Регистрация в Роскомнадзоре: что изменилось с 30 мая 2025 года

Разберемся, почему еще важно вовремя зарегистрироваться, как подать уведомление и чем рискуют компании, которые до сих пор этого не сделали. 

Если вы планируете обрабатывать персональные данные (ПДн) — например, хранить клиентскую базу в информационной системе, собирать ФИО и номера телефонов пользователей через сайт или использовать средства автоматизации для работы с данными сотрудников, контрагентов — нужна обязательная регистрация в реестре Роскомнадзора. Только после этого обработка будет считаться законной. 

Важно: получение сообщений с личными данными от клиентов в мессенджерах — это тоже обработка ПДн. 

Сведения об операторах необходимы надзорному органу для государственного контроля за законностью обработки персональных данных. Регистрация организации в реестре Роскомнадзора позволяет ведомству:

1. Вести публичный реестр операторов — он доступен на официальном сайте. Любое лицо (в том числе субъект персональных данных) может проверить, какие данные обрабатывает компания.

2. Анализировать цели и объем обрабатываемых данных, методы и правовые основания обработки, а также перечень мер, принимаемых для обеспечения безопасности данных. Эти сведения из уведомлений используются для надзора.

3. Планировать и проводить проверки операторов, в том числе выездные и документарные. При этом отсутствие сведений в реестре может стать основанием для внепланового контрольного мероприятия. 

4. Фиксировать трансграничную передачу данных (ТППД) — направление ПДн за пределы РФ. Это важный аспект контроля, особенно после введения ограничений на отправку данных в недружественные страны.

Для операторов это также способ официально зафиксировать, что они работают с ПДн легально: получив уведомление от организации, Роскомнадзор будет располагать информацией о целях, правовых основаниях и масштабах обработки, а также о принятых мерах по защите персональных данных, что снижает риск непонимания и санкций при проверке.

Любое юридическое лицо, самозанятый или ИП, а также физическое лицо, планирующие обрабатывать персональные данные, обязаны подать уведомление и пройти регистрацию в реестре Роскомнадзора, если не подпадают под исключения, предусмотренные ч. 2 ст. 22 ФЗ от 27.07.2006 № 152-ФЗ.

Примечание: как только вы начали собирать, хранить, систематизировать, использовать или передавать ПДн, вы становитесь оператором. Даже если просто взяли имя и номер телефона у первого клиента. 

Обязательно подайте уведомление, если вы:

• ведете кадровый учет с применением 1С, Excel или любого другого ПО;

• собираете заявки на сайте с указанием имени и телефона;

• заключаете договоры с физлицами и храните их ПДн;

• отправляете клиентам email- или SMS-рассылки;

• используете видеонаблюдение с записью и возможностью идентификации;

• берете у физлиц любые ПДн, по которым их можно идентифицировать.

Регистрация требуется даже в тех случаях, когда ПДн обрабатываются только внутри компании и не передаются третьим лицам. 

Прежде чем приступить к обработке персональных данных, подготовьте внутреннюю документацию и обеспечьте защиту ПДн, как того требуют ФЗ № 152-ФЗ и постановление Правительства от 01.11.2012 № 1119. Только после выполнения этих шагов подавайте уведомление в Роскомнадзор:

1. Подготовка внутренних документов.Определите цели обработки, перечень ПДн, категории субъектов, способы и правовые основания обработки. Далее разрабатываются обязательные локальные акты:

• Политика в отношении обработки персональных данных.

• Положение о защите персональных данных.

• Приказы о назначении ответственных лиц.

• Инструкции и регламенты для сотрудников.

• Акты.

• Журналы.

2. Обеспечение защиты ПДн. Реализуйте организационные и технические меры для предотвращения несанкционированного доступа, утечки, изменения или уничтожения персональных данных. Это включает:

• разграничение прав доступа к данным;

• антивирусную и сетевую защиту;

• резервное копирование и шифрование, если требуется;

• обучение работников, имеющих доступ к персональным данным.

Когда все будет готово, подайте уведомление для регистрации в Роскомнадзоре как оператора персональных данных. 

Скачать чек-лист обязательных процедур и документов, необходимых для работы с персональными данными

(После ознакомления менеджер свяжется с вами для разъяснения всех деталей)

Имя^*

E-mail^*

Телефон^*

Скачать

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Подача уведомления в Роскомнадзор — первый шаг для регистрации. Однако на практике многие организации и руководители допускают ошибки, которые могут затянуть процесс или стать причиной штрафов. Ниже приведены типичные нарушения и рекомендации по их устранению.

Использована неправильная форма уведомления, найденная в сети Интернет.

Как правильно. Уведомление для обязательной регистрации в реестре Роскомнадзора должно быть заполнено на официальном сайте РКН. При необходимости его можно потом распечатать. Данные, внесенные в уведомление, сохраняются на сервере Роскомнадзора для дальнейшего внесения в реестр после получения документа, подписанного оператором.

В поле «Наименование и адрес оператора» часто отсутствует почтовый индекс, улица, номер дома, корпус. Название организации не соответствует данным ЕГРЮЛ.

Как правильно. Адрес и другие сведения должны быть полностью совпадать с данными ЕГРЮЛ/ЕГРИП. 

Организации не указывают филиалы, магазины, отделения, которые тоже обрабатывают ПДн.

Как правильно. Указывать все адреса обособленных подразделений оператора. 

Операторы указывают не все основания или выбирают некорректные пункты. 

Как правильно. Необходимо указать все основания, перечисленные в форме и соответствующие действительности: участие гражданина в судопроизводстве, исполнение оператором обязательств по договору с субъектом, и т.д. 

Выбраны неподходящие цели, не соответствующие категориям ПДн или субъектов. Например, если оператор занимается торговлей, но собирает данные водительских удостоверений для ведения кадрового и бухгалтерского учета и подачи отчетности — так нельзя. 

Как правильно. Учитывайте виды деятельности организации, которые указаны в выписке из ЕГРЮЛ. Каждая цель должна соответствовать категории ПДн и субъектов, а также основаниям обработки: например, для цели «соблюдение трудового законодательства» вы можете работать с такими ПДн, как ФИО, паспортные данные, дата и место рождения, адрес, СНИЛС, ИНН, сведения о трудовой деятельности, об образовании или стаже, а вот запрашивать информацию об имущественном положении — нет.  

Операторы указывают категории ПДН, не соответствующие целям обработки. Например, категория «ИНН» при цели «Продвижение товаров и услуг на рынке» — это нарушение: чтобы продать товар или услугу, ИНН не требуется, в том числе и при заключении письменного договора.  

Как правильно. Указывать конкретные категории данных, которые соответствуют целям и категориям субъектов ПДн. 

Организации выбирают не те категории, которые нужны, или указывают все сразу «на всякий случай».

Как правильно. Категории субъектов должны быть напрямую связаны с целями обработки и категориями ПДн. Например: сотрудники, соискатели, родственники работников, законные представители.

Указываются всевозможные действия, включая те, которые оператор не совершает.

Как правильно. Указывать только реально соответствующие действия: сбор, запись, систематизация, хранение, использование, передача, уничтожение и др. — согласно ст. 3 закона № 152-ФЗ. Если ПДн только собираются, систематизируются и хранятся, не нужно вписывать передачу. 

Операторы копируют примеры из чужих образцов уведомлений, не адаптируя их под собственную деятельность.

Как правильно. Описание должно включать организационные и технические меры, которые действительно применяются в организации: назначение ответственного сотрудника, разработка и утверждение локальных нормативных актов, ограничение доступа, использование антивирусных программ, ограничение полномочий сотрудников, регулярное обучение.

Поле, предназначенное для обратной связи с исполнителем, оставлено пустым или заполнено некорректно.

Как правильно. Указать исполнителя — ФИО, должность, телефон, адрес электронной почты. Именно с ним Роскомнадзор будет взаимодействовать по вопросам, которые могут возникнуть при рассмотрении уведомления.

Например, если документ подписал сотрудник, который вообще не имеет никакого отношения к работе с ПДн. 

Как правильно. Уведомление подписывает:

• генеральный директор (или иной руководитель, указанный в уставе);

• лицо, действующее на основании положения;

• представитель по доверенности — в ней должны быть указаны его полномочия.

Чтобы ваш сайт работал легально и не был заблокирован РКН в свете ужесточившихся требований к обработке ПДн, необходимо принять следующие меры:

1. Определить статус оператора ПДн:

• Если ваш сайт собирает любые персональные данные пользователей (ФИО, email, телефон, адрес, cookie, IP-адреса — если они используются для идентификации, данные аккаунтов и т.д.), вы являетесь оператором персональных данных.

• Это касается практически всех сайтов с формами обратной связи, регистрацией, подпиской, корзиной покупок, аналитикой (Google Analytics, Яндекс.Метрика и т.п.), онлайн-записями.

2. Опубликовать на сайте:

• Политику обработки персональных данных.

• Политику конфиденциальности сайта.

• Согласие на обработку персональных данных посетителя в формах обратной связи.

• Согласия для посетителей сайта о собираемых «Cookie».

• Контактные данные юридического лица, владельца сайта.

 3. Сайт и его товары/услуги обязаны соответствовать ОКВЭДам компании.

4. Сайт не должен нарушать требования к трансграничной передаче данных. Необходим технический и юридический аудит для выявления нарушений: они могут быть в коде сайта и вы можете даже не знать об этом.

5. Пройти регистрацию в реестре Роскомнадзора как оператор персональных данных. 

6. Соблюсти требования к трансграничной передаче ПДн. Если вы планируете использовать зарубежные сервисы для сбора, хранения или передачи данных пользователей, это нужно согласовать с Роскомнадзором:

• понадобятся согласия на трансграничную передачу от всех субъектов;

• в уведомлении о начале обработки указываются сведения о трансграничной передаче. 

Важно! С 01 июля 2025 года вступают в силу поправки в ФЗ № 152-ФЗ, запрещающие обрабатывать ПДн с использованием ПО, сервера которого находятся за пределами РФ. 

Вы можете снизить риски, если учтете рекомендации юристов:

1. Не откладывайте. Регистрация в реестре и обеспечение законной трансграничной передачи — первоочередные задачи.

2. Проведите полный аудит: какие ПДн собираете? Куда передаете? Какие сервисы используете (особенно зарубежные)?

3. Проконсультируйтесь с юристами, специализирующимися на ФЗ-152. Новые требования, особенно по ТППД, крайне сложны для самостоятельной реализации.

4. Рассмотрите локализацию: перевод обработки ПДн на российскую инфраструктуру и сервисы — самый надежный способ минимизировать риски.

Когда все документы о работе с ПДн будут готовы, подайте уведомление в Роскомнадзор. Это можно сделать двумя способами:

1. Онлайн на сайте РКН. Подписать документ в электронной форме можно с помощью УКЭП или через портал Госуслуг. Важно, чтобы аккаунт отправителя был привязан к учетной записи организации.

2. В бумажной форме. Заполните уведомление для регистрации оператора персональных данных на сайте ведомства, распечатайте и подпишите его, а затем представьте в территориальное подразделение лично или отправьте заказным письмом с описью и уведомлением о вручении. 

По содержанию документ должен соответствовать требованиям ст. 22 ФЗ № 152-ФЗ. Уведомление заполняется по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180.

Какие сведения должны быть указаны:

1. Реквизиты оператора:

• ФИО (ИП) или полное наименование юрлица.

• ИНН, ОГРН/ОГРНИП.

• юридический адрес.

2. Цели обработки: четкое описание каждой конкретной цели (напр., «заключение договора», «рассылка маркетинговых материалов», «трудоустройство»).

3. Категории обрабатываемых ПДн: перечень данных для каждой цели (ФИО, email, телефон, паспортные данные, биометрические, специальные и т.д.).

4. Категории субъектов ПДн: кому принадлежат данные (клиенты, сотрудники, соискатели).

5. Правовое основание: для каждой цели (согласие субъекта, договор, Положение).

6. Действия с ПДн: перечень операций для каждой цели (сбор, запись, хранение, т.д.).

7. Способы обработки: как именно обрабатываются данные (напр., автоматизированно, смешанно, неавтоматизированно).

8. Меры безопасности: описание мер в соответствии с ФЗ-152 и требованиями постановления Правительства.Указание на использование шифровальных (криптографических) средств (если применяются) с их наименованиями.

9. Ответственные лица: ФИО и должность ответственного за работу с ПДн. 

10. Дата начала обработки: указывается фактическая дата начала сбора ПДн. 

11. Срок/условие прекращения: конкретная дата или условие (напр., «до отзыва согласия», «до исполнения договора», «до истечения срока хранения по закону»).

12. Трансграничная передача: обязательно указать, осуществляется ли она. При наличии ТППД перечислить страны и иностранных получателей данных.

13. Местонахождение базы данных: страна и физический адрес размещения базы данных, содержащей ПДн граждан РФ.

14. Доступ к данным в гос./муниц. системах: ФИО/наименования лиц (физических или юридических), имеющих доступ к ПДн или обрабатывающих их по договору в государственных/муниципальных информационных системах (если применимо).

15. Подпись, ФИО, должность уполномоченного лица оператора.

16. Дата подписания.

РКН рассмотрит документ в течение 30 календарных дней. По итогам вашу компанию добавят в реестр, но могут и отказать, если уведомление заполнено некорректно или есть другие замечания. О причинах отказа вас проинформируют. 

Получить бесплатную консультацию по регистрации в Роскомнадзоре или подготовке документов для работы с персональными данными 

Консультация

Это сделать очень легко: перейдите на страницу реестра, затем введите название и ИНН организации. В открывшемся окне появятся сведения, которые вы указали в уведомлении. 

Если компанию в реестр еще не добавили, скорее всего, еще не прошло 30 дней с момента получения уведомления РКН и нужно подождать. 

Регистрация в Роскомнадзоре для обработки персональных данных выполняется только один раз. В дальнейшем вам нужно только вовремя вносить изменения. Для этого подается соответствующее уведомление не позднее 15 числа месяца, следующего за месяцем, когда данные поменялись: например, вы переименовали организацию, сменился юридический адрес, назначен другой ответственный за работу с ПДн, изменились цели обработки персональных данных.

Также отдельное уведомление подается, если вы планируете трансграничную передачу ПДн. 

В большинстве случаев компании и ИП должны уведомлять ведомство, однако обязанность регистрации в Роскомнадзоре не предусмотрена для операторов, которые:

1. Обрабатывают ПДн для исполнения законодательства о транспортной безопасности.

2. Работают с ПДн, которые есть в ГИС.

3. Обрабатывают данные в ручном режиме. 

Фактическое прекращение обработки ПДн (ликвидация компании или закрытие ИП) не освобождает от обязанности уведомить РКН об этом, если регистрация оператора персональных данных в Роскомнадзоре была пройдена.

С 30 мая 2025 года штрафы за отсутствие регистрации оператора обработки персональных данных в Роскомнадзоре существенно выросли. Если раньше штрафовали максимум на 5 000 рублей по ст. 19.7 КоАП, то сейчас штраф может достигать 300 000 рублей по ч.10 ст. 13.11 КоАП. 

За какие еще нарушения могут оштрафовать:

1. Незаконное предоставление или распространение ПДн, повлекшее грубое нарушение прав субъекта — до 3 млн рублей.

2. Отсутствие адекватной защиты ПДн или иные действия, повлекшие утечку данных — до 15 млн рублей, при повторном нарушении — до 500 млн рублей.

3. Обработка ПДн без согласия субъекта, когда оно требуется — до 700 000 рублей. 

4. Невыполнение оператором требования субъекта ПДн о блокировании или уничтожении данных — до 90 000 рублей.  

5. Работа с ПДн в случаях, не предусмотренных законодательством или обработка, несовместимая с целями сбора данных — до 300 000 рублей, при повторном нарушении — до 500 000 рублей. 

6. Отсутствие Политики в отношении обработки ПДн на сайте — до 60 000 рублей. 

7. Непредоставление субъекту информации, которая касается работы с его данными — до 80 000 рублей. 

Внесение в реестр операторов персональных данных и строгое соблюдение обновленных требований к их обработке — это не бюрократия, а критически важное условие для легальной работы вашего сайта и бизнеса в России. Своевременная подача уведомления и корректное оформление документов — единственный способ избежать серьезных штрафов и блокировки вашего сайта. 

Сделать это корректно и без нарушений строгих правил действующего законодательства вы можете при помощи нашего сервиса Роском Онлайн. Переходите на сайт и оставляйте заявку на консультацию с экспертом, который проанализирует вашу ситуацию и даст индивидуальные рекомендации!

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFJVo5Di