Перейти к содержанию
инструкция 21 октября 2026 По состоянию на 21 октября 2026

Перечень действий с ПДн в уведомлении РКН

Перечень действий с персональными данными — обязательный раздел уведомления Роскомнадзора по ст. 22 ФЗ-152. Он определяет, что именно оператор делает с данными субъектов.
Если перечень не совпадает с фактической обработкой, РКН квалифицирует расхождение как обработку «в случаях, не предусмотренных законом» — штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽, при повторности — до 500 000 ₽.
Если вы юрист и сейчас готовите или актуализируете уведомление — пройдите по шагам ниже и проверьте каждый пункт перечня против фактических процессов компании.

Ст. 22 ФЗ-152 обязывает оператора уведомить РКН до начала обработки персональных данных. Форма уведомления утверждена Приказом РКН № 180 от 28.10.2022 и содержит отдельный раздел «Перечень действий». Юристы, которые заполняют этот раздел формально — по шаблону из интернета, — создают разрыв между тем, что задекларировано в реестре, и тем, что происходит в информационных системах. Этот разрыв становится основанием для штрафа при первой же плановой или внеплановой проверке. Инструкция ниже разбирает каждый шаг: от сбора данных о фактической обработке до подачи уведомления через pd.rkn.gov.ru.

Что такое перечень действий с ПДн и зачем он нужен в уведомлении?

Перечень действий — это закрытый список операций, которые оператор совершает с персональными данными в рамках заявленных целей. По смыслу ст. 3 ФЗ-152 обработка включает любое действие с данными: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение. Оператор указывает только те действия, которые фактически выполняет.

«Ст. 22 ФЗ-152 — уведомление о намерении осуществлять обработку должно содержать, в том числе, перечень действий с персональными данными, общее описание используемых мер защиты.»

Практическое значение перечня двояко. Во-первых, он устанавливает границы: оператор вправе совершать только задекларированные действия. Если компания начинает передавать данные третьим лицам, не указав «передача» в уведомлении, — это нарушение ч. 1 ст. 13.11 КоАП. Во-вторых, перечень синхронизируется с политикой обработки персональных данных по ст. 18.1 ФЗ-152: расхождение между уведомлением и политикой при проверке РКН трактуется как непоследовательность, которая усиливает подозрение в намеренном сокрытии части обработки.

Шаг 1. Соберите данные о фактической обработке в каждом подразделении

Прежде чем заполнять форму уведомления, юрист обязан получить от бизнес-подразделений описание реальных процессов. Без этого перечень действий будет декларативным и не пройдёт сверку при проверке.

Опросите HR, IT, маркетинг, продажи, бухгалтерию и службу безопасности. Для каждого подразделения зафиксируйте: какие данные получают, из каких источников, что с ними делают, куда передают, когда удаляют. Результат оформите в виде реестра обработки — внутреннего документа, который ляжет в основу уведомления и политики.

Типовые действия, которые чаще всего упускают: автоматизированная обработка при скоринге или сегментации аудитории; передача данных облачным подрядчикам (CRM, HRM, аналитика); обезличивание перед передачей в BI-системы; трансграничная передача, если используются зарубежные SaaS-сервисы.

Нужно подготовить уведомление РКН или привести его в соответствие?

Если юристу компании предстоит впервые сформировать уведомление или обновить устаревшее — типичная ошибка при самостоятельной работе: перечень действий скопирован из шаблона и не отражает реальную обработку. Это основание для штрафа по ч. 1 ст. 13.11 при первой проверке РКН. Юристы DATUM соберут комплект ОРД под ключ, включая корректное уведомление, политику и согласия в соответствии с ФЗ-156 от 24.06.2025.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Сформируйте перечень действий для каждой цели обработки

Уведомление РКН структурировано по целям обработки. Для каждой цели указывается свой перечень действий, категории субъектов, категории данных и правовое основание. Это требование прямо следует из ст. 5 ФЗ-152: обработка допустима только в рамках конкретных, заранее определённых целей.

Типичные цели и соответствующие им действия:

  • Исполнение трудовых обязанностей (работники). Сбор, запись, систематизация, хранение, уточнение, использование, передача (в ФНС, СФР, банк по зарплатному проекту), уничтожение. Если компания использует КЭДО или биометрию в СКУД — добавьте «обезличивание» и «извлечение».
  • Заключение и исполнение договора с клиентами. Сбор, запись, хранение, уточнение, использование, передача (курьерской службе, платёжному агрегатору), уничтожение по истечении срока хранения.
  • Маркетинговые коммуникации. Сбор, запись, систематизация, использование, передача (email-сервис, рекламные платформы), блокирование и уничтожение по отзыву согласия. Обратите внимание: маркетинговая обработка требует отдельного согласия по ст. 10.1 ФЗ-152, если предполагает распространение данных, и отдельного согласия по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — отдельным документом с 01.09.2025.
  • Обеспечение безопасности (СКУД, видеонаблюдение). Сбор, запись, хранение, извлечение, уничтожение по истечении установленного срока.

Избегайте формулировки «иные действия» — РКН при проверке расценивает её как попытку создать неограниченный периметр обработки.

Шаг 3. Проверьте соответствие перечня действий правовым основаниям

Каждое действие в перечне должно иметь правовое основание из ст. 6 ФЗ-152. Наиболее распространённые основания:

  • Согласие субъекта (п. 1 ч. 1 ст. 6) — для маркетинга, cookie-аналитики, необязательных программ лояльности.
  • Исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6) — для клиентских баз при продаже товаров и услуг.
  • Исполнение обязанностей оператора по законодательству РФ (п. 2 ч. 1 ст. 6) — для кадрового учёта, налоговой отчётности.

Если в перечне действий есть «передача», необходимо указать получателей (категории) и правовое основание для каждой передачи. Передача подрядчику по договору поручения обработки регулируется п. 3 ст. 6 ФЗ-152: договор с подрядчиком должен содержать обязательный перечень действий, которые подрядчик вправе совершать. Оператор несёт ответственность за действия подрядчика как за свои.

«Ст. 6 ФЗ-152 — при поручении обработки третьему лицу ответственность перед субъектом несёт оператор; лицо, осуществляющее обработку по поручению, несёт ответственность перед оператором.»

Для специальных категорий данных (ст. 10 ФЗ-152 — состояние здоровья, биометрия) основания обработки — отдельный и более узкий перечень. Если компания обрабатывает медицинские данные или биометрию, это отражается в уведомлении отдельной строкой с указанием специального основания.

Что проверить перед подачей уведомления

  • Перечень действий составлен по каждой цели отдельно, без формулировки «иные действия»
  • Для каждого действия «передача» указан получатель и правовое основание по ст. 6 ФЗ-152
  • Согласия работников и клиентов оформлены отдельными документами согласно ФЗ-156 от 24.06.2025 (обязательно с 01.09.2025)
  • Назначен ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152, сведения о нём внесены в уведомление
  • Политика обработки ПДн опубликована на сайте и совпадает по содержанию с уведомлением (ст. 18.1 ФЗ-152)

Шаг 4. Назначьте ответственного по ст. 22.1 ФЗ-152 до подачи уведомления

Форма уведомления по Приказу РКН № 180 содержит раздел о лице, ответственном за организацию обработки персональных данных. Ст. 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить такое лицо. Без этого раздел уведомления будет неполным, а РКН вправе вернуть уведомление на доработку.

Ответственным может быть штатный сотрудник (юрист, руководитель ИБ, HR-директор) или внешний DPO-аутсорсер. Требования к квалификации установлены ч. 4 ст. 22.1: лицо должно понимать требования законодательства о ПДн и иметь возможность организовать их исполнение. Назначение оформляется приказом руководителя с перечнем обязанностей.

В уведомлении указываются: ФИО, должность, контактные данные ответственного. Если ответственный меняется, оператор обязан подать в РКН уведомление об изменении сведений по той же форме.

Шаг 5. Подготовьте политику обработки ПДн и синхронизируйте её с уведомлением

Ст. 18.1 ФЗ-152 обязывает оператора опубликовать политику обработки персональных данных в открытом доступе — на сайте или на информационных стендах. Политика должна содержать те же цели и действия, что указаны в уведомлении. Расхождение между уведомлением и политикой — типичная находка при проверке РКН.

Обязательные разделы политики по ч. 2 ст. 18.1 ФЗ-152:

  • Наименование и контактные данные оператора
  • Цели обработки и правовые основания по ст. 6 ФЗ-152
  • Перечень категорий субъектов и категорий ПДн
  • Перечень действий с ПДн — идентичный уведомлению
  • Меры по обеспечению безопасности (общее описание, без технических деталей)
  • Права субъектов и порядок их реализации
  • Сроки обработки и критерии их определения

Политика не должна быть формальным документом на 2 страницы. РКН при проверке сопоставляет её содержание с фактическими системами обработки. Политика без раздела о cookie-файлах у компании, которая использует GA4 или Яндекс.Метрику, — нарушение, которое фиксируется автоматически через мониторинговые инструменты регулятора.

Если юрист обнаружил расхождение между уведомлением в реестре РКН и фактической обработкой — у компании есть возможность подать уточнённое уведомление до проверки. Промедление увеличивает риск штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) или ч. 1.1 при повторности (до 500 000 ₽). Юристы DATUM проведут аудит уведомления и актуализируют его в рамках комплекта ОРД.

Заказать аудит 152-ФЗ

Шаг 6. Подайте уведомление через pd.rkn.gov.ru и отслеживайте статус

Уведомление подаётся через личный кабинет оператора на pd.rkn.gov.ru. Для доступа требуется ЕСИА (Госуслуги) или усиленная квалифицированная электронная подпись (УКЭП). Форма — по Приказу РКН № 180 от 28.10.2022.

Срок включения в реестр операторов ПДн после подачи уведомления — 30 дней по ч. 4 ст. 22 ФЗ-152. До включения в реестр оператор уже выполнил обязанность уведомления, если факт подачи подтверждён системой. Ошибка, которую допускают юристы: считают, что обязанность выполнена только после появления в реестре — это не так.

После включения в реестр отслеживайте актуальность сведений. Если меняются цели обработки, перечень действий, категории субъектов, информация об ответственном или иные разделы — необходимо подать уведомление об изменении сведений. Неуведомление об изменениях по смыслу ч. 10 ст. 13.11 КоАП расценивается как ненадлежащее исполнение обязанности по ст. 22 ФЗ-152.

Типичные ситуации: что идёт не так при заполнении перечня действий

Ситуация 1. Юрист производственного предприятия (Сибирский ФО, весна 2025) внёс в уведомление стандартный перечень действий из образца: сбор, хранение, использование, уничтожение. Фактически компания передавала данные работников в аутстаффинговое агентство и банк-партнёр по зарплатному проекту. При плановой проверке РКН зафиксировал отсутствие «передачи» в перечне действий и несоответствие политики уведомлению. Компания получила предписание об устранении и протокол по ч. 1 ст. 13.11 КоАП. Штраф составил сумму в нижней части диапазона 150 000–300 000 ₽, поскольку нарушение было первичным и устранено до вынесения постановления.

Ситуация 2. Юрист IT-компании (Центральный ФО, осень 2025) обнаружил при внутреннем аудите, что уведомление в реестре РКН датировано 2019 годом и не отражает переход на облачную CRM с хранением данных у зарубежного провайдера. Перечень действий не содержал «обезличивание» (используется в аналитике) и «трансграничную передачу». Юрист подал уточнённое уведомление до плановой проверки, одновременно оформив поручение на обработку облачному провайдеру по п. 3 ст. 6 ФЗ-152 и уведомив РКН о трансграничной передаче по ст. 12 ФЗ-152. Проверка прошла без замечаний по этим позициям.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный комплект по ст. 18.1 и ст. 22 ФЗ-152: уведомление в реестре РКН (или обоснование освобождения от уведомления), политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1, согласия субъектов по ст. 9 ФЗ-152, приказ о назначении ответственного по ст. 22.1, инструкции для сотрудников, договоры с подрядчиками по п. 3 ст. 6, журнал учёта обращений субъектов. Всего — не менее 12–15 базовых документов; при полном комплаенсе — порядка 38 позиций.

2. Как составить политику обработки ПДн?

Политика составляется по обязательной структуре ч. 2 ст. 18.1 ФЗ-152 и должна точно отражать уведомление в реестре РКН: совпадать по целям, перечню действий и категориям субъектов. Политика публикуется в открытом доступе — на сайте (обычно в подвале) или на информационных стендах. Использование шаблонов из интернета допустимо как отправная точка, но требует адаптации под фактические процессы компании: РКН сопоставляет политику с реальной инфраструктурой обработки.

3. Кого назначить ответственным по ст. 22.1?

Ответственным может быть любой сотрудник, понимающий требования законодательства о ПДн и способный организовать их исполнение (ч. 4 ст. 22.1 ФЗ-152). На практике это юрист, руководитель службы ИБ или HR-директор. Если в штате нет подходящей кандидатуры — допускается DPO-аутсорсинг. Назначение оформляется приказом; контактные данные ответственного вносятся в уведомление РКН и публикуются в политике.

4. Можно ли использовать шаблон политики из интернета?

Шаблон может служить структурной основой, но не готовым документом. Типичные расхождения: шаблон не содержит актуальных разделов о cookie-файлах и трансграничной передаче, не отражает конкретные информационные системы и подрядчиков компании, не учитывает изменения ФЗ-156 от 24.06.2025 по отдельному согласию с 01.09.2025. Политика, не совпадающая с уведомлением, — нарушение ст. 18.1, фиксируемое при проверке.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн должно оформляться отдельным документом — его нельзя включать в трудовой договор, оферту, пользовательское соглашение или политику конфиденциальности. Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО и контактные данные субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия переоформлять не нужно: ФЗ-156 не имеет обратной силы.

6. Что происходит, если уведомление в реестре устарело?

Если перечень действий или иные разделы уведомления не отражают фактическую обработку, оператор обязан подать уведомление об изменении сведений по Приказу РКН № 180. Ненадлежащее исполнение обязанности по ст. 22 ФЗ-152 квалифицируется по ч. 10 ст. 13.11 КоАП — штраф для юрлица от 100 000 до 300 000 ₽. Самостоятельное устранение несоответствия до проверки снижает риск и может служить смягчающим обстоятельством.

Итог

Перечень действий с персональными данными в уведомлении РКН — не формальность, а юридическая граница допустимой обработки. Расхождение между задекларированным перечнем и фактическими процессами компании создаёт основание для штрафа по ч. 1 ст. 13.11 КоАП уже при первой проверке. Актуализация уведомления, синхронизация его с политикой обработки ПДн и переоформление согласий по требованиям ФЗ-156 с 01.09.2025 — три приоритетных действия для юриста в 2026 году.

Юристы DATUM сопровождают операторов ПДн в части уведомлений РКН, подготовки и актуализации комплектов ОРД, назначения ответственного по ст. 22.1 и прохождения проверок. Практика по 152-ФЗ ведётся в рамках сети «Ветров и партнёры».

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

21 октября 2026 года