Уведомление в Роскомнадзор об обработке персональных данных: пошаговая инструкция для бизнеса в 2025 году

Кто, когда и зачем подает уведомление

В соответствии со ст. 22 Федерального закона № 152-ФЗ «О персональных данных», практически любая организация, индивидуальный предприниматель или самозанятый, работающие с личными данными физических лиц, обязаны направить уведомление в Роскомнадзор (РКН).

Подача этого уведомления — это не просто формальность, а основание для включения в официальный реестр операторов персональных данных (ОПД). Этот статус легализует всю вашу дальнейшую деятельность по сбору и обработке такой информации.

Если ваша организация собирает, хранит или любым другим образом использует информацию о физических лицах, вы, скорее всего, являетесь оператором персональных данных. Закон обязывает вас уведомить об этом государство до начала такой деятельности.

Оператор персональных данных — это любая организация (юрлицо, госорган) или физическое лицо (ИП, самозанятый), которое определяет, зачем и как обрабатывать персональные данные.

Обработка персональных данных — это абсолютно любое действие с ними: от сбора и записи до хранения, передачи и уничтожения.

Вы считаетесь оператором и обязаны уведомить РКН, если собираете и обрабатываете личные сведения следующих категорий лиц:

Основное правило, установленное Федеральным законом РФ "О персональных данных", гласит: до начала любой обработки вы обязаны подать уведомление в Роскомнадзор (РКН).

Своевременная подача уведомления не только избавляет от рисков штрафов, но и дает вашему бизнесу весомые преимущества:

1. Деловая репутация. Наличие в реестре подтверждает, что ваша компания — ответственный контрагент, соблюдающий закон. Любой партнер или клиент может проверить это в открытом доступе.

2. Доверие контрагентов. Сложилась практика, когда юридические службы отказываются визировать договоры с компаниями, отсутствующими в реестре. Это рассматривается как репутационный и правовой риск.

3. Доступ к закупкам и торгам. Все чаще организаторы торгов и государственных закупок допускают к участию только тех исполнителей, кто состоит в реестре операторов.

4. Возможность трансграничной передачи данных. Если вы планируете передавать персональные данные за рубеж (например, используя иностранные сервисы), подача уведомления об этом будет невозможна без предварительной регистрации в реестре.

Когда уведомление не требуется: разбираем исключения

С 1 сентября 2022 года список исключений, когда можно не подавать уведомление, значительно сократился. На 2025 год подавать уведомление не нужно, только если вы обрабатываете данные:

1. Включенные в государственные информационные системы (ГИС).
2. В рамках законодательства о транспортной безопасности.
3. Исключительно без использования средств автоматизации (например, ведете учет в бумажном журнале).

Рекомендация эксперта: Если вы храните данные на компьютере и используете программы (даже Excel) для их сортировки, фильтрации или поиска, это уже считается автоматизированной обработкой. В случае сомнений — всегда подавайте уведомление.

Ответственность за нарушения: цена ошибки в 2025 году

Обработка персональных данных без уведомления (или его несвоевременная подача) — это административное правонарушение, за которое предусмотрены серьезные штрафы согласно ст. 13.11 КоАП РФ. Ответственность также наступает за неуведомление об изменении сведений или о прекращении обработки.

Размеры административного штрафа за неподачу уведомления

* Под должностным лицом понимается сотрудник госоргана или некоммерческой организации.
** Юрлицо, не являющееся госорганом или НКО.
*** Индивидуальные предприниматели несут ответственность наравне с юридическими лицами.

Пошаговая инструкция по подаче уведомления

Процесс подачи состоит из нескольких ключевых шагов. Самый удобный способ — через Портал персональных данных Роскомнадзора.

Шаг 1. Подготовьте информацию о своей деятельности

Перед тем как заходить на сайт Роскомнадзора, соберите всю информацию, которую нужно указать в уведомлении:

• Полное наименование вашей компании или ваши Ф.И.О. как ИП или самозанятого
• Юридический адрес для юрлиц, для ИП и самозанятых — фактический адрес регистрации
• ИНН и ОГРН (для индивидуального предпринимателя — ОГРНИП)
• Контактный телефон, e-mail
• Цели, для которых вы собираете персональные данные
• Список категорий персональных данных, которые вы собираете
• Перечень технических и организационных мер защиты
• Информация о передаче данных третьим лицам (если есть)

Подача уведомления в РКН — ключевой шаг для легализации обработки персональных данных в России. Чтобы избежать ошибок и успешно войти в реестр операторов, необходима тщательная внутренняя подготовка. Мы составили примерный план работ, который поможет вам систематизировать этот процесс и учесть все требования законодательства (152-ФЗ).

Этап 1: Назначение ответственного лица

Это первый и обязательный этап. Ответственный за организацию обработки персональных данных назначается официальным приказом по организации. Именно его контактные данные будут фигурировать в уведомлении для РКН как контактное лицо по вопросам обработки ПДн. Убедитесь, что выбранный сотрудник понимает свои обязанности и зону ответственности.

Перед заполнением формы необходимо четко задокументировать, какие именно персональные данные вы собираете (ФИО, email, паспортные данные, сведения о должности и т.д.) и, что важнее, для каких конкретных целей (например, исполнение трудового договора, оказание услуг клиенту, маркетинговые рассылки). Эти цели и категории должны быть зафиксированы во внутренних документах, например, в отдельном приказе.

Ваша Политика — это публичный документ, который должен быть доступен всем субъектам данных, например, размещен на вашем сайте в открытом доступе. Крайне важно, чтобы информация в Политике полностью соответствовала сведениям, которые вы подаете в уведомлении. Любые расхождения могут вызвать вопросы у регулятора.

Ваш веб-сайт — одна из основных точек сбора данных, и он должен полностью соответствовать закону. Проведите его проверку по следующему чек-листу:

В уведомлении потребуется указать, какие организационные и технические меры вы используете для защиты данных. Проведите инвентаризацию:

Эту информацию необходимо будет отразить в соответствующем разделе уведомления.

Если вы используете сторонние сервисы, где хранятся или обрабатываются персональные данные (облачные CRM, сервисы рассылок, онлайн-бухгалтерию), соберите по ним полную информацию: юридическое название владельца сервиса, ИНН, и главное — адрес местонахождения дата-центра (сервера).

Если провайдер услуги отказывается предоставить точный адрес сервера, укажите его юридический адрес. При этом обязательно сохраните официальную переписку, подтверждающую ваш запрос и отказ. В случае проверки РКН это докажет, что вы предприняли все возможные меры для получения информации.

Шаг 2. Зарегистрируйтесь на сайте Роскомнадзора

Для подачи уведомления вам нужна подтвержденная учетная запись на «Госуслугах». Юридическим лицам также потребуется квалифицированная электронная подпись (КЭП). После входа через «Госуслуги» откроется личный кабинет оператора персональных данных.

Шаг 3. Заполните уведомление

При работе с формой первым делом определитесь с типом уведомления:

1. Первичное уведомление. Выбирайте этот пункт, если ваша организация подает сведения в Роскомнадзор в первый раз.

2. Внесение изменений (корректировка). Этот пункт предназначен для обновления данных, которые вы уже подавали ранее.

Полезный совет: Чтобы не заполнять все поля заново при корректировке, используйте автоматическую загрузку данных. Для этого найдите и нажмите на ссылку, предлагающую заполнить форму на основе ранее поданного уведомления - "Заполнить форму данными из ранее направленного уведомления". В открывшемся окне система попросит ввести его регистрационный номер и ключ доступа, после чего все ваши данные появятся в форме.

В форме анкеты несколько блоков. Разберём, что нужно писать в каждом из них.

Блок 1. Сведения об операторе

Оператор — тот, кто собирает и использует персональные данные. То есть в этом случае вы сами.

Если вы самозанятый, впишите свои ФИО.

Если вы ИП — напишите: «Индивидуальный предприниматель + Ф.И.О.».

Если компания — укажите полное название, как в документах.

Также потребуется внести ИНН, ОГРН/ОГРНИП, контактные данные и адрес.

Обязательно отметьте регионы, в которых вы обрабатываете персональные данные.

«Регионы обработки» — это все субъекты РФ, где вы фактически работаете с персональными данными. Чтобы определить их, ответьте на вопросы:

Если у вас несколько таких точек (например, офис в Санкт-Петербурге, а серверы в Московской области), перечислите все соответствующие регионы. Если ваша инфраструктура и деятельность распределены по всей стране, просто укажите «Все субъекты Российской Федерации».

Блок 2. Цели обработки и категории персональных данных

В этом разделе уведомления вам предстоит детально описать, для чего ваша компания собирает персональные данные. Каждая уникальная цель добавляется в форму отдельно.

Ключевой принцип: разделяем или объединяем?

1. Что нужно разделять: Фундаментально разные направления деятельности — это всегда разные цели. Их нельзя указывать в одном поле через запятую.

1. Что можно объединять: Последовательные действия в рамках одного крупного бизнес-процесса следует объединять в одну общую цель.

При выборе целей обработки из классификатора Роскомнадзора руководствуйтесь принципом необходимости и соответствия реальной деятельности. Не следует отмечать все предложенные варианты «про запас» — это может создать избыточные обязательства и вызвать лишние вопросы при проверках.

Для большинства стандартных компаний, у которых есть наемные сотрудники и клиенты, базовый набор целей, как правило, ограничивается следующим перечнем:

Как работать с формой на портале РКН

Портал предлагает справочник с более чем 30 стандартными формулировками целей.

Для каждой цели, будь она выбрана из списка или добавлена вручную, необходимо указать связанную информацию (категории ПДн, субъектов, правовые основания и т.д.), как того требует закон. При выборе опции «Иные» на форме появятся дополнительные поля, которые обязательны для ручного заполнения.

Затем для каждой цели отметьте, какие именно данные клиентов вы собираете.

Важно перечислить все цели и категории.

Например, для такой цели, как «Ведение кадрового и бухгалтерского учета», перечень обрабатываемых данных будет обширным. В соответствующем разделе уведомления его следует указать полностью, включая: ФИО, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчетного счета, профессия, должность, сведения о трудовой деятельности, отношение к воинской обязанности, сведения о воинском учете, сведения об образовании.

Специальные и биометрические категории персональных данных

Если вы работаете с такими данными (сведения о здоровье, национальности, биометрия), укажите, какими именно, и опишите, для чего их используете.

Соблюдайте принцип минимизации данных: набор собираемых сведений должен строго соответствовать заявленной цели и не быть избыточным.

Так, для цели «Подготовка, заключение и исполнение гражданско-правовых договоров» сбор информации о национальной принадлежности, политических или религиозных убеждениях является прямым нарушением. Эти данные не только не требуются для исполнения договора, но и относятся к специальным категориям персональных данных, обработка которых по общему правилу запрещена.

Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Иначе компанию могут оштрафовать по ч. 1 ст. 13.11 КоАП РФ. Штраф для организации может составить от 60 000 до 100 000 рублей.

Блок 3. Категории субъектов, чьи персональные данные собираете

Укажите, кто ваши пользователи — в списке 13 вариантов (работники, клиенты и т.д.) и есть пункт «Иные категории», где можно уточнить (например, подписчики, помощники).

Для каждой цели обработки необходимо точно определить круг лиц (субъектов), чьи данные вы обрабатываете. Важно, чтобы этот список был полным и соответствовал реальным процессам. Вот несколько примеров:

Для цели «Ведение кадрового и бухгалтерского учета» указывают:

Для цели «Подготовка, заключение и исполнение гражданско-правовых договоров» указывают:

Блок 4. Правовое основание обработки данных

Для каждой цели обработки необходимо указать правовое основание — то есть, почему у вас есть право и обязанность работать с данными. На портале РКН предложены стандартные формулировки, из которых нужно выбрать подходящие.

Рассмотрим на примерах.

Для этой цели существует два основных основания, и их нужно выбрать оба:

• Выполнение требований законодательства. Это главное основание, так как Трудовой, Налоговый и другие кодексы прямо обязывают работодателя собирать данные сотрудников. В форме нужно выбрать пункт:

• Согласие субъекта. Оно требуется для обработки тех данных, которые не являются обязательными по закону (например, фото для пропуска, данные для корпоративных мероприятий). Поэтому также выбираем пункт:

Здесь также, как правило, два основания:

• Исполнение договора. Это ключевое основание, позволяющее обрабатывать данные, необходимые для оказания услуги или продажи товара. В форме выбираем:

• Согласие субъекта. Оно нужно, если вы планируете использовать данные клиента для дополнительных целей, не связанных напрямую с договором (например, для маркетинговых рассылок). Выбираем:

В этом разделе нужно указать конкретные документы, на которые вы ссылаетесь.

• Если основанием является требование закона (как в примере с кадровым учетом), перечислите реквизиты этих законов. Стандартный набор включает:
  

• Если основанием является исполнение договора, можно указать:
  

• Если основанием является согласие, так и пишем:

.

Также указываем перечень действий и способы обработки персональных данных.

Выберите нужные варианты:

Блок 5. Меры безопасности, ответственный и сроки обработки

Опишите, как вы защищаете данные: где они хранятся, кто имеет доступ, как организовано шифрование, резервное копирование, доступ по паролю, разграничение прав доступа.

Например, варант перечня принятых мер, направленных на обеспечение выполнения оператором обязанностей по обеспечению безопасности персональных данных при их обработке:

• Назначено лицо, ответственное за организацию обработки персональных данных.
• Изданы документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
• Обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего закона «О персональных данных».
• Осуществляется внутренний контроль соответствия обработки персональных данных закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
• Обеспечено проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом «О персональных данных».
• Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, проведено обучение указанных работников.

Средства обеспечения безопасности (вариант):

Используются антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных; средства анализа защищенности.

Если вы используете шифровальные (криптографические) средства, то выберите их классы и укажите наименование, изготовителя, серийные номера. Например: КриптоПро CSP (ООО «Крипто-ПРО»), ESMART Token (ООО «АТ бюро»).

Если средств шифрования нет, то в соответствующем поле ставят значение «не используются».

Укажите ФИО и контакты лица, ответственного за организацию обработки ПД. Это также может быть сторонняя организация.

Кроме этого, нужно прописать срок или условие прекращения обработки (например: "Достижение целей обработки" или "Ликвидация организации, прекращение деятельности организации в результате ее реорганизации").

Обращаем внимание, что с 1 марта 2023 года вступил в силу новый порядок информирования Роскомнадзора о трансграничной передаче данных. Роскомнадзор будет рассматривать уведомления операторов о намерении осуществлять трансграничную передачу персональных данных и по итогам рассмотрения будет вправе принять решение о запрете или ограничении передачи персональных данных в другие страны. До истечения 10 рабочих дней после подачи такого уведомления запрещено передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц.

Операторам, подавшим уведомление о трансграничной передаче до 1 марта, не надо будет подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных (в новые страны или для новых целей).

Блок 6. Информация о том, где находится база данных

Укажите, в какой стране храните персональные данные — для российских клиентов это всегда Россия.

Если база на компьютере или сервере в офисе, то пишите свой адрес, если в облаке — указывайте адрес дата-центра провайдера.

Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

Если у оператора нет таких систем, то необходимо удалить набор полей с помощью кнопки "Удалить" под перечнем полей с реквизитами контакта.

Блок 7. Сведения об обеспечении безопасности ПД

Нужно указать сведения об обеспечении безопасности персональных данных (в вашем случае - свой конкретный перечень).

Вариант формулировки:

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации: В соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 для обеспечения уровней защищенности персональных данных при их обработке в информационных системах персональных данных: обеспечена безопасность помещений, в которых размещены информационные системы; обеспечена сохранность носителей персональных данных; утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими служебных (трудовых) обязанностей; назначены должностные лица, ответственные за обеспечение безопасности персональных данных в информационных системах персональных данных. В соответствии с постановлением Правительства Российской Федерации от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных.

Блок 8. Машиночитаемая доверенность (МЧД)

Если уведомление подает лично ИП или руководитель компании, то доверенность не нужна и блок можно пропустить. Во всех остальных случаях (например, подает юрист по доверенности) ее придется создать на «Госуслугах» и подписать КЭП руководителя.

Шаг 4. Отправьте уведомление

После того как вы заполнили все разделы, перепроверьте данные. Если все в порядке, отправляйте на проверку. Обычно его принимают сразу, если нет ошибок или пропусков. Есть три способа подачи:

1. С УКЭП: Подписать и отправить онлайн.
2. Без УКЭП (электронно): Распечатать, подписать, отсканировать и загрузить через форму на сайте.
3. На бумаге: Распечатать, подписать и отправить заказным письмом.

После завершения формирования и отправки уведомления вы получите номер и ключ документа. Его необходимо сохранить, он понадобится вам для последующей подачи корректирующих сведений.

Шаг 5. Храните копию уведомления

После отправки на указанную вами почту придет копия уведомления с отметкой о регистрации. Обязательно сохраните ее на случай проверки.

Что происходит после подачи уведомления?

Роскомнадзор в течение 30 рабочих дней вносит сведения в Реестр операторов. Проверить статус, т.е. внесены ли вы в реестр операторов, осуществляющих обработку персональных данных, можно на специальной странице портала персональных данных.

Для наиболее точного и быстрого поиска в реестре достаточно указать ИНН организации. В случае, если Вы не знаете точный ИНН, можно произвести поиск по наименованию. При этом достаточно указать только оригинальную его часть (одно или несколько слов, которые отличают данную организацию от других) без указания организационно-правовой формы, спецсимволов, кавычек и сокращений. Если наименование состоит из двух и более слов, в том числе разделенных дефисом, достаточно указать только одно из этих слов. Советуем избегать часто встречающихся в наименовании организации слов, например, таких как: "Российский", "Федеральный", "Общество" и т.п.

Если в форме будут ошибки, РКН пришлет запрос на уточнение данных.

Проверка статуса уведомления

После подачи можно отслеживать состояние уведомления через его номер на специальной странице -  Проверка состояния уведомления (информационного письма). Если все в порядке, то компания попадет в реестр операторов персональных данных.

Жизненный цикл уведомления: обновление данных и прекращение обработки

Уведомление подается однократно.

Вам не нужно отправлять его заново при найме каждого нового сотрудника или появлении нового клиента. Однако вы обязаны своевременно сообщать в Роскомнадзор об изменениях в ранее поданных сведениях (например, при смене юридического адреса, ответственного лица или перечня обрабатываемых данных).

Подача уведомления — это не разовое действие. Оператор обязан поддерживать актуальность сведений в реестре.

Изменение сведений

Если какие-либо данные, указанные в первоначальном уведомлении, изменились (например, адрес компании, цели обработки или способы), вы обязаны сообщить об этом в Роскомнадзор. Сделать это нужно не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. Для этого используется специальная форма уведомления об изменении сведений. Подать его можно так же на бумаге или в электронном виде.

Прекращение обработки

В случае полного прекращения деятельности по обработке персональных данных (например, при ликвидации юридического лица) необходимо уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения. В уведомлении указываются данные оператора, регистрационный номер в реестре, а также основание и дата прекращения обработки. На основании этого документа Роскомнадзор в течение 30 дней исключит вас из реестра.

Как Роскомнадзор проводит проверки?

Важно понимать, что подача уведомления в Роскомнадзор не создаёт для компании дополнительных обязанностей, а лишь формализует её статус. Требования Федерального закона № 152-ФЗ обязательны для всех операторов персональных данных, независимо от их наличия в реестре. Отсутствие регистрации не освобождает организацию от необходимости разрабатывать локальные акты, внедрять меры защиты данных и нести ответственность за нарушения.

Также ошибочно полагать, что регистрация в реестре ведёт к повышенному вниманию и проверкам. Роскомнадзор вправе проверить любую организацию, и наличие в реестре не является основным критерием для назначения проверки. Попытка избежать исполнения закона, не регистрируясь в качестве оператора, неэффективна и не снижает рисков.

РКН может инициировать проверку несколькими способами:

• Через реестр: Автоматически сверяют сайты с реестром. Если на сайте есть форма сбора данных, а компании нет в реестре — это повод для проверки.
• Вручную: Инспекторы могут зайти на любой сайт и проверить наличие политики конфиденциальности и корректность форм согласия.
• По жалобам граждан: Любой пользователь, считающий, что его права нарушены, может подать жалобу, что повлечет внеплановую проверку.
• При утечках данных: Если данные ваших клиентов оказались в открытом доступе, РКН начнет расследование.
• Совместно с другими органами: Например, по запросу прокуратуры или ФНС.

Часто задаваемые вопросы (FAQ)

Я передал ведение бухгалтерии на аутсорс. Должен ли я подавать уведомление?

Да, обязательно. Поручение обработки третьему лицу не снимает с вас, как с оператора, обязанности подать уведомление и нести ответственность.

Нужно ли назначать ответственного за обработку персональных данных?

Да, это обязательное требование закона. Оператор обязан назначить лицо, ответственное за организацию обработки ПД. Его контакты указываются в уведомлении.

Что делать, если Роскомнадзор не вносит сведения в реестр вовремя?

Вы можете подать жалобу в сам Роскомнадзор или обжаловать бездействие в суде в течение трех месяцев с момента нарушения ваших прав.