Кому нужно подавать уведомление в Роскомнадзор и что грозит за отсутствие компании в реестре операторов персональных данных?

Что такое реестр операторов персональных данных?

Реестр операторов ПДн – это официальный государственный список (база данных), который ведёт Роскомнадзор. Реестр операторов ПДн является публичным ресурсом, доступным на портале РКН, где любой пользователь может проверить законность обработки данных конкретной компанией. Отсутствие организации в этом реестре трактуется как нарушение законодательства, даже если сбор персональных данных осуществляется в минимальных объемах.

Проверить, есть ли ваша организация в реестре, можно за 3 шага:

1. Перейдите на портал Роскомнадзора.
2. Введите название компании, ИНН или другие данные для поиска.
3. Убедитесь, что ваша организация внесена в реестр. Если вашей организации в списке нет — нужно подать уведомление как можно скорее.

Кто обязан подавать уведомление в реестр?

В соответствии с частью 1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор персональных данных (любая организация, ИП или самозанятый, осуществляющие обработку персональных данных) обязан до начала обработки уведомить уполномоченный орган (Роскомнадзор) о своём намерении осуществлять обработку персональных данных.

Проще говоря, до того, как вы начнёте сбор или хранение персональных данных, необходимо подать соответствующее уведомление в Роскомнадзор. На практике требование об уведомлении охватывает практически все организации, которые обрабатывают персональные данные в рамках своей деятельности.

Закон предусматривает всего три случая, когда подавать уведомление не требуется. Эти исключения перечислены в части 2 статьи 22 Закона № 152-ФЗ.:

1. Все персональные данные обрабатываются исключительно в бумажном виде, без использования средств автоматизации.
2. Вы обрабатываете данные только в рамках государственной информационной системы, к которой официально подключены.
3. Ваша деятельность ограничивается транспортной безопасностью, и вы не используете персональные данные в других целях.

Таким образом, подавляющему большинству организаций, так или иначе работающих с данными физических лиц, необходимо уведомить об этом Роскомнадзор. Причём сделать это нужно до начала обработки – закон не устанавливает конкретного крайнего срока (даты) для уже действующих компаний, но требование подразумевает, что если обработка уже ведётся без уведомления, нужно подать уведомление как можно скорее, чтобы избежать штрафных санкций.

Что изменилось в 2025 году

Ранее штраф за неподачу уведомления составлял всего 5 000 руб. Это привело к формальному отношению многих компаний к требованию закона. С 30 мая 2025 года ситуация кардинально изменилась. Увеличены штрафы за отсутствие уведомления:

• для должностных лиц — от 30 000 до 50 000 руб;
• для ИП и организаций — от 100 000 до 300 000 руб.

Как подготовиться к сбору информации для уведомления

Для корректного заполнения уведомления об обработке персональных данных в Роскомнадзор важно тщательно подготовиться и собрать всю необходимую информацию заранее, поскольку процесс заполнения требует последовательного ввода данных без прерываний. Вот с чего мы рекомендуем начать:

1. Назначьте ответственного за работу с персональными данными.

В компании должен быть определён сотрудник, ответственный за организацию обработки персональных данных. Назначение оформляется внутренним приказом руководителя. Данные ответственного сотрудника необходимо будет указать в уведомлении (ФИО, должность, контактный телефон и email).

2. Определите цели и объем обработки персональных данных.

Чётко сформулируйте, с какой целью ваша организация собирает и использует персональные данные. Цели могут быть различными – например, кадровый учёт работников, ведение базы клиентов для исполнения договоров, обеспечение пропускного режима, рассылка новостей по электронной почте с согласия подписчиков и т.д.

Для каждой цели нужно определить, какие категории персональных данных необходимы и выделить группы субъектов — уточнить, кого касается обработка (клиенты, сотрудники, посетители сайта и т.д.). Например, для цели «кадровый учёт» субъектами будут сотрудники, а категории данных могут включать в себя – паспортные данные, ИНН, сведения об образовании, контактные данные и т.п.

Также определите правовые основания обработки для каждой цели – например, исполнение трудового законодательства для кадровых данных, договор с субъектом или согласие субъекта данных для маркетинговых рассылок. Все эти сведения нужно будет внести в уведомление по каждой заявленной цели обработки.

3. Разработайте Политику обработки персональных данных.

Согласно требованиям статьи 18.1 Закона № 152-ФЗ, у каждого оператора должна быть разработана политика в отношении обработки персональных данных (общедоступный документ, описывающий, как организация обрабатывает и защищает персональные данные). Подготовьте или обновите этот документ. Важно, чтобы сведения в политике соответствовали тому, что вы укажете в уведомлении – цели, категории данных, меры защиты и прочее должны быть одинаково отражены. Несоответствие между уведомлением и политикой может быть расценено как нарушение. Политику нужно разместить в открытом доступе (например, на сайте компании).

4. Проведите аудит персональных данных и безопасности

Проверьте, как персональные данные собираются и обрабатываются в организации, включая сайт, анкеты, CRM-системы, облачные сервисы и т.д. Убедитесь, что на сайте размещены формы согласия на обработку ПДн и политика конфиденциальности. Соберите сведения о технических средствах защиты информации, используемых для обработки ПДн: шифрование, антивирусы, системы контроля доступа и т. п. Эти данные также указываются в уведомлении.

5. Подготовьте информацию о сторонних сервисах, где хранятся или обрабатываются персональные данные

Если вы используете сторонние сервисы для хранения или обработки персональных данных (например, облачные хранилища, сервисы электронного документооборота, SaaS-системы), соберите информацию о них: наименование и адрес провайдера, местонахождение серверов. Если провайдер не сообщает точный адрес сервера, в уведомлении допускается указать юридический адрес компании-провайдера, при этом следует сохранить переписку с ним как подтверждение запроса адреса (это пригодится при проверке).

Когда вся необходимая информация подготовлена, можно переходить к заполнению и подаче уведомления. Существует три способа подачи уведомления (на выбор оператора):

1. В бумажном виде. Заполненную форму необходимо распечатать и направить в территориальный орган по месту регистрации оператора.
2. Через портал Роскомнадзора. Заполнить форму уведомления нужно непосредственно на официальном портале Роскомнадзора в электронном виде и отправить её онлайн. Для этого потребуется наличие квалифицированной электронной подписи руководителя или уполномоченного лица, чтобы подписать заявление. Данный способ ускоряет процесс и не требует бумажной пересылки.
3. Через портал Госуслуг. Авторизованные пользователи Единого портала госуслуг (ЕПГУ) могут сформировать уведомление на портале и отправить его в электронном виде.

Совет: При электронном заполнении учтите технические нюансы: сессия ввода на портале может быть ограничена по времени, а черновик может не сохраниться. Поэтому важно внести все данные за одну сессию. Рекомендуется заранее подготовить тексты для всех полей (цели, перечни данных и т.д.) в текстовом редакторе, чтобы потом просто копировать их в форму, минимизируя риск ошибок и сбоев.

Форма уведомления утверждена приказом РКН №180 от 28.10.2022 и включает 15 разделов, требующих точного указания целей обработки данных, категорий субъектов ПДн и мер безопасности.

После заполнения и проверки всех полей отправьте уведомление выбранным способом. Роскомнадзор в течение 30 дней должен внести вашу организацию в реестр операторов или направить мотивированный отказ/требование уточнить данные, если что-то не так.

На что мы рекомендуем обратить внимание:

• Внимательно выбирайте формулировки целей обработки — они должны быть конкретными и соответствовать вашей деятельности.
• Обязательно указывайте актуальные контактные данные.
• Соблюдайте единство информации между уведомлением и внутренними документами компании (политика, приказы).
• Подготовьте все документы и сведения заранее, так как на портале РКН нельзя сохранить черновик и прервать заполнение.
• При использовании сторонних сервисов постарайтесь получить подтверждение об адресах серверов для указания в уведомлении.

Если вы не уверены, нужно ли вам подавать уведомление, или хотите избежать ошибок при его заполнении — наша команда поможет пройти весь процесс от аудита до регистрации вашей компании в реестре операторов персональных данных.

Оставить заявку на бесплатную консультацию