инструкция 21 ноября 2026 По состоянию на 21 ноября 2026

НКО и общественные объединения: уведомление РКН

НКО и общественные объединения — полноценные операторы персональных данных по ст. 3 ФЗ-152. Обязанность уведомить Роскомнадзор до начала обработки ПДн распространяется на них в той же мере, что и на коммерческие организации.

За отсутствие в реестре операторов ПДн грозит штраф до 300 000 ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025). Если юрист проверяет комплаенс НКО, он обнаружит: большинство объединений работают без уведомления, без политики и без назначенного ответственного — три самостоятельных нарушения.

→ Эта инструкция проведёт через 6 шагов: от проверки обязанности уведомить до актуальных требований к согласиям с 01.09.2025 по ФЗ-156.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей — ФЗ-420 от 30.11.2024 кардинально пересмотрел санкции за нарушения в сфере ПДн. НКО и общественные объединения, которые ведут реестры членов, обрабатывают заявления, проводят опросы или рассылки, обязаны пройти полный цикл постановки на учёт. Если юрист сопровождает такую организацию, шесть шагов ниже закрывают базовый комплаенс.

Шаг 1. Есть ли обязанность уведомить РКН?

По ст. 22 ФЗ-152 оператор обязан уведомить Роскомнадзор до начала обработки персональных данных. НКО подпадает под исключение только в одном случае: если обрабатывает ПДн исключительно участников или членов организации и не передаёт их третьим лицам (п. 2 ч. 2 ст. 22 ФЗ-152). На практике это исключение крайне узкое.

Если НКО собирает заявки от волонтёров, обрабатывает данные жертвователей, ведёт переписку с партнёрами или публикует ФИО сотрудников на сайте — исключение не применяется. Уведомление обязательно.

«Ст. 22 ФЗ-152 — оператор уведомляет уполномоченный орган о намерении осуществлять обработку ПДн до начала такой обработки. Исключения перечислены в ч. 2 — они касаются строго ограниченных случаев обработки данных членов организации без передачи третьим лицам.»

Первый шаг юриста: составить карту обработки ПДн — кто является субъектом (члены, волонтёры, жертвователи, сотрудники), какие данные собираются, куда передаются. Если хотя бы одна категория субъектов выходит за рамки членов — уведомление подаётся.

Шаг 2. Как подать уведомление в РКН?

Уведомление подаётся через портал pd.rkn.gov.ru по форме, утверждённой Приказом РКН №180 от 28.10.2022. Для подачи потребуется УКЭП организации или авторизация через ЕСИА (Госуслуги). НКО, как правило, работают через ЕСИА — это удобнее.

В уведомлении указываются: наименование и адрес оператора, цели обработки, категории субъектов, перечень ПДн, правовые основания, меры защиты, сведения о трансграничной передаче (если есть), сроки обработки и наименование ответственного по ст. 22.1 ФЗ-152.

«Приказ РКН №180 от 28.10.2022 — устанавливает форму уведомления о намерении осуществлять обработку ПДн. Оператор обязан включить в уведомление сведения о категориях обрабатываемых данных, целях, правовых основаниях и принятых мерах защиты.»

После подачи уведомления РКН в течение 30 дней вносит оператора в реестр (ч. 4 ст. 22 ФЗ-152). До внесения в реестр обработка ПДн формально не начата — для НКО, которые уже работают, это означает, что нарушение фиксируется с первого дня работы без уведомления.

При изменении сведений — смена адреса, расширение целей, новые категории субъектов — оператор подаёт уведомление об изменениях по той же форме. Для НКО, которые расширяют деятельность (добавляют волонтёрские программы, гранты), это регулярная процедура.

Уведомление ещё не подавалось, а деятельность уже ведётся?

Если НКО работает без уведомления в реестре РКН — каждый день обработки ПДн формирует состав нарушения по ч. 10 ст. 13.11 КоАП (штраф 100 000–300 000 ₽). Юристы DATUM соберут пакет ОРД под ключ: уведомление, политику, приказы, согласия — и подадут уведомление в РКН.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Что включить в политику обработки ПДн?

Политика обработки персональных данных — обязательный документ по ч. 2 ст. 18.1 ФЗ-152. Оператор публикует её в открытом доступе: на сайте или на информационном стенде. НКО без сайта размещают документ по месту деятельности.

Обязательное содержание политики по ч. 2 ст. 18.1 ФЗ-152: наименование и контакты оператора, цели обработки, правовые основания, перечень обрабатываемых ПДн, категории субъектов, порядок и условия обработки, права субъектов и порядок их реализации, сроки обработки и хранения, меры защиты, сведения о трансграничной передаче (если есть).

«Ст. 18.1 ФЗ-152, ч. 2 — оператор обязан опубликовать политику в отношении обработки ПДн, которая содержит все категории обрабатываемых данных, цели, сроки и меры защиты. Отсутствие или неполнота политики — состав по ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 ₽.»

Типичная ошибка для НКО: копировать политику из интернета без адаптации под реальную деятельность. РКН при проверке сопоставляет текст политики с уведомлением в реестре и фактической обработкой. Расхождение — отдельное нарушение.

Для общественных объединений с несколькими направлениями деятельности (волонтёры, гранты, массовые мероприятия) целесообразно структурировать политику по категориям субъектов — это упрощает дальнейшее обновление.

Шаг 4. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки ПДн (ст. 22.1 ФЗ-152). Для НКО это требование обязательно — организационно-правовая форма значения не имеет.

Ответственный не обязан быть штатным юристом. Это может быть руководитель, бухгалтер или любой сотрудник, которому оформлено соответствующее назначение. Требования к квалификации закреплены в ч. 4 ст. 22.1: лицо должно понимать законодательство о ПДн и иметь полномочия для взаимодействия с субъектами и РКН.

«Ст. 22.1 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн. Сведения об ответственном указываются в уведомлении РКН (Приказ №180) и во внутренних документах оператора.»

Назначение оформляется приказом руководителя с указанием конкретных обязанностей. Если в НКО нет сотрудников с достаточной компетенцией — функцию ответственного можно передать внешнему исполнителю (DPO-аутсорсинг). Это законная конструкция: оператор несёт ответственность, внешний специалист — выполняет функцию.

Если в НКО нет сотрудника с опытом в 152-ФЗ, а назначить ответственного нужно сейчас — DATUM берёт функцию ответственного по ст. 22.1 на абонентское обслуживание, включая ответы на запросы субъектов и взаимодействие с РКН.

Подключить DPO-аутсорсинг

Шаг 5. Какие согласия субъектов нужны НКО?

С 01.09.2025 согласие на обработку ПДн по ФЗ-156 от 24.06.2025 оформляется отдельным документом. Его нельзя включать в текст договора, устава, заявления о вступлении в НКО или любого другого документа. Согласие — самостоятельный бланк с обязательными реквизитами по ст. 9 ФЗ-152.

Обязательные реквизиты согласия: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия и способ его отзыва. Отсутствие любого реквизита делает согласие ненадлежащим — состав по ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом. Ранее полученные согласия, включённые в другие документы, не требуют обязательного переоформления — обратной силы нет, но новые согласия собираются только по новым правилам.»

Для НКО особенно важны три типа согласий: согласие членов организации (если обработка выходит за пределы ст. 22 ч. 2 п. 2), согласие волонтёров на обработку данных при регистрации, согласие на распространение ПДн по ст. 10.1 ФЗ-152 — если организация публикует ФИО, фотографии или биографии участников. Последнее требует отдельного документа с явным перечнем разрешённых действий.

Согласия, полученные до 01.09.2025 в составе других документов, переоформлять не требуется. Но если НКО планирует обновлять формы — новые документы обязаны соответствовать актуальным требованиям.

Шаг 6. Как организовать реагирование на запросы субъектов и инциденты?

По ст. 20 ФЗ-152 оператор обязан ответить на запрос субъекта в течение 10 рабочих дней с даты обращения (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта). Для НКО, где нет выделенного юриста, нужен назначенный ответственный и журнал входящих запросов.

При утечке или инциденте с ПДн — 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152) и 72 часа на отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Срок не восстанавливается. Неуведомление — штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

«Ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН №187 от 14.11.2022 — при выявлении утечки оператор уведомляет РКН в течение 24 часов (первичное), через 72 часа — отчёт о расследовании. Нарушение срока первичного уведомления: ч. 11 ст. 13.11 КоАП, штраф 1–3 млн ₽ для юридического лица.»

НКО должна иметь внутренний регламент реагирования: кто фиксирует инцидент, кто готовит уведомление, кто взаимодействует с РКН. Даже если организация небольшая — отсутствие регламента при проверке РКН расценивается как нарушение ст. 18.1 ФЗ-152 (отсутствие организационных мер).

Типовые ситуации для юриста НКО

Ситуация 1. НКО проводит ежегодный форум: собирает регистрационные формы с ФИО, email, телефоном участников. Согласия на обработку не подписываются — данные считаются «публичными». Нарушение: обработка без правового основания (ч. 1 ст. 13.11 КоАП) и без уведомления РКН (ч. 10). При проверке — два самостоятельных протокола. Стратегия: добавить согласие отдельным документом по ст. 9 ФЗ-152, проверить уведомление в реестре, включить мероприятия в перечень целей обработки.

Ситуация 2. Общественное объединение публикует на сайте фотографии и ФИО волонтёров без их письменного согласия на распространение. С 30.05.2025 нарушение квалифицируется по ч. 2 ст. 13.11 КоАП — отсутствие согласия на обработку ПДн в случаях, когда оно обязательно. Штраф для юрлица — 300 000–700 000 ₽. Стратегия: собрать отдельные согласия по ст. 10.1 ФЗ-152 с явным перечнем разрешённых действий и каналов распространения.

Ситуация 3. Региональная НКО использует иностранный CRM-сервис (облако в ЕС) для хранения контактов членов. С 01.07.2025 требования к локализации ужесточены: запись, хранение и обновление ПДн граждан РФ должны производиться в базах на территории России (ч. 5 ст. 18 ФЗ-152). Нарушение — ч. 8 ст. 13.11 КоАП, штраф 1 000 000–6 000 000 ₽. Стратегия: перейти на российский сервис или обеспечить локализацию первичной базы в РФ с последующей репликацией, уведомить РКН о трансграничной передаче.

Что подготовить НКО для базового комплаенса по 152-ФЗ

Выписка из реестра операторов ПДн с pd.rkn.gov.ru (или поданное уведомление по Приказу РКН №180)
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована в открытом доступе
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) для каждой цели обработки
Регламент реагирования на запросы субъектов и инциденты с ПДн (с журналом входящих обращений)

Что грозит НКО без уведомления и ОРД?

По данным РКН за 2024 год зафиксировано более 135 случаев утечек и нарушений. В 2025 году правоприменение по новым нормам ФЗ-420 активизировалось. Для НКО характерна иллюзия, что небольшой размер организации исключает интерес регулятора. Это не так: РКН проводит как плановые, так и внеплановые проверки по жалобам субъектов — а жалобы на НКО поступают чаще, чем на коммерческие организации, из-за специфики членских баз.

Совокупность типичных нарушений НКО — отсутствие уведомления (ч. 10), отсутствие политики (ч. 3), отсутствие согласий (ч. 2), нарушение локализации при использовании иностранного ПО (ч. 8) — при одной проверке формирует несколько протоколов. Минимальная совокупность штрафов по этим четырём составам: свыше 1 400 000 ₽.

Как применяется ст. 4.1.1 КоАП для НКО?

Для микропредприятий и субъектов малого предпринимательства при первичном нарушении, не причинившем вреда, возможна замена штрафа на предупреждение по ст. 4.1.1 КоАП. НКО, которые не являются субъектами МСП в реестре ФНС, под это исключение не подпадают автоматически.

Вместе с тем суды учитывают смягчающие обстоятельства по ст. 4.1 КоАП: устранение нарушения до рассмотрения дела, добровольное уведомление РКН, содействие проверке. По делам начала 2026 года арбитражные суды фиксировали назначение минимальных санкций НКО, которые добровольно устранили нарушения и представили доказательства принятых мер.

Кейс 1. Некоммерческое партнёрство (Сибирский ФО, осень 2025) использовало зарубежный почтовый сервис для рассылок членам организации — без уведомления о трансграничной передаче и без локализации базы в РФ. По итогам внеплановой проверки РКН возбуждено дело по ч. 8 ст. 13.11 КоАП. Юристы подготовили доказательства принятых мер и перехода на российский сервис до заседания — суд назначил штраф в нижней границе диапазона.

Кейс 2. Общественное движение (Центральный ФО, начало 2026) получило запрос РКН в рамках проверки по жалобе волонтёра. Политика обработки ПДн отсутствовала, согласия были включены в текст заявления о вступлении (нарушение ст. 9 в редакции ФЗ-156). Выявлено три состава нарушения. По рекомендации юриста организация до заседания устранила все нарушения, подала уведомление в РКН и собрала новые согласия — протоколы по ч. 3 и ч. 2 рассмотрены с применением ст. 4.1 КоАП, штрафы снижены до минимальных значений.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов: политика, согласия, приказы, регламенты
Аудит соответствия 152-ФЗ — проверка всей обработки ПДн по чек-листу из 38 пунктов
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН (Приказ №180), политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1, согласия субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — отдельными документами по ФЗ-156), регламент реагирования на запросы субъектов и инциденты. Для организаций, обрабатывающих специальные категории ПДн или биометрию, перечень расширяется.

2. Как составить политику обработки ПДн?

Политика составляется на основе фактической карты обработки ПДн организации. Обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, перечень ПДн и категории субъектов, сроки хранения, меры защиты, права субъектов и порядок их реализации, контакты ответственного. Шаблон из интернета без адаптации создаёт риск: РКН при проверке сопоставляет политику с уведомлением и фактической обработкой — расхождение формирует отдельный состав нарушения по ч. 3 ст. 13.11 КоАП.

3. Кого назначить ответственным по ст. 22.1?

Ответственным может быть любой сотрудник организации или внешний специалист (DPO-аутсорсинг). Требования ч. 4 ст. 22.1 ФЗ-152: понимание законодательства о ПДн и полномочия для взаимодействия с субъектами и РКН. Назначение оформляется приказом руководителя. Сведения об ответственном указываются в уведомлении РКН по Приказу №180.

4. Можно ли использовать шаблон политики из интернета?

Шаблон допустим как отправная точка, но не как готовый документ. Политика должна отражать реальную деятельность оператора: конкретные цели, категории субъектов, сроки, правовые основания. РКН при проверке выявляет несоответствие политики уведомлению в реестре и фактической обработке — это самостоятельное нарушение по ч. 3 ст. 13.11 КоАП с штрафом 30 000–60 000 ₽.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн и действий, срок, способ отзыва. Включение согласия в текст заявления о вступлении, устава или договора недопустимо. Ранее полученные согласия переоформлять не нужно — новые правила применяются к документам, составленным после 01.09.2025.

6. Применяются ли к НКО оборотные штрафы по ч. 15 ст. 13.11?

Оборотный штраф по ч. 15 ст. 13.11 КоАП (1–3% годовой выручки, не менее 20 млн ₽) применяется при повторной утечке ПДн по ч. 12–14. Для НКО с небольшой выручкой применяется минимальный порог — 20 млн ₽. Замена на предупреждение по ст. 4.1.1 КоАП к оборотным составам (ч. 15, ч. 18) не применяется.

Итог

НКО и общественные объединения обязаны соблюдать ФЗ-152 в полном объёме. Шесть шагов — уведомление РКН, политика, ответственный, согласия, локализация, реагирование на инциденты — закрывают базовый комплаенс. Типичная ситуация НКО без ОРД при проверке РКН формирует три-четыре самостоятельных нарушения с совокупным штрафом свыше 1 000 000 ₽.

DATUM сопровождает некоммерческие организации по полному циклу: от уведомления в РКН до подготовки к проверке и защите в арбитраже по ст. 13.11 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025.