предъявляет требования к квалификации: необходимо знание законодательства о ПДн. На практике назначают юриста, специалиста по безопасности или HRD — в зависимости от структуры компании. Ответственный принимает обращения субъектов, взаимодействует с РКН и контролирует исполнение внутренних актов. Его данные вносятся в уведомление по форме Приказа РКН №180, если оператор всё же подаёт уведомление.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Формально — можно, если шаблон актуален и доработан под специфику компании. На практике шаблоны из открытых источников не учитывают: применяемые правовые основания по ст. 6 ФЗ-152, конкретные цели и сроки хранения, требования ФЗ-156 к согласию с 01.09.2025, наличие или отсутствие трансграничной передачи. Инспектор РКН оценивает не форму документа, а его соответствие реальным процессам обработки.

5. Какие согласия нужны работникам и клиентам после 01.09.2025?

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие по ст. 9 ФЗ-152 — отдельный документ. Его нельзя включать в трудовой договор, оферту или политику. Обязательные реквизиты: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн и действий, срок, способ отзыва. Ранее полученные согласия, оформленные в составе других документов, юридически действуют (обратной силы нет), но при обновлении документооборота их нужно переоформить по новым требованиям. Обработка без надлежащего согласия, когда оно требуется, — нарушение ч. 2 ст. 13.11 КоАП, штраф 300 000 — 700 000 ₽.

6. Что происходит, если основание по ч. 2 ст. 22 перестало применяться, а уведомление не подано?

Оператор автоматически нарушает ч. 1 ст. 22 ФЗ-152: обработка идёт без уведомления при отсутствии законного исключения. При обнаружении РКН составляется протокол по ч. 10 ст. 13.11 КоАП. Санкция для юрлица — 100 000 — 300 000 ₽. Подача уведомления после составления протокола не прекращает производство, но может учитываться как смягчающее обстоятельство по ст. 4.2 КоАП.

Итог

Пять оснований по ч. 2 ст. 22 ФЗ-152 — закрытый перечень. Каждое основание применяется только при одновременном выполнении всех его условий. Выход за их границы обязывает подать уведомление по форме Приказа РКН №180. Применение исключения не освобождает от обязанностей по ст. 18.1, ст. 22.1 и ст. 9 ФЗ-152 — пакет ОРД нужен в любом случае.

Практика DATUM по сопровождению операторов с 2014 года показывает: большинство нарушений по ч. 10 ст. 13.11 КоАП — следствие не умысла, а ошибочной трактовки исключений. Формализация основания во внутреннем акте и регулярный пересмотр при изменении процессов снижают этот риск.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

21 октября 2026 года