Как подать уведомление об обработке персональных данных в Роскомнадзор

Когда уведомлять Роскомнадзор

Федеральный закон № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) обязывает организации и индивидуальных предпринимателей в ряде случаев информировать Роскомнадзор о своей деятельности. Это элемент «прозрачности» и легализации обработки: регистратор должен понимать, кто, какие категории персональных данных (далее также – ПДн) и с какими целями обрабатывает.

Ключевые ситуации, когда требуется уведомление в Роскомнадзор:

1. Начало обработки ПДн.
2. Изменение ранее заявленных сведений об обработке;
3. Планирование трансграничной передачи ПДн;
4. Прекращение обработки;
5. Возникновение инцидента (утечки), затронувшего права и интересы субъектов.

Уведомление о начале обработки персональных данных

Практически любой бизнес — от ИП до крупной компании — в повседневной деятельности обрабатывает персональные данные: оформляет кадровые документы сотрудников, ведёт клиентские и партнёрские базы, собирает информацию о пользователях через сайт и другие цифровые каналы. В соответствии со статьёй 22 закона № 152‑ФЗ, уведомление в уполномоченный орган должно быть направлено до момента фактического начала такой обработки.

Важно! Если уведомление не было подано ранее, сделать это требуется незамедлительно. Размер штрафов за отсутствие уведомления с 30 мая 2025 года существенно увеличен и для компаний может достигать 300 000 рублей.

Нужна помощь с подачей уведомления? Оставляйте заявку

Типичные ошибки при подаче уведомления и как их избежать

1. Недостаточная детализация целей.

Частая проблема — указание одной «универсальной» цели вроде «ведение кадрового и бухгалтерского учёта». На практике почти всегда есть дополнительные цели обработки, и формальное указание одной общей формулировки не отражает реальную картину.

Согласно обновленной форме уведомления (Приказ Роскомнадзора №180 от 15.12.2022), требует по каждой цели отдельно описывать:

• категории субъектов;
• категории данных;
• правовые основания;
• перечень операций (действий) с ПДн.

На портале Роскомнадзора приведён примерный перечень целей (несколько десятков типовых вариантов). В ходе аудита обычно всплывают дополнительные задачи: организация офлайн‑мероприятий и вебинаров, программы лояльности, PR‑активности и т.д.

2. Некорректное указание способов обработки. Упоминание «распространения» или «обезличивания» без фактического наличия этих процессов ведет к рискам

• Распространение (публичное раскрытие данных) возможно только при наличии отдельного специально оформленного согласия на обработку ПДн, разрешённых для распространения. Такое согласие должно соответствовать требованиям приказа Роскомнадзора № 18. Субъекту нужно дать возможность установить запреты и условия распространения. На сайте Роскомнадзора есть сервис‑ шаблон для подготовки формы такого согласия. 152‑ФЗ также предписывает оператору в течение трёх рабочих дней с момента получения согласия опубликовать информацию об условиях обработки этих данных.

• Обезличивание должно быть регламентировано внутренним локальным актом компании.

Ранее обезличивание осуществлялось оператором только для строго определенных регулятором целей. Сейчас такого ограничения нет. Предприниматели могут использовать обезличивание для собственных целей, в частности, для проведения статистических, маркетинговых исследований.

Важно! Обезличенные данные остаются всё же персональными данными, обращение с ними регулируется 152-ФЗ.

3. Игнорирование данных с веб-сайтов

Файлы cookie и иные идентификаторы посетителей сайта в большинстве случаев рассматриваются как персональные данные, а их обработка — как обработка ПДн. Соответственно, требуется законное основание (часто — согласие пользователя) и корректно настроенный cookie‑баннер. Копирование баннера с чужого сайта без адаптации под свои процессы и категории cookie повышает риски.

Роскомнадзор научился выявлять нарушения на сайтах дистанционно, без контакта с оператором: проверка проводится «бесконтактно», а оператор узнаёт о ней уже по факту получения требования об устранении нарушений. Если замечания не устранены, возможна административная ответственность.

4. Неучтенная трансграничная передача

Компании нередко не осознают, что в их процессах присутствует трансграничная передача ПДн. Типичные случаи:

• бронирование зарубежных гостиниц или перелётов для сотрудников;
• использование на сайте иностранных виджетов, платёжных/маркетинговых сервисов с серверами за пределами РФ;
• применение зарубежных облачных платформ для CRM, рассылок, хранилищ.

Корректно выявить такие сценарии помогает комплексный аудит обработки ПДн с формированием реестра процессов. Ответственный за обработку ПДн (как внутренний сотрудник, так и внешний консультант) должен поддерживать этот реестр в актуальном состоянии.

5. Неполные технические сведения

Ошибки часто допускаются при указании технической информации, например, адресов центров обработки данных (ЦОД). В уведомлении требуется указывать физический адрес размещения оборудования: город, улицу, номер дома, помещение.

6. Ошибочное отнесение фото/видео к биометрии

Некоторые операторы автоматически относят любые фото или видеозаписи к биометрическим ПДн, хотя это не всегда так. Закон определяет биометрические данные как сведения:

• характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта.

Путаница усилилась после письма Минцифры о том, что фотографическое изображение, применяемое для контроля доступа на охраняемую территорию и идентификации гражданина, признаётся биометрическими данными. Однако для квалификации как биометрии по 152‑ФЗ важна именно фактическая цель использования – если фотографии не применяются для идентификации (а например, используются лишь в пропуске без автоматизированного распознавания), формально можно обосновать, что биометрии нет. Это существенно сужает круг данных, подпадающих под режим биометрических ПДн.

Форма уведомления о персональных данных: требования 2026

Формы уведомлений, связанных с внесением изменений в реестр Операторов Роскомнадзора, утверждены Приказом ведомства № 180 от 28.10.2022.

Для формирования уведомления необходимо перейти на Портал Роскомнадзора по ссылке и заполнить открывшиеся формы, используя функциональные возможности сайта. Перед началом заполнения оператору предлагается выбрать предпочтительный способ подачи документов:

1. на бумаге;
2. в виде электронного документа, подписанного УКЭП;
3. в электронном виде с использованием средств аутентификации ЕСИА.

Бумажный формат подразумевает, что после формирования уведомления на сайте оператору необходимо выгрузить готовый документ, распечатать его и направить за подписью руководителя в территориальный орган управления Роскомнадзора по месту регистрации лица. Только после поступления бумажного экземпляра ведомство приступает к проверке данных и включает заявку в очередь на издание приказа о внесении оператора в реестр.

Подача бланков в электронном виде по УКЭП или с помощью учетной записи авторизованного сотрудника на «Госуслугах» означает, что уведомление поступает в информационную систему Роскомнадзора сразу после отправки, дополнительно ничего в управление досылать не нужно.

Отслеживать статус поданного уведомления можно на сайте Роскомнадзора в разделе «Проверка состояния уведомления информационного письма». Для проверки потребуется указать полученный номер уведомления и специальный ключ в соответствующем разделе, доступные после отправки форм. Срок рассмотрения заявки и принятия решения о включении в реестр операторов составляет до 30 календарных дней.

Для трансграничной передачи данных и при инцидентах утечки ПДн закон предусматривает только два способа представления сведений. Основной электронный через Портал pd.rkn.gov.ru с подтверждением учетной записи ЕСИА. Если такая возможность отсутствует, уведомление оформляется в виде документа на бумажном носителе (документ набирается собственноручно, использование готовых форм на сайте с последующей выгрузкой не предусмотрено) и отправляется заказным письмом по адресу ведомства. Это прямо предусмотрено ст. 12 152-ФЗ и Приказом Роскомнадзора от от 14.11.2022 N 187.;

Пошаговая инструкция: как уведомить Роскомнадзор об обработке персональных данных

Первым шагом является выяснение, подавалось ли ранее от лица компании уведомление об обработке данных. Это можно сделать, воспользовавшись онлайн-сервисом Роскомнадзора, доступным по ссылке. Используйте ваш ИНН для поиска.

NB: Действующие форматы уведомлений утверждены упомянутым выше приказом. Если вы подавали сведения по старым правилам до 26.12.2022, рекомендуем обновить записи. Порядок подачи уведомления об изменении сведений в реестре операторов практически идентичен алгоритму подачи первичного уведомления. Подробная инструкция – ниже.

Как заполнить форму уведомления без ошибок

Напоминаем, что речь сейчас идет о подаче первичного уведомления в Роскомнадзор, которое является основанием для включения компании в реестр.

Шаг 1. Выбор способа подачи уведомления

Чтобы направить уведомление об обработке личной информации, вам следует посетить интернет-ресурс Роскомнадзора, а именно раздел, посвященный электронным заявлениям. Далее выберите «Перейти к заполнению формы электронного уведомления».

Выберите оптимальный способ подачи уведомлений из предложенных Порталом. О нюансах, связанных с подачей данных на бумаге или в электронном виде, писали выше.

Далее перейдем к заполнению непосредственно формы. Все блоки для заполнения данных выглядят одинаково, независимо от выбранного способа подтверждения полномочий.

Шаг 2. Заполните основные сведения об операторе 

Выберите регион регистрации предприятия или место осуществления деятельности самозанятого (регион РФ).

Перейдите к заполнению сведения об операторе.

Раздел «Сведения об операторе»

Заполните информацию о реквизитах вашей компании:

Для внесения данных о компании необходимо выполнить следующие шаги:

1. Выбрать организационно-правовую форму (ЮЛ, ИП, частное лицо).

2. Заполнить карточку предприятия в соответствии с данными, которые требует Роскомнадзор (в зависимости от выбранного статуса кол-во и наименование доступных к заполнению полей будет немного различаться).

3. Отметить территорию (регион или несколько регионов), где ведется деятельность. Проще говоря, указываем субъекты РФ, где расположена головная организация, филиалы, обособленные подразделения.

4. Вписать ИНН, ОГРН (ОГРНИП), а также точную дату налоговой регистрации, если применимо.

5. Указать юридический адрес или адрес регистрации лица (индекс, населенный пункт, наименования улицы, номера здания и помещения), в соответствии с данным из ЕГРЮЛ/учредительных документов или данными паспорта. Если адрес получения корреспонденции отличается, отдельно прописываем его. 

6. Если есть обособленные подразделения лица («филиалы»), необходимо добавить сведения по каждому из них. Имеются в виду отделения, корпуса учреждения, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, имеющие отношение к оператору и входящие в его состав.

7. Укажите контактную информацию для связи. Обратите внимание, что сведения об адресе, указываемы в реестре, а также контактные данные относятся к категории публичных, поэтому рекомендуем сообщать их с поправкой на приватность.

Важно! Поля, отмеченные символом "*", являются обязательными для заполнения. Если вы что-то пропустите, система «подсветит» все ошибки после первой попытки сформировать заявление.

Шаг 3. Определяем условия обработки персональных данных для каждой цели

Перечислите цели, которые связаны с работой оператора и прописаны в внутренних документах.

Укажите цели, которые соответствуют деятельности оператора и указаны в локальных нормативных актах. Все формулировки должны быть конкретными и недвусмысленными. Запрещено применять расплывчатые описания, где неясно, для чего оператор обрабатывает данные.

Примеры корректных целей:

• ”обработка сведений из резюме и трудоустройство кандидата“;
• ”исполнения законодательства в сфере трудовых и смежных отношений»;
• ”обеспечение функционирования сайта, осуществление цифрового маркетинга, лидогенерации и таргетинга“;
• ”заключение, исполнение, изменение и расторжение определенного договора“ и т.д.

Можете ориентироваться на формулировки РКН из выпадающего списка или выбрать свои.

Недопустимые формулировки:;

• ”совершенствование хозяйственной деятельности оператора“;
• ”разработка новых продуктов“;
• ”осуществление оператором уставных целей“ и пр.

Важно! Цели обработки персональных данных в уведомлении должны совпадать с теми, что указаны в ваших ЛНА. Особое внимание уделяйте содержанию пользовательских документов. Сейчас в условиях моратория Роскомнадзор активно мониторит сайты и сравнивает информацию. При выявлении более трех несовпадений возможна внеплановая проверка.

Далее по каждой цели необходимо задать категории и перечень обрабатываемых персональных данных, способы обработки, категории субъектов, допустимые операции (сбор, запись, систематизация и т.д.).

Сложнее всего обычно заполнить два раздела: правовые основания и способы обработки. Разберем их подробнее.

Блок «Правовое основание обработки персональных данных»

Закон устанавливает исчерпывающий перечень условий, при которых обработка персональных данных считается законной. К ним относятся:

1. Обработка персональных данных на условиях согласия лица.
2. Выполнение условий договора, заключаемого с субъектом или в его интересах.
3. Необходимость обработки данных для выполнения требований, установленных законодательством;
4. Другие случаи, прямо установленные 152-ФЗ.

Наиболее частой причиной для обработки персональных данных является согласие самого субъекта. Это связано с тем, что остальные законные основания требуют наличия специфической цели обработки, определенного правового статуса оператора или их комбинации, что может усложнить процесс доказывания.

Когда человек подписал договор или получает по нему выгоду, отдельное согласие на обработку не нужно. Однако важно помнить, что использование персональных данных в целях, выходящих за рамки первоначального договора (например, для маркетинга или рекламы), требует либо получения согласия субъекта в установленной форме, либо наличия иного подходящего правового основания. В противном случае оператор обязан остановить обработку данных и обеспечить их уничтожение.

Данное правило справедливо для кадровых отношений. Оформление кадровых документов при приеме на работу, расчет зарплаты и налогов, выдача зарплатных карт, ведение воинского учета, составление отчетности в ПФР и ФНС оправдано с точки зрения требований закона. Любые «эсктра» цели (например, открытие «зарплатного проекта», ведение корпоративного справочника и т.п.) требуют оформления согласия.

Есть и иные опции, как сделать обработку персональных данных законной См. пункты 1–11 части 1 статьи 6, а также в статьях 10, 11 № 152-ФЗ.

Важно! Формулировки правовых оснований из формы, по сути, есть цитирование содержания ст. 6 152-ФЗ. Внимательно ознакомьтесь с содержанием раздела, читайте формулировки до конца, чтобы выбирать наиболее релевантные условия. Запомните, что правовое основание обработки данных – важное условия законности деятельности.

Блок «Перечень действий»

Перечислите конкретные процессы, связанные с обработкой персональных данных: сбор, запись, систематизация, накопление, хранение, использование, передача ограниченному кругу лиц,  распространение и другие.

Важно! Если оператор не предоставляет персональные данные для неограниченного круга лиц (например, путем публикации в сети Интернет на корпоративных ресурсах), способ «распространение» отмечать НЕ нужно. С осторожностью также отнеситесь к операции «обезличивание».  Под обезличиванием подразумевается вполне конкретный перечень манипуляций в соответствии с методикой, утвержденной Роскомнадзором. По запросу оператор обязан подтвердить соответствие процедуры требованиям.

Блок «Способы обработки» 

Опишите, каким образом будут обрабатываться персональные данные, выбрав соответствующий вариант:

• автоматизированная обработка – данные обрабатываются с помощью компьютеров и программ;
• неавтоматизированная обработка только на бумажных носителях;
• смешанный способ, сочетает оба варианта.

Укажите, осуществляется ли распространение информации путем передачи данных через корпоративную сеть. 

Также необходимо отметить, используется ли сеть Интернет для передачи персональных данных с указанием факта передачи или ее отсутствия. 

Шаг 4. Укажите меры, применяемые для защиты данных

В этом блоке укажите, какие меры из статей 18.1 и 19 Закона о персональных данных  №152-ФЗ вы реализуете для защиты обрабатываемой информации.
Поскольку необходимость подачи уведомления оказалась неожиданной для большинства компаний, фактическое выполнение многих требований законодательства не может быть обеспечено должным образом на дату подачи формы. Однако оставлять этот вопрос без внимания нельзя.

Мы рекомендуем следующий подход: сначала подготовить и подать документы, включив в них информацию о выполнении базовых условий (“план минимум”), ориентируясь на формулировки 18.1 и 19 152-ФЗ, а после подачи уведомления приступить к устранению имеющихся недостатков, доработке документации и приведению всех процессов обработки персональных данных в полное соответствие с буквой закона.

Дополнительно укажите об использовании средств шифрования персданных, которые применяет компания; и следом – контактные данные лица, назначенного ответственным за организацию обработки данных для коммуникации с госорганом.

Шаг 5. Сообщите общие условия обработки персональных данных

В поле «Дата начала обработки персональных данных» отмечаем день, с которого фактически начался сбор и использование данных. Эта дата может совпадать с днем официальной регистрации бизнеса либо связываться с началом реальной операционной деятельности.

Далее следует определить момент или условия, при которых обработка персональных данных будет остановлена. Рекомендуем здесь не указывать конкретный срок, т.к. зачастую он не прогнозируем, и указать в качестве условия прекращения обработки «выполнение целей обработки персональных данных и/или прекращение деятельности оператора».

Относительно трансграничной передачи данных необходимо отметить, актуален ли такой способ обработки для вашей организации. Если выбран вариант «осуществляется», то после подачи первоначального уведомления потребуется просить разрешение осуществить репортинг данных заграницу.

Шаг 6. Укажите сведения о местонахождении базы данных информации, содержащей персональные данные

Здесь требуется указать все места, где физически размещены серверы и хранилища, которые использует компания в операционной деятельности. Если вы не владеете собственным центром обработки данных (ЦОД), а прибегаете к услугам сторонних провайдеров (например, облачных платформ), появится дополнительный пункт «Сведения об организации, ответственной за хранение данных». В этом поле следует внести данные поставщика услуг, предоставляющего свое железо и/или инфраструктуру в аренду.

Далее следует блок, касающийся операторов государственных или муниципальных информационных систем. Заполнение данного раздела является обязательным исключительно для тех, кто выступает в роли оператора ГИС или МИС. Остальным нужно нажать кнопку «Удалить» в нижней части раздела, чтобы убрать его.

Шаг 7. Заполните сведения об обеспечении безопасности персональных данных

Укажите меры по защите персональных данных, обрабатываемых в информационных системах персональных данных. Ориентируйтесь на текст Постановления Правительства РФ № 1119. Перед этим убедитесь, что вы полностью понимаете содержание документа и что в вашей организации такие меры уже действуют.

В заключение укажите сведения о сотруднике, ответственным за заполнение формы, прикрепите файл МЧД (если актуально), проставьте «галочки» в требуемых чек-боксах и нажмите кнопку для отправки веб-формы. Если подаетесь в бумажном виде, после регистрации заявления в ИС РКН, Вам будет предложено распечатать бланк. Не пренебрегайте этим шагом! Если Вы не отправите заверенную копию уведомления в территориальный орган Роскомндзора, компанию не зарегистрируют.

Пример заполнения формы уведомления об обработке персональных данных

Изменение ранее поданных сведений об обработке

Если после подачи первоначального уведомления в Роскомнадзор параметры обработки персональных данных меняются, оператор обязан сообщить об этом регулятору. Такое уведомление подается не позднее 15‑го числа месяца, следующего за месяцем таких изменений. К типичным случаям относятся появление или исключение отдельных целей обработки, корректировка перечня обрабатываемых категорий данных, смена ответственного за организацию обработки персональных данных, а также любые иные значимые изменения процессов.

С образцом заполнения уведомления об изменении сведений, ранее заявленных оператором, можно ознакомиться по ссылке

Помочь заполнить уведомление? Оставляйте заявку

Уведомление о трансграничной передаче персональных данных

Трансграничная передача персональных данных имеет место, когда информация о физических лицах уходит за пределы юрисдикции России — например:

• при обмене контактами с иностранными партнёрами;
• при отправке управленческой отчётности с данными сотрудников из российской «дочки» в зарубежный головной офис;
• при использовании на стороне оператора зарубежных онлайн сервисов, в которых обрабатываются ПДн;
• при предоставлении удалённому подрядчику (фрилансеру по ГПХ) доступа к персональным данным из другой страны.

При этом не считается трансграничной передачей, в частности:

• удалённый доступ к ПДн сотрудником работодателя, который временно находится за границей;
• передача данных из российского филиала в головной офис иностранной компании (если филиал не является юридическим лицом);
• самостоятельное бронирование зарубежного отеля самим работником.

Уведомление о намерении осуществлять трансграничную передачу направляется в Роскомнадзор до фактического начала такой передачи. До подачи уведомления оператор должен запросить у иностранных получателей персональных данных информацию о действующих у них мерах защиты, особенностях местного законодательства в этой сфере, а также основные сведения о самих организациях получателях.

Роскомнадзор утвердил перечень государств, где уровень защиты прав субъектов персональных данных признан адекватным. США в этом списке не фигурируют. Если передача планируется в страну из указанного перечня, оператор может начинать её сразу после направления уведомления. При передаче в «неадекватные» юрисдикции обработка допускается только по истечении 10 рабочих дней с момента поступления уведомления в Роскомнадзор при отсутствии возражений регулятора.

Пример заполнения формы уведомления о намерении осуществлять трансграничную передачу

Есть ли у вас трансграничная передача? Подробно разберем.

Последствия непредставления уведомления

Распространенное заблуждение среди многих операторов заключается в том, что если уведомление не подавалось на протяжении многих лет, лучше не предпринимать никаких действий во избежание привлечения внимания регулятора. На практике такая позиция – самый рискованный сценарий. Рассмотрим, почему подача уведомления необходима в любом случае, даже если обработка персональных данных осуществляется давно.

Что изменилось с 30 мая 2025 года

Федеральным законом 30.11.2024 № 420-ФЗ (дата вступления в силу 30.05.2025) существенно увеличены штрафы за нарушения в сфере персональных данных. В частности, факт отсутствия регистрации компании в реестре, если такая обязанность законодательно закреплена, может повлечь наложение административного штрафа в размере: от 100 000 до 300 000 для ИП и юрлиц руб., от 5000 до 10 000 руб. – для физиков.

Важно понимать, что ответственность, согласно части 10 статьи 13.11 КоАП РФ, предусмотрена не только за само неподачу уведомления, но и за его несвоевременное направление. То есть, формально, если уведомление подано 31 мая 2025 года, а обработка данных началась 1 июня 2024 года, состав правонарушения (нарушение сроков) все равно имеется

Но здесь вступает в действие механизм, предусмотренный ч. 1 ст. 4.1.1 КоАП РФ: за впервые совершённое административное правонарушение штраф может быть заменён на предупреждение. Ключевое условие – отсутствие вреда и имущественного ущерба, а также угрозы чрезвычайных ситуаций. Подача уведомления (пусть и с опозданием), как раз демонстрирует регулятору, что оператор устраняет нарушение добровольно. Кроме того, только с даты подачи начнет течь срок давности – 1 год, по истечении которого к ответственности по данной статье вас не могут привлечь.

Вывод: если вы подадите уведомление сейчас, высока вероятность, что Роскомнадзор ограничиться только предупреждением (существуют даже кейс, в котором представители госоргана стали на сторону компании в суде по иску особо ретивого гражданина, который оспаривал отказ Роскомнадзора в возбуждении дела в связи с несвоевременной подачей документов на регистрацию). Т.е. заглавная цель представителей аппарата – это, прежде всего, побудить оператора к соблюдению закона. Длительное игнорирование же требования (неподача уведомления после предписания) влечёт уже полноценный штраф по ч. 10 ст. 13.11 КоАП РФ и/или наступление внеплановой проверки.

Следует также внимательно относиться к процедуре подачи прочих документов уведомительного характера. Если отсутствие информирования госоргана о факте трансграничной передачи данных может быть квалифицировано как незаконная обработка данных в соответствии с ч.1 ст. 13.11 с максимальным штрафом до 300 тыс. рублей для юрлиц, то нарушение процедуры подачи уведомления об инциденте безопасности данных может обойтись компании в 10 раз дороже (ч. 11 ст. 13.11 КоАП), не считая ответственности за сам факт «утечки».