инструкция 22 октября 2026 По состоянию на 22 октября 2026

Журналистская деятельность: уведомление РКН для СМИ

СМИ — оператор персональных данных. Исключений из ч. 1 ст. 22 ФЗ-152 для редакций нет: уведомление в РКН и полный пакет ОРД обязательны.

С 30.05.2025 неуведомление о намерении обрабатывать ПДн грозит штрафом 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП. За отсутствие политики конфиденциальности — отдельно до 60 тыс. ₽ по ч. 3 той же статьи. Оба нарушения фиксируются при одной проверке.

Если вы юрист редакции или медиахолдинга — ниже пошаговая инструкция: от проверки реестра до согласий по ФЗ-156. → Проверьте статус своего СМИ прямо сейчас.

Редакции, агентства и медиахолдинги обрабатывают персональные данные ежедневно: подписчики, авторы, герои материалов, рекламодатели. С 30.05.2025 года законодательство сделало эту обработку дороже — ст. 13.11 КоАП расширена до 18 частей, штрафы выросли кратно. Ниже — инструкция из шести шагов, которая приведёт СМИ в соответствие с ФЗ-152 без лишних итераций с регулятором.

Шаг 1. Проверьте, есть ли ваше СМИ в реестре операторов РКН

Реестр операторов персональных данных ведёт Роскомнадзор на портале pd.rkn.gov.ru. Введите ИНН или ОГРН юридического лица — система выдаст запись, если она существует. Отсутствие записи означает, что уведомление не подавалось или подавалось с ошибками.

Для СМИ как оператора ПДн уведомление обязательно по ст. 22 ФЗ-152, если организация обрабатывает хотя бы одну из следующих категорий: данные сотрудников редакции, данные подписчиков (email, телефон, адрес), данные источников и героев публикаций (в той мере, в какой они попадают в информационные системы), данные рекламных контрагентов — физических лиц или ИП.

«Ст. 22 ФЗ-152: оператор обязан уведомить уполномоченный орган о намерении осуществлять обработку персональных данных до начала такой обработки. Форма и порядок подачи — Приказ РКН № 180 от 28.10.2022.»

Если запись в реестре есть — сверьте фактические цели и категории обработки с тем, что заявлено. Расхождение трактуется как нарушение ст. 5 ФЗ-152 и даёт основание для протокола по ч. 1 ст. 13.11 КоАП (штраф 150–300 тыс. ₽).

Шаг 2. Подготовьте и подайте уведомление по Приказу РКН № 180

Уведомление подаётся через личный кабинет на pd.rkn.gov.ru — с УКЭП или через ЕСИА. Форма утверждена Приказом РКН № 180 от 28.10.2022. Бумажная подача допустима, но задерживает включение в реестр.

Что указывает СМИ в уведомлении:

наименование и адрес оператора;
цели обработки ПДн (например: ведение кадрового учёта, работа с подписчиками, рассылки, рекламные договоры с физлицами);
категории субъектов — работники, подписчики, рекламодатели-физлица, иные;
перечень действий с ПДн — сбор, хранение, передача, обезличивание, уничтожение;
правовые основания обработки — ст. 6 ФЗ-152 (согласие, договор, закон);
сведения о трансграничной передаче — если ПДн уходят за рубеж (например, в CRM-систему с серверами в ЕС);
меры защиты и наименование ответственного по ст. 22.1 ФЗ-152.

Срок включения в реестр после подачи — 30 дней (ч. 4 ст. 22 ФЗ-152). Обработку до включения вести нельзя. На практике запись появляется раньше, но юридически безопасная дата — дата внесения в реестр.

Уведомление подано, но реестр не обновился или данные устарели?

Если юрист редакции обнаружил расхождение между реестровой записью и фактической обработкой — это самостоятельное нарушение. Исправление требует подачи уведомления об изменении сведений по той же форме Приказа РКН № 180. До устранения расхождения риск протокола по ч. 1 ст. 13.11 (150–300 тыс. ₽) существует при любой плановой или внеплановой проверке. Юристы DATUM проверят реестровую запись, сравнят с фактическими процессами и подготовят корректирующее уведомление.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Назначьте ответственного за обработку персональных данных

Ст. 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Для редакции это может быть главный редактор, штатный юрист или специально выделенный сотрудник. Назначение оформляется приказом с указанием функций.

Ответственный по ст. 22.1 обязан:

организовывать обработку ПДн в соответствии с требованиями ФЗ-152;
вести внутренний контроль за соблюдением законодательства о ПДн;
оценивать вред, который может быть причинён субъектам;
организовывать приём и обработку обращений субъектов ПДн;
обеспечивать ознакомление работников с требованиями ФЗ-152 и локальными актами.

«Ст. 22.1 ФЗ-152: оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Требования к его функциям закреплены в ч. 4 той же статьи.»

Если штатного специалиста нет — функцию можно передать внешнему исполнителю (DPO-аутсорсинг). Договор поручения обработки при этом оформляется по п. 3 ст. 6 ФЗ-152 с указанием перечня действий и обязательств по конфиденциальности. Подробнее об этом — на странице DPO-аутсорсинг.

Шаг 4. Разработайте политику обработки персональных данных по ст. 18.1

Ст. 18.1 ФЗ-152 обязывает оператора опубликовать политику обработки ПДн — документ, доступный неограниченному кругу лиц. Для СМИ это, как правило, страница на сайте редакции или отдельный раздел корпоративного портала.

Обязательное содержание политики по ч. 2 ст. 18.1 ФЗ-152:

общие принципы и цели обработки ПДн;
категории обрабатываемых ПДн и категории субъектов;
правовые основания обработки;
порядок и условия обработки, включая передачу третьим лицам;
права субъектов ПДн и порядок их реализации;
актуальные сведения об операторе.

Отсутствие опубликованной политики или её несоответствие требованиям ст. 18.1 — самостоятельный состав нарушения. Штраф по ч. 3 ст. 13.11 КоАП — 30–60 тыс. ₽ для юридических лиц. При проверке РКН фиксирует это нарушение первым — автоматизированным сканированием сайта.

Шаблоны политик, скачанные из открытых источников, как правило, не соответствуют фактическим процессам редакции и не содержат актуальных правовых оснований. Использование чужого шаблона без адаптации — один из самых частых поводов для протокола при проверке.

Если юрист СМИ обнаружил, что политика конфиденциальности скопирована с другого сайта или не обновлялась после 01.09.2025 — это нарушение ч. 3 ст. 13.11 КоАП. Актуализация занимает 5–10 рабочих дней при наличии полного описания процессов обработки.

Заказать аудит 152-ФЗ

Шаг 5. Переоформите согласия на обработку персональных данных по ФЗ-156

С 01.09.2025 ФЗ-156 от 24.06.2025 ввёл требование об оформлении согласия на обработку ПДн отдельным документом. Согласие не может быть включено в текст трудового договора, оферты, пользовательского соглашения или любого другого документа.

Для редакции это означает пересмотр трёх групп согласий:

Работники и внештатные авторы — согласие на обработку ПДн не должно быть частью трудового договора или договора ГПХ. Нужен отдельный документ с реквизитами по ст. 9 ФЗ-152: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.
Подписчики и пользователи сайта — если форма подписки содержала галочку «Согласен с политикой конфиденциальности», объединявшую несколько оснований, её нужно разделить. Отдельная галочка для согласия на обработку ПДн, отдельная — для рассылки.
Согласие на распространение ПДн по ст. 10.1 ФЗ-152 — если редакция публикует данные героев материалов с их согласия, это отдельный документ с указанием, какие данные могут быть распространены.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие субъекта персональных данных на обработку его данных должно быть оформлено отдельным документом. Объединение согласия с иными документами не допускается.»

Ранее полученные согласия переоформлять в обязательном порядке не требуется — ФЗ-156 не имеет обратной силы. Но новые согласия, полученные после 01.09.2025, обязаны соответствовать обновлённым требованиям. Нарушение влечёт штраф по ч. 2 ст. 13.11 КоАП — 300–700 тыс. ₽.

Шаг 6. Соберите полный пакет ОРД и обеспечьте его актуальность

Организационно-распорядительная документация (ОРД) по ФЗ-152 — это совокупность внутренних документов, которые подтверждают: оператор знает, что обрабатывает ПДн, кто за это отвечает, на каком основании и как защищает данные. При проверке РКН инспектор запрашивает ОРД в первую очередь.

Минимальный пакет ОРД для редакции СМИ

Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) с перечнем функций.
Политика обработки персональных данных — опубликованная и актуальная (ст. 18.1 ФЗ-152).
Перечень информационных систем персональных данных (ИСПДн) с указанием категорий данных, уровня защищённости по ПП РФ № 1119 и ответственных.
Согласия субъектов ПДн — шаблоны и журнал получения (ст. 9 ФЗ-152 в редакции ФЗ-156).
Регламент реагирования на инциденты с ПДн — сроки 24/72 часа по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН № 187.

Помимо минимума, средней редакции потребуются: договоры поручения обработки с подрядчиками (верстальщики, CRM-системы, email-рассылщики), инструкции для сотрудников, работающих с ПДн, журнал учёта обращений субъектов, приказ об определении уровней защищённости ИСПДн. Полный пакет насчитывает порядка 38 документов — его состав зависит от масштаба редакции и применяемых систем.

Подробнее о составе и стоимости — на странице Комплект ОРД под ключ.

Как это применяется на практике

Кейс 1. Региональное интернет-издание (Приволжский ФО, начало 2026 года) прошло внеплановую проверку РКН по жалобе подписчика. Юрист обнаружил три нарушения одновременно: отсутствие в реестре операторов, политика конфиденциальности последний раз обновлялась в 2021 году, согласия в форме подписки были объединены с пользовательским соглашением. Совокупный штраф по ч. 10 и ч. 3 ст. 13.11 КоАП составил сотни тысяч рублей. После консультации с юристами редакция оспорила нарушение по ч. 3 — суд снизил штраф, сославшись на малозначительность и оперативное устранение.

Кейс 2. Медиахолдинг (Центральный ФО, осень 2025 года) проводил аудит перед запуском новой CRM-системы. Юрист выявил, что данные авторов и рекламных контрагентов передавались в облачный сервис с серверами за рубежом без уведомления РКН о трансграничной передаче (ст. 12 ФЗ-152). Уведомление было подано превентивно, договор с поставщиком приведён в соответствие с требованиями. Проверка РКН, инициированная по иному поводу, нарушений по трансграничке не зафиксировала.

Типовые ситуации для юриста СМИ

Ситуация 1: редакция не подавала уведомление, РКН прислал запрос. Запрос о предоставлении документов — предвестник протокола по ч. 10 ст. 13.11 (100–300 тыс. ₽). Стратегия: немедленно подать уведомление, одновременно подготовить ОРД. Факт подачи уведомления до вынесения постановления учитывается при назначении наказания как смягчающее обстоятельство по ст. 4.1 КоАП. Для микропредприятий и СМП первичное нарушение может быть заменено предупреждением по ст. 4.1.1 КоАП.

Ситуация 2: обнаружена утечка данных подписчиков через взломанную CMS. Обнаружение инцидента запускает отсчёт 24 часов на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152). Через 72 часа — отчёт о результатах расследования по Приказу РКН № 187. Неуведомление в срок — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Если утекло от 1 000 до 10 000 записей подписчиков — дополнительно 3–5 млн ₽ по ч. 12. Срок восстановлению не подлежит: если 24 часа истекли без уведомления, задача переходит в режим минимизации последствий.

Ситуация 3: в редакцию обратился герой публикации с требованием уничтожить его персональные данные. Субъект вправе требовать прекращения обработки его ПДн, если они обрабатываются без законного основания (ст. 21 ФЗ-152). Редакция обязана ответить в течение 10 рабочих дней (ст. 20 ФЗ-152). Если обработка велась на основании согласия, которое субъект отозвал — данные подлежат уничтожению. Если основание — журналистская деятельность и общественный интерес — это отдельный правовой анализ: п. 8 ч. 2 ст. 10 ФЗ-152 допускает обработку специальных категорий ПДн в журналистских целях.

Услуги DATUM по теме

Комплект ОРД под ключ — разработка 38-документного пакета под специфику СМИ
Аудит соответствия 152-ФЗ — проверка реестровой записи, ОРД, согласий и систем защиты
DPO-аутсорсинг — передача функции ответственного по ст. 22.1 на абонентское обслуживание

Частые вопросы

1. Какие документы должны быть у оператора ПДн — редакции СМИ?

Минимальный обязательный пакет: уведомление в реестре РКН (ст. 22 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), опубликованная политика обработки ПДн (ст. 18.1 ФЗ-152), согласия субъектов (ст. 9 ФЗ-152 в ред. ФЗ-156), перечень ИСПДн с уровнями защищённости (ПП РФ № 1119), регламент реагирования на инциденты (Приказ РКН № 187). Полный пакет ОРД для средней редакции насчитывает порядка 38 документов.

2. Как составить политику обработки персональных данных для СМИ?

Политика разрабатывается под фактические процессы редакции: какие данные собираются, на каком основании, кому передаются, как защищаются. Обязательное содержание закреплено в ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, категории субъектов, права субъектов и порядок их реализации, актуальные сведения об операторе. Универсальный шаблон из открытых источников не заменяет индивидуальный документ — расхождение с реальными процессами фиксируется при проверке как нарушение ст. 5 ФЗ-152.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным может быть любой сотрудник редакции — главный редактор, юрист, руководитель IT-службы. Требования к должности в законе не установлены, но ч. 4 ст. 22.1 определяет функции: организация обработки ПДн, внутренний контроль, работа с обращениями субъектов, ознакомление работников с требованиями. Если подходящего сотрудника нет — функцию передают внешнему исполнителю по договору (DPO-аутсорсинг), оформив поручение обработки по п. 3 ст. 6 ФЗ-152.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Нет. Шаблон фиксирует чужие процессы обработки. Если инспектор РКН сверит политику с фактическими действиями редакции и обнаружит расхождение — это нарушение по ч. 3 и ч. 1 ст. 13.11 КоАП одновременно (до 360 тыс. ₽ суммарно). Кроме того, шаблоны не обновляются под изменения законодательства: актуальные требования к согласиям по ФЗ-156 с 01.09.2025 в них отсутствуют.

5. Какие согласия нужны после 01.09.2025 по ФЗ-156?

С 01.09.2025 согласие на обработку персональных данных — отдельный документ, который не объединяется с трудовым договором, офертой или пользовательским соглашением (ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025). Редакции нужно разделить согласия для трёх групп: работники и авторы, подписчики, герои публикаций. Если согласие включает распространение ПДн — оно оформляется отдельно по ст. 10.1 ФЗ-152. Нарушение требований к составу согласия — штраф 300–700 тыс. ₽ по ч. 2 ст. 13.11 КоАП.

6. Что делать, если РКН уже прислал запрос до подачи уведомления?

Подать уведомление немедленно и одновременно начать формировать ОРД. Факт подачи уведомления до вынесения постановления о штрафе учитывается судом и регулятором как смягчающее обстоятельство по ст. 4.1 КоАП. Для микропредприятий и субъектов МСП при первичном нарушении без вреда субъектам возможна замена штрафа предупреждением по ст. 4.1.1 КоАП — но только при наличии полного пакета документов на момент рассмотрения дела.

Итог

СМИ как оператор персональных данных проходит тот же путь соответствия ФЗ-152, что и любая другая организация: уведомление в реестре РКН, назначение ответственного, политика обработки, актуальные согласия по ФЗ-156, полный пакет ОРД и регламент реагирования на инциденты. С 30.05.2025 цена каждого незакрытого пункта выросла кратно — совокупный штраф за три одновременных нарушения при проверке легко превысит миллион рублей.

DATUM сопровождает операторов ПДн в медиасфере с 2014 года: уведомление РКН, разработка ОРД под специфику редакции, DPO-аутсорсинг и защита в арбитраже при получении протокола по ст. 13.11 КоАП.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для медиа и мобильных приложений.

22 октября 2026 года