инструкция 18 февраля 2027 По состоянию на 18 февраля 2027

Выписка из реестра операторов ПДн

Выписка из реестра операторов ПДн — официальное подтверждение того, что компания уведомила Роскомнадзор о намерении обрабатывать персональные данные в соответствии со ст. 22 ФЗ-152.

Без уведомления оператор рискует получить штраф по ч. 10 ст. 13.11 КоАП — от 100 000 до 300 000 рублей. При отсутствии сопутствующих документов — политики конфиденциальности, согласий, приказа по ст. 22.1 — следуют дополнительные составы.

→ Если вы юрист и проверяете комплаенс компании, эта инструкция даёт пошаговый порядок получения выписки и состав сопутствующей ОРД.

Реестр операторов персональных данных ведёт Роскомнадзор на портале pd.rkn.gov.ru. Компания попадает в реестр после подачи уведомления по ст. 22 ФЗ-152 и проверки РКН в течение 30 дней. Сама выписка из реестра — не самостоятельная цель, а маркер соответствия: она нужна при проверках, в тендерах и как подтверждение добросовестности перед контрагентами. В 2025 году РКН зафиксировал 118 случаев компрометации баз данных; практика применения ФЗ-420 от 30.11.2024 наращивается. Инструкция охватывает: получение выписки, подготовку уведомления, состав обязательных документов по ст. 18.1 и ст. 22.1 ФЗ-152, а также требования к согласиям после 01.09.2025.

Шаг 1. Проверьте статус компании в реестре РКН

До подачи уведомления или получения выписки убедитесь, что компания вообще является оператором в смысле ст. 3 ФЗ-152. Оператор — любое лицо, самостоятельно или совместно с другими определяющее цели и состав обрабатываемых персональных данных. Интернет-магазин, работодатель, клиника, SaaS-сервис — все они операторы.

Для проверки перейдите на pd.rkn.gov.ru → раздел «Реестр операторов» → введите ИНН или наименование. Если компания есть в реестре — скачайте актуальную выписку в формате PDF. Если нет — необходимо подать уведомление до начала обработки (ст. 22 ФЗ-152 прямо обязывает уведомить регулятора заблаговременно).

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган о намерении осуществлять обработку персональных данных до её начала. Форма уведомления — Приказ РКН № 180 от 28.10.2022. Срок включения в реестр — 30 дней с момента подачи.»

Проверьте также, что сведения в реестре актуальны: цели обработки, категории ПДн, перечень субъектов, страны трансграничной передачи. Несоответствие реальной обработки заявленным сведениям — самостоятельный риск при плановой проверке.

Шаг 2. Подайте или обновите уведомление в РКН

Уведомление подаётся через портал pd.rkn.gov.ru с авторизацией по ЕСИА или с использованием УКЭП. В форме указываются: наименование оператора, ИНН/ОГРН, юридический и фактический адрес, цели обработки, категории ПДн, перечень субъектов, правовые основания, способы обработки, наличие трансграничной передачи, меры защиты.

«Приказ РКН № 180 от 28.10.2022 устанавливает три формы: уведомление о намерении обрабатывать, уведомление об изменении сведений, уведомление о прекращении обработки. Подача — через личный кабинет на pd.rkn.gov.ru.»

После регистрации уведомления в течение 30 дней РКН вносит оператора в реестр. Выписка становится доступна в личном кабинете и в открытом поиске по ИНН. Если данные меняются — изменение сведений подаётся без задержки: фактическое расхождение с реестром влечёт риск по ч. 1 ст. 13.11 КоАП (150 000–300 000 рублей).

Уведомление не подавалось или данные в реестре устарели?

Если юрист обнаружил, что компания обрабатывает ПДн без уведомления или реальная обработка шире заявленного — времени на исправление немного. До плановой проверки РКН уведомление должно быть в реестре. Юристы DATUM подготовят уведомление по Приказу РКН № 180, проведут аудит соответствия по чек-листу из 38 пунктов и выдадут план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Подготовьте политику обработки ПДн по ст. 18.1 ФЗ-152

Политика обработки персональных данных — обязательный документ по ч. 2 ст. 18.1 ФЗ-152. Её содержание строго регламентировано: цели обработки, правовые основания, перечень обрабатываемых ПДн, порядок и условия обработки, права субъектов, сроки достижения целей и уничтожения ПДн.

«Ст. 18.1 ФЗ-152, ч. 2 — оператор обязан опубликовать политику или иным образом обеспечить неограниченный доступ к ней. Отсутствие публикации — штраф по ч. 3 ст. 13.11 КоАП в размере 30 000–60 000 рублей для юридических лиц.»

Типичные ошибки в политиках: отсутствие раздела о трансграничной передаче, не указаны сроки уничтожения ПДн по каждой цели, политика опубликована только в договоре оферты (а не на отдельной странице сайта), нет контактов ответственного по ст. 22.1. Использовать шаблон из интернета без адаптации под реальные процессы компании — недопустимо: РКН при проверке сверяет политику с фактической обработкой.

Шаг 4. Оформите согласия субъектов по требованиям ФЗ-156 с 01.09.2025

С 01.09.2025 согласие на обработку персональных данных должно быть оформлено отдельным документом — не включаться в договор, оферту, политику или трудовой договор. Это требование введено ФЗ-156 от 24.06.2025 и внесено в ч. 1 ст. 9 ФЗ-152.

«Ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие субъекта оформляется как отдельный документ. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Согласия, полученные до 01.09.2025, переоформлять не требуется — норма не имеет обратной силы. Однако все новые согласия начиная с 01.09.2025 должны соответствовать новому формату. Нарушение — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 рублей. При повторном нарушении — от 1 000 000 до 1 500 000 рублей по ч. 2.1.

Для работников отдельного внимания заслуживают согласия по ст. 86–88 ТК РФ в связке с ФЗ-152: передача ПДн третьим лицам (банки зарплатного проекта, страховщики ДМС), обработка биометрии в СКУД — всё это требует отдельных согласий с корректными реквизитами.

Если юрист проверяет комплаенс компании после 01.09.2025 и обнаруживает, что согласия по-прежнему встроены в договор или политику — каждое такое согласие создаёт основание для штрафа по ч. 2 ст. 13.11. Юристы DATUM соберут пакет согласий по требованиям ФЗ-156 и проверят весь ОРД.

Собрать ОРД под ключ

Шаг 5. Назначьте ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных, по ст. 22.1 ФЗ-152. Назначение оформляется приказом; контактные данные ответственного указываются в политике обработки ПДн и публикуются на сайте.

«Ст. 22.1 ФЗ-152, ч. 4 — ответственный за обработку ПДн не вправе в своих интересах обрабатывать данные без ведома оператора, обязан рассматривать обращения субъектов, соблюдать конфиденциальность. Требования к квалификации — в ч. 4 ст. 22.1.»

Ответственным может быть штатный сотрудник (юрист, офицер по защите данных) или аутсорсинговая организация. Аутсорсинг функции DPO по ст. 22.1 — допустим и распространён в среднем бизнесе: это снижает нагрузку на штатных специалистов и обеспечивает постоянную готовность к ответам на запросы субъектов в срок 10 рабочих дней по ст. 20 ФЗ-152.

Что подготовить юристу для полного пакета ОРД

Выписка из реестра операторов ПДн с pd.rkn.gov.ru (или уведомление по Приказу РКН № 180 — если ещё не подавалось)
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте оператора
Отдельные согласия субъектов — работников, клиентов, пользователей сайта — по реквизитам ст. 9 ФЗ-152 в редакции с 01.09.2025
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с указанием контактных данных
Журнал учёта обращений субъектов за последние 12 месяцев с входящими запросами и датами ответов

Как применяются нормы на практике: типовые ситуации

Ситуация 1. Реестр есть, но данные устарели. Производственная компания (Уральский ФО, весна 2026) была включена в реестр операторов в 2018 году. В ходе аудита юрист обнаружил, что за прошедшие годы появились новые цели обработки (видеонаблюдение в офисе, биометрия СКУД) и новые категории субъектов (соискатели через HH.ru). Ни одно изменение сведений в РКН подано не было. По итогам внеплановой проверки регулятор квалифицировал это как обработку ПДн, несовместимую с заявленными целями, — состав по ч. 1 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. После подачи изменений по Приказу РКН № 180 и корректировки политики конфиденциальности нарушение было устранено. Стратегия: при любом расширении круга субъектов или целей обработки немедленно подавать изменение в реестр.

Ситуация 2. Согласия встроены в договор до 01.09.2025. Юридическая фирма (Центральный ФО, осень 2025) при подготовке к проверке РКН обнаружила, что согласия клиентов на обработку ПДн исторически включались в текст договора на оказание услуг. После 01.09.2025 такой формат не соответствует ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Юристы подготовили отдельные согласия с полным перечнем реквизитов и запустили процедуру переоформления для новых клиентов. Действующие договоры не переоформлялись — обратной силы норма не имеет. Стратегия: переоформлять только новые согласия; для действующих клиентов — при следующем взаимодействии приложить отдельный документ.

Ситуация 3. Компания не назначила ответственного по ст. 22.1. ИТ-компания (Сибирский ФО, начало 2026) получила жалобу субъекта на неполучение ответа на запрос о составе обрабатываемых ПДн. РКН провёл внеплановую проверку. Выяснилось, что ответственный по ст. 22.1 не назначен, приказа нет, контактных данных в политике нет. Регулятор выдал предписание и составил протокол по ч. 4 ст. 13.11 КоАП (40 000–80 000 рублей). Стратегия: назначить ответственного приказом, разместить контакты в политике, настроить процедуру ответа на запросы субъектов в 10 рабочих дней.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов: политика, согласия, приказы, регламенты
Аудит соответствия 152-ФЗ — проверка по чек-листу, приоритизированный план устранения
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный пакет по ФЗ-152: уведомление в реестре РКН (ст. 22), политика обработки ПДн (ст. 18.1), согласия субъектов в соответствующих ситуациях (ст. 9), приказ о назначении ответственного (ст. 22.1), локальные акты о порядке обработки, журнал обращений субъектов. При передаче ПДн подрядчику — поручение на обработку по п. 3 ст. 6 ФЗ-152. При трансграничной передаче — уведомление РКН по ст. 12. Полный пакет включает 38 документов в зависимости от специфики обработки.

2. Как составить политику обработки ПДн?

Политика должна содержать обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, перечень категорий ПДн и субъектов, способы обработки, условия передачи третьим лицам и за рубеж, сроки хранения и порядок уничтожения, права субъектов и порядок их реализации, контактные данные ответственного. Политика публикуется в открытом доступе — как правило, на отдельной странице сайта оператора. Нельзя ограничиваться ссылкой в подвале на документ в формате Word или PDF без HTML-версии.

3. Кого назначить ответственным по ст. 22.1?

Ответственным за организацию обработки ПДн по ст. 22.1 ФЗ-152 может быть штатный сотрудник (юрист, специалист по ИБ) или привлечённая организация в рамках аутсорсинга. Требования к квалификации установлены в ч. 4 ст. 22.1: знание законодательства о ПДн, опыт работы. Назначение оформляется приказом руководителя. Контактные данные ответственного размещаются в политике конфиденциальности и должны быть доступны субъектам для направления запросов. Ответить на запрос субъекта необходимо в течение 10 рабочих дней (ст. 20 ФЗ-152).

4. Можно ли использовать шаблон политики из интернета?

Шаблон можно использовать как основу, но не как готовый документ. РКН при проверке сверяет политику с фактической обработкой данных конкретного оператора: если в политике заявлено, что ПДн не передаются третьим лицам, а оператор использует облачную CRM зарубежного провайдера — это прямое расхождение. Типовые шаблоны из открытых источников не учитывают специфику отрасли, набор целей, наличие трансграничной передачи и требования к биометрии. Использование чужого шаблона без адаптации создаёт ложное ощущение безопасности.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие по ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025) оформляется только как отдельный самостоятельный документ — не встраивается в договор, оферту, политику или трудовой договор. Обязательные реквизиты: ФИО и контакты субъекта, наименование оператора, конкретная цель, перечень ПДн, перечень действий с ними, срок действия согласия, способ отзыва. Для работников — отдельные согласия по каждой цели передачи третьим лицам. Согласие на распространение ПДн по ст. 10.1 — всегда отдельный документ. Нарушение формата — состав по ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 рублей.

6. Что изменилось в процедуре уведомления РКН в 2025 году?

С 30.05.2025 вступили в силу поправки ФЗ-420 от 30.11.2024, существенно ужесточившие ответственность по ст. 13.11 КоАП. Статья расширена с 7 до 18 частей. Неуведомление о намерении обрабатывать ПДн по ч. 10 ст. 13.11 — штраф 100 000–300 000 рублей. Неуведомление об инциденте (утечке) в 24 часа по ч. 11 ст. 13.11 — штраф 1 000 000–3 000 000 рублей. Порядок подачи уведомлений сохранился: форма по Приказу РКН № 180 через pd.rkn.gov.ru с авторизацией через ЕСИА или УКЭП.

Итог

Выписка из реестра операторов ПДн — лишь один элемент системы соответствия ФЗ-152. Без актуального уведомления по Приказу РКН № 180, политики конфиденциальности по ст. 18.1, отдельных согласий по ст. 9 в редакции ФЗ-156 и назначенного ответственного по ст. 22.1 выписка не защищает от штрафов. При обнаружении расхождений между реестром и фактической обработкой необходимо незамедлительно подать изменение сведений.

Практика DATUM охватывает подготовку уведомлений РКН, формирование полного пакета ОРД из 38 документов, сопровождение проверок регулятора и защиту от штрафов по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024.

Проверяете комплаенс компании — нужен полный пакет ОРД?

Если юрист выявил, что уведомление устарело, согласия встроены в договор или ответственный по ст. 22.1 не назначен — это три самостоятельных состава административного правонарушения. Юристы DATUM подготовят полный пакет ОРД под ключ: политика, согласия, приказы, регламент — и обновят уведомление в реестре РКН. Практика Ветров и партнёры по 152-ФЗ с 2014 года, более 300 операторов сопровождено.