Регистрация в Роскомнадзоре: кто обязан подать уведомление и как избежать штрафа
В 2025 году требования закона 152-ФЗ «О персональных данных» ужесточились, и регистрация в Роскомнадзоре стала обязательной практически для всех, кто работает с персональными данными. Однако многие предприниматели до сих пор не в курсе новых правил или откладывают их выполнение. ⚠ Цена промедления высока: с конца мая 2025 года за несвоевременное уведомление грозит штраф до 300 000 рублей. В этой статье разберем, кто обязан подавать уведомление в Роскомнадзор, как проходит регистрация оператора персональных данных, какие ошибки встречаются чаще всего и что сделать, чтобы избежать наказания.
Кто обязан подавать уведомление в Роскомнадзор
Подавать уведомление об обработке персональных данных (то есть регистрироваться в реестре операторов ПДн Роскомнадзора) должны практически все организации и предприниматели, которые так или иначе работают с информацией о физических лицах. Закон больше не содержит большинства прежних исключений – с 2022 года уведомлять обязаны почти все операторы. К таким относятся:
- ООО и другие компании, обрабатывающие данные клиентов, сотрудников, пользователей. Например, если вы храните данные покупателей, ведете учет персональных данных сотрудников, собираете контакты через анкеты или формы на сайте – вам необходимо уведомление.
- Индивидуальные предприниматели (ИП), даже без сотрудников, если они собирают данные физических лиц. Например, регистрация ИП в Роскомнадзоре требуется владельцу интернет-магазина, принимающему заказы от граждан (имя, телефон, адрес доставки и т.д.).
- Некоммерческие организации (НКО), если в их работе фигурируют персональные данные участников, благополучателей, волонтеров и пр.
- Самозанятые и физические лица, ведущие деятельность с персональными данными. Если вы оказываете услуги частным образом (консультации, фриланс и т.п.) и собираете информацию о клиентах, вы тоже считаетесь оператором персональных данных.
- Владельцы сайтов и онлайн-сервисов. Регистрация сайта в Роскомнадзоре необходима, если на сайте есть формы обратной связи, подписки на рассылку, сбор отзывов или любая другая обработка данных посетителей (email, телефон, ФИО и др.). То же касается мобильных приложений, веб-сервисов и регистрация интернет-магазина в Роскомнадзоре – все онлайн-проекты с данными пользователей должны быть учтены в реестре РКН.
- Бизнесы, передающие данные третьим лицам. Например, вы привлекаете колл-центр для обзвона клиентов или используете курьерскую службу для доставки – персональные сведения передаются сторонним организациям. Такие операторы также обязаны уведомлять РКН.
- Компании, работающие с особыми категориями данных (чувствительными персональными данными): данными о здоровье, биометрией (фото, отпечатки), сведениями о национальности, религиозных взглядах, судимостях и т.д. Тут контроль еще строже – обязанности оператора персональных данных включают уведомление РКН в обязательном порядке.
📌 Важно: Сейчас кто обязан подавать уведомление определяется очень широко. Исключения есть, но они редки. Уведомление можно не подавать только в случаях, прямо указанных в законе (ч.2 ст.22 152-ФЗ). К таким исключениям относятся, например, операторы, которые: - Обрабатывают данные исключительно без средств автоматизации, вручную на бумаге (то есть не используют компьютеры и базы данных). - Работают с данными, включенными в специальные государственные системы, созданные для обеспечения госбезопасности и правопорядка. - Обрабатывают данные в рамках обеспечения транспортной безопасности (специфичные случаи, предусмотренные законом о трансп. безопасности).
Все остальные должны своевременно направить уведомление. Проще говоря, если у вас есть компьютерные базы с персональной информацией физических лиц – подача уведомления в Роскомнадзор для вас обязательна.
Алгоритм регистрации оператора персональных данных (уведомление в РКН)
Чтобы зарегистрироваться в качестве оператора ПДн, необходимо подать уведомление установленной формы в Роскомнадзор. Эта процедура бесплатна (госпошлина не взимается) и относительно несложная, если знать порядок. Рассмотрим, как подать уведомление в Роскомнадзор шаг за шагом.
1. Подготовьте сведения для уведомления
Перед заполнением уведомления соберите все необходимые данные: - О вашем предприятии: официальное наименование организации (или ФИО предпринимателя/самозанятого), адрес, ИНН/ОГРН. - Контакты и ответственные лица: фамилия, имя, отчество сотрудника, ответственного за организацию обработки персональных данных, его телефон, email. - Цели обработки персональных данных – для чего вы собираете данные (например, для заключения договоров с клиентами, для ведения кадрового учета, для рассылки новостей и т.д.). - Категории персональных данных и субъектов: какие данные вы храните (имена, телефоны, адреса, сведения о здоровье и пр.) и чьи это данные (клиенты, сотрудники, посетители сайта, дети, граждане РФ или иностранцы и т.д.). - Правовое основание обработки: например, получение согласия субъектов, требования закона, исполнение договора с самим субъектом персональных данных. - Перечень действий с данными: сбор, хранение, использование, передача третьим лицам, обезличивание, блокирование, уничтожение – что именно вы делаете с ПДн. - Меры защиты персональных данных: какие организационные и технические меры вы применяете для безопасности (шифрование, антивирусы, ограничение доступа, обучение персонала и т.п.). ⚠ Не копируйте примеры мер из шаблонов вслепую – Роскомнадзор указывает, что типовая ошибка операторов в уведомлении – перечисление мер, не реализованных фактически. Укажите только то, что действительно внедрено. - Сведения о местонахождении базы данных, где хранятся персональные данные россиян (адрес сервера или дата-центра). По закону 242-ФЗ такая база должна находиться на территории РФ. - Наличие или отсутствие трансграничной передачи персональных данных. Если вы планируете передавать данные за пределы России, отметьте это (и уточните, в какие страны). 📌 Отдельно учтите, что с 2023 года введена обязанность уведомлять РКН о трансграничной передаче данных в некоторые случаи заранее – проконсультируйтесь, требуется ли вам такое дополнительное уведомление.- Дата начала обработки персональных данных (если уже работаете – дата фактического начала, если только планируете – укажите предстоящую). - Сроки обработки или условие ее прекращения (например, «до отзыва согласия субъектом» или «до ликвидации компании»).
Актуальная форма уведомления утверждена приказом Роскомнадзора № 180 от 28.10.2022 (действует с 01.02.2023). В ней предусмотрены поля для всех перечисленных сведений. Форма уведомления удобно заполняется с помощью подсказок на сайте Роскомнадзора – нужно проставить «галочки» и вписать данные в соответствующие поля.
2. Выберите способ подачи уведомления
Подать уведомление в Роскомнадзор можно несколькими способами:
- Через сайт Роскомнадзора с последующей отправкой на бумаге. Вы можете заполнить форму уведомления онлайн на портале персональных данных РКН (pd.rkn.gov.ru), затем распечатать готовый документ. Подписанный экземпляр нужно передать в территориальное отделение Роскомнадзора – лично через канцелярию либо отправить почтой России с уведомлением. Учтите, что при почтовой отправке срок подачи считается по дате получения письма Роскомнадзором. То есть обработка начнется, когда письмо поступит в ведомство.
- В электронном виде через сайт Роскомнадзора. В этом случае после заполнения формы вы подписываете ее усиленной квалифицированной электронной подписью (УКЭП) и отправляете онлайн. Если уведомление подает уполномоченный сотрудник по доверенности, понадобится приложить электронную доверенность (машиночитаемую в формате XML/SIG) – без нее РКН не примет заявление от лица, не являющегося руководителем. При электронной подаче Роскомнадзор рассматривает уведомление до 30 дней с момента отправки.
- Через портал «Госуслуги». Для организаций и ИП доступна отправка уведомления через Госуслуги. У организации должна быть подтвержденная учетная запись, а подает заявление руководитель либо сотрудник с нужными правами доступа. Этот способ во многом аналогичен электронному через сайт РКН, просто реализован на привычном портале госуслуг.
✅ Совет: Если вы не уверены, что сможете корректно оформить все документы, можно поручить процедуру специалистам. Так вы сэкономите время и избежите ошибок. Например, компания Роском 24 предоставляет услугу подготовки и отправки уведомления «под ключ» – вам достаточно предоставить исходные данные, остальное за вас сделают эксперты (ссылка: Роском 24 - сервис по уведомлению в РКН). Такая помощь в регистрации в РКН актуальна для занятых предпринимателей: стоимость услуги несопоставимо ниже возможного штрафа.
3. Дождитесь регистрации в реестре операторов
После подачи уведомления остается только дождаться, когда Роскомнадзор внесет сведения о вашей организации в государственный реестр операторов персональных данных. По закону ведомство делает это в течение 30 дней с момента получения уведомления (при электронной подаче – с даты отправки, при бумажной – с даты вручения документов РКН). Результат никак отдельно не сообщается – Роскомнадзор не высылает уведомлений о регистрации. Вам нужно самостоятельно проверить реестр: через 30 дней зайдите на сайт pd.rkn.gov.ru в раздел реестра и найдите свою организацию по названию, ИНН или ОГРН. 📌 Если запись появилась, значит вы официально зарегистрированы как оператор ПДн.
Если по истечении срока в реестре нет информации, возможно, данные еще обрабатываются или требуются уточнения. Бывает, что Роскомнадзор запрашивает уточнить некоторые сведения, если были найдены неточности в уведомлении. В этом случае вам направят требование предоставить корректные данные, и после их получения вашу запись внесут.
4. Поддерживайте сведения в актуальном состоянии
Регистрация оператора персональных данных в Роскомнадзоре проводится один раз. Повторно подавать уведомление не нужно, если в вашей деятельности ничего не изменилось. Однако закон обязывает оператора актуализировать сведения, когда происходят изменения: - Если изменились данные из ранее поданного уведомления – например, вы назначили другого ответственного за ПДн, сменили адрес компании, добавили новую категорию персональных данных для обработки и т.д., – нужно подать уведомление об изменениях. Сделать это необходимо до 15-го числа месяца, следующего за месяцем изменений. То есть у вас есть примерно две недели после конца месяца, когда произошли изменения, чтобы уведомить РКН. - Если вы прекращаете работу с персональными данными (например, закрываете направление бизнеса или ликвидируете организацию), подается уведомление о прекращении обработки. Срок – в течение 10 рабочих дней с момента прекращения обработки. Роскомнадзор удалит вашу запись из реестра через 30 дней после получения такого уведомления. - Если у вас случилась утечка персональных данных, действуют специальные правила: о самом инциденте нужно сообщить в Роскомнадзор в течение 24 часов, а за 72 часа предоставить расширенный отчет о причинах утечки и принятых мерах. (Эти требования введены с марта 2023 года, и за их нарушение тоже предусмотрены крупные штрафы.)
Основные ошибки при подаче уведомления (и как их избежать)
Электронная форма уведомления на сайте Роскомнадзора достаточно подробно вас направляет, снижая риск ошибок. Тем не менее на практике операторы часто допускают одни и те же недочеты. Рассмотрим распространенные ошибки при регистрации в Роскомнадзоре:
- Опоздали с уведомлением. Многие направляют сведения после начала обработки персональных данных, хотя по закону нужно делать это до того, как вы приступили к работе с данными. Например, начали собирать клиентские анкеты еще в прошлом году, а уведомление спохватились подать только сейчас. Это нарушение сроков уведомления.
- Не указаны все цели обработки. Если компания использует данные в нескольких целях, нужно перечислить их все. Частая ошибка – указать что-то одно (скажем, «для выполнения договора»), забыв про другие цели (маркетинговая рассылка, обеспечение пропускного режима, выполнение требований законодательства и т.д.). В результате реестр будет содержать неполную информацию.
- Пропущены категории данных или субъектов. Например, организация работает и с клиентами, и с персоналом, но уведомляет только о клиентских данных, «забыв» про сотрудников (или наоборот). Или интернет-магазин заявляет только ФИО и телефон клиентов, хотя фактически еще хранит адреса доставки – это тоже неполное уведомление.
- Не обновили сведения после изменений. Допустим, вы сменили адрес юридического лица или внедрили новую информационную систему для обработки данных – эти изменения нужно вовремя донести до Роскомнадзора. Забыв подать корректирующее уведомление, компания рискует считаться нарушителем (отсутствие актуальной информации приравнивается к отсутствию уведомления как такового).
⚠ Учтите: штрафы за отсутствие уведомления и за нарушение сроков подачи установлены одинаковые. То есть если вы уведомили, но с опозданием, формально это такое же нарушение обязанности, как и полное игнорирование. Роскомнадзор квалифицирует оба случая по одной статье КоАП.
Чтобы избежать ошибок, внимательно проверяйте заполненные формы. Если сомневаетесь в формулировках целей или мер защиты, лучше проконсультироваться со специалистами. Компания «Роском 24» оказывает полный спектр услуг в этой сфере – от разработки правильных формулировок до юридической экспертизы документов. Эксперты помогут внести изменения в уведомление без лишних ошибок и спорных формулировок.
Штрафы и ответственность за нарушение требований ФЗ-152
Что будет, если не выполнить обязанность по уведомлению? Закон предусматривает административную ответственность оператора персональных данных по статье 13.11 КоАП РФ. С 30 мая 2025 года размеры штрафов значительно выросли (Федеральный закон № 420-ФЗ). Теперь штрафы за нарушение 152-ФЗ (неподанное уведомление о начале обработки ПДн) составляют:
- Для физических лиц (граждан, в том числе самозанятых) – от 5 000 до 10 000 рублей.
- Для должностных лиц (например, директора организации, ответственного сотрудника) – от 30 000 до 50 000 рублей.
- Для юридических лиц (организаций и ИП) – от 100 000 до 300 000 рублей.
- При повторном нарушении штраф еще выше: для организаций может достигать 500 000 рублей.
⚠ Штрафы за отсутствие уведомления – не единственная проблема. Роскомнадзор вправе провести проверку компании и выдать предписание устранить нарушения. Проверка Роскомнадзора может быть плановой или внеплановой (например, по жалобе гражданина). Если в ходе контроля выяснится, что уведомление не подавалось, оператору грозит: - Штраф по указанным выше размерам. - Предписание Роскомнадзора с требованием в определенный срок подать уведомление и привести деятельность в соответствие с законом. - Если предписание не выполнить вовремя, последует новый штраф за неисполнение предписания (отдельный состав правонарушения). - В крайне грубых случаях надзорный орган имеет право приостановить деятельность, связанную с обработкой данных, а для интернет-бизнеса теоретически возможно ограничение доступа к сайту или сервису до устранения нарушений. Хотя до блокировки сайта дело обычно не доходит, Роскомнадзор регистрация сайта – это то, без чего онлайн-бизнес рискует потерять репутацию и клиентов.
Кроме того, отсутствие вашей организации в реестре операторов может насторожить партнеров. 📌 Репутационные риски: все больше крупных заказчиков и клиентов обращают внимание, выполнены ли у контрагента требования по персональным данным. Например, государственные заказчики нередко включают в условия закупки требование, чтобы поставщик был зарегистрирован в реестре операторов ПДн. Если нужной записи в реестре нет, компанию просто не допустят к участию в тендере. Таким образом, пренебрежение уведомлением – это еще и риск упустить возможности для бизнеса.
Вывод: неподача уведомления об обработке персональных данных в срок грозит серьезными финансовыми и имиджевыми потерями. Но эту проблему можно решить – самостоятельно или с помощью профессионалов – и избежать наказания.
Как избежать штрафа: практические советы и кейсы
Что делать, если вы только сейчас поняли, что должны были уведомить Роскомнадзор, а время упущено? Рассмотрим на практике, как избежать штрафа Роскомнадзора, даже если формально нарушили срок.
✅ Действуйте незамедлительно. Если вы еще не подали уведомление, сделайте это как можно скорее. После ужесточения требований Роскомнадзор стремится не наказать всех разом, а прежде всего побудить операторов выйти «из тени» и соблюдать закон. В 2025 году тысячи компаний подают уведомления задним числом, и ведомство это видит. За первое нарушение зачастую могут ограничиться предупреждением (ст.4.1.1 КоАП позволяет вынести предупреждение вместо штрафа), особенно если вы сами добровольно устраняете нарушение. Но чтобы рассчитывать на снисхождение, уведомление должно уже лежать на столе у РКН, когда до вас дойдет очередь проверки. Не ждите письма счастья – отправьте данные сами.
✅ Не скрывайте нарушение. Если надзор уже заинтересовался (например, вы получили запрос или предписание от РКН), не стоит отрицать проблему или пытаться задним числом подделать даты. Лучше открыто признать, что уведомление не было подано вовремя, и тут же отчитаться, что вы направили данные в Роскомнадзор (или отправите в ближайшие дни). Подобная откровенность и инициативность часто позволяют смягчить наказание. При рассмотрении дела РКН учитывает смягчающие обстоятельства – добровольное устранение нарушения, содействие проверке, устранение последствий.
✅ Приведите документы в порядок. Пока ваше уведомление обрабатывается, позаботьтесь о выполнении прочих требований закона 152-ФЗ. Подготовьте обязательные локальные акты и документы по защите ПДн: - Политику компании в отношении обработки персональных данных (размещается на сайте и регламентирует основные положения работы с ПДн). - Приказ о назначении ответственного за работу с персональными данными. - Формы согласий на обработку персональных данных (для клиентов, сотрудников – в зависимости от необходимости). - Журнал учета обращений субъектов персональных данных и другие документы, необходимые вашей организации по закону.
Всего типовой пакет документов по персональным данным может включать до 34 позиций – точный состав зависит от ваших процессов. 📌 Наличие полного комплекта актуальных документов покажет проверяющим вашу добросовестность. В случае визита Роскомнадзора готовые политика, приказы, соглашения и журналы сыграют в вашу пользу и могут предохранить от крупных штрафов (например, отделаетесь предупреждением).
На практике уже есть положительные примеры. Многие компании, пропустившие срок до 30.05.2025, успели быстро уведомиться и привести дела в порядок. Например, один интернет-магазин из региона, узнав о новых штрафах, оперативно подал уведомление и заказал аудит сайта. Роскомнадзор при проверке обнаружил первоначальное нарушение, но, увидев, что компания уже внесена в реестр и исправила недочеты в политике конфиденциальности, ограничился минимальным штрафом в 100 000 ₽. Другой кейс – небольшое ООО не подавало уведомление несколько лет, пока не получило предписание. Они обратились за помощью, срочно зарегистрировались и подготовили ответ на предписание с объяснением. В итоге дело обошлось предупреждением, хотя мог грозить крупный штраф. Вывод: устранив нарушение добровольно и заранее, можно смягчить ответственность.
🔔 На заметку: чтобы постоянно соответствовать актуальным требованиям, следите за изменениями законодательства о персональных данных. В 2025 году вступили в силу поправки не только по уведомлениям, но и по утечкам данных, биометрии и т.д. Бизнесу важно держать руку на пульсе.
Если вы чувствуете, что требуетcя поддержка профессионалов, обращайтесь к экспертам. Компания “Роском 24” помогает бизнесу минимизировать риски штрафов и выстроить работу с персональными данными по закону. Специалисты оказывают такие услуги, как:
- 🔹 Подача уведомления в Роскомнадзор – берем на себя оформление и отправку уведомления, взаимодействие с РКН до момента вашей регистрации в реестре.
- 🔹 Разработка полного пакета документов по 152-ФЗ – политики, приказы, положения, согласия и другие локальные акты (до 34 документов) под специфику вашей деятельности.
- 🔹 Юридический и технический аудит сайта на соответствие требованиям по персональным данным – проверим наличие политики, корректность сборщика cookie, форм согласия, безопасное подключение и т.д.
- 🔹 Подготовка ответов на предписания Роскомнадзора – если проверка уже прошла и выданы предписания, поможем грамотно отчитаться об устранении нарушений, чтобы избежать повторных штрафов.
- 🔹 Консультации и сопровождение проверок – обучим ваших сотрудников, как действовать при проверке, какие документы предоставить, чтобы защитить бизнес.
📌 Полезный ресурс: Для читателей подготовили бесплатный чек-лист «Как выполнить требования Роскомнадзора в 2025 году?». В чек-листе – перечень новых требований к операторам ПДн, полный список штрафов и список обязательных документов. Вы можете скачать его по ссылке: Скачать бесплатный чек-лист 2025. Если остались вопросы или нужна профессиональная помощь с регистрацией в РКН, специалисты Роском24 всегда готовы проконсультировать и помочь с соблюдением ФЗ-152. Будьте уверены в защите своего бизнеса и данных ваших клиентов!