Уведомление РКН о намерении обрабатывать ПДн: инструкция 2026

Большинство российских организаций, обрабатывающих персональные данные сотрудников, клиентов или контрагентов, обязаны уведомить Роскомнадзор до начала обработки. Обязанность закреплена в ст. 22 ФЗ-152 и конкретизирована Приказом РКН №180 от 28.10.2022. На практике юристы компаний сталкиваются с двумя типичными ошибками: либо уведомление не подавалось вовсе, либо поданное уведомление устарело и не отражает фактическую обработку. Обе ситуации создают основание для протокола по ч. 10 ст. 13.11 КоАП. Ниже — пошаговая инструкция, охватывающая все этапы от проверки оснований до хранения подтверждения.

Шаг 1. Проверьте, обязаны ли вы подавать уведомление

Обязанность уведомить РКН распространяется на всех операторов по умолчанию. Однако ст. 22 ФЗ-152 содержит закрытый перечень исключений, при которых уведомление не требуется. Юрист обязан точно квалифицировать ситуацию компании, прежде чем делать вывод об отсутствии обязанности.

Уведомление не требуется, если оператор обрабатывает ПДн исключительно в следующих случаях:

• ПДн обрабатываются в соответствии с трудовым законодательством — данные работников в рамках трудовых отношений (ст. 22 ч. 2 п. 1 ФЗ-152).
• ПДн получены при заключении договора, по которому субъект является стороной, и не передаются третьим лицам без согласия субъекта, и используются только для исполнения договора (п. 2).
• Обработка ведётся для однократного пропуска субъекта на территорию оператора (п. 3).
• ПДн включены в государственные информационные системы с особым режимом защиты (п. 4).
• Обрабатываются только ФИО субъектов без иных категорий (п. 5).

На практике большинство компаний не подпадают под исключение целиком: если наряду с трудовыми отношениями обрабатываются ПДн клиентов, пользователей сайта или контрагентов — уведомление обязательно. Ошибка юриста в квалификации этого вопроса прямо формирует состав по ч. 10 ст. 13.11 КоАП.

Шаг 2. Подготовьте сведения для заполнения уведомления

Форма уведомления установлена Приказом РКН №180 от 28.10.2022. Перед заполнением на портале pd.rkn.gov.ru необходимо собрать полный массив сведений об обработке. Неполное или недостоверное уведомление — основание для предписания и повторной подачи, а при систематических нарушениях — для внеплановой проверки.

Перечень сведений, которые потребуются для уведомления:

• Полное наименование оператора, ИНН, ОГРН, юридический адрес.
• Цели обработки ПДн (каждая цель — отдельно; не допускается формулировка «в соответствии с законодательством» без конкретики).
• Категории субъектов: работники, клиенты, пользователи сайта, контрагенты-физлица, несовершеннолетние.
• Перечень категорий ПДн по каждой цели: общие, специальные (ст. 10 ФЗ-152), биометрические (ст. 11 ФЗ-152).
• Правовые основания обработки по ст. 6 ФЗ-152 — по каждой цели: согласие (п. 1), договор (п. 5), закон (п. 2) и т. д.
• Описание мер защиты: организационные и технические меры по ст. 19 ФЗ-152, уровень защищённости по ПП РФ №1119.
• Сведения о трансграничной передаче (при наличии) и странах-получателях.
• ФИО и контакты лица, ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
• Сроки или условия прекращения обработки и уничтожения ПДн.

Шаг 3. Заполните и подайте уведомление через портал РКН

Уведомление подаётся через личный кабинет на портале pd.rkn.gov.ru. Вход — через ЕСИА (Госуслуги) или с использованием усиленной квалифицированной электронной подписи (УКЭП). Бумажная форма с 2023 года фактически не применяется.

Последовательность действий при подаче:

1. Авторизоваться на pd.rkn.gov.ru через ЕСИА организации или УКЭП.
2. Выбрать раздел «Подача уведомления» — форма уведомления о намерении осуществлять обработку ПДн.
3. Заполнить все обязательные поля: реквизиты оператора, цели, категории субъектов и ПДн, правовые основания, сроки, меры защиты, сведения об ответственном по ст. 22.1.
4. Указать сведения о трансграничной передаче, если ПДн передаются за рубеж (обязанность по ст. 12 ФЗ-152 — уведомить РКН до начала передачи в страну без адекватной защиты).
5. Подписать уведомление УКЭП руководителя или уполномоченного представителя.
6. Направить уведомление и сохранить квитанцию о получении (входящий номер и дата).

Срок рассмотрения уведомления и включения оператора в реестр — 30 дней. До истечения срока оператор вправе уточнять поданные сведения. Подтверждение о включении в реестр приходит в личный кабинет; его следует сохранить как доказательство исполнения обязанности.

Шаг 4. Назначьте ответственного по ст. 22.1 ФЗ-152 и опубликуйте политику

Без двух сопутствующих документов уведомление формально подано, но компания остаётся уязвимой при проверке: РКН проверяет наличие назначенного ответственного и опубликованной политики обработки ПДн как первые пункты любой инспекции.

Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 назначается приказом руководителя. Это может быть штатный сотрудник (юрист, сотрудник ИБ, HR-директор) или внешний аутсорсер по договору. Требования к квалификации — ч. 4 ст. 22.1 ФЗ-152: наличие юридического или технического образования либо опыта работы в сфере защиты информации. В уведомлении указываются ФИО и контактный телефон ответственного — РКН использует эти данные для оперативного взаимодействия.

Политика обработки ПДн публикуется на сайте оператора в открытом доступе. Содержание — в соответствии с ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, перечень обрабатываемых данных, сроки хранения, меры защиты, порядок реализации прав субъектов. Отсутствие политики или её несоответствие требованиям — состав по ч. 3 ст. 13.11 КоАП (штраф для юрлица 30 000–60 000 ₽).

Шаг 5. Обновляйте сведения при изменении условий обработки

Уведомление — не разовое действие. При изменении любого из сведений, указанных в уведомлении, оператор обязан сообщить об этом в РКН не позднее 10 рабочих дней. Изменение сведений подаётся через тот же портал pd.rkn.gov.ru по форме уведомления об изменении сведений (Приказ РКН №180).

Типичные ситуации, требующие обновления уведомления:

• Начало обработки новой категории ПДн (например, биометрических при установке СКУД или специальных при запуске медицинского сервиса).
• Добавление новой цели обработки (программа лояльности, рассылка, профилирование).
• Передача ПДн новому подрядчику-обработчику или начало трансграничной передачи.
• Смена ответственного по ст. 22.1 ФЗ-152.
• Изменение юридического адреса, наименования, ИНН оператора.

При прекращении обработки ПДн оператор подаёт уведомление о прекращении обработки — также через pd.rkn.gov.ru. После этого РКН исключает оператора из реестра.

Как выглядит нарушение на практике: три типичных сценария

Сценарий 1. Компания не подавала уведомление. Организация обрабатывает ПДн клиентов через CRM и сайт, данные работников — в 1С, но в реестре РКН не числится. При плановой или внеплановой проверке РКН это первое, что устанавливается: отсутствие записи в реестре автоматически означает неподачу уведомления. Протокол по ч. 10 ст. 13.11 КоАП — штраф 100 000–300 000 ₽. При наличии иных нарушений (отсутствие политики, ненадлежащие согласия) составляется несколько протоколов. Стратегия защиты: подать уведомление до вынесения постановления, представить доказательства подачи как смягчающее обстоятельство, при первичности и малом размере ущерба — ходатайствовать о замене штрафа предупреждением по ст. 4.1.1 КоАП.

Сценарий 2. Уведомление подано, но не обновлялось три года. В реестре РКН указана одна цель обработки («ведение кадрового делопроизводства»), а фактически компания развернула e-mail-рассылку, передаёт ПДн клиентов маркетинговому агентству и использует облачную CRM с серверами в Нидерландах. Расхождение между уведомлением и реальностью — несоответствие, квалифицируемое как нарушение ст. 22 ФЗ-152. Дополнительно возникает вопрос трансграничной передачи по ст. 12 ФЗ-152. Итог проверки — протокол по ч. 1 ст. 13.11 (150 000–300 000 ₽) плюс потенциально ч. 10 за несвоевременное обновление сведений.

Сценарий 3. Согласия работников не переоформлены после 01.09.2025. С вступлением в силу ФЗ-156 от 24.06.2025 согласие на обработку ПДн должно оформляться отдельным документом — не встроенным в трудовой договор, заявление о приёме или иной документ. Юрист, проверяющий ОРД HR-блока, обнаруживает, что все согласия работников — в приложении к трудовому договору. Формально это нарушение ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽ за обработку без надлежащего согласия). При первичном нарушении и готовности немедленно устранить — основание для применения ст. 4.1.1 КоАП (предупреждение вместо штрафа для микропредприятий).

Кейс. В практике DATUM (Центральный ФО, весна 2026) юрист торговой сети обратился после того, как РКН направил запрос о предоставлении сведений об обработке ПДн. Уведомление компания подавала в 2019 году, ответственный по ст. 22.1 не назначался, политика конфиденциальности на сайте отсутствовала. В течение 5 рабочих дней был подготовлен полный пакет: уведомление об изменении сведений в РКН, приказ о назначении ответственного, политика обработки ПДн, пакет согласий по новым требованиям ФЗ-156. По итогам административного расследования компания получила предупреждение по ч. 3 ст. 13.11 КоАП — суд применил ст. 4.1.1 КоАП, учитывая первичность нарушения и принятые меры.

Кейс. В деле арбитражного суда Москвы (дело № А40-263126/2025) компания, допустившая утечку 26 миллионов записей, получила штраф 150 000 ₽ — по минимуму ч. 1 ст. 13.11 КоАП в редакции до ФЗ-420, поскольку утечка произошла до 01.06.2025. Если бы инцидент произошёл после вступления в силу новых норм, штраф за аналогичный объём составил бы 10–15 млн ₽ по ч. 14 ст. 13.11 КоАП. Этот кейс наглядно демонстрирует, что своевременное уведомление и полная ОРД создают доказательную базу для применения смягчающих обстоятельств даже при серьёзных инцидентах.

Услуги DATUM по теме

• Комплект ОРД под ключ — 38 документов: политика, согласия, приказы, журналы.
• Аудит соответствия 152-ФЗ — проверка уведомления, ОРД и фактической обработки по чек-листу из 38 пунктов.
• DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании.

Частые вопросы

1. Какие документы должны быть у оператора ПДн помимо уведомления?

Помимо поданного уведомления в РКН, оператор обязан иметь: политику обработки ПДн (ст. 18.1 ФЗ-152), опубликованную на сайте; приказ о назначении ответственного по ст. 22.1 ФЗ-152; согласия субъектов в случаях, когда они требуются по ст. 9 ФЗ-152; регламент реагирования на запросы субъектов и инциденты; журнал учёта обращений субъектов. Это базовый минимум из примерно 38 документов полного ОРД-комплекта.

2. Как составить политику обработки ПДн в соответствии с требованиями ст. 18.1 ФЗ-152?

Политика обработки ПДн должна содержать: наименование оператора и контакты ответственного; цели и правовые основания обработки; перечень обрабатываемых категорий ПДн и субъектов; условия передачи данных третьим лицам; меры защиты; сроки хранения и порядок уничтожения; порядок реализации прав субъектов по ст. 14–21 ФЗ-152. Использование шаблонов без адаптации под фактические процессы компании — распространённая ошибка, которую РКН выявляет в ходе проверки: если политика не соответствует реальным целям из уведомления, это нарушение ст. 18.1 ФЗ-152.

3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Ответственным по ст. 22.1 ФЗ-152 может быть штатный сотрудник (юрист, специалист по ИБ, HR-директор) или аутсорсер. Требования к квалификации — ч. 4 ст. 22.1: юридическое или техническое образование либо практический опыт в области защиты информации. Назначение оформляется приказом руководителя. ФИО и контакты ответственного указываются в уведомлении РКН и должны быть актуальными — при смене ответственного необходимо обновить сведения в реестре.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблон из открытых источников допустим как отправная точка, но не как готовый документ. Политика должна отражать фактические процессы конкретного оператора: цели и категории ПДн, которые совпадают с поданным уведомлением; реальных подрядчиков-обработчиков; фактические сроки хранения. Несоответствие политики уведомлению — прямое основание для протокола при проверке РКН. Кроме того, с 2025 года требования к политике изменились в части отражения новых норм об обезличивании (ст. 13.1 ФЗ-152) и требований к согласиям по ФЗ-156.

5. Какие согласия работников и клиентов нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн по ФЗ-156 от 24.06.2025 оформляется отдельным документом — не встроенным в договор, анкету или иной документ. Обязательные реквизиты: ФИО субъекта, его контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия согласия, способ отзыва. Согласия, полученные до 01.09.2025 в составе трудового договора или иного документа, переоформлять не требуется — у поправок нет обратной силы. Но любые новые согласия — работников, принятых после 01.09.2025, или клиентов при новых целях обработки — должны соответствовать новым требованиям.

Итог

Уведомление РКН о намерении обрабатывать ПДн — базовая обязанность по ст. 22 ФЗ-152, неисполнение которой с 30.05.2025 влечёт штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Само по себе уведомление не закрывает комплаенс: РКН при проверке сверяет поданные сведения с реальной обработкой, наличием ответственного по ст. 22.1 и опубликованной политикой по ст. 18.1 ФЗ-152. Актуальность уведомления требует поддержания — любое изменение в обработке влечёт обязанность обновить сведения в реестре в течение 10 рабочих дней.

Практика DATUM по сопровождению уведомлений РКН и формированию ОРД охватывает компании от розничных сетей до IT-платформ. Подготовка уведомления в связке с полным ОРД-комплектом позволяет пройти проверку РКН без протоколов даже при обширной обработке ПДн.

21 октября 2026 года