Перейти к содержанию
инструкция 25 октября 2026 По состоянию на 25 октября 2026

ООО без сотрудников: нужно ли уведомление РКН

Любое ООО, которое обрабатывает персональные данные хотя бы одного физического лица — контрагента, партнёра, посетителя сайта — является оператором ПДн по ст. 3 ФЗ-152 и обязано встать на учёт в Роскомнадзоре.
Отсутствие трудовых договоров не исключает обязанности по ст. 22 ФЗ-152: уведомление РКН нужно подать до начала обработки. Пропуск — штраф до 300 000 ₽ по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025).
→ Если вы юрист сопровождаете ООО без штата или сами руководите такой компанией — проверьте статус в реестре РКН и пакет ОРД по шагам ниже.

С 30.05.2025 вступила в силу обновлённая редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024) с расширенным перечнем составов и возросшими санкциями. Одновременно с 01.09.2025 действует ФЗ-156 от 24.06.2025, изменивший требования к форме согласия по ст. 9 ФЗ-152. Для ООО без наёмных работников эти изменения практически значимы: даже если компания ведёт деятельность в одиночку — через сайт, CRM, договоры с контрагентами — она обрабатывает ПДн и несёт полную ответственность оператора.

Шаг 1. Установите, является ли ООО оператором ПДн

Оператор ПДн — любое юридическое лицо, которое организует или осуществляет обработку персональных данных (ст. 3 ФЗ-152). Обработка — это любое действие с информацией о физическом лице: сбор, хранение, передача, использование, уничтожение. ООО без штатных сотрудников становится оператором, как только оно:

  • принимает заявки через сайт или форму обратной связи;
  • заключает договоры с физическими лицами — самозанятыми, ИП, покупателями;
  • хранит реквизиты контрагентов: ФИО, телефон, email, ИНН физлица;
  • использует CRM, Google Sheets, почтовый ящик с данными клиентов;
  • обрабатывает данные единственного участника (учредителя), если он же — генеральный директор.

Распространённое заблуждение: «у нас нет сотрудников, значит, нет ПДн». Трудовые отношения — лишь одно из оснований обработки. Данные директора-учредителя, контрагентов-физлиц, посетителей сайта — всё это ПДн по ст. 3 ФЗ-152. Если ООО хотя бы одно из действий выше совершает — оно оператор.

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных» (ст. 3 ФЗ-152). Признак — факт обработки, а не наличие трудового договора.

Шаг 2. Проверьте статус в реестре операторов РКН

Реестр операторов ПДн ведётся Роскомнадзором на портале pd.rkn.gov.ru. Уведомление о намерении обрабатывать ПДн подаётся до начала обработки — это требование ч. 1 ст. 22 ФЗ-152. Исключения из обязанности уведомлять перечислены в ч. 2 ст. 22: они касаются узких ситуаций (обработка только в связи с трудовыми отношениями, обработка без средств автоматизации в специальных условиях и т. д.).

Для ООО без сотрудников исключения по ч. 2 ст. 22 применяются редко. Если компания ведёт хоть одну из перечисленных выше операций с ПДн контрагентов или клиентов — она обязана уведомить РКН. Срок включения в реестр после подачи уведомления — 30 дней.

Что проверить перед подачей уведомления

  • Наличие ООО в реестре: поиск по ИНН на pd.rkn.gov.ru.
  • Перечень оснований обработки по ст. 6 ФЗ-152: договор, согласие, закон.
  • Категории обрабатываемых ПДн: общие, специальные (ст. 10), биометрические (ст. 11).
  • Наличие трансграничной передачи: CRM/облако в иностранной юрисдикции — ст. 12 ФЗ-152.
  • Форма подачи уведомления: через ЕСИА или УКЭП по Приказу РКН №180 от 28.10.2022.

Неуведомление или несвоевременное уведомление РКН о намерении обрабатывать ПДн влечёт штраф 100 000 — 300 000 ₽ для юридического лица по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025.

Нет уверенности, нужно ли ООО уведомление в РКН?

Юристы DATUM проверят статус компании в реестре и определят, под какие основания обработки вы подпадаете. Если уведомление просрочено — подготовим документы и подадим с минимальным риском санкций. Неуведомление фиксируется на плановых и внеплановых проверках РКН: риск штрафа по ч. 10 ст. 13.11 — 100 000–300 000 ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Назначьте ответственного за обработку ПДн по ст. 22.1

Юридическое лицо обязано назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 ФЗ-152). Для ООО без наёмных работников это означает, что директор назначает себя приказом. Отдельного специалиста не требуется — закон не запрещает совмещение функций руководителя и ответственного.

Требования к ответственному по ч. 4 ст. 22.1 ФЗ-152: он должен получить от оператора все необходимые сведения для исполнения обязанностей, иметь доступ к политике обработки и локальным актам. На практике для ООО без штата достаточно приказа о назначении директора ответственным с перечнем его функций: взаимодействие с субъектами, ведение журнала обращений, мониторинг инцидентов.

«Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных» (ст. 22.1 ФЗ-152). Отсутствие приказа о назначении — фиксируемый РКН недостаток при проверке.

Если ООО планирует расширяться или директор хочет делегировать функцию — возможен DPO-аутсорсинг: внешний специалист по договору выполняет обязанности ответственного. Стоимость в DATUM — от 30 000 ₽ в месяц.

Шаг 4. Разработайте политику обработки персональных данных

Политика обработки ПДн — документ, обязательный по ст. 18.1 ФЗ-152. Оператор обязан опубликовать её в открытом доступе — разместить на сайте или предоставить иным образом неограниченному кругу лиц. Для ООО без сотрудников, ведущего деятельность через сайт, это означает ссылку в подвале страницы.

Обязательное содержание политики по ч. 2 ст. 18.1 ФЗ-152:

  • наименование и контактные данные оператора;
  • цели обработки ПДн и правовые основания по ст. 6 ФЗ-152;
  • категории субъектов и перечень обрабатываемых ПДн;
  • порядок и условия обработки, включая сроки хранения;
  • права субъектов ПДн и порядок их реализации;
  • сведения о трансграничной передаче, если она есть (ст. 12 ФЗ-152);
  • описание мер защиты по ст. 19 ФЗ-152.

Невыполнение обязанности по опубликованию политики — состав по ч. 3 ст. 13.11 КоАП, штраф для юридического лица 30 000 — 60 000 ₽. Использование шаблона из интернета без адаптации под реальные процессы — риск: при проверке РКН инспектор сверяет политику с фактическими основаниями обработки.

Если у ООО без сотрудников политика скопирована из интернета или не размещена на сайте — это фиксируемое нарушение при проверке РКН. Юристы DATUM разработают политику под конкретные процессы компании и разместят её корректно.

Собрать ОРД под ключ

Шаг 5. Оформите согласия субъектов ПДн по требованиям с 01.09.2025

С 01.09.2025 действуют изменённые требования к форме согласия на обработку ПДн (ФЗ-156 от 24.06.2025, поправки в ч. 1 ст. 9 ФЗ-152). Согласие теперь оформляется отдельным документом — его нельзя включать в текст договора, политики конфиденциальности или публичной оферты.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

  • ФИО субъекта и его контактные данные;
  • наименование и реквизиты оператора;
  • конкретная цель обработки;
  • перечень персональных данных, на обработку которых даётся согласие;
  • перечень действий с ПДн и способы обработки;
  • срок действия согласия или условие его прекращения;
  • способ отзыва согласия.

Для ООО без наёмных работников согласие чаще всего нужно при обработке ПДн через форму на сайте, в маркетинговых рассылках и при работе с физическими лицами — клиентами. Ранее полученные согласия, включённые в договоры до 01.09.2025, обратной силы не теряют — переоформлять их не требуется. Новые согласия с 01.09.2025 должны соответствовать обновлённым требованиям.

«Обработка персональных данных осуществляется с согласия субъекта» (ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025). Согласие — отдельный документ; нарушение требований к составу влечёт ч. 2 ст. 13.11 КоАП: 300 000 — 700 000 ₽ для юрлица.

Какие типовые ситуации возникают у ООО без сотрудников?

Практика показывает три характерных сценария для компаний без штата.

Сценарий 1. ООО работает через сайт, уведомления в РКН нет. Директор единственной компании ведёт онлайн-продажи: принимает заявки через форму на сайте, хранит данные в Google Таблицах, выставляет счета физическим лицам. Уведомление в РКН не подавалось — «казалось, что это для больших компаний». При внеплановой проверке РКН по жалобе клиента инспектор фиксирует: отсутствие в реестре (ч. 10 ст. 13.11), отсутствие политики конфиденциальности на сайте (ч. 3 ст. 13.11), согласие включено в форму заявки без выделения отдельным документом (ч. 2 ст. 13.11). Совокупный штраф — три самостоятельных состава. Стратегия: подать уведомление до проверки, разместить политику, переработать форму сайта.

Сценарий 2. ООО заключает договоры с самозанятыми, приказа о назначении ответственного нет. Компания привлекает самозанятых исполнителей: собирает ФИО, ИНН, реквизиты карт. Это обработка ПДн физических лиц. Приказ о назначении ответственного по ст. 22.1 ФЗ-152 не оформлялся. РКН при плановой проверке запрашивает пакет ОРД: политику, приказ о назначении ответственного, журнал обращений субъектов. Отсутствие приказа — нарушение ст. 18.1 ФЗ-152. Вероятный исход: предписание об устранении в 30 дней. Стратегия: издать приказ немедленно, сформировать полный пакет ОРД.

Сценарий 3. ООО использует зарубежную CRM без уведомления о трансграничной передаче. Директор ведёт клиентскую базу в иностранном SaaS-сервисе (например, HubSpot или Notion). Данные физических лиц-клиентов хранятся на серверах за рубежом. Это трансграничная передача ПДн по ст. 12 ФЗ-152: до передачи данных в страну, не обеспечивающую адекватную защиту, оператор обязан уведомить РКН. Уведомление не подавалось. Нарушение ч. 5 ст. 18 ФЗ-152 о локализации добавляет риск ч. 8 ст. 13.11 КоАП — штраф 1 000 000 — 6 000 000 ₽. Стратегия: оценить страну регистрации провайдера, подать уведомление о трансграничной передаче, рассмотреть переход на российский аналог.

Как это применяется на практике

Кейс 1. В Сибирском федеральном округе (весна 2026) юрист сопровождал ООО с единственным участником-директором, оказывающее консультационные услуги через сайт. Компания два года работала без уведомления в РКН. После обращения в DATUM был сформирован полный пакет ОРД: политика конфиденциальности, приказ о назначении директора ответственным по ст. 22.1, форма согласия субъекта по требованиям ФЗ-156. Уведомление по форме Приказа РКН №180 подано до плановой проверки. Нарушений на проверке не выявлено.

Кейс 2. В Центральном федеральном округе (осень 2025) микропредприятие без штатных сотрудников получило предупреждение вместо штрафа по ч. 3 ст. 13.11 КоАП за отсутствие политики на сайте. Суд применил ст. 4.1.1 КоАП: первичное нарушение, отсутствие вреда субъектам, статус микропредприятия. После замены штрафа компания в течение недели разместила политику и подала уведомление в РКН. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет для ООО без сотрудников включает: уведомление о намерении обрабатывать ПДн (ст. 22 ФЗ-152), политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), формы согласий субъектов (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025), журнал учёта обращений субъектов, оценку вреда субъектам. Полный комплаентный пакет по стандарту DATUM составляет 38 документов.

2. Как составить политику обработки ПДн?

Политика должна содержать реквизиты оператора, цели и правовые основания обработки по ст. 6 ФЗ-152, категории субъектов и данных, сроки хранения, права субъектов, порядок их реализации и описание мер защиты по ст. 19 ФЗ-152. Шаблоны из открытых источников требуют адаптации под конкретные процессы компании — иначе при проверке РКН инспектор выявит расхождение между политикой и фактической обработкой, что само по себе образует нарушение ст. 18.1 ФЗ-152.

3. Кого назначить ответственным по ст. 22.1?

В ООО без наёмных работников ответственным по ст. 22.1 ФЗ-152 назначается директор. Это оформляется приказом с перечнем функций: взаимодействие с субъектами ПДн, ведение журнала обращений, контроль инцидентов, взаимодействие с РКН. Закон не запрещает совмещение должностей. Альтернатива — DPO-аутсорсинг: внешний специалист по гражданско-правовому договору исполняет обязанности ответственного.

4. Можно ли использовать шаблон политики из интернета?

Формально — да, закон не запрещает использовать шаблоны. Практически — нет: типовой шаблон описывает обработку в организации с кадровым делопроизводством, интернет-магазином, колл-центром. Для ООО без штата с иными основаниями обработки такая политика создаёт несоответствие. РКН при проверке сверяет политику с реальными данными реестра уведомления. Расхождение — нарушение ст. 18.1 ФЗ-152, состав по ч. 3 ст. 13.11 КоАП.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн — отдельный документ с обязательными реквизитами: ФИО и контакты субъекта, наименование оператора, цель, перечень ПДн и действий с ними, срок, способ отзыва. Включение согласия в текст договора или оферты недопустимо. Ранее полученные согласия переоформлять не требуется — поправки не имеют обратной силы. Нарушение требований к составу согласия — ч. 2 ст. 13.11 КоАП: 300 000 — 700 000 ₽ для юрлица.

6. Что будет, если ООО без сотрудников вообще ничего не сделает?

При плановой или внеплановой проверке РКН зафиксирует несколько самостоятельных составов: отсутствие в реестре (ч. 10 ст. 13.11, до 300 000 ₽), отсутствие политики (ч. 3, до 60 000 ₽), нарушение требований к согласию (ч. 2, до 700 000 ₽). Составы независимы — штрафы суммируются. Повторное нарушение по ч. 2 влечёт ч. 2.1 ст. 13.11 КоАП — 1 000 000 — 1 500 000 ₽. Для микропредприятий при первичном нарушении возможна замена на предупреждение по ст. 4.1.1 КоАП — но только если нет вреда субъектам и нарушение первичное.

Итог

ООО без наёмных сотрудников является оператором ПДн с момента, когда начинает обрабатывать данные хотя бы одного физического лица — клиента, контрагента, посетителя сайта. Обязанности оператора — уведомление РКН, политика конфиденциальности, назначение ответственного по ст. 22.1, корректные согласия — возникают независимо от наличия трудовых договоров. Несоблюдение в совокупности образует несколько самостоятельных составов по ст. 13.11 КоАП.

Юристы DATUM формируют пакет ОРД для ООО без штата за фиксированную стоимость, подают уведомление через pd.rkn.gov.ru и сопровождают первую проверку РКН.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.