Перейти к содержанию
инструкция 14 января 2027 По состоянию на 14 января 2027

Реестр процессов обработки (ROPA)

ROPA (Record of Processing Activities) — документ, в котором оператор фиксирует все процессы обработки персональных данных: цели, правовые основания, категории ПДн, сроки хранения, меры защиты и данные о передаче третьим лицам.
В российском праве аналог ROPA встроен в требования ст. 18.1 ФЗ-152 и уведомления в РКН по ст. 22. Отсутствие актуального реестра — основание для протокола по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽ для юрлица) и ч. 3 (30–60 тыс. ₽ за неопубликованную политику).
Если вы юрист и сейчас выстраиваете документацию оператора — эта инструкция покажет, что именно включать в реестр, как связать его с уведомлением в РКН и что изменилось после 01.09.2025. →

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: теперь 18 частей вместо прежних семи, а штрафы за утечки исчисляются миллионами. Одновременно ФЗ-156 от 24.06.2025 изменил требования к согласию субъекта с 01.09.2025. Реестр процессов обработки в этих условиях — не бюрократический артефакт, а рабочий инструмент юриста для управления рисками и подготовки к проверке Роскомнадзора.

Шаг 1. Определите, что должно войти в реестр процессов обработки

Реестр описывает каждый процесс обработки ПДн отдельной строкой или карточкой. Минимальный состав сведений определяется пересечением ст. 18.1 ФЗ-152 (требования к локальным актам) и ст. 22 ФЗ-152 (сведения в уведомлении РКН).

Для каждого процесса укажите:

  • Наименование процесса — например, «Обработка ПДн соискателей», «Ведение клиентской базы CRM», «Видеонаблюдение в офисе».
  • Цель обработки — конкретная, без обобщений. Цель «кадровое делопроизводство» и цель «ответы на обращения клиентов» — разные записи.
  • Правовое основание по ст. 6 ФЗ-152 — согласие (п. 1), исполнение договора (п. 5), исполнение обязанностей (п. 2) и т. д. Одна цель = одно основание.
  • Категории и состав ПДн — общие, специальные (ст. 10), биометрические (ст. 11). Специальные и биометрические помечаются отдельно.
  • Субъекты — работники, клиенты, контрагенты, посетители и т. д.
  • Операции обработки — сбор, запись, хранение, передача, обезличивание, уничтожение.
  • ИСПДн или иная система хранения — наименование, физическое местонахождение.
  • Срок хранения — конкретный (например, «5 лет с момента расторжения договора», «75 лет для личных дел»).
  • Передача третьим лицам — наименование получателя, правовое основание, является ли передача поручением обработки по ст. 6 ч. 3.
  • Трансграничная передача — страна, наличие уведомления в РКН по ст. 12.
  • Принятые меры защиты — ссылка на модель угроз или описание УЗ по ПП РФ №1119.
«Ст. 18.1 ФЗ-152 обязывает оператора принимать меры, необходимые и достаточные для исполнения законодательства, в том числе издавать локальные акты, регламентирующие обработку ПДн. Ч. 2 ст. 18.1 устанавливает перечень обязательных сведений политики обработки ПДн, которая должна быть опубликована или предоставлена по запросу субъекта.»

Практика проверок РКН показывает: инспектор запрашивает реестр (или его функциональный аналог) в первый же день. Если документ отсутствует или содержит обобщённые формулировки без привязки к конкретным ИСПДн — это самостоятельное основание для протокола.

Составляете реестр впервые или готовитесь к проверке РКН?

Реестр процессов обработки — только один из 38 документов, которые инспектор вправе запросить на плановой проверке. Юристы DATUM проведут аудит обработки ПДн по полному чек-листу и выдадут приоритизированный план устранения нарушений. Срок выхода отчёта — до 10 рабочих дней.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 2. Свяжите реестр с уведомлением в Роскомнадзор по ст. 22 ФЗ-152

Уведомление о намерении осуществлять обработку ПДн (ст. 22 ФЗ-152) подаётся через портал pd.rkn.gov.ru по форме, утверждённой Приказом РКН №180 от 28.10.2022. Неуведомление или несвоевременное уведомление — состав ч. 10 ст. 13.11 КоАП, штраф для юрлица 100–300 тыс. ₽.

Сведения в уведомлении и сведения в реестре ROPA должны совпадать. Расхождение — типичное нарушение, которое выявляет РКН при сверке поданных документов с фактической обработкой. Алгоритм синхронизации:

  1. Для каждой строки реестра проверьте, отражена ли соответствующая цель и категория ПДн в действующей версии уведомления.
  2. Если добавился новый процесс (например, внедрили систему видеоаналитики или подключили CRM) — подайте изменения в реестр РКН до начала обработки.
  3. Если процесс прекратился — подайте уведомление о прекращении обработки по форме из Приказа №180.
  4. Срок включения в реестр операторов после подачи уведомления — 30 дней (ч. 4 ст. 22 ФЗ-152). Обработку до включения начинать нельзя.
«Ст. 22 ФЗ-152 обязывает оператора уведомить РКН до начала обработки. Уведомление содержит цели, правовые основания, категории субъектов и ПДн, перечень действий, описание мер защиты, сведения о трансграничной передаче и локализации.»

Распространённая ошибка: оператор подаёт уведомление один раз при регистрации и не обновляет его при расширении процессов. Через два-три года фактическая обработка расходится с реестром РКН на 30–50%, что при проверке квалифицируется по ч. 1 ст. 13.11 как обработка ПДн в случаях, не предусмотренных законодательством.

Шаг 3. Определите правовые основания и категории для каждого процесса

Это ключевой шаг: ошибка в основании ведёт к недействительности обработки целиком. Ст. 6 ФЗ-152 содержит 11 оснований. Для большинства коммерческих процессов применяются три:

  • Согласие субъекта (п. 1 ч. 1 ст. 6) — когда нет другого законного основания. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом: не включается в договор, политику или оферту. Реквизиты согласия — ч. 4 ст. 9 ФЗ-152.
  • Исполнение договора (п. 5 ч. 1 ст. 6) — обработка необходима для выполнения договора, стороной которого является субъект. Не требует отдельного согласия, но состав ПДн не должен выходить за пределы договора.
  • Исполнение обязанностей оператора (п. 2 ч. 1 ст. 6) — налоговый учёт, кадровое делопроизводство, воинский учёт. Основание прямо указано в НПА.

Специальные категории ПДн (ст. 10: здоровье, религия, политические взгляды, судимость) обрабатываются только при наличии явного исключения из п. 2 ст. 10. Биометрические ПДн (ст. 11) — только с письменного согласия, кроме случаев, прямо указанных в законе.

Что подготовить перед заполнением реестра

  • Перечень всех информационных систем, где хранятся ПДн (CRM, 1С, почта, облако, видеонаблюдение, СКУД).
  • Договоры с подрядчиками и облачными провайдерами — для идентификации поручений обработки по ч. 3 ст. 6 ФЗ-152.
  • Формы согласий, которые сейчас применяются, — для проверки соответствия требованиям ФЗ-156 от 24.06.2025 (отдельный документ с 01.09.2025).
  • Действующая политика обработки ПДн — для сверки с реестром и уведомлением в РКН.
  • Выписка из реестра операторов на pd.rkn.gov.ru — чтобы сверить заявленные цели с фактическими процессами.

Шаг 4. Назначьте ответственного по ст. 22.1 ФЗ-152 и встройте его в реестр

Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн (ст. 22.1 ФЗ-152). Назначение оформляется приказом. Реестр должен содержать контактные данные ответственного: они указываются в политике обработки ПДн и в уведомлении в РКН.

Требования к ответственному по ч. 4 ст. 22.1: знание законодательства о ПДн, допуск к информации об обработке ПДн во всех процессах, возможность взаимодействовать с субъектами и РКН. На практике эту функцию совмещает юрист, специалист по ИБ или внешний DPO-аутсорсер.

«Ст. 22.1 ФЗ-152 устанавливает обязанность оператора-юрлица назначить ответственного за организацию обработки ПДн. Это лицо принимает меры для соблюдения требований закона и внутренних политик, отвечает на обращения субъектов в течение 10 рабочих дней (ст. 20 ФЗ-152).»

Типичная уязвимость: ответственный назначен, но его контактные данные не обновлены в уведомлении РКН после увольнения предыдущего сотрудника. Актуальность сведений в реестре операторов — обязанность, а не опция.

Если функция ответственного по ст. 22.1 не закрыта или требует поддержки — DATUM берёт её на абонентское обслуживание: ответы субъектам, взаимодействие с РКН, актуализация уведомлений. Срок подключения — 3 рабочих дня.

Подключить DPO-аутсорс

Шаг 5. Актуализируйте согласия под требования с 01.09.2025

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн — отдельный документ. Оно не может быть частью договора, оферты, политики конфиденциальности или любого другого документа.

Обязательные реквизиты согласия по ч. 4 ст. 9 ФЗ-152:

  • ФИО субъекта и его контактные данные.
  • Наименование и адрес оператора.
  • Цель обработки — конкретная, не «улучшение сервиса».
  • Перечень обрабатываемых ПДн.
  • Перечень действий с ПДн и способы обработки.
  • Срок действия согласия или условие его прекращения.
  • Способ отзыва согласия.

Ранее полученные согласия, встроенные в договор или оферту, продолжают действовать — обратной силы у ФЗ-156 нет. Но если оператор заключает новые договоры или обновляет форму — согласие должно быть оформлено отдельно. Реестр ROPA должен отражать, какое именно согласие получено для каждого процесса: дата получения, форма, ссылка на экземпляр.

Обработка специальных категорий ПДн без письменного согласия (ст. 10) или передача данных с целью распространения без отдельного согласия по ст. 10.1 — основание для ч. 2 ст. 13.11 КоАП, штраф 300–700 тыс. ₽. При повторном нарушении — ч. 2.1, штраф 1–1,5 млн ₽.

Как реестр ROPA применяется на практике: два сценария

Сценарий 1. Внеплановая проверка РКН по жалобе субъекта. Субъект пожаловался, что компания передаёт его данные партнёрам без его согласия. Инспектор запрашивает реестр процессов, политику обработки ПДн и согласия. Если реестр показывает, что передача третьим лицам оформлена как поручение по ч. 3 ст. 6 ФЗ-152 с соответствующим договором и согласие субъекта получено в установленном порядке — нарушения нет. Если передача нигде не отражена или согласие отсутствует — протокол по ч. 1 или ч. 2 ст. 13.11 КоАП выносится в тот же день.

Сценарий 2. Утечка через подрядчика. Маркетинговое агентство, которому оператор поручил рассылку, допустило утечку клиентской базы. Если в реестре ROPA зафиксировано поручение с корректным договором по ч. 3 ст. 6 ФЗ-152, описаны меры защиты и требование к агентству соблюдать 152-ФЗ — оператор доказывает, что принял надлежащие меры. Если поручение нигде не отражено — оператор несёт ответственность как за собственное нарушение. Принцип ответственности оператора за подрядчика устойчиво применяется судами.

Сценарий 3. Аудит перед привлечением инвестора или M&A. Инвестор запрашивает правовую чистоту активов. Реестр ROPA — основной документ due diligence по ПДн: он показывает полноту правовых оснований, актуальность согласий, наличие мер защиты. Отсутствие реестра или явные пробелы в нём существенно снижают оценку правовых рисков компании.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн с публикацией (ст. 18.1), согласия субъектов по ст. 9, приказ о назначении ответственного по ст. 22.1, регламент реагирования на инциденты (ст. 21 ч. 3.1), договоры на поручение обработки (ч. 3 ст. 6), журнал учёта обращений субъектов, модель угроз и документ об определении уровня защищённости по ПП РФ №1119. Сам реестр процессов ROPA входит в этот пакет как базовый структурирующий документ. На практике полный ОРД насчитывает около 38 позиций.

2. Как составить политику обработки ПДн?

Политика должна соответствовать ч. 2 ст. 18.1 ФЗ-152 и содержать: цели обработки, правовые основания, состав ПДн по каждой цели, порядок и сроки хранения, порядок уничтожения, сведения об ответственном по ст. 22.1, права субъектов и порядок их реализации, сведения о мерах защиты. Политика публикуется на сайте оператора или предоставляется по запросу субъекта. Отсутствие публикации — ч. 3 ст. 13.11 КоАП, штраф 30–60 тыс. ₽. Использовать типовой шаблон из интернета без адаптации — рискованно: он не отражает реальные процессы и создаёт расхождение с уведомлением в РКН.

3. Кого назначить ответственным по ст. 22.1?

Закон не требует специальной квалификации в виде диплома или сертификата, но ч. 4 ст. 22.1 ФЗ-152 устанавливает функциональные требования: знание законодательства о ПДн и его применения, доступ к сведениям об обработке ПДн во всех процессах компании. На практике назначают юриста, специалиста по ИБ, HR-директора (для небольших компаний) или привлекают внешнего DPO-аутсорсера. Ответственный должен иметь реальные полномочия, а не быть формально назначенным.

4. Можно ли использовать шаблон политики из интернета?

Шаблон допустим как основа, но не как готовый документ. Политика из интернета, как правило, не содержит реальных целей и категорий ПДн вашей компании, не отражает конкретные ИСПДн, не совпадает со сведениями в уведомлении РКН. При проверке РКН типовая политика без адаптации воспринимается как нарушение ч. 2 ст. 18.1 ФЗ-152 — содержание документа не соответствует фактической обработке. Это основание для предписания или протокола.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие — это отдельный документ со всеми реквизитами ч. 4 ст. 9 ФЗ-152: ФИО субъекта, контакты, наименование оператора, конкретная цель, перечень ПДн, перечень действий, срок и способ отзыва. Согласие не может быть включено в договор, оферту или политику. Новые согласия нужно оформлять по новым правилам. Ранее полученные согласия, встроенные в договор до 01.09.2025, сохраняют силу — обратной силы у поправок нет, — но при обновлении договоров следует выделить согласие отдельно.

6. Что грозит, если реестр процессов не ведётся совсем?

Формально реестр ROPA как самостоятельный документ в ФЗ-152 не поименован, поэтому отдельного штрафа за его отсутствие нет. Однако отсутствие реестра означает, что оператор не может подтвердить правомерность конкретных процессов обработки: нет оснований по ст. 6, нет зафиксированных сроков хранения, нет сведений о мерах защиты. При проверке каждый незадокументированный процесс — самостоятельное нарушение по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Несколько параллельных протоколов суммируются.

Итог

Реестр процессов обработки ROPA — структурирующий документ ОРД, который связывает уведомление в РКН, политику обработки ПДн, согласия субъектов и меры защиты в единую систему. Его отсутствие или расхождение с реальными процессами создаёт самостоятельные основания для протоколов по ч. 1 и ч. 3 ст. 13.11 КоАП. После 01.09.2025 реестр должен отражать новый порядок согласий по ФЗ-156.

Практика DATUM по сопровождению операторов ПДн включает построение реестра процессов как часть аудита соответствия по 152-ФЗ и сборку полного комплекта ОРД под ключ.

Услуги DATUM по теме

Смотрите также

Нужна помощь с реестром процессов или полным комплектом ОРД?

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Юристы DATUM соберут реестр процессов обработки, актуализируют уведомление в РКН, подготовят согласия под требования с 01.09.2025 и выдадут полный пакет ОРД из 38 документов. Свяжитесь удобным способом.

Собрать ОРД под ключ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

14 января 2027 года