Перейти к содержанию
инструкция 18 ноября 2026 По состоянию на 18 ноября 2026

Работа без уведомления РКН: как легализовать

Отсутствие уведомления РКН — это нарушение ст. 22 ФЗ-152, которое с 30.05.2025 фиксируется штрафом до 300 000 руб. по ч. 10 ст. 13.11 КоАП.
По данным РКН, значительная часть операторов работает без регистрации в реестре: уведомление не подано, политика не опубликована, ответственный не назначен. При первой же проверке всё это становится набором самостоятельных составов для протоколов.
→ Если вы юрист и обнаружили, что компания годами обрабатывает ПДн без уведомления РКН — в этой инструкции пошаговый план легализации с нормами и сроками.

Ст. 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор до начала обработки персональных данных. На практике многие компании — особенно основанные до 2013–2015 годов — либо никогда не подавали уведомление, либо подали, но с тех пор не обновляли сведения. После вступления в силу ФЗ-420 от 30.11.2024 (с 30.05.2025) цена этой ошибки выросла. В инструкции — шесть шагов: от проверки реестра до получения подтверждения включения в него.

Шаг 1. Проверьте, есть ли компания в реестре операторов РКН

Перейдите на pd.rkn.gov.ru и введите ИНН или наименование организации. Реестр публичный, поиск занимает минуту. Возможны три ситуации:

  • Компании нет в реестре. Уведомление не подавалось. Нужно подать впервые — это шаги 2–6.
  • Компания есть, но запись устарела. Реальная обработка шире заявленного: изменились цели, категории, третьи лица. Нужно подать уведомление об изменении сведений по форме из Приказа РКН №180 от 28.10.2022.
  • Компания есть, запись актуальна. Проверьте полноту ОРД — шаг 3 всё равно нужен.

Если в реестре нет — у вас нарушение ч. 1 ст. 22 ФЗ-152 с момента начала обработки. Срок включения в реестр после подачи уведомления — 30 дней (ч. 4 ст. 22 ФЗ-152). До включения обработка формально остаётся незаконной, но факт подачи уведомления фиксируется датой отправки и снижает риск привлечения к ответственности.

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган о намерении осуществлять обработку ПДн до начала такой обработки. Форма и порядок — Приказ РКН №180 от 28.10.2022.»

Шаг 2. Определите объём обработки и правовые основания

Перед заполнением уведомления нужно зафиксировать фактическую картину. Опросите руководителей подразделений: какие ПДн собираются, с какой целью, кому передаются. Это называется инвентаризацией обработки.

Для каждого потока зафиксируйте:

  • Категории ПДн: общие (ФИО, контакты), специальные (здоровье, судимость по ст. 10 ФЗ-152), биометрические (ст. 11 ФЗ-152).
  • Правовое основание: согласие (ст. 9 ФЗ-152), исполнение договора (п. 5 ч. 1 ст. 6), исполнение обязанностей оператора (п. 2 ч. 1 ст. 6) и т. д.
  • Третьи лица, которым передаются данные: подрядчики, облачные сервисы, банки-эквайеры.
  • Трансграничная передача: если данные уходят за рубеж — требуется отдельное уведомление по ст. 12 ФЗ-152.
  • Срок хранения: обоснование, документ, уничтожение.

Этот этап — фундамент. Ошибка в инвентаризации означает, что уведомление будет содержать неполные сведения, а это отдельный риск при проверке.

Компания работает без уведомления РКН — с чего начать?

Если юрист видит, что ПДн обрабатываются годами, а в реестре компании нет — нужно действовать до проверки. Штраф по ч. 10 ст. 13.11 КоАП составляет 100 000–300 000 руб. за неуведомление. При повторном нарушении или параллельном выявлении нарушений по существу — суммируется с ч. 1, ч. 2 и ч. 3 ст. 13.11.

Юристы DATUM проведут инвентаризацию обработки, подготовят уведомление по Приказу РКН №180, соберут комплект ОРД и сопроводят до включения в реестр.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Подготовьте обязательные организационно-распорядительные документы

Уведомление в РКН — это только первый слой. Параллельно нужен базовый пакет ОРД, без которого компания остаётся уязвимой даже после включения в реестр. Ст. 18.1 ФЗ-152 обязывает оператора принять внутренние акты, обеспечивающие соответствие обработки требованиям закона.

Что подготовить

  • Политика обработки персональных данных — опубликованная на сайте (ч. 2 ст. 18.1 ФЗ-152); за отсутствие — штраф по ч. 3 ст. 13.11 КоАП до 60 000 руб.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с должностной инструкцией.
  • Согласия субъектов ПДн в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): отдельный документ, не встроенный в договор или оферту.
  • Регламент реагирования на запросы субъектов и обращения РКН — срок ответа субъекту 10 рабочих дней по ст. 20 ФЗ-152.
  • Журнал учёта обращений субъектов ПДн за последние 12 месяцев.

Отдельно — договоры поручения обработки (ч. 3 ст. 6 ФЗ-152) с каждым подрядчиком, которому передаются ПДн: колл-центры, CRM-интеграторы, курьерские службы. Без такого договора оператор несёт ответственность за действия подрядчика как за собственные.

Как правильно составить политику обработки персональных данных?

Политика обработки ПДн — обязательный публичный документ. Ч. 2 ст. 18.1 ФЗ-152 устанавливает минимальный состав: цели обработки, правовые основания, категории субъектов и ПДн, порядок и условия обработки, права субъектов, способы их реализации, меры защиты.

Типичные ошибки в политиках, которые выявляет РКН при проверке:

  • Цели сформулированы расплывчато («улучшение сервиса», «маркетинговые цели») без привязки к конкретным операциям.
  • Не указаны третьи лица — получатели ПДн (контрагенты, облачные платформы).
  • Не описан порядок уничтожения ПДн по достижении целей (ст. 5 ФЗ-152).
  • Политика не обновлялась после появления новых сервисов или изменения законодательства.
  • Политика размещена так, что ссылка на неё не видна на главной странице или в форме сбора данных.

Использовать шаблон из интернета — допустимо как отправную точку, но только после его полной адаптации под реальные бизнес-процессы. Типовой шаблон не учитывает отраслевую специфику, состав третьих лиц и актуальные требования в редакции ФЗ-156 от 24.06.2025.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать политику обработки ПДн или иным образом обеспечить неограниченный доступ к ней. Состав политики — определяется самим оператором, но должен охватывать все обязательные элементы, перечисленные в норме.»

Шаг 4. Подайте уведомление через pd.rkn.gov.ru

Уведомление подаётся в электронной форме через портал pd.rkn.gov.ru. Для подписания нужна УКЭП (усиленная квалифицированная электронная подпись) или авторизация через ЕСИА (Госуслуги). Форма уведомления о намерении осуществлять обработку ПДн утверждена Приказом РКН №180 от 28.10.2022.

В уведомлении указываются: наименование и адрес оператора, цели обработки, категории ПДн, категории субъектов, правовые основания, перечень действий с ПДн, меры защиты, ФИО ответственного по ст. 22.1, сведения о трансграничной передаче, сроки обработки.

После отправки система присваивает регистрационный номер — сохраните его. Включение в реестр занимает до 30 дней. Статус можно отслеживать в личном кабинете.

Если в будущем изменятся сведения из уведомления (новые цели, новые категории ПДн, смена ответственного) — нужно подать уведомление об изменении сведений. Это отдельная форма из Приказа РКН №180. Нарушение этой обязанности также может быть квалифицировано как ч. 10 ст. 13.11 КоАП.

Если юрист готовит уведомление впервые — велик риск неполноты или ошибок в составе сведений. РКН вправе запросить исправление, а при проверке — квалифицировать неточности как недостоверное уведомление. Юристы DATUM подготовят уведомление под подпись и ответят на запросы РКН по нему.

Заказать аудит 152-ФЗ

Шаг 5. Назначьте ответственного по ст. 22.1 ФЗ-152

Ст. 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить лицо, ответственное за организацию обработки ПДн. Это не «DPO» в европейском смысле, но функционально близко: контроль за соблюдением требований ФЗ-152, обеспечение обратной связи с субъектами и РКН, ведение внутренних журналов.

Требования к назначению по ч. 4 ст. 22.1 ФЗ-152:

  • Ответственный не может быть лицом, у которого есть прямой личный интерес в обработке ПДн с нарушением требований закона.
  • Назначение оформляется приказом руководителя с указанием полномочий.
  • Данные ответственного указываются в уведомлении в РКН и публикуются на сайте.

На практике ответственным назначают юриста, HR-директора или руководителя ИБ. Допустимо передать функцию внешнему провайдеру (DPO-аутсорсинг) — закон не запрещает. В этом случае ответственный — физическое лицо от провайдера, а компания остаётся оператором ПДн со всей полнотой ответственности.

Шаг 6. Проверьте согласия субъектов по новым требованиям с 01.09.2025

С 01.09.2025 ФЗ-156 от 24.06.2025 ввёл требование: согласие на обработку ПДн оформляется отдельным документом. Оно не может быть встроено в текст договора, оферты, пользовательского соглашения или политики конфиденциальности. Это требование ч. 1 ст. 9 ФЗ-152 в действующей редакции.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия или условие отзыва, способ отзыва согласия.

Ранее выданные согласия (до 01.09.2025) переоформлять не требуется — обратной силы у ФЗ-156 нет. Но все новые согласия, получаемые после этой даты, должны соответствовать новым требованиям. Если компания собирала согласия в форме галочки в договоре — этот механизм нужно перестроить.

Отдельно — согласие на распространение ПДн по ст. 10.1 ФЗ-152: если компания публикует данные (фото сотрудников, отзывы с именами) — нужно отдельное согласие именно на распространение.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом, не объединяется с другими гражданско-правовыми документами. Согласия, полученные до 01.09.2025, обратной силы норма не имеет.»

Типовые ситуации при легализации обработки ПДн

Ситуация 1. Компания работает без уведомления с момента основания. Обнаружено при подготовке к проверке РКН. Уведомление не подавалось, политики нет, ответственный не назначен. Стратегия: одновременная подача уведомления и формирование ОРД. Каждый из трёх отсутствующих элементов — самостоятельный состав (ч. 10, ч. 3 ст. 13.11 КоАП). При добровольном устранении до проверки возможно применение ст. 4.1.1 КоАП (замена штрафа на предупреждение для субъектов МСП при первичном нарушении). Вероятный исход при самостоятельном устранении: минимальный или нулевой штраф.

Ситуация 2. Уведомление подано, но сведения устарели. Компания расширила продуктовую линейку, появились новые цели обработки и новые подрядчики-обработчики. Реестровая запись отражает данные трёхлетней давности. Стратегия: подача уведомления об изменении сведений по форме из Приказа РКН №180. Параллельно — актуализация политики и договоров поручения обработки. Риск: при проверке РКН сравнивает реестровую запись с фактической обработкой; расхождение может быть квалифицировано как обработка в целях, не заявленных в уведомлении (ч. 1 ст. 13.11 КоАП, до 300 000 руб.).

Ситуация 3. Все документы есть, но согласия работников встроены в трудовые договоры. После 01.09.2025 такие согласия не соответствуют требованиям ч. 1 ст. 9 ФЗ-152 в ред. ФЗ-156. При приёме новых сотрудников или обновлении кадровой документации нужно переходить на отдельные формы согласий. Риск по ч. 2 ст. 13.11 КоАП — до 700 000 руб. за обработку без надлежащего согласия. Стратегия: разработать отдельную форму согласия работника с полным составом реквизитов, организовать подписание при приёме и переподписание при изменении обрабатываемых данных.

Как это применяется на практике

Кейс 1. Торговая компания (Сибирский федеральный округ, начало 2026 года) три года работала без уведомления РКН. При подготовке к плановой проверке юрист обнаружил отсутствие записи в реестре, политики на сайте и приказа о назначении ответственного. За восемь недель до начала проверки был подан полный пакет: уведомление, политика, приказ, согласия. РКН зафиксировал устранение нарушений до начала проверки. Штраф по ч. 10 ст. 13.11 КоАП не назначен — применено предупреждение как первичному нарушителю.

Кейс 2. IT-компания (Центральный федеральный округ, осень 2025 года) подала уведомление своевременно, но при внеплановой проверке РКН выявил, что часть ПДн клиентов обрабатывается в целях, не указанных в реестровой записи (аналитика поведения пользователей для партнёрской сети). Составлен протокол по ч. 1 ст. 13.11 КоАП. Компания обжаловала постановление, представив доказательства начала обновления уведомления и актуализации политики до даты проверки. Мировой судья снизил штраф до минимального уровня, приняв во внимание оперативность устранения.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Обязательный минимум по ФЗ-152: уведомление в РКН (ст. 22), политика обработки ПДн (ст. 18.1), приказ о назначении ответственного (ст. 22.1), согласия субъектов в случаях, когда они требуются (ст. 9), договоры поручения обработки с подрядчиками (ч. 3 ст. 6), документы об уничтожении ПДн. Помимо этого — внутренние регламенты реагирования на запросы субъектов и инциденты. Отсутствие каждого из перечисленных элементов — отдельный состав по ст. 13.11 КоАП.

2. Как составить политику обработки ПДн?

Политика должна соответствовать ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, категории субъектов и ПДн, перечень действий, меры защиты, права субъектов и порядок их реализации, сведения о трансграничной передаче. Шаблон из интернета допустим как основа, но требует полной адаптации под реальные процессы компании. После ФЗ-156 от 24.06.2025 политика не должна содержать встроенных согласий — они оформляются отдельно. Нарушение обязанности по публикации политики — штраф до 60 000 руб. по ч. 3 ст. 13.11 КоАП.

3. Кого назначить ответственным по ст. 22.1?

Закон не устанавливает требований к должности или квалификации — важно, чтобы у назначенного лица не было личного интереса в нарушении требований ФЗ-152 (ч. 4 ст. 22.1). На практике назначают юриста, HR-директора или руководителя ИБ. Допустим DPO-аутсорсинг: тогда ответственным будет сотрудник внешнего провайдера. Данные ответственного указываются в уведомлении РКН и должны быть актуальными — при смене ответственного нужно подать уведомление об изменении сведений.

4. Можно ли использовать шаблон политики из интернета?

Можно как отправную точку, но не как готовый документ. Типовые шаблоны не учитывают отраслевую специфику, состав контрагентов-обработчиков, применяемые ИТ-системы и актуальные требования ФЗ-156 от 24.06.2025. РКН при проверке анализирует соответствие политики фактическим процессам, а не формальное наличие документа. Политика, не отражающая реальную обработку, создаёт риски даже при её наличии.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн — отдельный документ, не встроенный в договор, оферту или политику (ФЗ-156 от 24.06.2025, ч. 1 ст. 9 ФЗ-152). Обязательные реквизиты: ФИО субъекта, его контакты, наименование оператора, цель, перечень ПДн и действий с ними, срок, способ отзыва. Ранее выданные согласия переоформлять не нужно. Новые согласия — только в соответствии с обновлёнными требованиями. За обработку без надлежащего согласия — штраф до 700 000 руб. по ч. 2 ст. 13.11 КоАП.

6. Что делать, если проверка РКН уже назначена, а уведомления нет?

Подать уведомление немедленно — дата подачи фиксируется и учитывается при оценке добросовестности оператора. Одновременно сформировать базовый пакет ОРД и опубликовать политику. Факт устранения нарушений до или в ходе проверки — смягчающее обстоятельство по ст. 4.2 КоАП. Для субъектов МСП возможна замена штрафа предупреждением по ст. 4.1.1 КоАП при первичности нарушения. Промедление только ухудшает позицию.

Итог

Легализация работы без уведомления РКН — это последовательность из шести шагов: проверка реестра, инвентаризация обработки, формирование ОРД, подача уведомления, назначение ответственного, переход на новые формы согласий с 01.09.2025. Каждый шаг снимает самостоятельный состав нарушения по ст. 13.11 КоАП. При добровольном устранении до проверки риск штрафа существенно ниже, чем при выявлении РКН.

DATUM сопровождает операторов ПДн в процессе легализации с 2014 года: от инвентаризации обработки до включения в реестр и формирования полного пакета ОРД. Практика охватывает компании от среднего бизнеса до крупных операторов с несколькими ИСПДн.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.