инструкция 21 ноября 2026 По состоянию на 21 ноября 2026

Проверка статуса уведомления в реестре РКН

Оператор ПДн обязан уведомить Роскомнадзор до начала обработки персональных данных — это требование ст. 22 ФЗ-152. Отсутствие в реестре или устаревшие сведения создают основание для штрафа по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 рублей.

С 30.05.2025 действует новая редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): проверки РКН стали системными, а санкции — кратно выше. Юрист, который сопровождает комплаенс компании, должен уметь проверить статус уведомления, выявить расхождения и оценить риски до того, как это сделает инспектор.

→ Если вы юрист и отвечаете за соответствие 152-ФЗ в компании — ниже пошаговый порядок проверки реестра, типовые расхождения и стратегия их устранения.

Реестр операторов ПДн на pd.rkn.gov.ru — публичный инструмент, который РКН использует как отправную точку при плановых и внеплановых проверках. По данным Роскомнадзора, в 2024 году зафиксировано более 135 случаев утечек персональных данных. В 2025 году практика назначения штрафов по обновлённой ст. 13.11 КоАП начала формироваться: суды уже вынесли первые постановления по ч. 12 и ч. 14 за крупные утечки. Проверка статуса уведомления — первый шаг любого аудита соответствия 152-ФЗ, и именно с него начинается защита от административных санкций.

Шаг 1. Найдите запись в реестре операторов ПДн

Зайдите на pd.rkn.gov.ru — официальный портал Роскомнадзора. В разделе «Реестр операторов» введите ОГРН или ИНН организации. Поиск по наименованию менее надёжен: компании с похожими названиями создают ложные совпадения.

Если запись найдена, зафиксируйте: регистрационный номер оператора, дату включения в реестр и статус. Если запись не найдена — компания либо не подавала уведомление, либо подала с ошибками в реквизитах. Оба варианта образуют состав по ч. 10 ст. 13.11 КоАП.

«Ст. 22 ФЗ-152 обязывает оператора уведомить РКН о намерении обрабатывать персональные данные до начала такой обработки. Форма уведомления установлена Приказом РКН № 180 от 28.10.2022. После подачи уведомления РКН включает оператора в реестр в течение 30 дней.»

Если запись есть, но данные компании изменились (смена адреса, наименования, видов деятельности), оператор обязан направить уведомление об изменении сведений — по той же форме Приказа РКН № 180. Отсутствие актуализации при проверке приравнивается к нарушению.

Шаг 2. Сверьте содержание уведомления с фактической обработкой

Реестровая запись содержит перечень целей обработки, категории ПДн, категории субъектов, способы обработки, сроки хранения и меры защиты. Каждый из этих параметров надо сопоставить с тем, что компания делает фактически.

Типовые расхождения, которые юрист обнаруживает при сверке:

Цели обработки в реестре — только «трудовые отношения», а фактически компания обрабатывает данные клиентов, покупателей, пользователей сайта.
В реестре не указана трансграничная передача, но компания использует зарубежные SaaS-сервисы (аналитика, CRM, рассылки).
Категории ПДн в реестре — только общие, а фактически обрабатываются специальные (здоровье, судимость) или биометрические.
Сроки хранения в реестре — «до достижения целей», но внутренние регламенты устанавливают конкретные сроки, которые не отражены.
Способы обработки — только автоматизированные, а на практике ведётся неавтоматизированная обработка (бумажные документы, личные дела).

Каждое расхождение — потенциальное нарушение принципа законности и конкретности целей по ст. 5 ФЗ-152. При проверке РКН инспектор сопоставляет реестровую запись с документами и фактической деятельностью. Расхождение фиксируется в акте.

Нашли расхождения между реестром и фактической обработкой?

Если юрист выявил, что содержание уведомления не совпадает с реальной практикой компании — это расхождение необходимо устранить до проверки РКН. Неуведомление об изменениях образует состав по ч. 10 ст. 13.11 КоАП: штраф для юрлица 100 000–300 000 рублей. Промедление с актуализацией реестра увеличивает риск при внеплановой проверке, которую РКН вправе инициировать в любой момент.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте наличие и содержание политики обработки ПДн

Наличие в реестре — необходимое, но недостаточное условие. Параллельно оператор обязан опубликовать политику обработки персональных данных по требованиям ч. 2 ст. 18.1 ФЗ-152. Отсутствие политики или её несоответствие обязательным разделам образует отдельный состав по ч. 3 ст. 13.11 КоАП: штраф для юрлица 30 000–60 000 рублей.

Политика должна содержать как минимум: наименование и контакты оператора, цели и правовые основания обработки, перечень обрабатываемых категорий ПДн, порядок и условия обработки, права субъектов и порядок их реализации, сведения об ответственном за обработку по ст. 22.1 ФЗ-152.

«Ст. 18.1 ФЗ-152 обязывает оператора принять документ, определяющий политику в отношении обработки персональных данных, обеспечить неограниченный доступ к нему — для организаций, осуществляющих сбор ПДн с использованием информационно-телекоммуникационных сетей, это означает размещение на сайте.»

Типичная ошибка — использование шаблона политики из открытых источников без адаптации под реальную деятельность компании. Шаблон, скопированный без изменений, не отражает фактические цели, категории ПДн и способы обработки. При проверке это квалифицируется как формальное неисполнение требования, а не содержательное соответствие. Кроме того, политика должна совпадать по содержанию с реестровой записью — расхождения между двумя документами создают дополнительный риск.

Шаг 4. Проверьте назначение ответственного по ст. 22.1 ФЗ-152

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных, — это требование ст. 22.1 ФЗ-152. Назначение оформляется приказом руководителя. Реквизиты ответственного (ФИО, должность, контакты) должны быть доступны субъектам ПДн — как правило, через политику конфиденциальности или отдельный раздел на сайте.

Проверьте три параметра: приказ о назначении существует и актуален; ответственный фактически выполняет функцию (ознакомлен с требованиями, ведёт журналы обращений субъектов); контактные данные ответственного опубликованы или доступны по запросу.

Отсутствие назначенного ответственного при проверке РКН фиксируется как нарушение ст. 18.1 ФЗ-152 и влечёт предписание об устранении. При повторной проверке — штраф по ч. 3 ст. 13.11 КоАП. Если функция ответственного передана на аутсорсинг, необходимо проверить наличие договора поручения обработки по ст. 6 ФЗ-152 с перечнем передаваемых полномочий.

Шаг 5. Проверьте согласия субъектов в соответствии с требованиями с 01.09.2025

С 01.09.2025 вступил в силу ФЗ-156 от 24.06.2025, изменивший ч. 1 ст. 9 ФЗ-152. Согласие на обработку персональных данных теперь должно оформляться отдельным документом — его нельзя включать в трудовой договор, оферту, договор-присоединение или политику конфиденциальности. Ранее полученные согласия, встроенные в другие документы, утратили силу с точки зрения соответствия новым требованиям для вновь собираемых данных. Обратной силы у ФЗ-156 нет, но все новые согласия с 01.09.2025 должны соответствовать обновлённым требованиям.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 устанавливает обязательные реквизиты согласия: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия, способ его отзыва. Согласие оформляется отдельным документом.»

Юрист при проверке должен запросить образцы действующих форм согласий по каждому направлению: для работников, для клиентов, для пользователей сайта, для участников программ лояльности. Каждая форма проверяется на наличие всех обязательных реквизитов и на то, что она существует как самостоятельный документ, а не часть другого.

Отдельно необходимо проверить согласие на распространение персональных данных — оно регулируется ст. 10.1 ФЗ-152 и требует отдельной формы с явным указанием разрешённых действий. Молчание субъекта не означает согласия на распространение.

Если вы юрист и проверяете согласия компании, собранные до 01.09.2025 — часть из них требует замены новыми формами. Штраф за обработку без надлежащего согласия по ч. 2 ст. 13.11 КоАП составляет 300 000–700 000 рублей для юрлица. Юристы DATUM собирают пакет согласий под новые требования ФЗ-156 и сверяют его с реестровой записью.

Заказать аудит 152-ФЗ

Что подготовить к проверке РКН: итоговый чек-лист

Что подготовить

Выписку из реестра операторов ПДн с pd.rkn.gov.ru с актуальной датой и сопоставление с фактической обработкой по всем параметрам (цели, категории, способы, сроки).
Актуальную политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованную на сайте компании.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с актуальными реквизитами сотрудника или аутсорсера.
Формы согласий субъектов ПДн в редакции с 01.09.2025 (ФЗ-156) — отдельные документы для каждой категории субъектов (работники, клиенты, пользователи сайта).
Журнал учёта обращений субъектов ПДн с входящими запросами и ответами за последние 12 месяцев (срок ответа — 10 рабочих дней по ст. 20 ФЗ-152).

Как это работает на практике: типовые сценарии для юриста

Сценарий 1. Компания в реестре, но запись устарела. Юрист торговой компании (Сибирский ФО, осень 2025) при подготовке к плановой проверке обнаружил: в реестре указана только цель «кадровое делопроизводство», тогда как компания два года обрабатывает данные покупателей в программе лояльности. Инспектор РКН при проверке зафиксировал расхождение. Оператор направил уведомление об изменении сведений до даты проверки и представил подтверждение подачи — это позволило снизить квалификацию с ч. 1 ст. 13.11 до предписания об устранении. Стратегия: актуализировать реестровую запись до начала проверки, сохранить доказательства подачи уведомления.

Сценарий 2. Реестровой записи нет. IT-компания (Центральный ФО, начало 2026) обратилась к юристу после получения уведомления о внеплановой проверке РКН. Выяснилось, что уведомление о намерении обрабатывать ПДн не подавалось с момента регистрации компании — три года. Был возбуждён протокол по ч. 10 ст. 13.11 КоАП (штраф 100 000–300 000 рублей для юрлица). Уведомление подали немедленно, что суд учёл как смягчающее обстоятельство. Для микропредприятия применялась ст. 4.1.1 КоАП — замена штрафа на предупреждение. Стратегия: подать уведомление немедленно, зафиксировать дату, подготовить доказательства отсутствия ущерба субъектам.

Сценарий 3. Согласия встроены в договор, проверка после 01.09.2025. Ритейлер (Уральский ФО, осень 2025) использовал согласие клиентов на обработку ПДн в тексте договора купли-продажи. После 01.09.2025 такое согласие не соответствует требованиям ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. При проверке РКН это квалифицировалось бы по ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 рублей). Юрист разработал отдельные формы согласий и обновил точки сбора данных. Стратегия: не дожидаться проверки — провести аудит форм согласий и заменить все встроенные согласия отдельными документами.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка реестра, ОРД и согласий по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия, приказы, журналы в соответствии с актуальными требованиями
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), формы согласий субъектов (ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025), договоры поручения обработки с подрядчиками (ст. 6 ФЗ-152), журнал учёта обращений субъектов. Полный комплект ОРД насчитывает порядка 38 документов в зависимости от деятельности оператора.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, установленные ч. 2 ст. 18.1 ФЗ-152: наименование и контакты оператора, цели и правовые основания обработки, перечень категорий ПДн и субъектов, способы и условия обработки, порядок реализации прав субъектов, сведения об ответственном по ст. 22.1. Содержание политики должно совпадать с реестровой записью. Использование готового шаблона без адаптации под фактическую деятельность компании — одна из наиболее частых причин предписаний по результатам проверок РКН.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Закон не устанавливает требований к должности или квалификации ответственного — ч. 4 ст. 22.1 ФЗ-152 указывает только, что это лицо должно быть осведомлено о требованиях законодательства. На практике назначают юриста, офицера безопасности или руководителя административного департамента. Возможен аутсорсинг функции по договору поручения. В этом случае необходимо убедиться, что договор чётко разграничивает полномочия и ответственность сторон перед РКН.

4. Можно ли использовать шаблон политики из интернета?

Шаблон допустим только как основа для адаптации. Политика, скопированная без изменений, как правило, не отражает фактические цели, категории ПДн и способы обработки конкретной компании. При проверке РКН инспектор сопоставляет политику с реестровой записью и фактической деятельностью — расхождения фиксируются в акте. Кроме того, шаблоны не учитывают изменения, внесённые ФЗ-156 от 24.06.2025, и требования к отдельному согласию с 01.09.2025.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) должно быть отдельным документом с обязательными реквизитами: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Согласие нельзя встраивать в трудовой договор, оферту или политику. Для распространения ПДн требуется отдельная форма по ст. 10.1 ФЗ-152. Ранее полученные согласия, оформленные по старым правилам, сохраняют силу для уже начатой обработки — обратной силы у ФЗ-156 нет.

Итог

Проверка статуса уведомления в реестре РКН — это не разовая процедура, а регулярный элемент комплаенса по 152-ФЗ. Реестровая запись должна отражать фактическую обработку: цели, категории, способы, подрядчиков, трансграничные передачи. Расхождения между реестром и действительностью при проверке РКН превращаются в основание для протокола по ст. 13.11 КоАП с 30.05.2025 в редакции ФЗ-420 — санкции существенно выросли.

Юристы DATUM сопровождают аудит соответствия 152-ФЗ, актуализацию реестровых записей и разработку полного комплекта ОРД — включая формы согласий в соответствии с требованиями ФЗ-156 от 24.06.2025.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.