Самое главное:
Операторы персональных данных должны проинформировать Роскомнадзор о начале обработки персональных данных (подать первичное заявление). РКН ведет реестр операторов ПДн.
Срок рассмотрения первичного заявления — 30 календарных дней. Если ведомство обнаружит ошибки в уведомлении, то не внесет сведения в реестр. Оператор должен исправить недочеты и подать новое первичное уведомление.
После включения оператора в реестр изменить сведения можно с помощью уведомления об изменении сведений. Срок — до 15 числа следующего месяца.
Подать уведомление можно на бумаге или в электронной форме — через «Госуслуги» или на портале РКН.
Максимальные штрафы за нарушения, связанные с неподачей корректирующего уведомления, доходят до 300 тыс. руб. на ИП и до 500 тыс. руб. на организации.
О каких формах уведомлений должны знать операторы
С 2025 года Роскомнадзор усиливает проверки в отношении операторов персональных данных — организаций, ИП, самозанятых, физлиц: всех, кто собирает и использует сведения о гражданах в соответствии со своими целями (коммерческими, в рамках трудовых отношений, для оказания государственных услуг и т. д.).
Одна из областей проверок — правовое основание для обработки персональных данных. До начала работы с персональными данными оператор должен подать уведомление в Роскомнадзор (ч. 1 ст. 22 закона от 27.07.2006 № 152-ФЗ).
Операторы должны знать о нескольких формах уведомлений:
Наименование уведомления | Описание |
Уведомление о намерении осуществлять обработку персональных данных | Первичное заявление, на основании которого Роскомнадзор вносит сведения в реестр операторов. Форма уведомления закреплена в приложении № 1 к приказу РКН от 28.10.2022 № 180 |
Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн | Корректирует ранее поданные сведения в первичном заявлении. Форма корректирующего (уточняющего) уведомления закреплена в приложении № 2 к приказу № 180 |
Уведомление Роскомнадзора в случае происшествий, которые привели к утечке данных (компьютерные атаки, несанкционированные доступы) | Кроме оповещения регулятора об инциденте, оператор должен провести расследование и отчитаться о его результатах (ст. 21 закона № 152-ФЗ) |
Уведомление о намерении осуществлять трансграничную передачу | Подается при необходимости передавать персональные данные в зарубежные страны (ст. 12 закона № 152-ФЗ) |
Уведомление о прекращении обработки персональных данных | Когда оператор принимает решение об окончании деятельности, связанной с обработкой ПДн, он подает соответствующее заявление в Роскомнадзор в течение 10 дней после прекращения обработки (ч. 7 ст. 22 закона № 152-ФЗ) |
Первичное уведомление операторы подают один раз — его не нужно обновлять или актуализировать. Но в некоторых случаях потребуется изменить сведения, содержащиеся в уведомлении (= в реестре операторов).
Как избежать штрафов за нарушение обработки персональных данных
Чек-лист по выполнению требований Роскомнадзора
Заполните форму, вышлем чек-лист вам на e-mail:
В каких случаях нужно внести изменения
В одних случаях оператору нужно повторно подать первичное уведомление, в других — использовать корректирующее уведомление. Разберем на примерах.
Пример № 1. Роскомнадзор не принял уведомление о начале обработки персональных данных. Это говорит о том, что оператор допустил ошибку на этапе заполнения заявления. Например, неверно указал сведения о компании, цели обработки, категории субъектов или допустил по тексту другие ошибки, которые смогли обнаружить инспекторы.
Что делать: подать повторно первичное уведомление, исправив недочеты, на которые указал регулятор (по форме из приложения № 1 к приказу № 180). Подавать корректирующее уведомление не нужно, так как оператора не успели включить в реестр.
Пример № 2. В уведомлении указаны недостоверные сведения, но сведения об операторе внесены в реестр. Например, оператор указал не все цели обработки, для которых собирает и обрабатывает данные, или, наоборот, внес излишние цели. Роскомнадзор на этапе проверки не увидел несоответствия и внес оператора в реестр.
Что делать: подать корректирующее уведомление, исправив неточные или неполные сведения. Проактивные действия помогут организации избежать штрафов по ч. 1 и ч. 1.1 ст. 13.11 КоАП за нецелевую обработку персональных данных — до 500 тыс. руб. на организации и до 200 тыс. на ИП.
Важно! При заполнении первичного заявления проверяйте все пункты на полноту и достоверность сведений. С 30 мая 2025 года штрафы по ст. 13.11 КоАП выросли в несколько раз. Лучше использовать электронную форму заявления на портале Роскомнадзора — через авторизацию на «Госуслугах» или заполнить электронную форму на сайте РКН. В последнем случае пользователю понадобится УКЭП.
В какие сроки подать корректирующее уведомление
Изменить можно сведения, которые внесены в реестр операторов. Если первичное уведомление находится на этапе проверки, то нужно дождаться окончания этого этапа. На проверку уведомления и внесение сведений в реестр Роскомнадзору отведено по закону 30 календарных дней (ч. 4 ст. 22 закона № 152-ФЗ).
Изменению подлежат сведения, указанные в ч. 3. ст. 22 закона № 152-ФЗ:
наименование организации, ФИО ИП, адрес;
цели обработки ПДн;
меры по исполнению обязанностей оператора и защите данных;
сведения об ответственном за организацию обработки данных — ФИО или наименование компании, адрес, контакты;
дата начала, сроки и условия прекращения обработки ПДн;
сведения о трансграничной передаче данных или ее отсутствии;
место нахождения ЦОД.
Срок внесения изменений — до 15 числа следующего месяца. Например, 5 февраля 2026 года в организации назначили нового ответственного. Подать корректирующее заявление нужно до 15 марта 2026 года.
«Центр безопасности данных» оказывает поддержку операторам при работе с персональными данными. Основные виды помощи:
разработка документов по закону 152-ФЗ;
аудит процессов компании на соответствие требованиям Роскомнадзора;
подготовка полного пакета документов оператора в области ПДн;
реализация индивидуальных проектов, в том числе юридические консультации;
разработка СЗПДн.
Вы можете заказать локальную задачу (например, подготовку уведомления в Роскомнадзор), так и обратиться за комплексной поддержкой, которая включает организацию полноценной системы для работы с персональными данными.
Как внести изменения в уведомление об обработке персональных данных
Предоставить корректирующее уведомление в Роскомнадзор можно разными способами — консервативным (на бумаге) или в электронном виде. Ниже — пошаговая инструкция.
Шаг 1. Проверьте сведения в реестре операторов
Сделать это можно непосредственно в реестре операторов или специализированном сервисе Роскомнадзора.
Чтобы найти сведения об операторе введите наименование организации, ИНН или регномер заявления. Рекомендуется вводить только ИНН, тогда результат поиска будет максимально правильным.
Шаг 2. Выберите способ подачи корректирующего уведомления
При наличии в реестре записи об операторе можно переходить к заполнению заявления. Напомним, что корректирующее (уточняющее) уведомление по форме из приложения № 2 к приказу № 180 можно подать, если Роскомнадзор принял первичное заявление, но в реестр попали неточные или неполные сведения, либо сведения изменились.
Внести изменения можно тремя способами:
Заполнить электронную форму на сайте Роскомнадзора. Потребуется заранее установить плагин КриптоПро ЭЦП Browser plug-in и приобрести УКЭП.
Отправить уведомление через «Госуслуги». Часть сведений автоматически подтянется из учетной записи оператора на ЕПГУ. Останется проставить «галочки» напротив незаполненных полей.
Предоставить документ на бумаге. Бланк можно скачать на сайте РКН, заполнить и предоставить в ведомство лично или по почте заказным письмом.
Шаг 3. Заполните уведомление
Заполнить нужно только те поля, в которые вносятся корректировки. Обязательно пропишите сведения, обозначенные знаком «…*».
Шаг 4. Подпишите и отправьте уведомление
Формат подписи зависит от выбранного способа подачи заявления — через ЕГПУ или сайт Роскомнадзора (подписание УКЭП). Для уполномоченного сотрудника нужно настроить административный доступ на «Госуслугах» и выдать МЧД с прописанными полномочиями.
Роскомнадзор рассмотрит заявление в срок не более 30 календарных дней. После этого в реестре появится новая запись об операторе, заменяющая неактуальные сведения.
Как Роскомнадзор выявляет нарушителей в 2026 году
Сфера персональных данных стала одной из самых контролируемых государством в 2025 году и 2026 год не будет исключением. Об отсутствии уведомления (и других нарушениях) Роскомнадзор может узнать разными способами:
Инспекторы вручную проверяют сайты операторов ПДн. Любые сайты — большие порталы или онлайн-визитки — собирают данные пользователей, а, значит подпадают под проверки. Спровоцировать проверку может жалоба от покупателя или конкурента.
Роскомнадзор подключает ИИ для автоматизированной проверки сайтов. Технология умного поиска позволяет без труда выявлять нарушителей. Под контролем не только наличие актуальной записи в реестре, но и элементы сайта — политика обработки ПДн, пользовательское соглашение, формы согласий на обработку и т. д.
Регулятор имеет право проводить дистанционные и выездные проверки. Инспекторы проверяют операторов удаленно — могут задать уточняющие вопросы или запросить документы. Для этого используют приложение «Инспектор» и другие технические средства фиксации — смартфоны, диктофоны (п. 41 постановления Правительства от 29.06.2021 № 1046).
Отсутствие уведомления или устаревшие сведения об операторе могут привести к более глубоким проверкам и санкциям. Изначально Роскомнадзор направляет предписание — исправить недочет, а в случае игнорирования этого требования к оператору применят административное наказание по ст. 13.11 КоАП.
Услуги по защите персональных данных
Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене
Какая ответственность предусмотрена за отсутствие уведомления
Административные санкции собраны в ст. 13.11 КоАП. За что могут наказать оператора:
За отсутствие записи в реестре операторов. Оператор обязан уведомить Роскомнадзор до начала обработки ПДн (ч. 1. ст. 22 закона № 152-ФЗ). Ведомство может отклонить заявку, в этом случае оператору нужно подать новое уведомление (первичное). Рекомендация — обязательно отслеживайте статус заявления, чтобы не стать нарушителем за обработку данных без оповещения контролирующего органа.
За нецелевую обработку персональных данных. В первичном заявлении в числе прочих сведений указывают цели обработки. По каждой цели нужно указать категории субъектов и ПДн, правовое основание обработки, перечень действий с данными, способы обработки (ч. 3.1 ст. 22 закона № 152-ФЗ).
За непредоставление уточняющих сведений по запросу контролирующего органа.
Штрафы за отсутствие уведомления в Роскомнадзор и нецелевую обработку собрали в таблице:
Нарушение | Штраф, руб. | Ссылка на КоАП | ||
Организация | ИП | Должностное лицо | ||
Обработка ПДн несовместимая с целями сбора данных | 150 000 — 300 000 | 50 000 — 100 000 | 50 000 — 100 000 | |
Повторное нарушение по ч. 1 ст. 13.11 КоАП | 300 000 — 500 000 | 100 000 — 200 000 | 100 000 — 200 000 | |
Непредставление уточняющих сведений по запросу госоргана, если данные устарели, неполные или неточные | 50 000 — 90 000 | 20 000 — 40 000 | 8 000 — 20 000 | |
Повторное нарушение по ч. 5 ст. 13.11 КоАП | 300 000 — 500 000 | 50 000 — 100 000 | 30 000 — 50 000 | |
Обработка данных без информирования РКН | 100 000 — 300 000 | 100 000 — 300 000 | 30 000 — 50 000 | |
Кроме административных штрафов, оператору грозят репутационные риски и внеплановые проверки Роскомнадзора. «Центр безопасности данных» обеспечивает комплексную поддержку в области персональных данных — подготовка документов в соответствии с требованиями закона № 152-ФЗ, реализация типовых и индивидуальных проектов, анализ процессов оператора ПДн, подготовка к визитам РКН. Ознакомьтесь с полным перечнем услуг на сайте ЦБД.
Читайте также:
Как выполнить требования Роскомнадзора к сайтам, чтобы избежать штрафа до 18 млн руб.
Защита критической информационной инфраструктуры в 2025 году: что нужно знать бизнесу.
Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFHSpbBE
Начать дискуссию