Срок включения в реестр операторов: 30 дней
С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи. Неуведомление о намерении обрабатывать ПДн выделено в самостоятельный состав. Параллельно с 01.09.2025 вступили в силу поправки ФЗ-156, изменившие требования к форме согласия. Эта инструкция охватывает полный цикл: от подачи уведомления и ожидания 30-дневного срока до сборки ОРД, которая исключает претензии РКН при плановой и внеплановой проверке.
Шаг 1. Установите, обязаны ли вы уведомлять РКН
Уведомление обязательно для всех операторов, которые обрабатывают персональные данные с помощью средств автоматизации или без таковых, если обработка направлена на распространение ПДн неограниченному кругу лиц. Исключения перечислены в ч. 2 ст. 22 ФЗ-152: среди них — обработка ПДн работников исключительно для исполнения трудового договора, обработка без передачи третьим лицам, обработка религиозными организациями.
На практике большинство организаций под исключения не подпадают: любая CRM, сайт с формой обратной связи, рассылка или программа лояльности — это автоматизированная обработка с передачей данных. Проверьте каждое направление деятельности отдельно: одна компания может одновременно попадать под исключение по кадровым ПДн и обязываться уведомлять по клиентской базе.
Шаг 2. Заполните уведомление по форме Приказа РКН № 180
Форма уведомления установлена Приказом РКН № 180 от 28.10.2022. Подача — через портал pd.rkn.gov.ru с авторизацией через ЕСИА или с использованием усиленной квалифицированной электронной подписи. Бумажная подача допустима, но на практике ведёт к затягиванию срока: РКН обрабатывает электронные заявки быстрее.
В уведомлении необходимо указать: наименование и адрес оператора, цели обработки, категории субъектов и перечень ПДн, правовое основание обработки по ст. 6 ФЗ-152, способы обработки (автоматизированный, неавтоматизированный, смешанный), сведения о трансграничной передаче, меры по обеспечению безопасности. Ошибки в любом из этих полей — основание для запроса на уточнение, что сдвигает 30-дневный срок.
Если обработка ведётся по нескольким целям с разными правовыми основаниями, укажите каждое основание отдельно. Смешение целей в одном блоке нарушает принцип ст. 5 ФЗ-152 об определённости целей и может привлечь внимание инспектора при проверке.
Уведомление готово, но нет полного пакета ОРД?
Уведомление РКН — первый шаг. Без политики конфиденциальности, приказа о назначении ответственного по ст. 22.1 и актуальных согласий по ФЗ-156 (действует с 01.09.2025) компания остаётся уязвимой даже при наличии записи в реестре. Юристы DATUM собирают полный пакет ОРД по 38-пунктовому чек-листу.
Собрать ОРД под ключОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Дождитесь включения в реестр: 30 дней и что делать в этот период
После подачи корректного уведомления РКН обязан включить оператора в реестр в течение 30 дней (ч. 4 ст. 22 ФЗ-152). На протяжении этого периода обработка ПДн уже ведётся на законных основаниях — уведомление подано до начала обработки, как того требует закон. Статус «ожидает включения» не является нарушением.
Используйте эти 30 дней для параллельной сборки ОРД. К моменту получения выписки из реестра у вас должны быть готовы: политика обработки ПДн по ч. 2 ст. 18.1, приказ о назначении ответственного по ст. 22.1, согласия субъектов по новой форме ФЗ-156, журнал учёта обращений субъектов, инструкции для сотрудников. Если при первой же плановой проверке РКН обнаружит запись в реестре без документального обеспечения — это основание для возбуждения дела сразу по нескольким частям ст. 13.11.
Шаг 4. Опубликуйте политику конфиденциальности по ст. 18.1 ФЗ-152
Публикация политики обработки персональных данных — самостоятельная обязанность по ч. 2 ст. 18.1 ФЗ-152, не зависящая от наличия или отсутствия уведомления в реестре. Её отсутствие образует состав по ч. 3 ст. 13.11 КоАП: штраф для юридического лица — от 30 000 до 60 000 рублей.
Политика размещается в открытом доступе: как правило, на сайте оператора в нижнем меню. Для операторов без сайта — на информационном стенде или по запросу субъекта. Содержание политики должно охватывать правовые основания обработки по ст. 6, категории субъектов, сроки хранения, порядок реализации прав субъектов по ст. 14–21 ФЗ-152, сведения о трансграничной передаче при её наличии.
Не используйте шаблоны из открытых источников без адаптации: политика должна отражать фактические процессы конкретного оператора. Шаблон с чужими целями и правовыми основаниями — это документ, который опровергает себя же при первой проверке.
Шаг 5. Назначьте ответственного по ст. 22.1 ФЗ-152
Оператор — юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 ФЗ-152). Требования к квалификации установлены ч. 4 той же статьи. Назначение оформляется приказом руководителя с указанием полномочий и порядка взаимодействия с РКН.
Ответственный принимает запросы субъектов по ст. 14–21 ФЗ-152, обеспечивает ответы в срок 10 рабочих дней, ведёт журнал обращений, организует ознакомление сотрудников с локальными актами. При внеплановой проверке РКН именно ответственный является первым контактным лицом. Отсутствие назначенного ответственного — косвенный признак системного несоответствия, который инспекторы фиксируют как отягчающее обстоятельство.
Если в штате нет подходящего специалиста, функции ответственного можно передать на аутсорсинг (DPO-аутсорсинг). Договор с внешним DPO не снимает ответственности с оператора, но обеспечивает исполнение требований ст. 22.1 на практике.
Если юрист проверяет комплаенс и обнаружил, что в компании нет назначенного ответственного по ст. 22.1 и согласия работников оформлены в трудовом договоре — это два самостоятельных нарушения. Срок до следующей плановой проверки РКН может составлять менее 30 дней.
Заказать аудит 152-ФЗШаг 6. Приведите согласия в соответствие с требованиями ФЗ-156 от 24.06.2025
С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — оно не может быть частью трудового договора, оферты, политики или иного документа (ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Обязательные реквизиты: ФИО субъекта, его контактные данные, наименование и реквизиты оператора, цель обработки, перечень персональных данных, перечень действий с ними, срок действия согласия, способ отзыва.
Согласия, полученные до 01.09.2025 в составе трудовых договоров или иных документов, не требуют обязательного переоформления — ФЗ-156 обратной силы не имеет. Однако если субъект отзовёт такое согласие или потребует его уточнения, оператор обязан оформить новый документ по актуальным требованиям. Превентивное переоформление снижает риск претензий при проверке.
Что подготовить к моменту включения в реестр
- Уведомление РКН, поданное через pd.rkn.gov.ru по форме Приказа РКН № 180, с квитанцией о приёме.
- Политика обработки персональных данных, опубликованная в открытом доступе, с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152.
- Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
- Согласия субъектов в форме отдельного документа по требованиям ст. 9 ФЗ-152 (редакция с 01.09.2025).
- Журнал учёта обращений субъектов персональных данных с зафиксированными входящими запросами.
Как это применяется на практике
Кейс 1. Торговая компания Сибирского федерального округа (осень 2025) подала уведомление в РКН через pd.rkn.gov.ru в день получения предписания об устранении нарушений. К моменту истечения 30-дневного срока политика конфиденциальности так и не была опубликована. При повторном визите инспектора РКН возбудил отдельное дело по ч. 3 ст. 13.11 КоАП. Штраф в десятки тысяч рублей оказался меньше организационных затрат на оспаривание, но дело было зафиксировано в реестре — при следующей утечке это учтётся как повторность. Вывод: подача уведомления и сборка ОРД должны вестись параллельно, а не последовательно.
Кейс 2. Региональная IT-компания Центрального федерального округа (начало 2026) прошла плановую проверку РКН через четыре месяца после включения в реестр. Запись в реестре была, политика — опубликована. Претензии возникли к согласиям: часть из них оставалась в составе трудовых договоров, оформленных до 01.09.2025, по ранее используемым шаблонам. Юрист компании заблаговременно подготовил правовую позицию: согласия получены до вступления в силу ФЗ-156, обратной силы нет, субъекты не предъявляли требований об отзыве. РКН принял аргументацию, дело прекращено.
Услуги DATUM по теме
- Комплект ОРД под ключ — полный пакет из 38 документов для оператора ПДн.
- Аудит соответствия 152-ФЗ — проверка по чек-листу, отчёт с приоритизированным планом.
- DPO-аутсорсинг — исполнение функций ответственного по ст. 22.1 на абонентском обслуживании.
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный обязательный пакет включает уведомление в РКН (ст. 22 ФЗ-152), политику обработки персональных данных (ст. 18.1), приказ о назначении ответственного (ст. 22.1), согласия субъектов в форме отдельного документа (ст. 9 в редакции с 01.09.2025), инструкции для сотрудников, имеющих доступ к ПДн, журнал учёта обращений субъектов. Дополнительно — регламент реагирования на инциденты по Приказу РКН № 187 и документация по уровню защищённости ИСПДн по ПП РФ № 1119.
2. Как составить политику обработки ПДн?
Политика должна отражать фактические процессы конкретного оператора. Обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания по ст. 6 ФЗ-152, категории субъектов и перечень ПДн, способы обработки, сроки хранения, порядок реализации прав субъектов (запрос, уточнение, блокирование, уничтожение — ст. 14–21 ФЗ-152), сведения о трансграничной передаче при её наличии. Шаблон из открытых источников без адаптации создаёт риск противоречия между документом и фактическими процессами.
3. Кого назначить ответственным по ст. 22.1?
Ответственным назначается работник, обладающий знаниями в области защиты персональных данных (ч. 4 ст. 22.1 ФЗ-152). Закон не требует специального сертификата, но на практике инспекторы РКН оценивают, способен ли ответственный ответить на вопросы о правовых основаниях обработки и реагировании на инциденты. Если в штате нет подходящего специалиста, функции передаются на DPO-аутсорсинг — это законная альтернатива.
4. Можно ли использовать шаблон политики из интернета?
Использование готового шаблона допустимо как отправная точка, но не как финальный документ. Шаблоны, как правило, не учитывают специфику конкретного оператора: цели обработки, категории субъектов, наличие трансграничной передачи, применяемые технические меры. При проверке РКН инспектор сопоставляет содержание политики с фактической обработкой. Несоответствие — основание для предписания и штрафа по ч. 3 ст. 13.11 КоАП.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 согласие оформляется отдельным документом (ч. 1 ст. 9 ФЗ-152, ред. ФЗ-156 от 24.06.2025). Реквизиты: ФИО субъекта, его контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва. Согласие не может быть включено в трудовой договор, оферту или политику конфиденциальности. Согласия, полученные до 01.09.2025 в составе иных документов, не требуют обязательного переоформления, но их юридическая устойчивость снижается при предъявлении субъектом требований.
Итог
Срок включения в реестр операторов — 30 дней с момента подачи уведомления по ст. 22 ФЗ-152. Этот срок — не буфер, а период для параллельной сборки ОРД. К дате включения в реестр политика конфиденциальности должна быть опубликована, ответственный — назначен, согласия — приведены в соответствие с требованиями ст. 9 в редакции ФЗ-156.
DATUM сопровождает операторов на всех этапах: от подачи уведомления в РКН до полного комплекта ОРД и DPO-аутсорсинга по ст. 22.1. В практике — более 300 операторов, включая компании с разветвлённой инфраструктурой обработки и трансграничными передачами.
22 декабря 2026 года