Уведомление об обработке персональных данных: как подать и не получить штраф

Иван Корнев·15.04.2026·6 мин

Подать уведомление в Роскомнадзор (РКН) необходимо до начала фактической обработки персональных данных клиентов или сотрудников. В 2026 году за отсутствие уведомления в реестре операторов грозят штрафы до 500 000 рублей для юридических лиц и до 300 000 рублей для ИП. Исключение составляют случаи, когда вы обрабатываете данные только своих работников по трудовому договору или данные, полученные для разового пропуска на территорию.

Кто обязан подавать уведомление

Согласно ст. 22 ФЗ-152, уведомлять регулятора обязаны все операторы, осуществляющие обработку персональных данных с использованием средств автоматизации или без них. Это касается интернет-магазинов, сервисов услуг, работодателей (в части соискателей) и любых компаний, собирающих ФИО, телефоны или email клиентов.

Вам НЕ нужно подавать уведомление, если обработка ограничивается:

  • Данными собственных сотрудников (только в рамках трудовых отношений).
  • Данными, полученными однократно для пропуска на территорию или разовой идентификации (без внесения в базы).
  • Информацией, включенной в общедоступные источники (справочники) с согласия субъекта.
  • Данными участников общественных объединений (если цель — уставная деятельность).
  • Транспортными данными (билеты) без создания профилей пользователей.

Важно: Если вы начали собирать базу клиентов (даже просто список звонков или лидов в CRM), но не подали уведомление — вы уже нарушаете закон. Подайте документ немедленно, чтобы снизить риски при проверке.

Способы подачи в 2026 году

Существует три легальных способа направить форму в ведомство. Электронный вариант является самым быстрым и предпочтительным.

  1. Через портал Госуслуг (ЕСИА). Самый удобный способ для юрлиц и ИП. Требуется подтвержденная учетная запись организации. Услуга называется «Подача уведомления об обработке персональных данных».
  2. Онлайн на сайте Роскомнадзора. Через специализированный сервис в личном кабинете оператора (требуется усиленная квалифицированная электронная подпись — УКЭП).
  3. Почтой России. Заполненную бумажную форму (в 2 экземплярах) с описью вложения отправляют в территориальное управление РКН по месту регистрации компании.

Срок рассмотрения электронной заявки составляет 3–5 рабочих дней. Бумажное уведомление может рассматриваться до 30 дней из-за логистики почты и ручного ввода данных оператором РКН.

Пошаговое заполнение формы уведомления

Форма утверждена приказом Роскомнадзора. Ошибки в заполнении ведут к возврату документа на доработку, что затягивает процесс легализации.

1. Реквизиты оператора

Указывайте данные строго как в ЕГРЮЛ или ЕГРИП.

  • Наименование: Полное название (например, ООО «Вектор», а не просто «Вектор»). Для ИП — Иванов Иван Иванович.
  • Адреса: Юридический и фактический (если отличаются).
  • Контакты: Телефон и email ответственного лица (не обязательно гендиректора, можно назначить специалиста).

2. Цели обработки

Избегайте общих фраз вроде «для деятельности компании». Пишите конкретно, зачем вам данные:

  • Заключение и исполнение договоров купли-продажи.
  • Предоставление доступа к личному кабинету на сайте.
  • Направление рекламных рассылок (при наличии согласия).
  • Кадровый учет и взаимодействие с соискателями.

3. Категории данных и субъектов

Разделите потоки информации:

  • Субъекты: Клиенты (физлица), посетители сайта, соискатели, контрагенты-физлица.
  • Категории ПДн: ФИО, дата рождения, паспортные данные, ИНН, телефон, email, биометрические данные (если есть).
  • Специальные категории: Расовая принадлежность, здоровье, политические взгляды (указываются отдельно, требуют повышенных мер защиты).

4. Правовые основания и меры защиты

Укажите нормативные акты, на которые вы опираетесь:

  • ФЗ-152 «О персональных данных».
  • Трудовой кодекс РФ (для сотрудников).
  • Политика конфиденциальности сайта.
  • Согласия субъектов на обработку ПДн.

В графе «Меры защиты» перечислите используемые средства: антивирусы (Kaspersky, Dr.Web), системы предотвращения утечек (DLP), разграничение прав доступа, сейфы для бумажных носителей. Укажите уровень защищенности (УЗ-1, УЗ-2 и т.д.) согласно Постановлению № 1119.

5. Передача данных и трансграничная передача

  • Третьим лицам: Укажите, кому вы передаете данные (например, оператор фискальных данных, служба доставки СДЭК, хостинг-провайдер).
  • Трансграничная передача: Если серверы находятся за рубежом или данные передаются иностранным компаниям, укажите страны. Для стран, не обеспечивающих адекватную защиту (список РКН), требуется письменное согласие субъекта или наличие договора, соответствующего требованиям закона.

6. Сроки хранения

Не пишите «бессрочно». Укажите конкретный период или событие:

  • 3 года после расторжения договора.
  • До момента отзыва согласия субъектом.
  • 75 лет (для кадровых документов).

Чек-лист перед отправкой: Проверьте, совпадают ли адреса в уведомлении с данными в ЕГРЮЛ. Убедитесь, что на сайте опубликована Политика конфиденциальности — её отсутствие часто становится причиной отказа во внесении в реестр.

Сравнение разделов формы и частые ошибки

Раздел формыЧто писать (правильно)Частая ошибка (приведет к возврату)
Цели«Оформление заказов в интернет-магазине», «Рассылка новостей»«Коммерческая деятельность», «Для себя»
Категории ПДн«ФИО, телефон, email», «Паспортные данные»Просто «Персональные данные» без расшифровки
Субъекты«Покупатели», «Пользователи сайта», «Соискатели»«Люди», «Граждане»
Меры защиты«Приказ №1 об утверждении перечня сведений», «Антивирус»Пустое поле или «Защита по закону»
Локализация«Серверы расположены в РФ (г. Москва)»Не указано место нахождения баз данных

Что делать после подачи

  1. Проверка реестра. Через 5–30 дней (в зависимости от способа подачи) проверьте наличие вашей компании в реестре операторов на сайте РКН.
  2. Выписка. Скачайте выписку из реестра — это ваше главное доказательство легальности при проверках.
  3. Актуализация. Если изменились цели обработки, состав данных или реквизиты компании, необходимо подать новое уведомление об изменении сведений в течение 10 рабочих дней.
  4. Прекращение. Если вы закрыли бизнес или перестали обрабатывать данные клиентов, подайте уведомление об исключении из реестра.

Штрафы за отсутствие уведомления

В 2026 году ответственность ужесточена. Отсутствие записи в реестре при фактической обработке данных квалифицируется как нарушение порядка уведомления.

  • Для должностных лиц и ИП: от 10 000 до 30 000 руб. (первично), до 100 000 руб. (повторно).
  • Для юридических лиц: от 100 000 до 300 000 руб. (первично), до 500 000 руб. (повторно).

Кроме того, возможны штрафы за саму незаконную обработку данных (ст. 13.11 КоАП РФ), которые могут достигать миллионов рублей в зависимости от тяжести нарушения.

Часто задаваемые вопросы (FAQ)

Нужно ли подавать уведомление, если данные собираются только через форму обратной связи на сайте? Да. Сбор имени и телефона через сайт считается обработкой с использованием средств автоматизации. Уведомление обязательно.

Может ли один человек быть ответственным за ПДн и директором одновременно? Да, в малом бизнесе директор часто издает приказ о возложении обязанностей по организации обработки ПДн на себя. Однако требования к защите данных остаются прежними.

Что будет, если я подам уведомление, но не выполню все технические требования по защите? Подача уведомления не снимает обязанности обеспечить безопасность. При проверке РКН запросит документы по защите (приказы, настройки ПО). Их отсутствие приведет к отдельному штрафу.

Нужно ли обновлять уведомление при смене юридического адреса? Да, любые изменения в сведениях оператора (название, адрес, состав данных) требуют подачи актуализирующего уведомления в течение 10 дней.