Зачем это нужно?
Если вы собираете персональные данные (например, имя, телефон, e-mail, адрес доставки) для целей закона вы, как правило, становитесь оператором персональных данных. А значит, у вас возникает обязанность уведомить Роскомнадзор о намерении осуществлять обработку персональных данных (если ваш случай не подпадает под исключения). Основание - Федеральный закон № 152-ФЗ «О персональных данных».
Частое заблуждение «у меня маленький бизнес, мне это не нужно». На практике размер бизнеса значения не имеет, важен сам факт обработки данных в рамках деятельности. Исключения действительно существуют, но они прямо и исчерпывающе перечислены в законе. Если у вас на сайте есть формы, заявки, обратный звонок, подключена CRM или вы ведёте клиентскую базу - в большинстве случаев уведомление понадобится.
Что будет, если не подать?
С 30 мая 2025 года административная ответственность за нарушения в сфере персональных данных стала ощутимо строже. За непредставление уведомления ответственность предусмотрена КоАП РФ (ст. 13.11): для юридических лиц - от 100 000 до 300 000 рублей, для должностных лиц и ИП - от 30 000 до 50 000 рублей, для граждан - от 5 000 до 10 000 рублей. На практике контроль и проверки ведутся по разным основаниям, в том числе с использованием инструментов мониторинга; отсутствие уведомления - типичный «красный флажок».
ПОШАГОВАЯ ИНСТРУКЦИЯ
Разберем все по порядку: кто должен подавать, как это сделать, что писать и когда обновлять.
1. Кто обязан подавать уведомление
Практически все, кто работает с персональными данными. Это касается юридических лиц, индивидуальных предпринимателей, самозанятых, физических лиц - всех, кто собирает, хранит или обрабатывает персональные данные граждан в рамках своей деятельности.
Есть исключения, но их очень мало. С 1 сентября 2022 года список исключений значительно сократился. Например, если обработка происходит без использования автоматизированных средств (только вручную, на бумаге), или если данные обрабатываются только для личных и семейных нужд. Но если у вас есть сайт с формой обратной связи, CRM, база клиентов - вы точно обязаны подать уведомление.
Когда можно не подавать?
Исключения действительно предусмотрены статьей 22 Федерального закона № 152-ФЗ «О персональных данных», но их следует читать буквально, перечень закрытый. На практике «рабочими» для малого бизнеса чаще всего оказываются случаи обработки без использования средств автоматизации и обработка для личных/семейных нужд (не связанных с предпринимательством). Если вы сомневаетесь, подпадаете ли под исключение, разумнее исходить из обязанности уведомить РКН: процедура бесплатная, а риск штрафа вполне реальный.
2. Способы подачи уведомления
Есть три основных способа подать уведомление. Самый удобный - через портал Госуслуг с использованием средств аутентификации ЕСИА. Это быстро, не нужно никуда ехать, и все делается онлайн.
Второй способ - через официальный сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи (УКЭП). Если у вас её нет, придётся получать, это время и дополнительные расходы.
Третий вариант - отправить по почте или принести лично в территориальное управление Роскомнадзора. Заполняете уведомление на бумаге, отправляете заказным письмом с уведомлением или приносите лично. Работает, но дольше, чем электронные способы.
Какой способ выбрать?
Однозначно рекомендуем Госуслуги. Это самый быстрый и простой вариант. Регистрация занимает минут 15, если у вас еще нет аккаунта. Подача уведомления - еще минут 20-30, если подготовить все данные заранее. К тому же это бесплатно и не требует дополнительных документов.
Далее надо перейти к заполнению сведений регистрации оператора.
Выберите удобный для вас способ отправки уведомления в Роскомнадзор.
3. Заполнение уведомления в Роскомнадзор
После того как мы выбрали удобный для нас способ отправки уведомления в Роскомнадзор, откроется форма уведомления, которой необходимо заполнить поля.
Для начала нужно указать регион, где зарегистрирована ваша организация.
Сведения об операторе
В этом блоке нужно заполнить информацию о организации, которая обрабатывает персональные данные.
Тип оператора. Укажите тип лица, занимающегося обработкой персональных данных: юридическое лицо, индивидуальный предприниматель или физическое лицо.
Наименование оператора. Для юридических лиц укажите полное наименование организации согласно учредительным документам. Для ИП укажите ФИО полностью. Для физических лиц также укажите ФИО.
Сокращенное наименование оператора. Для юридических лиц укажите сокращенное наименование организации (если есть). Для ИП и физических лиц это поле можно оставить пустым или указать ФИО.
Адрес оператора. Укажите юридический адрес (адрес местонахождения) организации или адрес регистрации ИП/физического лица. Для ввода адреса нажмите на кнопку [выбрать] рядом с заголовком «Адрес местонахождения» или «Почтовый адрес».
Если адрес местонахождения организации совпадает с почтовым адресом, поставьте галку в поле «совпадает с адресом местонахождения».
Адрес электронной почты. Укажите электронную почту организации.
Регионы обработки. Укажите регионы, из которых поступают персональные данные, нажав на «выбрать регион(ы)». Выберите конкретные регионы, используя форму поиска, или все регионы, поставив галку в поле «Все субъекты Российской Федерации».
ИНН. Укажите ИНН организации. Если вы уже регистрировали оператора персональных данных, сервис выдаст вам сообщение «Запись об операторе с таким ИНН уже существует». Можете проверить запись о регистрации в реестре операторов, осуществляющих обработку персональных данных. Или заполнить уведомление об изменении сведений, содержащихся в уже поданном уведомлении о намерении осуществлять обработку персональных данных.
ОГРН (для юридических лиц) или ОГРНИП (для индивидуальных предпринимателей). Укажите основной государственный регистрационный номер и дату его присвоения.
Цели обработки персональных данных
Цель обработки. Необходимо выбрать цели, на основании которых обрабатываются персональные данные.
Например, если сайт собирает данные через формы, чтобы впоследствии связаться с клиентом и оказать услугу (или оформить продажу), часто выбирают цель «Продвижение товаров, работ, услуг на рынке».
Категории персональных данных. Укажите, какие именно данные вы собираете в рамках этой цели.
Категории субъектов, персональные данные которых обрабатываются. Укажите категории лиц, чьи данные вы обрабатываете, в рамках текущей цели.
Правовое основание обработки персональных данных. В этом поле нужно выбрать законные основания обработки персональных данных, в рамках текущей цели.
В нашем примере достаточно указать 2 цели (указаны на скриншоте).
Перечень действий. Укажите, какие действия осуществляются с персональными данными.
В нашем примере достаточно указать следующие пункты:
Способы обработки. Укажите, каким образом осуществляется обработка персональных данных.
В нашем примере необходимо выбрать: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
Если в организации есть сотрудники, обычно добавляют отдельную цель обработки - «Ведение кадрового и бухгалтерского учета». Также добавьте другие цели с учётом специфики вашей деятельности.
Категории персональных данных, субъекты персональных данных, основания обработки персональных данных, перечень действий с персональными данными и способы их обработки указываются для каждой цели.
Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных».Необходимо указать, какие именно меры предусмотрены для обеспечения надлежащей обработки персональных данных.
Это могут быть: разработана политика в отношении обработки персональных данных в организации, назначен ответственный за обработку персональных данных, ограничение лиц, имеющих доступ к персональным данным, организация учета, хранения и обращения носителей информации.
Средства обеспечения безопасности. Укажите, с использованием каких средств в организации обеспечивается безопасность данных.
Использование шифровальных (криптографических) средств. Указать, используются ли средства шифрования.
Ответственный за организацию обработки персональных данных. Необходимо указать ответственное лицо за организацию обработки персональных данных, с указанием его данных.
Дата начала обработки персональных данных. Укажите дату, с которой вы начали собирать и обрабатывать персональные данные.
Срок или условие прекращения обработки персональных данных. Укажите условия или дату окончания обработки персональных данных.
Осуществление трансграничной передачи персональных данных. Укажите, осуществляете ли вы передачу данных за пределы Российской Федерации.
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
База данных №1. Необходимо указать местоположение базы данных, содержащей персональные данные граждан Российской Федерации. Это может быть адрес серверного оборудования, дата-центра или облачного хранилища.
Чтобы выбрать адрес ЦОДа (центра обработки данных) нажмите на кнопку «выбрать». Система предложит выбрать из списка зарегистрированных ЦОДов или ввести адрес вручную.
Если ваш сайт хранится у хостинг-провайдера – уточните информацию о ЦОД у него. Обычно эта информация указывается в договоре на оказание услуг хостинга или доступна в личном кабинете хостинг-провайдера.
Если у вас несколько баз данных в разных местах, нажмите «Добавить базу данных» и заполните информацию о каждой.
Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах
Контакт №1. Этот раздел заполняется только если вы обрабатываете персональные данные, содержащиеся в государственных или муниципальных информационных системах. Заполните данные о лицах, имеющих доступ к таким системам или осуществляющих их обработку на основании договора.
Если таких систем нет – удалите этот блок, нажав кнопку «Удалить». Если лиц несколько – добавьте их, нажав кнопку «Добавить сведения».
Сведения об обеспечении безопасности персональных данных
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ. Необходимо указать организационные и технические меры обеспечения безопасности персональных данных.
ФИО исполнителя. Укажите фамилию, имя и отчество исполнителя обеспечения безопасности персональных данных.
Должность. Укажите должность исполнителя обеспечения безопасности персональных данных.
Контактная информация исполнителя. Укажите контакты исполнителя обеспечения безопасности персональных данных.
4. Отправка заполненных данных уведомления в Роскомнадзор
После заполнения всех полей формы подачи уведомления в Роскомнадзор, проставьте галочки согласий с условиями и отправьте уведомление удобным для вас способом.
5. Проверка внесения вас Роскомнадзором оператором персональных данных
Чтобы проверить, внес ли вас Роскомнадзор в реестр операторов персональных данных перейдите по ссылке.
Введите в поле ИНН свои данные и нажмите «Найти». Если вы добавлены в реестр - увидите строку с вашей организацией в результатах поиска.
Подача уведомления в Роскомнадзор юридическая обязанность для всех, кто работает с персональными данными. Все лица, работающие с персональными данными в рамках своей деятельности, обязаны уведомить РКН о начале обработки данных до её фактического начала. Неправильно заполненный документ или пропуск срока подачи может привести к административной ответственности и осложнениям при проверках.
Важно помнить, если изменились какие-либо сведения, указанные в уведомлении (добавили новый сервис, изменили цели обработки, начали передавать данные новым третьим лицам), необходимо подать уведомление об изменении сведений не позднее 15 числа месяца, следующего за месяцем, в котором произошли изменения.
Чтобы упростить процесс подачи уведомления в Роскомнадзор, рекомендуем заранее подготовить все необходимые сведения, ознакомиться с актуальным образцом заполнения формы и использовать официальный электронный сервис. В 2025-2026 году действуют актуализированные требования, и даже небольшие неточности могут быть расценены как нарушение.
Если вы не уверены в корректности своих данных, всегда можно обратиться за консультацией или воспользоваться услугой по подготовке и заполнению уведомления об обработке персональных данных в РКН. Это сэкономит время и снизит риски. Заполнить уведомление правильно - значит обеспечить соответствие требованиям закона и защиту репутации вашей организации.
ЧАСТЫЕ ВОПРОСЫ ПРО УВЕДОМЛЕНИЕ РКН
Коротко и по делу - без лишней теории: когда уведомление нужно, что писать в ключевых полях и как не «споткнуться» на проверке.
1. Нужно ли уведомление, если на сайте только форма «Оставить заявку»?
Обычно - да. Если форма собирает имя/телефон/e-mail и вы дальше храните или используете эти сведения (в почте, CRM, мессенджере, таблице), это уже обработка персональных данных. Исключения из обязанности уведомлять есть, но они узкие и прямо перечислены в ст. 22 152‑ФЗ. Поэтому безопасная позиция для бизнеса - подать уведомление до начала обработки.
2. Что считается обработкой и когда она начинается?
Закон трактует «обработку» широко: сбор, запись, систематизация, хранение, уточнение, использование, передача, обезличивание, блокирование и удаление. На практике обработка начинается с момента, когда вы получили данные и совершили с ними любое действие - даже если просто сохранили заявку в почте или в CRM.
3. Когда можно не подавать уведомление (ст. 22 152‑ФЗ)?
Только в случаях, прямо указанных в законе. Для обычного коммерческого сайта типичные исключения встречаются редко. Если вы собираете заявки, ведёте базу клиентов или используете аналитику/CRM, чаще всего уведомление всё же нужно. В спорных ситуациях корректнее свериться с текстом ст. 22 152‑ФЗ и (при необходимости) получить консультацию: неверная трактовка исключения - частая причина проблем.
4. Какой способ подачи выбрать: Госуслуги, УКЭП или бумага?
Для большинства организаций и ИП оптимальны Госуслуги: это быстрее, не требует УКЭП и, как правило, снимает вопрос с бумажным дублированием. УКЭП‑подача удобна, если подпись уже есть и настроено рабочее место. Бумажная форма - вариант «на крайний случай», когда электронные каналы недоступны или не подходят.
5. Какие поля формы чаще всего заполняют неверно?
На практике ошибки «живут» в деталях: цели обработки (слишком общие формулировки), категории субъектов и данных (не совпадают с реальностью на сайте), правовые основания (выбрано «по привычке», а не по факту), сведения о месте нахождения базы данных (не уточнён ЦОД/хостинг), а также блок про трансграничную передачу. Хорошее правило: всё, что вы указываете в уведомлении, должно подтверждаться вашими документами и фактическими процессами.
6. Что писать в «меры по обеспечению безопасности»?
Пишите то, что действительно внедрено: назначен ответственный, утверждена политика и локальные регламенты, разграничен доступ, ведётся учёт носителей/доступов, настроены резервное копирование и обновления, используются пароли/2FA, антивирус и средства защиты (если применимо). Не стоит перечислять «для красоты» меры, которых нет: при проверке это быстро вскрывается.
7. Когда и как подавать изменения в сведения?
Обновлять сведения нужно, когда меняются цели, категории данных/субъектов, перечень действий, используемые ИС/сервисы, места хранения баз данных, ответственные лица и иные существенные параметры. Практический ориентир, который применяют в разъяснениях и инструкциях к сервису, - направлять сведения об изменениях не позднее 15 числа месяца, следующего за месяцем изменений. Если изменения существенные, лучше не затягивать и фиксировать их внутренними документами (приказ, регламент, обновление политики).
Итоги
Уведомление Роскомнадзора - это юридическая процедура, которая подтверждает: оператор осознаёт факт обработки персональных данных и декларирует ключевые параметры обработки. В 2025 году ответственность за нарушения стала заметно выше, поэтому откладывать подачу «на потом» - плохая стратегия.
Процесс, по сути, состоит из трёх шагов: понять свои реальные процессы (что и зачем вы собираете), корректно описать их в форме уведомления и поддерживать сведения в актуальном состоянии. На подготовку обычно уходит несколько часов, если информация собрана заранее. Критически важно одно: соответствие «бумаги» реальности - именно это оценивают при проверках.
Если нужна помощь в подготовке и подаче уведомления, вы можете ознакомиться с нашей услугой IT-аудита и правовой защиты.