Топ ошибок в уведомлениях об обработке персональных данных в 2026 году и как их избежать

Какие типичные ошибки допускают операторы при подготовке и подаче уведомлений в Роскомнадзор? Разобрали самые частые ситуации. В конце — чек-лист для самопроверки: как избежать последствий и штрафов.

Самое главное:

  1. Уведомление в Роскомнадзор — это документ, отражающий реальные внутренние процессы компании: о типах данных, категориях субъектов, целях обработки.

  2. Роскомнадзор проводит комплексные проверки: сверяет сведения в реестре и ЛНА с фактическим положением дел в компании. 

  3. Штраф за отсутствие уведомления — до 300 тыс. руб. на организации и ИП.

  4. Разобрали прямые и косвенные ошибки, связанные с подготовкой и подачей уведомления в Роскомнадзор.

  5. В конце — чек–лист для самопроверки.  

Уведомление в Роскомнадзор: что нужно знать

Все начинается с подготовки документов и подачи уведомления в Роскомнадзор — это главное правило для операторов персональных данных (ст. 22 закона от 27.07.2006 № 152-ФЗ). Основные аспекты:

  1. Основание для работы с персональными данными. Уведомление подают до начала обработки данных. Без письменного извещения Роскомнадзора работать с чужими данными нельзя. 

  2. Ответ Роскомнадзора. РКН рассматривает обращение в течение 30 календарных дней и вносит заявителя в реестр операторов персональных данных. Если ведомство найдет ошибку или несоответствие, то вернет уведомление. Оператору нужно внести исправления в документ и подать его повторно. 

  3. Пакет документов. Уведомление должно на 100% соответствовать пакету внутренних документов. В его составе — политика обработки ПДн и ЛНА (локальные нормативные акты). Количество документов варьируется: например, у ИП их может быть 10, у крупной компании — в несколько раз больше. 

  4. Способ подачи. Предоставить заявление можно онлайн на сайте Роскомнадзора, принести на бумаге лично в территориальный орган или отправить Почтой России с описью вложения. Первый вариант — более быстрый, потребуется авторизация на «Госуслугах».

  5. Внесение правок. Уведомление о намерении осуществлять обработку ПДн подается один раз, но в случае изменений нужно подать корректирующее уведомление — онлайн или на бумаге. 

Примечание: в 2025 году штрафы за отсутствие уведомления стали существенными — до 50 тыс. руб. на должностных лиц, до 300 тыс. руб. на организации и ИП. 

Например, Роскомнадзор легко вычислит нарушителя — владельца сайта, который принимает онлайн-заявки от покупателей, но не включен в реестр. Для мониторинга сайтов РКН начал использовать ИИ-технологии. А еще инициировать проверки могут жалобы клиентов или конкурентов.  

Частые ошибки при подготовке и подаче уведомления в РКН

Собрали распространенные ошибки при подготовке и подаче уведомлений об обработке ПДн. В каждом блоке дали рекомендации.  

Ошибка № 1. Пользоваться шаблонами из интернета

У всех операторов — организаций и ИП — свои особенные процессы. Образцы из интернета не учитывают вашей реальной ситуации. Их можно взять, но адаптировать под фактическую деятельность и требования регулятора. 

Как избежать последствий:

  1. Не полагаться на корректность документа из интернета. Даже если компания похожа на вашу, расхождения — в нюансах. Например, в целях, типе организации, категориях субъектов. Адаптируйте уведомление под свою деятельность.

  2. Пользоваться стандартом. Форма уведомления закреплена в Приложении № 1 к приказу РКН от 28.10.2022 № 180.

  3. Заполнять уведомление на сайте Роскомнадзора. На сайте ведомства можно заполнить и распечатать бумажную форму заявления. А затем предоставить в отделение — лично или по почте заказным письмом. Это поможет избежать ошибок. Также на сайте можно подать уведомление онлайн.  

Пользуйтесь официальными ресурсами и утвержденными формами. Перед заполнением посмотрите пример готового уведомления на сайте Роскомнадзора. 

Ошибка № 2. Заполнять сведения формально

Уведомление — это четко структурированный документ. Он состоит из пяти больших блоков с детализированными подразделами: 

  • сведения об операторе;

  • цели обработки;

  • категории субъектов ПДн;

  • типы данных;

  • основание для обработки;

  • перечень действий с данными;

  • сведения о базах данных и уполномоченных сотрудниках.

Какие сведения заполнить:

  1. Сведения об операторе — фактические, с учетом реальной обстановки: регион регистрации, наименование (ФИО ИП), адрес местонахождения, адрес для приема корреспонденции, номер телефона, филиалы. 

  2. Цели обработки. Например, организации указывают «ведение бухгалтерского и кадрового учета». Всего в поле — около 40 целей, а также можно выбрать цели «Иные». 

  3. Категории персональных данных — общие, специальные, биометрические. Категории субъектов — работники, контрагенты, клиенты, учащиеся и т. д. 

  4. Основание для обработки. Сам по себе закон № 152-ФЗ — это не основание для обработки персональных данных. Оператор должен указать в уведомлении нормативные документы, дающие ему право на обработку — ТК, устав, положение, лицензии, приказы и др. 

  5. Действия с персональными данными — от сбора до удаления. 

  6. Способы обработки — автоматизированная, неавтоматизированная, комбинированная.

  7. Сведения об ответственном — ФИО, номер телефона, адрес электронной почты. 

  8. Меры по защите данных.

  9. Местоположения баз данных.

  10. Сведения об ответственном сотруднике.     

В электронной форме на сайте Роскомнадзора достаточно проставить «галочки» в нужных строках и дописать минимум сведений в отведенных полях. Но некоторые операторы указывают сведения не полностью — в будущем это может привести к углубленным проверкам бизнеса. Подробнее о характерных ошибках при заполнении уведомления можете прочитать на сайте РКН

Ошибка № 3. Не вносить изменения

Уведомление о начале обработки — это первичный документ, которым руководствуется Роскомнадзор при проверках. Подается один раз, но в случае изменений нужно направить уведомление об изменении сведений (корректирующее). Срок — до 15 числа следующего месяца с даты возникновения изменений (ч. 7 ст. 22 закона № 152-ФЗ). 

Как избежать нарушений:

  1. Контролировать актуальность сведений в реестре: это может делать ответственный или сам руководитель.  

  2. В случае изменений направить корректирующее уведомление в срок — до 15 числа следующего месяца.

Примечание: корректирующее уведомление вносит изменения в реестр в части сведений, которые были поданы изначально. Например, это может понадобиться, если компания «переехала» на другой юридический адрес или поменяли ответственного.

Ошибка № 4. Не подать уведомление о трансграничной передаче данных

Операторы нередко пользуются иностранными сервисами для приема заявок, переписок с клиентами, CRM-системами. Устанавливают ПО, серверы и применяют облачные хранилища от зарубежных разработчиков. 

При трансграничной передаче данных (ТППд) сведения о пользователях уходят на зарубежные серверы (США, европейских стран). У Роскомнадзора есть свой список «небезопасных» стран, которые нарушают законы РФ о трансграничной передаче. 

Ключевое правило: использовать иностранные IT-решения и разработки разрешено, если первичная обработка персональных данных происходит в России (изначально сохраняется на отечественных серверах). 

Как избежать последствий:

  1. Операторам-новичкам: подайте уведомление о намерении осуществлять трансграничную передачу данных, если планируете использовать зарубежные решения (CRM, облачные хранилища и т. д.). 

  2. Действующим операторам: срочно подайте отдельное уведомление о ТППд, если используете иностранные сервисы и IT-решения. 

  3. Проверьте сайт: Роскомнадзор рекомендует отказаться от иностранных решений, которые напрямую поставляют данные пользователей на заграничные серверы (Google Аналитика, виджеты обратной связи и др.). Рассмотрите вариант с отечественными аналогами. 

  4. Соблюдайте «правило локализации»: используйте базы данных и ПО, физически расположенные в России (ч. 5 ст. 18 закона № 152-ФЗ). 

Штрафы за несоблюдение требования о локализации доходят до 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП). А за утечки данных максимальный штраф — 500 млн руб. или 1–3% от общей годовой выручки (ч. 1218 ст. 13.11 КоАП). 

Ошибка № 5. Подать уведомление не соответствующее внутренним документам и фактическим процессам

Подготовка пакета документов оператора — это обязательный этап перед подачей уведомления в Роскомнадзор. 

  1. Политика обработки ПДн — главный документ, который запрашивает Роскомнадзор при проверках. 

  2. Локальные нормативные акты (ЛНА) — это внутренние регламенты, положения, приказы, инструкции и акты. Например: приказ об ответственном, формы согласий на обработку ПДн, приказ о местах хранения материальных носителей, приказ о перечне информационных систем, акт о проведении оценки вреда и др. 

Какие случаи иногда встречаются на практике. Оператор-новичок формирует не весь комплект документов или указывает формальные сведения, которые не отражают реальные процессы компании. Роскомнадзор может сразу не заметить недочеты и внести оператора в реестр. Через время ошибки вскрываются, и РКН выносит оператору предписание. За невыполнение требований предписания — штрафы и детальные проверки. 

Как избежать ошибок:

  1. Проведите аудит процессов: четко обозначьте цели обработки, типы данных, категории субъектов.

  2. Определите меры по обеспечению безопасности данных: места хранения, доступы сотрудников, состав комиссии в случае утечек, действия по оценке вреда.   

  3. Укажите в уведомлении не формальные, а точные сведения: адрес, филиалы, основания для обработки, рабочую почту.

Роскомнадзор оценивает не только сам факт подачи уведомления, но и его связь с реальными внутренними процессами компании. Если документы существуют «на бумаге», но не отражают фактическую обработку ПДн, это воспринимается как нарушение требований закона.

Чек-лист: как подать уведомление в Роскомнадзор без последствий

Разобрали прямые и косвенные ошибки, связанные с подготовкой и подачей уведомления в Роскомнадзор. Ниже — краткий чек-лист для самопроверки:

На что обратить внимание

Провести аудит основных процессов, связанных с обработкой персональных данных: типы данных, категории субъектов, действия с ПДн, способы обработки, сроки хранения, порядок уничтожения

Проверить используемые решения на соблюдение норм о трансграничной передаче данных: ПО, серверы, базы данных, элементы сайта

Подготовить полный пакет документов: политику, формы согласий на обработку и другие ЛНА

Подать первичное уведомление до начала обработки: на сайте Роскомнадзора, в местном отделении ведомства или письмом Почтой России с описью вложения. Проверить наличие записи об операторе в реестре Роскомнадзора

В первичном уведомлении указать реальные процессы и цели. Если есть несоответствия, то Роскомнадзор может расценить это как нарушение 

Сообщить в Роскомнадзор о трансграничной передаче данных, если пользуетесь иностранными сервисами и IT-решениями. Важно — регулятор может отказать или ограничить передачу данных за рубеж. Проверьте состояние уведомления на сайте РКН

Специалисты «Центра безопасности данных» проведут анализ текущих процессов в вашей компании и подготовят полный пакет документов по 152-ФЗ. Роскомнадзор проверяет документы в первую очередь: они должны быть у каждого оператора (организации, ИП) и учитывать специфику деятельности. Подготовка документов занимает 10–20 дней: вы сможете быстро подготовиться к проверкам и аудиторским мероприятиям.  

