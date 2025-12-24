Для регистрации в реестре операторов нужно подать в Роскомнадзор (РКН) уведомление о намерении осуществлять обработку персональных данных (ПДн). Это делается до того, как вы приступите к сбору ПДн. Перед тем как заполнять уведомление, необходимо выполнить ряд действий, без которых вы не сможете внести в него информацию, соответствующую реальным процессам.
Кто обязан регистрироваться в Роскомнадзоре
Вы становитесь оператором персональных данных, как только начинаете собирать или личные сведения о физических лицах. Такое правило указано в ст. 3 закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Регистрация в Роскомнадзоре для ИП обязательна наравне с юридическими лицами. Даже если вы работаете без сотрудников, но заключаете договоры с физлицами или, например, собираете их ПДн через сайт, все равно нужно направить уведомление в РКН.
Приведем примеры операторов ПДн, которым необходимо зарегистрироваться:
Все работодатели. Обработка данных сотрудников по трудовому договору — базовый случай.
Компании и ИП, работающие с клиентами. Интернет-магазины, сервисные центры, студии, частные специалисты — если вы принимаете заказы или ведете запись с использованием средств автоматизации, оформляете доставку.
Владельцы сайтов и приложений. Сбор телефонов для обратного звонка, email для рассылки, регистрация личного кабинета — все это входит в понятие обработки.
Компании, передающие данные на аутсорсинг. Например, если вы пользуетесь облачной бухгалтерией, где хранятся данные сотрудников, или передаете базу клиентов call-центру. Вы остаетесь оператором и отвечаете за их защиту.
Регистрация обязательна не для всех
В некоторых случаях регистрация оператора в Роскомнадзоре необязательна (ст.22 ФЗ №152-ФЗ). С 1 сентября 2022 года их список значительно сокращен.
Вы можете не уведомлять Роскомнадзор, если работаете с ПДн без использования средств автоматизации. Например, обрабатываете данные только на бумажных носителях, без применения компьютеров, серверов, облачных хранилищ.
Пример: вы частный мастер, и записываете клиентов в бумажный журнал, где от руки указываете их ФИО и телефон. Договоры хранятся в сейфе. У вас нет электронной базы, Excel-таблицы или чата, где эти данные дублируются. Но на практике такой способ работы в современном бизнесе встречается крайне редко.
Второе исключение — обработка данных, включенных в специальные государственные информационные системы, созданные для защиты безопасности государства и общественного порядка. Третье исключение, когда регистрироваться в Роскомнадзоре не нужно — обработка ПДн в сфере транспортной безопасности.
Важно: даже если вы подпадаете под исключение и нет необходимости подавать уведомление, на вас полностью распространяются все остальные требования ФЗ №152-ФЗ. Вы обязаны защищать данные, получать согласие на их обработку (где это требуется) и соблюдать права субъектов.
Как зарегистрироваться в Роскомнадзоре: алгоритм действий
Этап 1: назначьте ответственного и разработайте документы
Перед подачей уведомления создайте внутри компании юридический фундамент. Регистрация в Роскомнадзор оператора персональных данных начинается с внутренней подготовки — назначения ответственного. Это может быть штатный сотрудник или сторонняя организация, которая будет контролировать все процессы работы с ПДн. Издайте соответствующий приказ.
Второй шаг — разработка пакета документов. Главный из них — Политика обработки персональных данных. В ней вы фиксируете, какие категории данных собираете, с какой целью, как обеспечиваете их безопасность и на каком законном основании действуете. Политика должна находиться в открытом доступе: например, ее необходимо разместить в подвале сайта.
В базовый пакет документов также входят:
Формы согласий на обработку, передачу, распространение персональных данных.
Обязательство о неразглашении ПДн для сотрудников, имеющих к ним доступ.
Инструкции для сотрудников, работающих с ПДн, и документы, описывающие применяемые меры защиты: например, использование антивирусов, паролей, сейфов и т.д.
Журналы, акты и прочее.
Если вы собираете телефоны для заказов, это должно быть отражено в Политике. Если передаете данные курьеру, укажите это там же отдельным пунктом.
Общее количество документов, которые нужны оператору, может достигать 60–70 наименований. Все зависит от того, какие данные обрабатываются, в каком объеме и в чем заключается специфика бизнеса.
Этап 2: выберите способ отправки уведомления
После подготовки документов вам необходимо подать уведомление в Роскомнадзор, чтобы внести сведения в государственный реестр операторов по закону №152-ФЗ. Для этого вы можете выбрать один из трех способов:
Бумажный документ через почту. Заполните бланк уведомления об обработке данных на сайте РКН, распечатайте, подпишите и отправьте заказным письмом с описью вложения в территориальное управление РКН по месту деятельности оператора. Это самый медленный вариант.
Электронно через сайт Роскомнадзора. Уведомление необходимо подписать усиленной квалифицированной электронной подписью (УКЭП) руководителя или уполномоченного лица. Это будет быстрее, но нужен настроенный плагин КриптоПро.
Через портал Госуслуги. Авторизуйтесь через ЕСИА на сайте РКН и заполните форму. Для этого аккаунт исполнителя на Госуслугах должен быть привязан к профилю организации.
Чтобы зарегистрироваться в Роскомнадзоре быстрее, лучше использовать электронные способы подачи уведомления.
Этап 3: заполните уведомление
Для каждой категории операторов предусмотрены разные формы уведомлений. Рассмотрим содержание на кратком примере формы для юрлиц:
1. Сведения об операторе:
полное и сокращенное наименование организации;
адрес места нахождения, почтовые и контактные данные (телефон, email);
регистрационные коды (ИНН, ОГРН, коды ОКВЭД);
сведения о филиалах (при наличии).
2. Информация об обработке:
цели обработки, категории субъектов;
состав обрабатываемых данных;
правовое основание;
меры защиты ПДн:
3. Перечень действий с данными: сбор, хранение, использование и пр.
4. Способы обработки: автоматизированный, неавтоматизированный, смешанный.
5. Дата начала обработки.
6. Сведения о трансграничной передаче (если она есть).
7. Описание мер безопасности. Важный раздел, где вы указываете принятые меры защиты согласно ст. 18.1 и 19 закона № 152-ФЗ.
10. ФИО и контакты сотрудника, ответственного за обработку ПДн.
Главный принцип — данные в уведомлении для регистрации организации или ИП в Роскомнадзоре должны полностью соответствовать вашей реальной деятельности и внутренним документам. Указывайте только то, что используете на практике.
Этап 4: проверьте регистрацию в Роскомнадзоре
Теперь о том, как проверить регистрацию в Роскомнадзоре:
Зайдите в реестр операторов на сайте ведомства.
Введите ИНН, название организации или регистрационный номер, который должны вам направить после подачи уведомления.
Нажмите на «Найти». Вся информация появится на странице через несколько секунд.
Роскомнадзор может рассматривать уведомления до 30 календарных дней, но обычно регистрация занимает около 1–2 недель.
Какие еще уведомления подавать в Роскомнадзор
Есть несколько видов других уведомлений, которые обязаны подавать организации, ИП и другие операторы персональных данных:
Об изменении сведений, содержащихся в уведомлении о намерениях обрабатывать ПДн. Подается не позднее 15 числа месяца, в котором внедрены изменения: например, поменялся ответственный за обработку ПДн или перестроена система защиты.
О прекращении обработки: например, при ликвидации компании или ИП. Подается в течение 10 дней.
Об утечке данных. Уведомление отправляется в течение 24 часов с момента выявления инцидента, отчет о результатах расследования — в течение 72 часов.
О трансграничной передаче (ТППДн). Направляется до того, как оператор начнет передавать ПДн в другую страну.
Важно! С трансграничной передачей будьте осторожны. Если отправляете ПДн в страну, не обеспечивающую адекватную защиту, обязательно подождите 10 рабочих дней, и только после этого отправляйте — в этот период РКН может запретить или ограничить ТППДн.
Если не зарегистрироваться в Роскомнадзоре: ответственность
Штрафы за отсутствие регистрации оператора в Роскомнадзоре существенно выросли еще в мае 2025 года. Так, для граждан размер штрафа сейчас составляет до 10 000 рублей, для ИП и организаций — до 300 000 рублей, для должностных лиц — до 50 000 рублей (ч.10 ст.13.11 КоАП).
Учитывайте и штрафы и за неуведомление РКН об утечке данных. Должностное лицо могут оштрафовать на сумму до 800 000 рублей, гражданина — до 100 000 рублей, ИП или юрлицо — до 3 млн рублей.
Практические рекомендации для операторов
Заполнение уведомления — ответственный этап регистрации ИП или организации в Роскомнадзоре. Неверные данные могут привести к тому, что ваша деятельность будет считаться незаконной, а в случае проверки вас могут привлечь к ответственности по статье 13.11 КоАП. Чтобы минимизировать риски, следуйте ключевым рекомендациям:
Строго соблюдайте соответствие данных. Все сведения об операторе (наименование, адрес, ИНН, ОГРН) должны в точности совпадать с записями в ЕГРЮЛ или ЕГРИП.
Конкретизируйте цели обработки. Не ограничивайтесь общими фразами. Указывайте точные формулировки, которые отражают реальную деятельность — в уведомлении для этого достаточно проставить галочки напротив соответствующих пунктов.
Детализируйте категории данных и субъектов. В списках отмечайте только те пункты, которые действительно обрабатываете. Нельзя в целях указать «кадровый и бухгалтерский учет», а в субъектах выбрать «клиентов»: вы не можете обрабатывать их ПДн, например, для начисления зарплаты или в целях кадрового документооборота. Если стандартного перечня категорий недостаточно, используйте поле «Иные персональные данные».
Правильно укажите дату начала обработки. Важно понимать, что эта дата — это не дата подачи уведомления, а день, когда вы фактически начали работать с данными людей. Чаще всего это, например, дата регистрации ИП или юрлица, либо дата приема первого сотрудника.
Назначьте и укажите ответственного. До подачи уведомления вы должны приказом назначить сотрудника, ответственного за организацию обработки ПДн. Его ФИО и контакты вносятся в соответствующее поле. Если уведомление подает ИП, ответственным по умолчанию является он сам.
Правильно опишите меры безопасности. Недостаточно просто перечислить статьи закона. Дайте краткое, но содержательное описание принятых мер: «Утвержден перечень лиц, имеющих доступ к данным», «Бумажные носители хранятся в сейфе», «Используются антивирусные средства и авторизованный доступ к информационным системам».
Проверьте сведения о базе данных. Если данные хранятся физически у вас, укажите ваш фактический адрес в качестве местонахождения базы. Если используете облачные сервисы (например, хостинг, CRM), нужно указать реквизиты компании-оператора этого ЦОД.
Регистрация в Роскомнадзоре — лишь первый шаг. Чтобы избежать штрафов, нужен постоянный контроль. Мобиз — комплексное решение для этого: сервис анализирует вашу компанию в реестрах и быстро выявляет возможные риски по ФЗ №152-ФЗ. Платформа ведет мониторинг, предупреждает о проблемах и дает инструкции для их устранения, обеспечивая долгосрочное соответствие требованиям закона. Воспользуйтесь сервисом и сами оцените все преимущества!
