Регистрация в реестре Роскомнадзора: как подать уведомление об обработке персональных данных

По закону оператором персональных данных считается не просто компания с сайтом или наемным персоналом, а любое лицо, которое организует и осуществляет обработку персональных данных. Все операторы, независимо от масштаба бизнеса и объема информации, обязаны подать уведомление в Роскомнадзор об обработке персональных данных в установленной форме.

Требование установлено Федеральным законом № 152-ФЗ. Игнорировать его нельзя, даже если в компании уже есть политика конфиденциальности и настроены средства защиты. Отсутствие записи в государственном реестре уже считается нарушением. С 30 мая 2025 года за это установлены ощутимые штрафы.

Всё актуальное — в наших соцсетях. Подписывайтесь!

Телеграм ВКонтакте

В 2026 году Роскомнадзор активно применяет автоматизированный мониторинг: система находит сайты и сервисы, владельцы которых не зарегистрированы в реестре операторов.

Рассмотрим, кто обязан направлять обращение, какие данные нужно указать, как проходит подача и какие ошибки допускают чаще всего. Материал пригодится и новичкам, и тем, кто хочет проверить уже отправленные сведения.

Что такое уведомление об обработке персональных данных

Под уведомлением понимается официальный документ, с помощью которого организация информирует Роскомнадзор о начале обработки личной информации граждан. После его рассмотрения компания включается в реестр операторов.

При этом важно понимать, куда подается уведомление об обработке персональных данных: конечным получателем всегда является Роскомнадзор, независимо от способа отправки. Требование о подаче такого документа закреплено в статье 22 закона № 152-ФЗ.

Ключевой момент: статус оператора появляется не после внесения в реестр, а в момент первого получения данных. Например:

• пользователь отправил заявку через форму на сайте;
• сотрудник внес информацию в систему учета.

Поэтому направить уведомление следует заранее, до начала работы с персональными данными.

Если компания уже ведет такую деятельность, но в реестре ее нет, это считается нарушением. В подобной ситуации обращение необходимо оформить и отправить как можно быстрее.

Форма утверждена приказом Роскомнадзора от 28.10.2022 № 180. Используется только официальный бланк уведомления об обработке персональных данных, размещенный на портале ведомства. Применять произвольные шаблоны нельзя — такие бумаги не принимаются. Бланк включает обязательные разделы, которые следует заполнить корректно.

Кто обязан подавать уведомление в Роскомнадзор

Обязанность возникает у всех, кто собирает, хранит или использует персональную информацию с применением средств автоматизации.

К автоматизированной обработке относится практически любая техника и программное обеспечение:

• рабочие компьютеры и ноутбуки;
• серверы;
• системы управления взаимоотношениями с клиентами;
• бухгалтерские программы;
• облачные сервисы;
• корпоративные мессенджеры.

Вы становитесь оператором, если:

• нанимаете персонал и ведете кадровый учет;
• собираете любые сведения о клиентах и заказчиках;
• получаете данные через формы регистрации, подписки или обратной связи на сайте;
• используете облачные сервисы и системы учета, содержащие персональные данные;
• фиксируете информацию об участниках, получателях помощи или жертвователях. В любом из этих случаев оператором могут быть как юридические лица и индивидуальные предприниматели, так и самозанятые граждане.

Часто считают, что небольшой объем информации освобождает от обязанности подавать документы. Но это не так. Даже одна форма обратной связи для сбора персональных данных на сайте уже означает начало обработки и требует отправки заявления.

То же правило действует, если вы храните только данные сотрудников в зарплатной программе. В этом случае вы также являетесь оператором и должны подать уведомление об обработке персональных данных.

В каких случаях уведомление можно не подавать

Исключения прописаны в части 2 статьи 22 закона № 152-ФЗ. Их всего 3:

1. Обработка ведется только на бумаге, без перевода в электронный вид.
2. Данные задействованы в государственных системах, связанных с безопасностью и правопорядком.
3. Работа происходит в целях транспортной безопасности.

На практике такие случаи редки. Но, как только вы отсканировали документ, занесли телефон клиента в программу или продублировали бумажный учет электронными копиями, — это считается автоматизированной деятельностью. В такой ситуации подавать заявление обязательно.

Какие данные нужно указать в уведомлении

Чтобы заявление приняли с первого раза, важно заполнить все разделы точно и без обобщений. Форма утверждена приказом Роскомнадзора № 180 и содержит несколько обязательных блоков.

1. Сведения об операторе. Укажите полные реквизиты компании или предпринимателя, включая наименование (или ФИО для ИП), юридический и фактический адреса, ИНН, ОГРН, дату регистрации (из ЕГРЮЛ/ЕГРИП) и ОКПО (если присвоен). Для ИП дополнительно потребуются паспортные данные и адрес регистрации.
   Если у организации есть филиалы или подразделения, которые также работают с персональной информацией, отразите их в этом же разделе.

2. Цели обработки. В уведомлении отразите не только цели, но и конкретные виды производимой обработки: сбор, запись, систематизацию, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование и удаление. Формулировки целей должны точно соответствовать вашим бизнес-процессам — чем они конкретнее, тем меньше вероятность претензий со стороны регулятора.
3. Категории субъектов. Группы людей, чью информацию вы обрабатываете, требуется разделять: сотрудники, клиенты, соискатели, пользователи сайта. Роскомнадзор настаивает на раздельном представлении.
4. Перечень обрабатываемой информации. В уведомлении отдельно перечисляйте обрабатываемые категории персональных данных (общие, специальные, биометрические) и по каждой категории привести конкретный перечень обрабатываемых реквизитов. Размытые формулировки вроде «анкетные данные» или «иные сведения» не допускаются.
   Пример для категории «работники»: ФИО, дата рождения, паспортные данные, ИНН, СНИЛС, адреса, контактный телефон, адрес электронной почты, данные об образовании, сведения о трудовой деятельности.

5. Правовые основания. Перечислите нормы ТК РФ, ГК РФ и внутренние документы компании. Важно приводить актуальные реквизиты с реальными датами утверждения — ссылки на устаревшие или недействующие положения могут стать причиной замечаний при проверке.
6. Место хранения и трансграничная передача. Явно указывайте, на территории какой страны размещены базы данных, и адрес центра обработки данных (если используется ЦОД). 
   Отдельно отметьте, осуществляется ли трансграничная передача персональных данных: если нет — прямо укажите «нет», если да — перечислите страны-получатели и правовые основания для такой передачи.

7. Меры защиты. В уведомлении указывайте реалистичный перечень средств защиты отражающий то, что действительно внедрено в вашу информационную систему. К ним могут относиться антивирусное ПО, межсетевые экраны, разграничение доступа и другие технические и организационные меры. 
   Конкретный набор требований по технической защите ИСПДн установлен Приказом ФСТЭК № 21 и зависит от уровня защищенности, который определяется согласно Постановлению Правительства № 1119.

8. Ответственное лицо. Укажите ФИО, должность, телефон и адрес электронной почты сотрудника, который отвечает за организацию обработки персональных данных. Контакты должны быть актуальными, чтобы регулятор мог оперативно связаться с ответственным при возникновении вопросов.

При выборе провайдера для хранения баз данных убедитесь, что его инфраструктура защищена от внешних атак. Особенно это важно, если вы используете облачные серверы. Например, Рег.облако позволяет подключить расширенную DDoS-защиту в соответствии с требованиями 152-ФЗ.

Подача уведомления

Рассмотрим, как в Роскомнадзор (РКН) подать уведомление об обработке персональных данных разными способами.

1 способ. Через сайт Роскомнадзора

На портале Роскомнадзора доступна электронная форма. Сервис подсказывает варианты заполнения через выпадающие списки, что упрощает процесс.

Порядок действий через сайт Роскомнадзора:

1. Авторизуйтесь с помощью усиленной электронной подписи руководителя или уполномоченного представителя.
2. Откройте Реестр операторов.
3. Выберите форму первичного уведомления.
4. Заполните все обязательные поля.
5. При необходимости приложите дополнительные документы.
6. Подпишите электронной подписью и отправьте.

После отправки вы получите регистрационный номер и ключ доступа. Сохраните их — они понадобятся для отслеживания статуса и внесения изменений.

2 способ. Через Госуслуги

Подходит для небольших компаний и ИП с подтвержденной учетной записью. Госуслуги выступают только как канал установления личности и передачи информации.

Порядок действий через Госуслуги:

1. Авторизуйтесь на портале под подтвержденной записью руководителя организации или ИП.
2. Найдите услугу Уведомление об обработке персональных данных в каталоге.
3. Заполните электронную форму, указав все необходимые позиции.
4. Проверьте введенную информацию.
5. Отправьте заявку.

3 способ. В бумажном варианте

1. Заполните уведомление по образцу.
2. Принесите в Роскомнадзор лично или направьте по почте. 

Узнать адрес можно на официальном сайте.

Независимо от способа подачи, документы поступят в Роскомнадзор.

Сроки подачи и распространенные ошибки

Сроки подачи уведомления об обработке персональных данных строго установлены: документ нужно направить до начала сбора информации.

Оно рассматривается в течение 30 календарных дней с момента получения. Если ведомству потребуются уточнения, срок может быть продлен.

Распространенные ошибки при подаче:

• перечислены не все цели работы: например, упомянуто только взаимодействие с клиентами без отражения бухгалтерского учета;
• задействованы общие формулировки вместо конкретных данных: «анкетные сведения» вместо «ФИО, телефон, адрес электронной почты»;
• меры защиты описаны поверхностно: приведены общие фразы без связи с реальным положением дел;
• неверно указана дата начала деятельности: поставлена дата регистрации юридического лица, а не фактический старт сбора данных;
• отсутствует информация об используемых системах и облачных сервисах: формулировка «в облаке» без указания конкретного поставщика и страны размещения;
• пропущены отдельные категории субъектов: например, данные о соискателях, хранящиеся в почте.

Такие ошибки приводят к возврату документа или требованию внести правки. Нередко это связано с тем, что образец уведомления об обработке персональных данных используют как готовое решение, без адаптации под реальные процессы компании. В худшем случае некорректно заполненный бланк может стать основанием для привлечения к административной ответственности.

Штрафы за отсутствие уведомления

За неподачу сведений предусмотрена административная ответственность. С 30 мая 2025 года размеры взысканий увеличены.

Актуальные суммы:

• для физических лиц — от 5 000 до 10 000 рублей;
• для должностных лиц и ИП — от 30 000 до 50 000 рублей;
• для юридических лиц — от 100 000 до 300 000 рублей.

При утечках или других серьезных нарушениях суммы могут значительно возрастать (в рамках статьи 13.11 КоАП РФ) и достигать нескольких миллионов.

Как проверить наличие записи в реестре операторов

Разберем, как проверить уведомление об обработке персональных данных в реестре операторов.

Для поиска нужны:

• ИНН организации;
• наименование компании или ИП;
• регистрационный номер уведомления.

Если запись в реестре не найдена, а работа с персональными данными уже ведется, необходимо срочно подготовить и отправить заявление. Промедление повышает вероятность административного взыскания.

Когда обновлять ранее поданные сведения

Деятельность компании со временем меняется: появляются новые адреса, добавляются услуги, внедряются информационные системы. Закон обязывает оператора обновлять информацию при любых изменениях в работе с персональными данными.

Основания для обновления:

• смена юридического или фактического адреса;
• корректировка целей обработки;
• внедрение новых систем или смена облачного провайдера;
• изменение состава обрабатываемой информации или категорий субъектов;
• замена ответственного лица.

Практические рекомендации для компаний

Ниже приведена краткая инструкция по работе с уведомлением об обработке персональных данных, которая поможет избежать ошибок при его подаче в Роскомнадзор.

Перед подачей заявления:

1. Определите все процессы работы с данными. Опишите, какие сведения обрабатываются, откуда они поступают и где используются. Это поможет корректно заполнить все разделы.
2. Назначьте ответственное лицо. Это может быть штатный сотрудник или привлеченный специалист. Главное, чтобы у него были соответствующие полномочия, а контакты оставались актуальными.
3. Подготовьте внутренние документы: политику обработки, приказы о назначении ответственных, должностные инструкции для сотрудников с доступом к данным, типовые формы согласий. Эти бумаги будут упомянуты в заявлении как правовое основание.
4. Направьте уведомление в Роскомнадзор заранее. Рекомендуем сделать это до фактического начала сбора персональных данных.
5. Проверьте регистрацию в реестре через 30 дней после отправки. Убедиться, что запись появилась, а все данные отображаются корректно.

Дополнительно учитывайте требование о размещении основных массивов данных на территории РФ. Для соблюдения этой нормы часто задействуют облачную инфраструктуру, соответствующую требованиям 152-ФЗ. Например, облако ФЗ-152 в Рег.облаке позволяет развернуть защищенную среду для работы с персональными данными и выполнить требования закона без затрат на собственный дата-центр.

Итоги

Внесение в реестр операторов персональных данных — обязательный этап для большинства организаций и ИП, чья деятельность связана со сбором информации о физических лицах.

Своевременная подача заявления позволяет соблюсти требования закона, уменьшить правовые риски и подтвердить законность работы с данными. С учетом усиления контроля игнорировать эту обязанность становится экономически невыгодно.

Если компания еще не внесена в реестр, разумно заранее подготовить информацию и отправить документы до начала сбора персональных данных. Процедура через Госуслуги или портал Роскомнадзора занимает около часа, а итогом становится законное право вести деятельность без опасения санкций.

После регистрации не забывайте отслеживать перемены в работе компании и своевременно обновлять сведения в реестре.

Частые вопросы

Что такое уведомление об обработке персональных данных и зачем его подавать в Роскомнадзор?

Это официальный документ, которым компания уведомляет государство о работе с персональными данными граждан. Подача обязательна для включения в реестр операторов и легализации работы с данными.

Какие организации и предприниматели обязаны подавать уведомление об обработке персональных данных?

Большинство бизнесменов попадают под эту обязанность. Согласно статье 22 закона № 152-ФЗ, уведомлять Роскомнадзор обязаны те, кто планирует использовать персональные данные (например, нанимает сотрудников или собирает базы контактов клиентов).

В каких случаях компания может не подавать уведомление в Роскомнадзор об обработке персональных данных?

Можно работать без уведомления в 3 случаях (п. 2 ст. 22 закона № 152-ФЗ):

1. Обработка ведется только на бумаге, без перевода в электронный вид.
2. Данные задействованы в государственных системах, связанных с безопасностью и правопорядком.
3. Работа происходит в целях транспортной безопасности.

Какие данные необходимо указать в уведомлении при регистрации оператора персональных данных?

• Наименование организации (или ФИО ИП), ИНН, адрес;
• данные сотрудников, ответственных за обработку ПД;
• перечень персональных данных, которые будете собирать;
• цели обработки персональных данных;
• сведения о месте хранения данных и мерах безопасности.

Какие ошибки чаще всего допускают компании при заполнении уведомления об обработке персональных данных?

• Подача уведомления после начала работы с персональными данными;
• перечисление не всех целей обработки ПД;
• указание не всех категорий ПД или субъектов ПД;
• необновление информации в установленный срок при изменении данных.

Сколько времени Роскомнадзор рассматривает уведомление?

РКН рассматривает уведомление и вносит оператора ПД в реестр в течение 30 дней после получения документа (п. 4 ст. 22 закона № 152-ФЗ).

Как проверить, внесена ли организация в реестр операторов персональных данных Роскомнадзора?

На сайте РКН в разделе Реестр операторов по ИНН или названию компании.

Какие штрафы предусмотрены за отсутствие уведомления об обработке персональных данных?

В 2026 году для юрлиц — от 150 000 до 300 000 рублей, для ИП — от 50 000 до 100 000 рублей.

Что делать компании, если она начала обрабатывать персональные данные, но не подала уведомление вовремя?

Закон приравнивает несвоевременную сдачу уведомления к его отсутствию. Штрафы за это нарушение будут такими же, как и за полную неподачу. Рекомендуется подать уведомление как можно скорее.

Нужно ли повторно подавать уведомление при изменении юридического адреса или видов обработки данных?

Да, нужно обновить сведения. Сообщить об изменениях следует не позднее 15 числа месяца, следующего за тем, в котором возникли изменения. Для этого используется форма уведомления об изменении сведений (приложение № 2 к приказу № 180).

Какие меры безопасности необходимо соблюдать при хранении и обработке персональных данных?

• Использовать сертифицированные средства защиты информации; 
• ограничивать доступ сотрудников; 
• вести журналы учета; 
• размещать данные на серверах в РФ.