Как оператору персональных данных зарегистрироваться в Роскомнадзоре в 2026 году: подробное руководство для бизнеса

Работа операторов персональных данных (операторы ПДн) находится под контролем государственного регулятора — Роскомнадзора. Полномочия ведомства описаны в ст. 23 закона от 27.07.2006 № 152-ФЗ. 

Операторы не могут совершать действия с персональными данными физлиц — от сбора до уничтожения — без предварительного информирования РКН. Законное основание на обработку ПДн дает уведомление (заявление) в адрес уполномоченного органа.

Только для трех категорий операторов действует исключение — они не подают заявление в Роскомнадзор (ч. 2 ст. 22 закона № 152-ФЗ):

1. Включены в ГИС ПДн и их деятельность направлена на обеспечение госбезопасности и соблюдения общественного порядка.

2. Данные физлиц обрабатываются без средств автоматизации (учет на бумажных носителях). 

3. Обработка данных выполняется для устойчивого функционирования транспортного комплекса и безопасности в этой сфере.

Что дает подача уведомления в Роскомнадзор:

1. Открывает путь к законной обработке персональных данных физлиц — клиентов, покупателей, сотрудников, пациентов, контрагентов и т.п..

2. Компанию или ИП включают в реестр операторов ПДн. Это можно использовать как элемент маркетинга и повышения лояльности субъектов ПДн — например, разместить на сайте «плашку» о том, что находитесь в официальном реестре Роскомнадзора. 

3. Исключает штрафы за обработку персональных данных без уведомления — до 300 тыс. рублей на предпринимателей и юрлиц по ч. 10 ст. 13.11 КоАП.

Ключевое требование: подайте уведомление в Роскомнадзор до начала обработки персональных данных физлиц. И только потом приступайте к законной деятельности Оператора ПДн.

Операторы персональных данных — это ИП, организации, самозанятые и физлица, которые так или иначе используют сведения о физлицах в коммерческих и корпоративных целях. А именно:

• Работодатели. Организации обрабатывают данные сотрудников (сами или передают третьим лицам), исполнителей по договорам ГПХ. Сбор резюме, проведение собеседований, оформление пропусков, хранение данных в учетных системах — все это считается обработкой ПДн.

• Коммерческий сектор. Бизнес и продажи связаны с оформлением заявок, ведением клиентских баз, рекламными рассылками — а, значит, без уведомления РКН работать запрещено.

• Блогеры. Требование относится к инфлюенсерам с аудиторией от 10 тысяч человек — видеоблогерам, владельцам профилей в соцсетях (ч. 1.1–1.3 ст. 10.6 закона от 27.07.2006 № 149-ФЗ).

• Владельцы сайтов и онлайн-ресурсов. При входе на сайт или использовании приложения данные пользователей автоматически поступают в распоряжение оператора. Без оповещения РКН обработка считается незаконной.

Примечание: даже небольшой сайт-визитка или сбор данных клиентов через мессенджер считается обработкой ПДн, а тот, кто собирает — оператором. 

Проинформировать ведомство можно в одном из двух форматов — дистанционно (онлайн) или лично (офлайн). Рассмотрим каждый вариант.

1. На сайте Роскомнадзора. Форма заявления и инструкции размещены на сайте Роскомнадзора. На веб-ресурсе регулятора можно заполнить уведомление и отправить его онлайн.

Как это сделать:

• Зайдите на официальный сайт Роскомнадзора — раздел «Электронные формы заявлений». Перейдите к заполнению.

• Заполните поля, следуя системным подсказкам. Для большинства сведений нужно проставить «галочки». 

Какие данные указывают в уведомлении:

• об операторе — данные об ИП или компании (ФИО, наименование, адрес и др);

• цели обработки — должны совпадать с реальной деятельностью; 

• категории субъектов ПДн и тип персональных данных — какие и чьи ПДн планируете обрабатывать;

• защитные меры для обеспечения безопасности данных — как соблюдаете требования ст. 18.1 и 19 закона № 152-ФЗ (хранение в сейфах, специальные комнаты под архивы, доступ к базам по паролям и т. д.);

• сроки обработки и условия прекращения — устанавливает продолжительность (например, «до отзыва субъектом согласия»).

На заметку: для отправки заявления через сайт Роскомнадзора потребуется подтвержденный профиль на Госуслугах или квалифиированная электронная подпись. Собственники бизнеса могут получить ее в ФНС или аккредитованном Удостоверяющем центре. Получение электронной подписи занимает 1–3 дня.

2. При помощи Госуслуг. Роскомнадзор принимает заявления, отправленные с использованием профиля Госуслуг. Потребуется подтвержденный профиль, для организаций — права администратора.

Как подать заявление:

1. Перейдите на сайт Роскомнадзора. 

2. Нажмите на кнопку «Подать уведомление (перейти к сервису ЕСИА)», авторизуйтесь и предоставьте все необходимые разрешения.

3. Заполните форму заявления. Сведения об операторе автоматически появятся в электронном уведомлении. Останется указать индекс, адрес, регион, контакты, заполнить обязательные поля и проставить «галочки» напротив соответствующих строк. 

Примечание: подача заявления на сайте Роскомнадзора — самый быстрый способ, но требует наличия УКЭП. Для отправки документа с использованием ЕСИА электронная подпись не нужна, но на межведомственное взаимодействие может уйти больше времени. 

Заявление на бумаге — это консервативный способ уведомить Роскомнадзор о намерении обрабатывать ПДн. Предоставить документ в бумажном формате можно так:

1. Распечатать бланк, заполнить и лично принести в территориальный орган РКН. Занимает время на поездки, поиск подразделения, ожидание в очереди, общение со специалистами.

2. Отправить заявление по почте (заказным письмом, с отметкой о вручении). Этот вариант также не самый быстрый, но им можно воспользоваться. 

Важно: форма заявления должна соответствовать утвержденному образцу. Недостаток отправки по почте — отсутствие автоматической проверки документа. Лучше всего использовать шаблон с сайта Роскомнадзора, чтобы избежать ошибок.

Услуги в области персональных данных

Подробнее

Закон требует от операторов заранее предупредить Роскомнадзор о намерении обрабатывать персональные данные (ч. 1 ст. 22 закона № 152-ФЗ). Прежде чем приступите к действиям с ПДн, регулятору уже должно быть об этом известно. 

О каких еще сроках следует помнить:

1. До 15 числа следующего месяца подайте уведомление об изменении сведений. Уведомление о начале обработки подается один раз, но если произошли изменения, то нужно подать корректирующее заявление. Например, это необходимо, если ИП сменил адрес регистрации или в компании назначили другого ответственного.

2. После прекращения обработки ПДн подайте соответствующее уведомление в течение 10 рабочих дней. Например, это требуется в случаях закрытия бизнеса, ликвидации юрлица, или оператор перестает работать с персональными данными.

3. В случае утечек, компьютерных атак и других инцидентов операторы должны знать о сроках уведомления Роскомнадзора: 24 часа — на информирование о происшествии, и 72 часа — на проведение внутреннего расследование и предоставление результатов.

Основание — ч. 7 ст. 22 и ч. 3.1 ст. 21 закона № 152-ФЗ.

В 2026 году регулятор массово проверяет операторов, в том числе с использованием инновационных методов. Процедура уже «обкатана» на практике и выявление нарушителей не составляет труда. Что это за методы — показали в таблице:

Причиной проверки могут стать жалобы недовольных клиентов, уволенных сотрудников или «бдительных» конкурентов. Стандартный профилактический визит может выявить серьезные нарушения по части обработки персональных данных и повлечь штрафы.

Проверить эту информацию можно на сайте Роскомнадзора. Для этого выполните поиск по ИНН или наименованию организации. 

• Если оператор находится в реестре, то появится таблица с базовыми сведениями — регистрационный номер заявления, наименование компании / ИНН, дата начала обработки и дата регистрации уведомления. 

• Если сведения в реестре отсутствуют, то таблица будет пустой.

Ситуации, когда оператор подал заявление, но через месяц его так и не включили в реестр, крайне редки. Но если это произошло, то свяжитесь с территориальным подразделением Роскомнадзора, задайте вопрос специалистам.

Рекомендуем хранить подтверждение отправки уведомления — электронную квитанцию, почтовое уведомление или второй экземпляр уведомления с отметкой о приеме. По закону на регистрацию отводится 30 календарных дней, но на практике включить в реестр могут за одну–две недели.

Обработка данных с помощью иностранных сервисов считается трансграничной передачей — сведения о физлицах поступают на зарубежные сервисы (США, Европы). Поставить бизнес под угрозу могут даже мессенджеры WhatsApp¹*, Телеграм, а также сервисы Google. 

Об использовании иностранных сервисов сразу укажите в первичном уведомлении. Если уже находитесь в реестре Роскомнадзора, то подайте уведомление об изменении сведений. В нем укажите, какие сервисы и с какой целью применяете. Такой порядок действует с 1 июля 2025 года. 

Кроме того, действует правило «локализации». Операторам рекомендовано использовать отечественные ПО, чтобы исключить несанкционированную передачу данных российских граждан за границу. Если для бизнеса критически важно использовать зарубежные разработки, то без уведомления о ТППДн не обойтись.

Передача обработки ПДн сторонней организации (третьему лицу) не освобождает от статуса оператора. Поэтому обязательно подайте уведомление. 

Рекомендуем пользоваться формами на сайте Роскомнадзора. Даже если хотите подать заявление на бумаге, то лучше заполнить его на сайте, а потом распечатать и предоставить в местное подразделение РКН. Бланки, скачанные на сторонних ресурсах, могут быть устаревшими или содержать некорректные поля. Ознакомьтесь с примерами уведомлений на сайте Роскомнадзора, прежде чем приступите к заполнению формы.

Услуги в области персональных данных

Подробнее

Читайте также:

• Как оформить согласие на обработку персональных данных с 1 сентября 2025: пошаговая инструкция для бизнеса.

• Как выполнить требования Роскомнадзора к сайтам, чтобы избежать штрафа до 18 млн руб.

• Как выполнить требования к обработке персональных данных сотрудников в 2025/2026 году: гайд для работодателя.

Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFGdGGJL