Регистрация в Роскомнадзоре

Оператором персональных данных считается любой субъект (организация, ИП или физлицо), который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. Проще говоря, если вы собираете, записываете, храните, используете или передаёте личные данные людей (ФИО, телефон, email, паспорт и т.д.), вы уже оператор. Даже невеликий бизнес без сайта попадает в эту категорию: например, репетитор, парикмахер или арендатор, получающий данные от клиентов или контрагентов, – все они являются операторами и должны уведомить РКН. Если вы храните базу клиентов, рассылаете письма или просто ведёте CRM‑список в Google/Excel, считаем, что вы обрабатываете ПДн и подпадаете под норму.

Уведомление в Роскомнадзор можно подать несколькими способами. Официальная форма утверждена Приказом РКН № 180 от 28.10.2022 и действует с 01.02.2023. Подать её можно как в бумажном, так и в электронном виде:

• Заполнить бланк уведомления на бумаге (или с помощью программ 1С) и отправить почтой в территориальное отделение РКН.
  
• Подать через «Госуслуги» – в личном кабинете юридического лица или ИП (необходима подтверждённая учётная запись).
• Отправить через официальный сайт Роскомнадзора pd.rkn.gov.ru с усиленной электронно‑цифровой подписью (ЭЦП) ответственного лица

После подачи РКН проверит сведения и внесет оператора в свой реестр операторов персональных данных. Рекомендуется подавать уведомление заблаговременно – как только начинаете обработку ПДн. Если уведомление уже было подано раньше, проверьте его актуальность (при обновлении деятельности нужно внести изменения).

Для формальной подачи в Роскомнадзор требуется только заполненное уведомление, подписанное руководителем или уполномоченным лицом. По закону плата за его рассмотрение не взимается. Однако оператору также необходимо подготовить внутренние документы по работе с ПДн. Ключевые из них:

• Политика обработки персональных данных – публичный документ (обычно публикуется на сайте), объясняющий, какие данные и с какой целью вы собираете и обрабатываете.
  
  
• Согласия субъектов – формы для получения разрешения на обработку и (при необходимости) на трансграничную передачу данных (если вы передаёте ПДн третьим лицам или за границу).
  
  
• Приказ о назначении ответственного за ПДн – документ, фиксирующий лицо, отвечающее за защиту персональных данных внутри компании.
  
  
• Локальные регламенты и инструкции – внутренние документы (положения, журналы, инструкции) по обеспечению безопасности и контролю обработки ПДн (ст.18.1 ФЗ-152 требует «комплекса документов» по защите данных).
  
  
• Договоры и соглашения – если привлекаете подрядчиков или храните данные в облаке, нужны надлежащие положения в договорах и соглашения по неразглашению конфиденциальной информации.
  
  

Перечень документов зависит от специфики бизнеса, но важно, чтобы вся внутренняя документация соответствовала фактической практике обработки данных. При необходимости специалисты подготовят полный пакет «под ключ», включая уведомление и все внутренние акты, чтобы вы точно соответствовали требованиям закона и могли пройти проверку РКН.

С 30 мая 2025 года за неподачу уведомления в РКН по новым поправкам административного кодекса установлены серьёзные штрафы. За первое нарушение должностным лицам грозит от 30 000 до 50 000 ₽, а организации или ИП – от 100 000 до 300 000 ₽. Ранее санкции были гораздо мягче – всего 3–5 тыс. ₽. По словам экспертов, это фактически увеличение максимального штрафа в 60 раз. Однако за первое нарушение сейчас часто выносят предупреждение (без штрафа), но повторная подача (или игнорирование) ведёт к назначению штрафа уже в полном размере. Кроме того, за другие нарушения в сфере ПДн (например, отсутствие политики конфиденциальности или согласий) штрафы могут составлять сотни тысяч и даже миллионы рублей. Поэтому своевременная регистрация в РКН – это реальная защита вашего бизнеса от крупных рисков.

Да. Отсутствие сайта, CRM или штатных сотрудников не освобождает от обязанности уведомлять РКН, если вы всё же обрабатываете чужие персональные данные. Закон распространяется на любую обработку ПДн, неважно, вручную или с помощью техники. Как отмечают эксперты, даже небольшие хозяйственные взаимодействия могут сделать вас оператором: например, если ИП арендует помещение у физлица, получает его паспортные данные при заключении договора – это повод подать уведомление. Аналогично, ведение бумажной клиентской книги или Excel‑таблицы с контактами – уже «обработка персональных данных» с точки зрения закона. В рамках любых коммерческих или профессиональных операций с ПДн по умолчанию следует считать себя оператором и подать уведомление. Исключение составляют лишь редкие случаи (госбезопасность, транспорт, личные нужды), описанные в ч.2 ст.22 ФЗ‑152.

Трансграничная передача персональных данных – это передача или хранение данных граждан России за пределами РФ (например, использование зарубежных облачных сервисов, мессенджеров или ИТ‑платформ). С 1 марта 2023 года закон обязывает уведомлять Роскомнадзор не только об обработке ПДн в целом, но и об осуществляемых трансграничных передачах. РКН уже опубликовал список стран с «адекватным уровнем защиты» (на март 2023 г. – 89 государств). Передачи в эти страны разрешены по стандартной процедуре уведомления, для остальных – предусмотрен особый алгоритм согласования. На практике это означает, что если вы используете зарубежные сервисы для хранения или передачи персональных данных клиентов или сотрудников, необходимо указать это в уведомлении или подать отдельное уведомление о трансграничной передаче. В противном случае вы рискуете нарушить требования ФЗ‑152 и получить штраф. Поэтому при регистрации в РКН важно выяснить, пересекаются ли ваши информационные потоки с зарубежными площадками, и при необходимости сразу оформить соответствующее уведомление.