инструкция 22 ноября 2026 По состоянию на 22 ноября 2026

Уведомление до начала или после обработки

Ст. 22 ФЗ-152 требует уведомить Роскомнадзор до начала обработки персональных данных — не после. Нарушение этого порядка образует состав по ч. 10 ст. 13.11 КоАП: штраф для юрлица 100 000 — 300 000 ₽.

На практике юристы сталкиваются с ситуацией: компания уже обрабатывает ПДн месяцами, а уведомление не подавалось или сведения в реестре устарели. С 30.05.2025 это фиксируется как самостоятельный состав — отдельно от нарушений по существу обработки.

→ Если вы юрист компании и проверяете статус в реестре РКН — ниже пошаговый порядок: когда подавать, что включать, как исправить ошибки.

Вопрос «до или после» на первый взгляд технический. По факту это разница между штрафом по ч. 10 ст. 13.11 КоАП и чистым комплаенс-профилем компании. Инструкция охватывает весь цикл: от проверки необходимости уведомления до подачи через портал РКН и поддержания реестровых сведений в актуальном состоянии.

Шаг 1. Нужно ли вашей компании уведомление?

Исходная точка — ст. 22 ФЗ-152: оператор обязан уведомить уполномоченный орган о намерении осуществлять обработку персональных данных до её начала. Это общее правило. Исключения перечислены в ч. 2 ст. 22 ФЗ-152 исчерпывающим образом.

Компания освобождена от уведомления, если одновременно выполняются условия исключения: обработка ведётся исключительно в связи с трудовыми отношениями, или данные получены по договору с субъектом и не передаются третьим лицам, или речь идёт о публично раскрытых субъектом данных, или обработка без средств автоматизации в целях разовой пропускной функции. Каждое исключение узкое — на практике большинство коммерческих операторов под них не подпадают.

«Ч. 2 ст. 22 ФЗ-152 — перечень случаев, при которых уведомление не требуется, является исчерпывающим. Расширительное толкование не допускается.»

Типичная ошибка юриста: компания ведёт CRM с данными клиентов и одновременно базу сотрудников. Для кадровой базы исключение может работать. Для CRM — нет. Итог: уведомление необходимо хотя бы по одному основанию обработки.

Практический тест: если хотя бы одна из следующих операций выполняется в отношении ПДн физических лиц вне рамок трудового договора с этим лицом — уведомление нужно: сбор контактов клиентов, хранение истории заказов, рассылки, запись на сайте, программы лояльности, аналитика поведения пользователей.

Уведомление не подавалось — как оценить риск?

Если вы юрист компании и уведомление в реестре РКН отсутствует или содержит устаревшие сведения — это основание для штрафа по ч. 10 ст. 13.11 КоАП (100 000 — 300 000 ₽). С 30.05.2025 состав самостоятельный: наличие прочей документации не поглощает его. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов, выдадут отчёт с приоритизированным планом устранения нарушений и подготовят уведомление в актуальной форме.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Как правильно заполнить форму уведомления по Приказу РКН №180?

Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. Подача — через портал pd.rkn.gov.ru с авторизацией через ЕСИА или усиленной квалифицированной электронной подписью (УКЭП). Бумажная подача возможна, но влечёт значительные задержки.

Уведомление содержит обязательные сведения. Ключевые блоки:

наименование оператора, ИНН, адрес, контактные данные;
цели обработки — формулировать конкретно, не «законные интересы оператора» без расшифровки;
категории субъектов и категории ПДн — раздельно по каждой цели;
правовые основания обработки со ссылкой на норму — ст. 6 ФЗ-152, конкретный пункт;
перечень действий с ПДн: сбор, хранение, передача, обезличивание, уничтожение;
описание мер по обеспечению безопасности — достаточно указать уровень защищённости по ПП РФ №1119;
сведения о трансграничной передаче — страны, получатели;
наименование и контакты лица, ответственного за обработку ПДн (ст. 22.1 ФЗ-152).

Частая ошибка: цели обработки формулируются широко («исполнение договора», «иные законные цели»), а реальный состав обработки значительно шире заявленного. При проверке РКН это фиксируется как несоответствие и влечёт предписание, а при повторности — состав по ч. 1.1 ст. 13.11 КоАП.

«Ст. 22 ФЗ-152 ч. 3 — перечень сведений, которые оператор обязан указать в уведомлении, является обязательным минимумом. Неполнота сведений не освобождает от ответственности.»

После подачи уведомления оператор включается в реестр в течение 30 дней. До включения обработка, строго говоря, не должна вестись — это и есть требование «до начала». На практике суды оценивают не только факт подачи, но и дату реального начала обработки относительно даты уведомления.

Шаг 3. Что делать, если обработка уже ведётся без уведомления?

Ситуация распространённая: компания работает несколько лет, уведомление не подавалось. Алгоритм действий:

Шаг 3.1. Проверить реестр операторов на pd.rkn.gov.ru по ИНН — возможно, уведомление подавалось давно и сведения просто устарели.
Шаг 3.2. Если компания не числится в реестре — подать уведомление незамедлительно. Добровольное устранение до возбуждения дела суды и РКН учитывают как смягчающее обстоятельство по ст. 4.1 КоАП.
Шаг 3.3. Одновременно привести в порядок ОРД: политика обработки ПДн (ст. 18.1 ФЗ-152), согласия (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — отдельный документ с 01.09.2025), приказ о назначении ответственного (ст. 22.1 ФЗ-152).
Шаг 3.4. Зафиксировать дату подачи и получить подтверждение от РКН — это доказательство добросовестного поведения оператора.

Важно: само по себе отсутствие уведомления не означает автоматического штрафа. Состав ч. 10 ст. 13.11 КоАП — формальный, но срок давности привлечения — 1 год с момента нарушения (ст. 4.5 КоАП). Если компания работает без уведомления более года, срок по этому эпизоду может истечь — но нарушение продолжается, и каждый день без уведомления образует новый момент нарушения. Судебная практика по этому вопросу неоднородна.

Если вы юрист и компания обрабатывает ПДн клиентов, но реестра нет — срок на подачу уведомления не восстанавливается задним числом. Подача сейчас снижает риск штрафа по ч. 10 ст. 13.11 КоАП (до 300 000 ₽). DATUM подготовит уведомление и пакет ОРД под ключ.

Собрать ОРД под ключ

Шаг 4. Как поддерживать сведения в реестре в актуальном состоянии?

Уведомление — не разовое действие. Ст. 22 ФЗ-152 обязывает оператора сообщать об изменении сведений в течение 10 рабочих дней с момента возникновения изменений. Форма изменений — через тот же портал РКН по Приказу №180.

Типичные триггеры обновления реестровых сведений:

смена ответственного за обработку ПДн (ст. 22.1 ФЗ-152) — приказ оформлен, а в реестре прежнее лицо;
добавление новой цели обработки — запустили маркетинговую рассылку, а она не заявлена;
начало трансграничной передачи — подключили зарубежный сервис без уведомления РКН;
изменение состава обрабатываемых ПДн — добавили обработку биометрии или специальных категорий;
смена места хранения данных — переехали в новое облако или дата-центр.

«Ст. 22 ФЗ-152 ч. 7 — оператор обязан сообщать об изменении сведений, указанных в уведомлении, в уполномоченный орган не позднее 10 рабочих дней со дня возникновения таких изменений.»

На практике компании годами не обновляют реестровые сведения. В момент плановой или внеплановой проверки РКН расхождение между реестром и фактической обработкой фиксируется отдельным нарушением — даже если само уведомление было подано корректно.

Шаг 5. Какие документы должны быть готовы вместе с уведомлением?

Уведомление в реестре — верхушка пакета. Сам по себе реестровый статус не освобождает от наличия ОРД. Проверяя оператора, инспектор РКН запрашивает документы, которые уведомление лишь декларирует.

Что подготовить вместе с уведомлением

Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте, содержит все обязательные разделы.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 — с указанием конкретного лица, его полномочий и контактных данных для субъектов.
Согласия субъектов в редакции ст. 9 ФЗ-152 с учётом ФЗ-156 от 24.06.2025 — отдельный документ с 01.09.2025, с обязательными реквизитами.
Журнал учёта обращений субъектов ПДн — с входящими запросами за последние 12 месяцев.
Договоры с обработчиками (поручение на обработку) по п. 3 ст. 6 ФЗ-152 — для каждого подрядчика, имеющего доступ к ПДн.

Отдельно — ответственный по ст. 22.1 ФЗ-152. Требования к его квалификации установлены ч. 4 ст. 22.1. Назначение «для галочки» без фактических полномочий фиксируется при проверке и снижает ценность всего пакета документов. Контактные данные ответственного должны быть размещены в открытом доступе — на сайте или иным способом, обеспечивающим доступность для субъектов.

Типовые ситуации: сценарии для юриста

Сценарий 1. Компания подала уведомление, но не обновляла его два года. Реальная обработка расширилась: добавили программу лояльности, подключили CRM с трансграничной передачей в облако. В реестре — прежний состав. Ситуация: несоответствие реестровых сведений фактической обработке. Доказательства: договор с CRM-провайдером, данные о хранении. Вероятный исход: предписание об устранении + протокол по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽). Стратегия: до получения предписания — подать уведомление об изменении сведений, составить обновлённую политику. Добровольное устранение учитывается судом как смягчающее обстоятельство.

Сценарий 2. Стартап запустил сервис, уведомление не подавалось полгода. Сотрудники «разберутся потом». При регистрации в реестре РКН компании нет. Ситуация: формальное нарушение ч. 10 ст. 13.11 КоАП. Доказательства: дата запуска сайта, данные веб-аналитики, первая транзакция. Вероятный исход: при первичном нарушении и небольшом объёме субъектов — предупреждение по ст. 4.1.1 КоАП; при наличии ОРД и оперативной подаче уведомления — реальная возможность замены штрафа. Стратегия: подать уведомление немедленно, сформировать минимальный пакет ОРД до начала проверки.

Сценарий 3. Компания сменила ответственного по ст. 22.1, приказ есть, реестр не обновлён. Прежний сотрудник уволен, но в реестре — его данные. Субъект направляет запрос на старый адрес. Ситуация: нарушение обязанности актуализации сведений (ч. 7 ст. 22 ФЗ-152) + потенциальное нарушение ч. 4 ст. 13.11 КоАП при невозможности ответа субъекту в срок. Стратегия: немедленно подать уведомление об изменении сведений через pd.rkn.gov.ru; ответить субъекту в 10 рабочих дней по ст. 20 ФЗ-152.

Как это выглядит в практике

Кейс 1. Юридическая служба торговой компании (Приволжский ФО, лето 2025) провела внутренний аудит перед плановой проверкой РКН. Обнаружили: уведомление в реестре есть, но в нём не указана трансграничная передача в CRM-сервис и отсутствует актуальный ответственный по ст. 22.1. До проверки подали уведомление об изменении сведений, назначили ответственного приказом, разместили его контакты на сайте. Проверка прошла без протоколов — инспектор зафиксировал соответствие реестра фактической обработке.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) работала без уведомления с момента основания. После обращения к юрисконсульту в ходе подготовки к привлечению инвестиций подали уведомление и сформировали пакет ОРД. РКН возбудил дело по ч. 10 ст. 13.11 КоАП. Суд применил ст. 4.1.1 КоАП — заменил штраф предупреждением, учтя оперативное устранение нарушения и отсутствие вреда субъектам. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка реестрового статуса, ОРД и фактической обработки по 38 пунктам
Комплект ОРД под ключ — политика, согласия, приказы, поручения обработчикам в единый пакет
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный пакет: политика обработки ПДн по ст. 18.1 ФЗ-152, опубликованная в открытом доступе; согласия субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ по ФЗ-156); приказ о назначении ответственного по ст. 22.1 ФЗ-152; договоры-поручения с обработчиками по п. 3 ст. 6 ФЗ-152; уведомление в реестре РКН по ст. 22; журнал обращений субъектов. Для операторов ИСПДн — также документы по уровню защищённости (ПП РФ №1119) и технические меры по Приказу ФСТЭК №21.

2. Как составить политику обработки ПДн?

Политика должна содержать обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, категории субъектов и ПДн, порядок и условия обработки, права субъектов и порядок их реализации, сведения об ответственном лице. Политику публикуют на сайте в открытом доступе — обычно в подвале страницы. Использование шаблонов из открытых источников допустимо как база, но под реальную деятельность компании документ требует адаптации: цели, правовые основания и состав обрабатываемых ПДн должны совпадать с фактической обработкой.

3. Кого назначить ответственным по ст. 22.1?

Ответственным за организацию обработки ПДн по ст. 22.1 ФЗ-152 может быть штатный сотрудник или внешний специалист (DPO-аутсорсинг). Требования к квалификации установлены ч. 4 ст. 22.1. Ключевые критерии: понимание требований ФЗ-152, возможность реагировать на запросы субъектов в установленные сроки (10 рабочих дней по ст. 20 ФЗ-152), контактные данные должны быть в открытом доступе. Назначение фиксируется приказом с указанием полномочий — и отражается в уведомлении в реестре РКН.

4. Можно ли использовать шаблон политики из интернета?

Шаблон можно использовать как основу, но подписывать его без адаптации — риск. РКН при проверке сравнивает политику с фактической обработкой. Если политика декларирует одни цели и основания, а компания обрабатывает ПДн по другим (или в большем объёме) — фиксируется нарушение ч. 2 ст. 18.1 ФЗ-152 и, отдельно, возможный состав по ч. 1 ст. 13.11 КоАП. Шаблон, скачанный из интернета, как правило, не отражает специфику отрасли, конкретных оснований обработки и трансграничных передач именно вашей компании.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие на обработку ПДн оформляется отдельным документом и не объединяется с договором, офертой, пользовательским соглашением или политикой конфиденциальности. Обязательные реквизиты согласия: ФИО и контактные данные субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия переоформлять не требуется — обратной силы закон не имеет. Новые согласия, оформляемые после 01.09.2025, должны соответствовать обновлённым требованиям.

6. Что проверяет РКН при плановой проверке оператора ПДн?

Типовой чек-лист плановой проверки включает: наличие и актуальность уведомления в реестре по ст. 22 ФЗ-152; соответствие политики обработки требованиям ст. 18.1; наличие и содержание согласий субъектов (ст. 9); назначение ответственного (ст. 22.1); наличие поручений обработчикам (п. 3 ст. 6); организационные и технические меры по ст. 19 ФЗ-152 и ПП РФ №1119; порядок реагирования на обращения субъектов (ст. 20) и на инциденты (ст. 21). Отсутствие любого из этих элементов даёт основание для протокола по соответствующей части ст. 13.11 КоАП.

Итог

Уведомление по ст. 22 ФЗ-152 — обязательное условие до начала обработки, не формальность. Несоблюдение порядка образует самостоятельный состав по ч. 10 ст. 13.11 КоАП с момента, когда компания фактически начала обрабатывать ПДн без реестрового статуса. С 30.05.2025 этот состав существует отдельно от нарушений по существу обработки и не поглощается ими.

Юристы DATUM сопровождают операторов ПДн от проверки реестрового статуса до формирования полного пакета ОРД: политика, согласия в редакции ФЗ-156, приказ о назначении ответственного, поручения обработчикам. Подача уведомления и актуализация сведений — часть этой работы.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025.

22 ноября 2026 года