Топ ошибок в уведомлениях об обработке персональных данных в 2026 году и как их избежать

Все начинается с подготовки документов и подачи уведомления в Роскомнадзор — это главное правило для операторов персональных данных (ст. 22 закона от 27.07.2006 № 152-ФЗ). Основные аспекты:

1. Основание для работы с персональными данными. Уведомление подают до начала обработки данных. Без письменного извещения Роскомнадзора работать с чужими данными нельзя. 

2. Ответ Роскомнадзора. РКН рассматривает обращение в течение 30 календарных дней и вносит заявителя в реестр операторов персональных данных. Если ведомство найдет ошибку или несоответствие, то вернет уведомление. Оператору нужно внести исправления в документ и подать его повторно. 

3. Пакет документов. Уведомление должно на 100% соответствовать пакету внутренних документов. В его составе — политика обработки ПДн и ЛНА (локальные нормативные акты). Количество документов варьируется: например, у ИП их может быть 10, у крупной компании — в несколько раз больше. 

4. Способ подачи. Предоставить заявление можно онлайн на сайте Роскомнадзора, принести на бумаге лично в территориальный орган или отправить Почтой России с описью вложения. Первый вариант — более быстрый, потребуется авторизация на «Госуслугах».

5. Внесение правок. Уведомление о намерении осуществлять обработку ПДн подается один раз, но в случае изменений нужно подать корректирующее уведомление — онлайн или на бумаге. 

Примечание: в 2025 году штрафы за отсутствие уведомления стали существенными — до 50 тыс. руб. на должностных лиц, до 300 тыс. руб. на организации и ИП. 

Например, Роскомнадзор легко вычислит нарушителя — владельца сайта, который принимает онлайн-заявки от покупателей, но не включен в реестр. Для мониторинга сайтов РКН начал использовать ИИ-технологии. А еще инициировать проверки могут жалобы клиентов или конкурентов.  

Услуги в области персональных данных

Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене

Заказать услугу

Собрали распространенные ошибки при подготовке и подаче уведомлений об обработке ПДн. В каждом блоке дали рекомендации.  

У всех операторов — организаций и ИП — свои особенные процессы. Образцы из интернета не учитывают вашей реальной ситуации. Их можно взять, но адаптировать под фактическую деятельность и требования регулятора. 

Как избежать последствий:

1. Не полагаться на корректность документа из интернета. Даже если компания похожа на вашу, расхождения — в нюансах. Например, в целях, типе организации, категориях субъектов. Адаптируйте уведомление под свою деятельность.

2. Пользоваться стандартом. Форма уведомления закреплена в Приложении № 1 к приказу РКН от 28.10.2022 № 180.

3. Заполнять уведомление на сайте Роскомнадзора. На сайте ведомства можно заполнить и распечатать бумажную форму заявления. А затем предоставить в отделение — лично или по почте заказным письмом. Это поможет избежать ошибок. Также на сайте можно подать уведомление онлайн.  

Уведомление — это четко структурированный документ. Он состоит из пяти больших блоков с детализированными подразделами: 

• сведения об операторе;

• цели обработки;

• категории субъектов ПДн;

• типы данных;

• основание для обработки;

• перечень действий с данными;

• сведения о базах данных и уполномоченных сотрудниках.

Какие сведения заполнить:

1. Сведения об операторе — фактические, с учетом реальной обстановки: регион регистрации, наименование (ФИО ИП), адрес местонахождения, адрес для приема корреспонденции, номер телефона, филиалы. 

2. Цели обработки. Например, организации указывают «ведение бухгалтерского и кадрового учета». Всего в поле — около 40 целей, а также можно выбрать цели «Иные». 

3. Категории персональных данных — общие, специальные, биометрические. Категории субъектов — работники, контрагенты, клиенты, учащиеся и т. д. 

4. Основание для обработки. Сам по себе закон № 152-ФЗ — это не основание для обработки персональных данных. Оператор должен указать в уведомлении нормативные документы, дающие ему право на обработку — ТК, устав, положение, лицензии, приказы и др. 

5. Действия с персональными данными — от сбора до удаления. 

6. Способы обработки — автоматизированная, неавтоматизированная, комбинированная.

7. Сведения об ответственном — ФИО, номер телефона, адрес электронной почты. 

8. Меры по защите данных.

9. Местоположения баз данных.

10. Сведения об ответственном сотруднике.     

Уведомление о начале обработки — это первичный документ, которым руководствуется Роскомнадзор при проверках. Подается один раз, но в случае изменений нужно направить уведомление об изменении сведений (корректирующее). Срок — до 15 числа следующего месяца с даты возникновения изменений (ч. 7 ст. 22 закона № 152-ФЗ). 

Как избежать нарушений:

1. Контролировать актуальность сведений в реестре: это может делать ответственный или сам руководитель.  

2. В случае изменений направить корректирующее уведомление в срок — до 15 числа следующего месяца.

Примечание: корректирующее уведомление вносит изменения в реестр в части сведений, которые были поданы изначально. Например, это может понадобиться, если компания «переехала» на другой юридический адрес или поменяли ответственного.

Операторы нередко пользуются иностранными сервисами для приема заявок, переписок с клиентами, CRM-системами. Устанавливают ПО, серверы и применяют облачные хранилища от зарубежных разработчиков. 

При трансграничной передаче данных (ТППд) сведения о пользователях уходят на зарубежные серверы (США, европейских стран). У Роскомнадзора есть свой список «небезопасных» стран, которые нарушают законы РФ о трансграничной передаче. 

Ключевое правило: использовать иностранные IT-решения и разработки разрешено, если первичная обработка персональных данных происходит в России (изначально сохраняется на отечественных серверах). 

Как избежать последствий:

1. Операторам-новичкам: подайте уведомление о намерении осуществлять трансграничную передачу данных, если планируете использовать зарубежные решения (CRM, облачные хранилища и т. д.). 

2. Действующим операторам: срочно подайте отдельное уведомление о ТППд, если используете иностранные сервисы и IT-решения. 

3. Проверьте сайт: Роскомнадзор рекомендует отказаться от иностранных решений, которые напрямую поставляют данные пользователей на заграничные серверы (Google Аналитика, виджеты обратной связи и др.). Рассмотрите вариант с отечественными аналогами. 

4. Соблюдайте «правило локализации»: используйте базы данных и ПО, физически расположенные в России (ч. 5 ст. 18 закона № 152-ФЗ). 

Штрафы за несоблюдение требования о локализации доходят до 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП). А за утечки данных максимальный штраф — 500 млн руб. или 1–3% от общей годовой выручки (ч. 12–18 ст. 13.11 КоАП). 

Подготовка пакета документов оператора — это обязательный этап перед подачей уведомления в Роскомнадзор. 

1. Политика обработки ПДн — главный документ, который запрашивает Роскомнадзор при проверках. 

2. Локальные нормативные акты (ЛНА) — это внутренние регламенты, положения, приказы, инструкции и акты. Например: приказ об ответственном, формы согласий на обработку ПДн, приказ о местах хранения материальных носителей, приказ о перечне информационных систем, акт о проведении оценки вреда и др. 

Какие случаи иногда встречаются на практике. Оператор-новичок формирует не весь комплект документов или указывает формальные сведения, которые не отражают реальные процессы компании. Роскомнадзор может сразу не заметить недочеты и внести оператора в реестр. Через время ошибки вскрываются, и РКН выносит оператору предписание. За невыполнение требований предписания — штрафы и детальные проверки. 

Как избежать ошибок:

1. Проведите аудит процессов: четко обозначьте цели обработки, типы данных, категории субъектов.

2. Определите меры по обеспечению безопасности данных: места хранения, доступы сотрудников, состав комиссии в случае утечек, действия по оценке вреда.   

3. Укажите в уведомлении не формальные, а точные сведения: адрес, филиалы, основания для обработки, рабочую почту.

Роскомнадзор оценивает не только сам факт подачи уведомления, но и его связь с реальными внутренними процессами компании. Если документы существуют «на бумаге», но не отражают фактическую обработку ПДн, это воспринимается как нарушение требований закона.

Услуги в области персональных данных

Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене

Заказать услугу

Разобрали прямые и косвенные ошибки, связанные с подготовкой и подачей уведомления в Роскомнадзор. Ниже — краткий чек-лист для самопроверки:

Специалисты «Центра безопасности данных» проведут анализ текущих процессов в вашей компании и подготовят полный пакет документов по 152-ФЗ. Роскомнадзор проверяет документы в первую очередь: они должны быть у каждого оператора (организации, ИП) и учитывать специфику деятельности. Подготовка документов занимает 10–20 дней: вы сможете быстро подготовиться к проверкам и аудиторским мероприятиям.  

Читайте также:

• Как оператору персональных данных зарегистрироваться в Роскомнадзоре в 2026 году: подробное руководство для бизнеса.

• Как изменить сведения в уведомлении об обработке персональных данных в 2026 году.

• Как подготовиться к проверке Роскомнадзора по персональным данным, чтобы избежать штрафов 2026: подробный гайд для бизнеса.

Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFJ7N7Sy