Перейти к содержанию
справочник 16 января 2027 По состоянию на 16 января 2027

Реестр иностранных операторов в РФ

Реестр иностранных операторов персональных данных — список иностранных юрлиц, обрабатывающих ПДн граждан РФ через интернет и обязанных уведомить Роскомнадзор о намерении осуществлять такую обработку.
С 30.05.2025 неуведомление РКН влечёт штраф до 300 000 ₽ по ч. 10 ст. 13.11 КоАП; повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15 той же статьи.
Если вы юрист и сопровождаете иностранную структуру или отечественного партнёра зарубежного сервиса — проверьте статус включения в реестр и состав уведомления по ст. 22 ФЗ-152. →

Роскомнадзор ведёт публичный реестр операторов персональных данных на pd.rkn.gov.ru. Иностранные компании, целенаправленно обрабатывающие ПДн российских граждан через интернет-сервисы, обязаны в нём состоять. Требование действует с момента принятия ФЗ-152; с 30.05.2025 ответственность за нарушение существенно возросла после вступления в силу ФЗ-420 от 30.11.2024. В этом справочнике — ключевые понятия, основания для включения в реестр, процедура уведомления и риски несоблюдения.

Что такое реестр операторов и кто в него входит?

Оператор персональных данных по ст. 3 ФЗ-152 — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими организующее и осуществляющее обработку ПДн. Иностранное юридическое лицо признаётся оператором, если оно целенаправленно собирает, хранит, передаёт или иным образом обрабатывает данные граждан РФ — например, через сайт, мобильное приложение или облачный сервис, доступный российским пользователям.

Реестр операторов на pd.rkn.gov.ru — публичная база. Она разделена на два сегмента: российские операторы и иностранные операторы, подавшие уведомление в соответствии со ст. 22 ФЗ-152. Включение в реестр не означает автоматического соответствия всем требованиям закона: оно лишь фиксирует факт уведомления.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении осуществлять обработку ПДн до начала такой обработки. Форма уведомления установлена Приказом РКН №180 от 28.10.2022. Срок включения в реестр после подачи уведомления — 30 дней.»

Иностранный оператор, не уведомивший РКН, отсутствует в реестре — это самостоятельное нарушение ч. 10 ст. 13.11 КоАП (штраф для юрлица 100 000–300 000 ₽ в редакции с 30.05.2025). Отсутствие в реестре также является индикатором риска при планировании внеплановых проверок.

Каковы основания для включения иностранного оператора в реестр?

Обязанность уведомить РКН возникает у иностранного оператора при одновременном соответствии двум условиям: обработка ведётся с использованием средств автоматизации и направлена на граждан России. Критерий «направленности» на практике трактуется широко: наличие русскоязычного интерфейса, российского домена, расчётов в рублях или явного обращения к аудитории из РФ.

Плановая проверка
Проверка, включённая в ежегодный план РКН на основании профиля риска оператора. Иностранные операторы с высоким профилем риска (крупный объём ПДн граждан РФ) входят в приоритетный список.
Внеплановая проверка
Назначается по жалобе субъекта, по факту утечки или при срабатывании индикатора риска. Мораторий на проверки малого бизнеса на внеплановые проверки РКН по ПДн не распространяется полностью — у РКН сохраняются отдельные основания для инициирования.
Профилактический визит (профвизит)
Форма взаимодействия без составления протокола об административном правонарушении. РКН направляет предложение о проведении профвизита; оператор вправе от него отказаться. По итогам — предписание об устранении нарушений без штрафа.
Индикаторы риска
Формализованные признаки, при выявлении которых РКН вправе назначить внеплановую проверку. Включают: отсутствие в реестре операторов, отсутствие политики конфиденциальности на сайте, публикации об утечке в открытых источниках, жалобы субъектов.
Мораторий на проверки
Ограничение плановых проверок, введённое Правительством РФ для ряда субъектов. Применительно к РКН и ПДн: мораторий не исключает внеплановые проверки по индикаторам риска и проверки иностранных операторов.

Ваш иностранный партнёр или клиент обрабатывает ПДн граждан РФ?

Если вы юрист, сопровождающий иностранную структуру или отечественную компанию, использующую зарубежный SaaS, — отсутствие в реестре РКН создаёт немедленный риск по ч. 10 ст. 13.11 КоАП. Срок включения в реестр после подачи уведомления — 30 дней; уведомление подаётся до начала обработки.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как подать уведомление и что в нём указать?

Уведомление подаётся через личный кабинет pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи (УКЭП). Форма уведомления установлена Приказом РКН №180 от 28.10.2022. Иностранный оператор, не имеющий российского юрлица, может подать уведомление через уполномоченного представителя.

Что подготовить для уведомления РКН

  • Наименование оператора и реквизиты (включая страну регистрации и адрес).
  • Цели обработки ПДн и правовые основания по ст. 6 ФЗ-152.
  • Категории обрабатываемых ПДн и перечень субъектов (граждане РФ).
  • Описание мер защиты: организационных и технических по ст. 19 ФЗ-152.
  • Сведения о трансграничной передаче — при наличии (ст. 12 ФЗ-152).

После подачи уведомления РКН вносит оператора в реестр в течение 30 дней. Изменение сведений (расширение целей, новые категории ПДн, изменение состава мер) требует подачи уведомления об изменении по той же форме. Прекращение обработки — отдельное уведомление о прекращении.

Какие риски несёт иностранный оператор без статуса в реестре?

Отсутствие уведомления — это не единственный риск. Юрист, анализирующий позицию иностранного клиента, должен учитывать несколько уровней ответственности, действующих одновременно.

Нарушение локализации по ч. 5 ст. 18 ФЗ-152 — требование хранить, систематизировать и накапливать ПДн граждан РФ в базах данных на территории России. Для иностранного оператора это означает необходимость размещения первичного хранилища в российской инфраструктуре или у российского облачного провайдера. Нарушение влечёт штраф по ч. 8 ст. 13.11 КоАП: 1 000 000–6 000 000 ₽; повторное — по ч. 9: 6 000 000–18 000 000 ₽.

«Ч. 15 ст. 13.11 КоАП — оборотный штраф за повторную утечку: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Применяется при наличии предшествующего привлечения по ч. 12–14 или ч. 15–18. Скидка за досрочную уплату по ст. 32.2 КоАП к оборотному штрафу не применяется.»

С 11.12.2024 действует ст. 272.1 УК РФ (введена ФЗ-421): незаконные сбор, хранение, использование или передача компьютерной информации, содержащей ПДн. Максимальное наказание по ч. 5 — лишение свободы до 10 лет. Норма применима к физическим лицам, действующим в интересах иностранного оператора на территории России.

Если вы юрист и получили запрос РКН в адрес иностранного клиента — у вас ограниченное время на формирование ответной позиции. Обжалование предписания требует подготовки за 10–30 дней. Юристы DATUM специализируются на сопровождении проверок РКН и защите от штрафов по ст. 13.11 КоАП.

Защитить от штрафа 13.11

Как применяется практика на практике: два кейса

Кейс 1. Компания Приволжского ФО (осень 2025) использовала европейский SaaS-сервис управления клиентской базой. Сервис не подавал уведомление в РКН, не значился в реестре. По результатам профвизита РКН выявил нарушение ч. 10 ст. 13.11 КоАП: неуведомление о намерении осуществлять обработку. Российская компания как совместный оператор получила протокол. Юридическое сопровождение позволило переквалифицировать состав и ограничиться предписанием после подачи уведомления в ходе проверки.

Кейс 2. В деле АС Санкт-Петербурга и Ленинградской области (дело № А56-4733/2026, начало 2026 года) цифровая платформа допустила утечку около 70 000 субъектов. Квалификация — ч. 14 ст. 13.11 КоАП. Суд учёл смягчающие обстоятельства. Кейс показателен: даже при утечке с хакерской атакой оператор несёт ответственность по ч. 12–14, а при повторности — оборотный штраф по ч. 15.

Услуги DATUM по теме

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает четыре шага: проверить наличие в реестре операторов на pd.rkn.gov.ru, убедиться, что политика обработки ПДн опубликована и соответствует требованиям ч. 2 ст. 18.1 ФЗ-152, сверить фактический состав обрабатываемых данных с уведомлением, подготовить журналы учёта обращений субъектов за последние 12 месяцев. Отдельно — проверить, подано ли уведомление о трансграничной передаче, если ПДн передаются за рубеж (ст. 12 ФЗ-152).

2. Какие индикаторы риска использует РКН для назначения внеплановых проверок?

РКН формализовал индикаторы риска в подзаконных актах. Ключевые: отсутствие оператора в реестре уведомлений, отсутствие политики конфиденциальности на сайте, публикации об утечке ПДн в открытых источниках или даркнете, поступление жалоб субъектов, сведения о нарушении требований локализации по ч. 5 ст. 18 ФЗ-152. Срабатывание индикатора — основание для внеплановой проверки без предварительного уведомления.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Оператор обязан представить запрошенные документы и сведения в установленный срок. Уклонение от взаимодействия с РКН фиксируется как отягчающее обстоятельство при назначении штрафа. Вместе с тем юрист вправе ходатайствовать о продлении срока ответа и формировать позицию, минимизирующую негативные последствия — это не отказ, а процессуальное сопровождение.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания РКН в установленный срок влечёт самостоятельную административную ответственность. Кроме того, невыполнение формирует основание для повторной проверки и может расцениваться как отягчающее обстоятельство при квалификации нарушений по ст. 13.11 КоАП. При повторных утечках после неисполненного предписания суды склонны применять максимальные санкции.

Итог

Реестр иностранных операторов — не формальность, а первый рубеж проверки РКН. Отсутствие в реестре, нарушение локализации и несоблюдение требований к уведомлению образуют самостоятельные составы административных правонарушений с совокупным штрафом в десятки миллионов рублей. С 30.05.2025 ответственность по ст. 13.11 КоАП приобрела оборотный характер при повторных нарушениях.

Практика DATUM по взаимодействию с Роскомнадзором охватывает как российских операторов, так и иностранные структуры, обрабатывающие ПДн граждан РФ: уведомления по ст. 22 ФЗ-152, подготовку к проверкам, обжалование предписаний и защиту от штрафов в арбитраже.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Уведомления и проверки РКН, обжалование по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов. Подсудность после ФЗ-508 — мировые судьи.

16 января 2027 года