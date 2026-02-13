Самое главное:
Уведомление в Роскомнадзор — это документ, отражающий реальные внутренние процессы компании: о типах данных, категориях субъектов, целях обработки.
Роскомнадзор проводит комплексные проверки: сверяет сведения в реестре и ЛНА с фактическим положением дел в компании.
Штраф за отсутствие уведомления — до 300 тыс. руб. на организации и ИП.
Разобрали прямые и косвенные ошибки, связанные с подготовкой и подачей уведомления в Роскомнадзор.
В конце — чек–лист для самопроверки.
Уведомление в Роскомнадзор: что нужно знать
Все начинается с подготовки документов и подачи уведомления в Роскомнадзор — это главное правило для операторов персональных данных (ст. 22 закона от 27.07.2006 № 152-ФЗ). Основные аспекты:
Основание для работы с персональными данными. Уведомление подают до начала обработки данных. Без письменного извещения Роскомнадзора работать с чужими данными нельзя.
Ответ Роскомнадзора. РКН рассматривает обращение в течение 30 календарных дней и вносит заявителя в реестр операторов персональных данных. Если ведомство найдет ошибку или несоответствие, то вернет уведомление. Оператору нужно внести исправления в документ и подать его повторно.
Пакет документов. Уведомление должно на 100% соответствовать пакету внутренних документов. В его составе — политика обработки ПДн и ЛНА (локальные нормативные акты). Количество документов варьируется: например, у ИП их может быть 10, у крупной компании — в несколько раз больше.
Способ подачи. Предоставить заявление можно онлайн на сайте Роскомнадзора, принести на бумаге лично в территориальный орган или отправить Почтой России с описью вложения. Первый вариант — более быстрый, потребуется авторизация на «Госуслугах».
Внесение правок. Уведомление о намерении осуществлять обработку ПДн подается один раз, но в случае изменений нужно подать корректирующее уведомление — онлайн или на бумаге.
Примечание: в 2025 году штрафы за отсутствие уведомления стали существенными — до 50 тыс. руб. на должностных лиц, до 300 тыс. руб. на организации и ИП.
Например, Роскомнадзор легко вычислит нарушителя — владельца сайта, который принимает онлайн-заявки от покупателей, но не включен в реестр. Для мониторинга сайтов РКН начал использовать ИИ-технологии. А еще инициировать проверки могут жалобы клиентов или конкурентов.
Частые ошибки при подготовке и подаче уведомления в РКН
Собрали распространенные ошибки при подготовке и подаче уведомлений об обработке ПДн. В каждом блоке дали рекомендации.
Ошибка № 1. Пользоваться шаблонами из интернета
У всех операторов — организаций и ИП — свои особенные процессы. Образцы из интернета не учитывают вашей реальной ситуации. Их можно взять, но адаптировать под фактическую деятельность и требования регулятора.
Как избежать последствий:
Не полагаться на корректность документа из интернета. Даже если компания похожа на вашу, расхождения — в нюансах. Например, в целях, типе организации, категориях субъектов. Адаптируйте уведомление под свою деятельность.
Пользоваться стандартом. Форма уведомления закреплена в Приложении № 1 к приказу РКН от 28.10.2022 № 180.
Заполнять уведомление на сайте Роскомнадзора. На сайте ведомства можно заполнить и распечатать бумажную форму заявления. А затем предоставить в отделение — лично или по почте заказным письмом. Это поможет избежать ошибок. Также на сайте можно подать уведомление онлайн.
Пользуйтесь официальными ресурсами и утвержденными формами. Перед заполнением посмотрите пример готового уведомления на сайте Роскомнадзора.
Ошибка № 2. Заполнять сведения формально
Уведомление — это четко структурированный документ. Он состоит из пяти больших блоков с детализированными подразделами:
сведения об операторе;
цели обработки;
категории субъектов ПДн;
типы данных;
основание для обработки;
перечень действий с данными;
сведения о базах данных и уполномоченных сотрудниках.
Какие сведения заполнить:
Сведения об операторе — фактические, с учетом реальной обстановки: регион регистрации, наименование (ФИО ИП), адрес местонахождения, адрес для приема корреспонденции, номер телефона, филиалы.
Цели обработки. Например, организации указывают «ведение бухгалтерского и кадрового учета». Всего в поле — около 40 целей, а также можно выбрать цели «Иные».
Категории персональных данных — общие, специальные, биометрические. Категории субъектов — работники, контрагенты, клиенты, учащиеся и т. д.
Основание для обработки. Сам по себе закон № 152-ФЗ — это не основание для обработки персональных данных. Оператор должен указать в уведомлении нормативные документы, дающие ему право на обработку — ТК, устав, положение, лицензии, приказы и др.
Действия с персональными данными — от сбора до удаления.
Способы обработки — автоматизированная, неавтоматизированная, комбинированная.
Сведения об ответственном — ФИО, номер телефона, адрес электронной почты.
Меры по защите данных.
Местоположения баз данных.
Сведения об ответственном сотруднике.
В электронной форме на сайте Роскомнадзора достаточно проставить «галочки» в нужных строках и дописать минимум сведений в отведенных полях. Но некоторые операторы указывают сведения не полностью — в будущем это может привести к углубленным проверкам бизнеса. Подробнее о характерных ошибках при заполнении уведомления можете прочитать на сайте РКН.
Услуги «Центра безопасности данных» — это помощь организациям и ИП по созданию комплексной системы при работе с персональными данными:
Подготовка и подача уведомления на регистрацию в реестре Роскомнадзора.
Подготовка полного комплекта документов по нормам 152-ФЗ и требованиям РКН.
Аудит текущих процессов на соблюдение законодательных требований.
Создание защищенной системы (от утечек, кибератак, воздействия вредоносного ПО).
Подготовка к проверкам Роскомнадзора: консультации, ответы на письма регулятора.
Ошибка № 3. Не вносить изменения
Уведомление о начале обработки — это первичный документ, которым руководствуется Роскомнадзор при проверках. Подается один раз, но в случае изменений нужно направить уведомление об изменении сведений (корректирующее). Срок — до 15 числа следующего месяца с даты возникновения изменений (ч. 7 ст. 22 закона № 152-ФЗ).
Как избежать нарушений:
Контролировать актуальность сведений в реестре: это может делать ответственный или сам руководитель.
В случае изменений направить корректирующее уведомление в срок — до 15 числа следующего месяца.
Примечание: корректирующее уведомление вносит изменения в реестр в части сведений, которые были поданы изначально. Например, это может понадобиться, если компания «переехала» на другой юридический адрес или поменяли ответственного.
Ошибка № 4. Не подать уведомление о трансграничной передаче данных
Операторы нередко пользуются иностранными сервисами для приема заявок, переписок с клиентами, CRM-системами. Устанавливают ПО, серверы и применяют облачные хранилища от зарубежных разработчиков.
При трансграничной передаче данных (ТППд) сведения о пользователях уходят на зарубежные серверы (США, европейских стран). У Роскомнадзора есть свой список «небезопасных» стран, которые нарушают законы РФ о трансграничной передаче.
Ключевое правило: использовать иностранные IT-решения и разработки разрешено, если первичная обработка персональных данных происходит в России (изначально сохраняется на отечественных серверах).
Как избежать последствий:
Операторам-новичкам: подайте уведомление о намерении осуществлять трансграничную передачу данных, если планируете использовать зарубежные решения (CRM, облачные хранилища и т. д.).
Действующим операторам: срочно подайте отдельное уведомление о ТППд, если используете иностранные сервисы и IT-решения.
Проверьте сайт: Роскомнадзор рекомендует отказаться от иностранных решений, которые напрямую поставляют данные пользователей на заграничные серверы (Google Аналитика, виджеты обратной связи и др.). Рассмотрите вариант с отечественными аналогами.
Соблюдайте «правило локализации»: используйте базы данных и ПО, физически расположенные в России (ч. 5 ст. 18 закона № 152-ФЗ).
Штрафы за несоблюдение требования о локализации доходят до 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП). А за утечки данных максимальный штраф — 500 млн руб. или 1–3% от общей годовой выручки (ч. 12–18 ст. 13.11 КоАП).
Ошибка № 5. Подать уведомление не соответствующее внутренним документам и фактическим процессам
Подготовка пакета документов оператора — это обязательный этап перед подачей уведомления в Роскомнадзор.
Политика обработки ПДн — главный документ, который запрашивает Роскомнадзор при проверках.
Локальные нормативные акты (ЛНА) — это внутренние регламенты, положения, приказы, инструкции и акты. Например: приказ об ответственном, формы согласий на обработку ПДн, приказ о местах хранения материальных носителей, приказ о перечне информационных систем, акт о проведении оценки вреда и др.
Какие случаи иногда встречаются на практике. Оператор-новичок формирует не весь комплект документов или указывает формальные сведения, которые не отражают реальные процессы компании. Роскомнадзор может сразу не заметить недочеты и внести оператора в реестр. Через время ошибки вскрываются, и РКН выносит оператору предписание. За невыполнение требований предписания — штрафы и детальные проверки.
Как избежать ошибок:
Проведите аудит процессов: четко обозначьте цели обработки, типы данных, категории субъектов.
Определите меры по обеспечению безопасности данных: места хранения, доступы сотрудников, состав комиссии в случае утечек, действия по оценке вреда.
Укажите в уведомлении не формальные, а точные сведения: адрес, филиалы, основания для обработки, рабочую почту.
Роскомнадзор оценивает не только сам факт подачи уведомления, но и его связь с реальными внутренними процессами компании. Если документы существуют «на бумаге», но не отражают фактическую обработку ПДн, это воспринимается как нарушение требований закона.
Чек-лист: как подать уведомление в Роскомнадзор без последствий
Разобрали прямые и косвенные ошибки, связанные с подготовкой и подачей уведомления в Роскомнадзор. Ниже — краткий чек-лист для самопроверки:
На что обратить внимание
Провести аудит основных процессов, связанных с обработкой персональных данных: типы данных, категории субъектов, действия с ПДн, способы обработки, сроки хранения, порядок уничтожения
✅
Проверить используемые решения на соблюдение норм о трансграничной передаче данных: ПО, серверы, базы данных, элементы сайта
✅
Подготовить полный пакет документов: политику, формы согласий на обработку и другие ЛНА
✅
Подать первичное уведомление до начала обработки: на сайте Роскомнадзора, в местном отделении ведомства или письмом Почтой России с описью вложения. Проверить наличие записи об операторе в реестре Роскомнадзора
✅
В первичном уведомлении указать реальные процессы и цели. Если есть несоответствия, то Роскомнадзор может расценить это как нарушение
✅
Сообщить в Роскомнадзор о трансграничной передаче данных, если пользуетесь иностранными сервисами и IT-решениями. Важно — регулятор может отказать или ограничить передачу данных за рубеж. Проверьте состояние уведомления на сайте РКН
✅
Специалисты «Центра безопасности данных» проведут анализ текущих процессов в вашей компании и подготовят полный пакет документов по 152-ФЗ. Роскомнадзор проверяет документы в первую очередь: они должны быть у каждого оператора (организации, ИП) и учитывать специфику деятельности. Подготовка документов занимает 10–20 дней: вы сможете быстро подготовиться к проверкам и аудиторским мероприятиям.
