Перейти к содержанию
инструкция 14 октября 2026 По состоянию на 14 октября 2026

Подача уведомления РКН через pd.rkn.gov.ru с УКЭП

Уведомление Роскомнадзора о намерении обрабатывать персональные данные — обязанность оператора по ст. 22 ФЗ-152. Подаётся через pd.rkn.gov.ru с квалифицированной электронной подписью (УКЭП) или через ЕСИА.
Отсутствие уведомления или его подача с нарушениями влечёт штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 рублей. Если после неуведомления выявлена утечка — штрафы суммируются: ч. 10 + ч. 12–14 в зависимости от числа субъектов.
Если вы юрист, проверяющий комплаенс компании, эта инструкция содержит пошаговый порядок подачи уведомления, перечень обязательных сведений и типовые ошибки. → Разберём вашу ситуацию за одну консультацию.

С 30.05.2025 действует обновлённая редакция ст. 13.11 КоАП с восемнадцатью частями. Неуведомление РКН выделено в самостоятельный состав с отдельной санкцией. Параллельно с 01.09.2025 вступили в силу поправки по согласиям (ФЗ-156 от 24.06.2025): оператор обязан обновить пакет ОРД до подачи уведомления, иначе сведения в реестре расходятся с реальной обработкой. Инструкция охватывает техническую процедуру на pd.rkn.gov.ru, нормативные требования ст. 22 и ст. 18.1 ФЗ-152, а также смежные документы — политику конфиденциальности и приказ о назначении ответственного по ст. 22.1.

Шаг 1. Проверьте, обязаны ли вы уведомлять РКН

Общее правило ст. 22 ФЗ-152: оператор уведомляет РКН до начала обработки персональных данных. Исключения перечислены в ч. 2 ст. 22 — их около двенадцати. Наиболее распространённые: обработка данных работников в рамках трудового договора, обработка без использования средств автоматизации, обработка данных участников религиозных, профессиональных или иных некоммерческих организаций, а также обработка общедоступных данных.

На практике большинство компаний среднего и крупного бизнеса под исключения не подпадают: они используют CRM, HRM-системы, облачные сервисы, ведут рассылки — всё это автоматизированная обработка. Юрист обязан пройти по каждому исключению ч. 2 ст. 22 и зафиксировать вывод письменно. Если хотя бы одна категория обработки не покрывается исключением — уведомление обязательно.

«Ст. 22 ФЗ-152 — оператор до начала обработки персональных данных направляет уведомление в РКН, за исключением случаев, указанных в ч. 2 той же статьи.»

Шаг 2. Подготовьте документы, на которые ссылается уведомление

Уведомление — это не изолированный документ. Его содержание должно совпадать с тем, что зафиксировано в ОРД. Перед подачей убедитесь, что у компании есть актуальные версии следующих документов:

Что подготовить до подачи уведомления

  • Политика обработки персональных данных по ст. 18.1 ФЗ-152 — опубликована на сайте, содержит цели, категории, сроки, меры защиты.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 — с указанием ФИО, должности, контактных данных.
  • Согласия субъектов по ст. 9 ФЗ-152 в редакции, действующей с 01.09.2025 (отдельный документ, реквизиты — ч. 4 ст. 9), если обработка ведётся на основании согласия.
  • Перечень информационных систем персональных данных (ИСПДн) с указанием категорий данных и числа субъектов.
  • Сведения о трансграничной передаче: перечень стран-получателей, цели передачи (если есть — уведомление о трансграничке в РКН подаётся отдельно по ст. 12).

Сведения о правовых основаниях обработки, о мерах обеспечения безопасности, о сроках хранения и об ответственном лице прямо запрашиваются в форме уведомления. Если ОРД не готов — данные внести невозможно без риска указать недостоверные сведения. Недостоверные сведения в реестре — самостоятельный риск при проверке.

Готовите уведомление, но ОРД ещё не собран?

Типичная ситуация для юриста компании: уведомление нужно подать, а политика конфиденциальности устарела или согласия не переоформлены после 01.09.2025. Подача уведомления с несоответствующими ОРД создаёт расхождение, которое РКН выявляет при первой же проверке. Юристы DATUM соберут комплект ОРД — политику, согласия, приказы, регламент — и синхронизируют с данными уведомления.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Получите УКЭП и настройте доступ к pd.rkn.gov.ru

Портал pd.rkn.gov.ru принимает уведомления двумя способами: через ЕСИА (авторизация через Госуслуги) или с применением квалифицированной электронной подписи (УКЭП). Для юридических лиц предпочтительный — и фактически единственный надёжный — способ при отправке уведомления от имени организации: УКЭП руководителя или уполномоченного лица.

Требования к УКЭП: выдаётся аккредитованным удостоверяющим центром, соответствует требованиям ФЗ-63 «Об электронной подписи». Срок действия сертификата должен охватывать дату подачи. Технически: требуется установка криптопровайдера (КриптоПро CSP или аналог) и плагина для браузера. Браузер — Яндекс.Браузер или отечественный браузер с поддержкой ГОСТ-алгоритмов.

Если УКЭП оформлена на руководителя, а уведомление подаёт юрист — необходима доверенность с полномочием подписывать документы в РКН, либо УКЭП должна быть оформлена непосредственно на юриста как на уполномоченное лицо организации. Сертификат с заранее не обозначенными полномочиями может не пройти проверку на портале.

Шаг 4. Заполните форму уведомления по Приказу РКН № 180

Форма уведомления утверждена Приказом РКН № 180 от 28.10.2022. Уведомление содержит следующие обязательные разделы:

  • Сведения об операторе — полное наименование, ИНН, ОГРН, адрес, контактные данные, ФИО руководителя.
  • Цели обработки — по каждой цели отдельно: управление персоналом, исполнение договоров с клиентами, маркетинг, безопасность объектов и т. д.
  • Категории персональных данных — общие, специальные (ст. 10 ФЗ-152), биометрические (ст. 11), данные несовершеннолетних.
  • Категории субъектов — работники, клиенты, контрагенты, посетители сайта, иные.
  • Правовые основания обработки — согласие (ст. 9), договор (ст. 6 п. 5), законодательство и т. д.
  • Перечень действий — сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, уничтожение.
  • Меры обеспечения безопасности — ссылка на ПП РФ № 1119, Приказ ФСТЭК № 21, уровень защищённости.
  • Сведения о трансграничной передаче — страны-получатели, цели, правовые основания (если применимо).
  • Сведения об ответственном — ФИО, контактные данные лица по ст. 22.1 ФЗ-152.
  • Локализация — адрес базы данных, в которой осуществляется первичная запись, систематизация, хранение ПДн граждан РФ (ч. 5 ст. 18 ФЗ-152).

Типовая ошибка — указывать одну общую цель «хозяйственная деятельность» вместо конкретных. РКН при плановой проверке сопоставляет цели из реестра с реальными процессами. Расхождение квалифицируется по ч. 1 ст. 13.11 КоАП: обработка в случаях, не предусмотренных законом, или несовместимая с целями — штраф 150 000–300 000 рублей.

Шаг 5. Подпишите и отправьте уведомление

После заполнения формы на pd.rkn.gov.ru система формирует XML-файл уведомления. Порядок действий: проверьте все разделы, нажмите «Подписать и отправить», подтвердите подпись через криптопровайдер. Система возвращает входящий номер и дату регистрации — сохраните PDF-квитанцию. Это доказательство своевременной подачи при любом последующем споре.

Срок включения в реестр операторов ПДн — 30 дней с даты подачи уведомления (ч. 4 ст. 22 ФЗ-152). В течение этого времени РКН проверяет форму уведомления. Если сведения неполные — приходит запрос на уточнение. Уточнение подаётся через тот же портал, также с УКЭП.

После включения в реестр оператор обязан уведомлять РКН об изменении сведений — в течение 10 рабочих дней со дня изменения (ч. 7 ст. 22). Изменилась цель обработки, появилась трансграничная передача, сменился ответственный — всё это требует отдельного уведомления об изменении через ту же форму на pd.rkn.gov.ru.

«Ст. 22 ч. 7 ФЗ-152 — при изменении сведений, указанных в уведомлении, оператор уведомляет РКН в течение 10 рабочих дней со дня изменения.»

Какие ошибки при подаче уведомления создают риск штрафа?

Проверочная практика РКН выявляет три систематических нарушения при работе с реестром операторов.

Первое: уведомление не подано вообще. Это напрямую ч. 10 ст. 13.11 КоАП — штраф 100 000–300 000 рублей. Компания работает годами, обрабатывает ПДн клиентов и работников, но в реестре отсутствует. При внеплановой проверке — после жалобы субъекта или утечки — РКН выявляет это первым делом.

Второе: уведомление подано, но реестр устарел. Компания открыла новое направление, начала использовать CRM, запустила программу лояльности — а уведомление об изменении не подавала. Формально обработка ведётся сверх заявленных целей, что квалифицируется по ч. 1 ст. 13.11.

Третье: несоответствие между уведомлением и реальными документами. В уведомлении указана локализация в РФ, а фактически данные хранятся на зарубежном облаке. Это одновременно нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и достаточное основание для штрафа по ч. 8 ст. 13.11 от 1 000 000 до 6 000 000 рублей.

Как применяется ст. 22.1 ФЗ-152 при назначении ответственного?

Ст. 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить лицо, ответственное за организацию обработки персональных данных. Это не синоним DPO в европейском понимании, но функционально близко: ответственный получает обращения субъектов, отвечает за ведение ОРД, взаимодействует с РКН.

Требования к кандидату: ч. 4 ст. 22.1 устанавливает, что ответственным не может быть лицо, имеющее неснятую судимость за преступления против государственной власти, в сфере экономики и ряд других. В остальном — это внутренний выбор компании: им может быть юрист, специалист по ИБ или выделенный сотрудник.

Контактные данные ответственного указываются в уведомлении РКН. Это публичная информация — субъекты вправе обращаться напрямую. Если ответственный уволился или сменился, компания обязана обновить уведомление в течение 10 рабочих дней.

Если вы юрист и видите, что ответственный по ст. 22.1 не назначен или уведомление в реестре не соответствует реальной обработке — каждый день промедления это период действия нарушения. DATUM предоставляет DPO-аутсорсинг: берёт функцию ответственного на абонентское обслуживание и обновляет реестровые данные.

Подключить DPO-аутсорсинг

Типовые ситуации при подаче уведомления

Ситуация 1. Компания никогда не подавала уведомление. Юрист при аудите обнаруживает: организация работает три года, ведёт CRM с данными 50 000 клиентов, в реестре РКН отсутствует. Доказательства: выписка реестра pd.rkn.gov.ru, ИНН — не найден. Вероятный исход при проверке: протокол по ч. 10 ст. 13.11, штраф 100 000–300 000 рублей. Стратегия: подать уведомление немедленно — до начала проверки. Добровольное устранение нарушения до составления протокола учитывается судом как смягчающее обстоятельство по ст. 4.2 КоАП.

Ситуация 2. Уведомление есть, но политика конфиденциальности не опубликована или устарела. Реестр показывает оператора, сайт оператора — 404 или страница 2020 года без раздела про ст. 9 согласие-2025. При проверке по ч. 3 ст. 13.11 (штраф 30 000–60 000 рублей) и по ч. 1 (обработка с нарушением требований). Стратегия: синхронизировать политику с уведомлением, опубликовать на сайте до начала проверочных мероприятий.

Ситуация 3. Уведомление подано, но не обновлено после изменений. Компания подключила облачный сервис аналитики с хранением данных за рубежом — трансграничная передача не задекларирована в уведомлении. Вероятный исход: ч. 1 ст. 13.11 за несоответствие целям + потенциально ч. 8 за нарушение локализации. Стратегия: подать уведомление об изменении сведений по ст. 22 ч. 7, параллельно оформить уведомление о трансграничке по ст. 12.

Как это применяется на практике

Кейс 1. Торговая компания (Сибирский ФО, осень 2025): юрист при подготовке к аудиту обнаружил, что уведомление в реестре подавалось в 2019 году и не обновлялось. За прошедшее время появились CRM, мобильное приложение и рассылочный сервис с передачей данных в облако. Уведомление об изменении сведений подано с УКЭП, политика конфиденциальности обновлена под ФЗ-156. Проверка РКН, инициированная жалобой субъекта, завершилась предписанием без штрафа — нарушение устранено до её начала.

Кейс 2. IT-компания (Центральный ФО, начало 2026): при корпоративном аудите выявлено отсутствие приказа об ответственном по ст. 22.1 и несоответствие реестровых данных фактическим ИСПДн. Юрист сформировал полный пакет ОРД, обновил уведомление через pd.rkn.gov.ru. По итогам плановой проверки РКН — без нарушений, дело прекращено. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД включает: политику обработки ПДн по ст. 18.1 ФЗ-152, опубликованную на сайте; приказ о назначении ответственного по ст. 22.1; согласия субъектов по ст. 9 в редакции с 01.09.2025 — отдельным документом с обязательными реквизитами ч. 4 ст. 9; регламент реагирования на запросы субъектов; журнал учёта обращений; акты об уничтожении ПДн. Полный перечень — около 38 документов в зависимости от характера обработки.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, перечисленные в ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, категории субъектов и данных, перечень действий, сроки хранения и уничтожения, меры обеспечения безопасности, порядок реализации прав субъектов. Политика публикуется в открытом доступе — на сайте или в точке обращения. Отсутствие публикации — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 рублей.

3. Кого назначить ответственным по ст. 22.1?

Ответственным может быть любой работник организации, не имеющий ограничений по ч. 4 ст. 22.1 ФЗ-152. На практике это юрист, специалист по ИБ или отдельный сотрудник. Допускается аутсорсинг: привлечение внешней организации по гражданско-правовому договору. В этом случае ответственность за организацию обработки остаётся на операторе, внешний исполнитель — это функциональный инструмент.

4. Можно ли использовать шаблон политики из интернета?

Технически — можно за основу, юридически — опасно. Большинство шаблонов не отражают конкретные цели и процессы компании, не обновлены под ФЗ-156 от 24.06.2025 и не содержат раздел о согласиях в редакции с 01.09.2025. Политика, скопированная без адаптации, формально присутствует, но создаёт расхождение с реальной обработкой — именно это РКН квалифицирует как нарушение.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн должно оформляться отдельным документом — его нельзя включать в тело договора, оферты или политики конфиденциальности (ФЗ-156 от 24.06.2025, поправки в ч. 1 ст. 9 ФЗ-152). Обязательные реквизиты согласия: ФИО субъекта, контактные данные, наименование и реквизиты оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва. Ранее полученные согласия, встроенные в договоры, не переоформляются автоматически — нужна юридическая оценка конкретных документов.

Итог

Подача уведомления через pd.rkn.gov.ru с УКЭП — не разовая процедура, а элемент текущего комплаенса. Реестровые данные должны отражать реальную обработку: изменилась цель, появился новый сервис, сменился ответственный — обновите уведомление в течение 10 рабочих дней. Несоответствие уведомления и ОРД создаёт риск по ч. 1, ч. 3 и ч. 10 ст. 13.11 КоАП одновременно.

DATUM сопровождает операторов при подаче и обновлении уведомлений, формирует ОРД в соответствии с требованиями ФЗ-152 и проверяет синхронность реестровых данных с реальными процессами. Практика по 152-ФЗ с 2014 года.

Есть вопрос по уведомлению РКН или составу ОРД?

Если вы юрист, проверяющий комплаенс, и видите расхождения между реестром, политикой и реальной обработкой — каждое расхождение это отдельный состав по ст. 13.11 КоАП. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года: аудит, ОРД, сопровождение РКН, DPO-аутсорсинг.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

14 октября 2026 года