Logo WCR Consulting
WCR Consulting
Уведомление Роскомнадзора и реестр операторов персональных данных: когда и как нужно регистрироваться?
Олег Просин
10 марта, 2026
4:33 пп
arge clean Russian text: «РЕЕСТР ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ» Below in smaller text: «Уведомление Роскомнадзора» Уведомление Роскомнадзора и реестр операторов персональных данных: когда и как нужно регистрироваться?
⚖ 152-ФЗ  ·  Регуляторика

Уведомление Роскомнадзора и реестр операторов персональных данных

Когда и как нужно регистрироваться — разбор обязанностей, исключений и актуальных требований для бизнеса

📋 Ст. 22 152-ФЗ 🏢 Для операторов ПДн 📅 Актуально 2024 ⏱ ~8 мин чтения
1

Правовая основа: кто считается оператором и при чём тут РКН

Почему закон требует уведомления и кого это касается

2

Кто обязан уведомлять РКН, а кто освобождён

Общее правило и перечень исключений из ч. 2 ст. 22 152-ФЗ

3

Пошаговая инструкция: как подать уведомление в Роскомнадзор

Форма, реквизиты и порядок подачи через портал pd.rkn.gov.ru

4

Реестр операторов: что публикуется и как актуализировать данные

Состав реестровой записи, проверка статуса и обязанность обновления

5

Поправки 2022–2024: что изменилось для операторов ПДн

Новые обязанности, расширенный состав уведомления и сокращённые сроки

6

Ответственность за нарушения и типичные ошибки

Штрафы, проверки РКН и как их избежать

1. Правовая основа: кто считается оператором и при чём тут РКН

По статье 22 Федерального закона № 152-ФЗ любой оператор персональных данных обязан уведомить Роскомнадзор о начале обработки ПДн до её начала. Это не рекомендательная норма — это законодательное требование для подавляющего большинства российских организаций.

Оператор персональных данных — любое юридическое или физическое лицо, которое самостоятельно или совместно с другими определяет цели и порядок обработки ПДн. Если компания хранит имена сотрудников, email клиентов или данные пользователей сайта — она уже является оператором, независимо от размера бизнеса и организационно-правовой формы.

Роскомнадзор (РКН) — уполномоченный орган по защите прав субъектов персональных данных в России. Ведёт реестр операторов и осуществляет надзор за соблюдением требований 152-ФЗ. Уведомление РКН — это регистрация намерения обрабатывать ПДн и первичная точка контакта с регулятором для каждого оператора.

  • Форма обратной связи — имя + email = персональные данные
  • CRM-система — контакты клиентов, история сделок
  • 1С / ERP — данные сотрудников, подрядчиков
  • Мобильное приложение — аккаунты пользователей
  • База email-подписчиков — рассылочный сервис
  • Видеонаблюдение с идентификацией — биометрические ПДн
Ст. 22 152-ФЗ

Правовое основание для обязанности уведомления. Норма действует с 2006 года и существенно расширена поправками 2022–2023 годов: теперь уведомление содержит больше обязательных сведений.

📅До начала обработки

Уведомление подаётся до старта обработки персональных данных — не после запуска сайта или внедрения CRM. Начало работы без уведомления — одно из самых распространённых нарушений.

🌐pd.rkn.gov.ru

Официальный портал РКН для подачи уведомлений и проверки реестра операторов. Форма заполняется онлайн с подписью усиленной квалифицированной электронной подписью.

2. Кто обязан уведомлять РКН, а кто освобождён

Общее правило статьи 22 152-ФЗ: уведомление РКН обязательно для всех операторов персональных данных. Закон устанавливает исчерпывающий перечень исключений — если ваша ситуация не подпадает ни под одно из них, уведомить регулятора необходимо до начала обработки.

После поправок 2022 года перечень исключений был пересмотрен и стал строже. Важно понимать: исключения узкие и буквальные, расширительное толкование в пользу оператора не допускается. При любом сомнении — безопаснее уведомить.

✅ Обязаны уведомить

  • Интернет-магазины и SaaS-сервисы — данные пользователей и клиентов
  • Работодатели, обрабатывающие ПДн за пределами трудовых правоотношений
  • Медицинские организации — особые категории ПДн (здоровье)
  • Банки, страховщики, финансовые организации
  • Операторы колл-центров и служб поддержки
  • Рекламные платформы и маркетинговые агентства
  • Все компании, передающие ПДн третьим лицам

◎ Исключения из ч. 2 ст. 22 (узкий перечень)

  • Только ФИО субъекта — и никакие иные данные
  • Данные работников — исключительно для исполнения трудового договора, без передачи третьим лицам
  • Данные по договору — только для исполнения договора с самим субъектом, без распространения
  • Общедоступные ПДн — из публично открытых источников
  • Разовые пропуска — однократная выдача пропуска посетителю
⚠ Важно об исключении по трудовому договору: оно распространяется только на данные, необходимые непосредственно для исполнения договора. Если работодатель ведёт историю болезней, психологические тесты, данные о семье сотрудника или передаёт информацию страховщику — это уже выходит за рамки исключения и требует уведомления РКН.
3. Пошаговая инструкция: как подать уведомление в Роскомнадзор

Уведомление подаётся через официальный портал Роскомнадзора pd.rkn.gov.ru. Процедура последовательная — важно пройти все этапы корректно: неполное или некорректное уведомление не освобождает от ответственности.

1

Подготовьте сведения об организации

Понадобятся: полное наименование, ИНН, ОГРН, юридический и фактический адреса, ФИО и контакты ответственного за обработку ПДн. Если ответственное лицо отличается от руководителя — назначьте его официально приказом до подачи уведомления.

📋 Подготовка данных
2

Опишите обработку персональных данных

Для каждой категории ПДн укажите: цели обработки, перечень данных, категории субъектов (сотрудники / клиенты / пользователи сайта), правовое основание, перечень действий с ПДн, сроки хранения. Это самая объёмная и содержательная часть уведомления.

🎯 Цели обработки👤 Категории субъектов
3

Опишите меры по защите персональных данных

Укажите организационные и технические меры: наличие политики конфиденциальности, разграничение доступа, шифрование, антивирусная защита, резервное копирование. Уровень защиты (УЗ-1..УЗ-4) определяется по ПП РФ № 1119 и приказу ФСТЭК № 21.

🔐 Меры защиты
4

Сообщите о трансграничной передаче (если применимо)

Если данные передаются за рубеж — необходимо указать страны-получатели и правовые основания. После поправок 2022 года о планируемой трансграничной передаче нужно уведомить РКН отдельно до начала передачи. Для стран без «адекватного уровня защиты» требуется предварительное разрешение регулятора.

🌍 Трансграничная передача
5

Подпишите форму УКЭП и получите подтверждение

Заполненную форму на pd.rkn.gov.ru необходимо подписать усиленной квалифицированной электронной подписью (УКЭП). После подачи РКН вносит оператора в реестр — обычно в течение 30 дней. Сохраните подтверждение регистрации: оно понадобится при проверке.

✅ Регистрация
4. Реестр операторов: что публикуется и как актуализировать данные

После подачи уведомления оператор вносится в Реестр операторов персональных данных, который ведёт Роскомнадзор. Реестр публичный — любой может проверить, зарегистрирована ли компания. Это создаёт репутационные риски для тех, кто уклоняется от регистрации.

Запись содержит информацию, предоставленную оператором при уведомлении. При изменении любого из включённых сведений оператор обязан подать уточнённое уведомление — эта обязанность часто игнорируется, особенно при смене адреса или расширении целей обработки.

🏢Данные организации

Наименование, ИНН/ОГРН, адрес, контакты ответственного за обработку ПДн. Именно эта информация публично отображается в реестре при проверке оператора.

🎯Цели и состав обработки

Цели обработки ПДн, категории субъектов (сотрудники, клиенты, пользователи), перечень обрабатываемых данных и правовые основания для каждой цели.

🔐Защита и хранение

Описание технических и организационных мер, место хранения данных (страна локализации), сроки обработки и хранения каждой категории ПДн.

Когда необходимо подать уточнённое уведомление:

📍 Смена юридического адреса 🎯 Изменение целей обработки ➕ Новые категории ПДн или субъектов 👤 Смена ответственного лица 🌍 Начало трансграничной передачи
⚠ Срок обновления: оператор обязан уведомить РКН об изменениях в течение 10 рабочих дней с момента их наступления (ч. 7 ст. 22 152-ФЗ). Несвоевременное обновление сведений влечёт административную ответственность — даже если сама обработка ПДн ведётся законно.
5. Поправки 2022–2024: что изменилось для операторов ПДн

В 2022–2023 годах 152-ФЗ претерпел наиболее масштабные изменения за всю свою историю. Поправки существенно расширили состав уведомления, ужесточили режим трансграничной передачи, ввели обязательного ответственного за обработку ПДн и повысили штрафы.

Если ваша компания уведомляла РКН до 1 сентября 2022 года, необходимо проверить актуальность сведений — состав обязательных данных в уведомлении изменился. Устаревшая запись в реестре формально означает ненадлежащее уведомление.

🔔

Расширен состав уведомления

С 01.09.2022

Уведомление теперь должно содержать: описание мер по обеспечению безопасности ПДн (организационные и технические), сведения о стране нахождения баз данных (локализация), цели трансграничной передачи — если она осуществляется. Операторы, уведомившие РКН до этой даты, обязаны подать уточнённое уведомление.

🌍

Новый порядок трансграничной передачи

С 01.03.2023

Для передачи ПДн в страны без «адекватного уровня защиты» введена процедура предварительного уведомления РКН. Оператор направляет уведомление и ждёт 10 рабочих дней — в этот период регулятор вправе запретить передачу. Список стран с адекватным уровнем защиты утверждается приказом РКН.

👤

Обязательное назначение ответственного за обработку ПДн

С 01.09.2022

Оператор обязан назначить лицо, ответственное за организацию обработки ПДн (аналог DPO в GDPR). Сведения об этом лице указываются в уведомлении и должны быть актуальными. При смене ответственного — обновить уведомление в течение 10 рабочих дней.

Повышенные штрафы за нарушения

С 01.09.2022

Внесены изменения в ст. 13.11 КоАП РФ. Появилась специальная норма за нарушения в сфере ПДн, включая обработку без уведомления. Максимальный штраф для юридических лиц — до 500 000 руб. За утечки крупного масштаба оборотный штраф — до 15 млн руб. или 3% от выручки.

6. Ответственность за нарушения и типичные ошибки

Нарушения в сфере уведомления РКН и ведения реестра — одни из наиболее часто выявляемых при плановых проверках. Штрафы выросли, а проверочная активность регулятора после 2022 года значительно усилилась.

Ошибка 1: Начало обработки до подачи уведомления

Компания запустила сайт с формой регистрации или внедрила CRM, не уведомив РКН заблаговременно. Уведомление подаётся уже постфактум — нередко только когда возникает вопрос о соответствии требованиям.

⚠ Риск: нарушение ч. 1 ст. 22 152-ФЗ. При проверке — административный штраф и предписание. Повторное нарушение квалифицируется строже.
✓ Как правильно: подавайте уведомление до запуска любого сервиса, формы или системы, собирающей данные физических лиц. Это занимает 1–2 дня при наличии УКЭП.
Ошибка 2: Устаревшие сведения в реестре

Компания сменила адрес, добавила новую цель обработки (например, запустила маркетинговые рассылки) или передала данные в облачный сервис за рубежом — но уведомление в РКН не обновила. Запись в реестре не соответствует действительности.

⚠ Риск: нарушение ч. 7 ст. 22 152-ФЗ об обязанности уведомлять об изменениях в течение 10 рабочих дней. При трансграничной передаче без обновления — дополнительная ответственность.
✓ Как правильно: включите актуализацию реестровой записи в регламент любых изменений, затрагивающих обработку ПДн — смена адреса, новые системы, новые подрядчики.
Ошибка 3: Некорректное применение исключений

Компания решила, что подпадает под исключение «только данные сотрудников» и не подала уведомление. При этом в системе хранились данные клиентов, подрядчиков или пользователей сайта — что однозначно выходит за рамки исключения.

⚠ Риск: при проверке исключение не подтвердится — компания окажется незарегистрированным оператором с момента начала обработки. Штраф может покрыть весь период нарушения.
✓ Как правильно: исключения из ст. 22 трактуются буквально и узко. При малейшем сомнении — уведомить. Лишняя запись в реестре не несёт никаких рисков.
Ошибка 4: Отсутствие ответственного за обработку ПДн

С 2022 года назначение ответственного лица — обязательное требование, которое должно быть отражено в уведомлении. Многие компании либо не назначили такое лицо вовсе, либо указали в реестре уволившегося сотрудника.

⚠ Риск: несоответствие сведений реестра — основание для предписания об устранении нарушения. При систематических нарушениях РКН может инициировать внеплановую проверку.
✓ Как правильно: назначьте ответственного приказом, зафиксируйте его полномочия и обновите запись в реестре. При смене сотрудника — обновить в течение 10 рабочих дней.
Соблюдение требований 152-ФЗ начинается с правильного уведомления РКН и актуального реестра. Команда WCR Consulting помогает операторам пройти регистрацию, привести документацию в порядок и выстроить процессы для поддержания соответствия в долгосрочной перспективе.

Нужна помощь с уведомлением РКН и соответствием 152-ФЗ?

WCR Consulting — практическое сопровождение: уведомление Роскомнадзора, реестр операторов, документация и поддержка при проверках.

  • Подготовка и подача уведомления в РКН
  • Актуализация устаревших записей в реестре
  • Политика конфиденциальности и согласия
  • Назначение и оформление ответственного за ПДн
  • Уведомление о трансграничной передаче
  • Поддержка при проверках Роскомнадзора
Получить консультацию Политика персональных данных
Category : GDPR и защита данных
Tags : 152-ФЗ биометрические данные комплаенс персональные данные специальные категории данных юридическая упаковка сайта