Подача уведомления об обработке персональных данных в Роскомнадзор

Дата публикации: 16.04.2026

Персональные данные — это имена, телефонные номера, анкеты, записи бесед и заявки, оставленные на сайте. Как только компания начинает обрабатывать эти сведения, она обязана проинформировать Роскомнадзор о том, что теперь является оператором персональных данных.В этом материале объясним, как правильно подать уведомление о работе с персональными данными и когда этого можно не делать. Рассмотрим Федеральный закон № 152-ФЗ «О персональных данных» и актуальную практику 2026 года.

• Кто должен подавать заявление в Роскомнадзор
• Что подготовить перед подачей уведомления
• Как подать уведомление в Роскомнадзор: пошаговая инструкция
• Штрафы за отсутствие регистрации и нарушения
• Частые ошибки при регистрации и как их избежать
• Нужно ли подавать уведомление до старта обработки
• Нужно ли уведомлять, если все данные обезличены
• Нужно ли уведомление, если происходит обработка только данных сотрудников и кандидатов

Операторы персональных данных обязаны подавать уведомления в Роскомнадзор о сборе информации. Под оператором подразумевается субъект, самостоятельно устанавливающий цели и методы обработки персональных данных.

Значение имеет не форма ведения деятельности и не техническая инфраструктура, а именно управленческое решение: кто и с какой целью обращается к персональным данным.

Категории операторов персональных данных

Операторами считаются:

• юридические лица — банки, компании, НКО, образовательные организации

• индивидуальные предприниматели

• физические лица, которые занимаются обработкой персональных данных не в личных, семейных или частных целях

Оператором называют того, кто занимается клиентской базой, работает с CRM-системой, принимает заявки через сайт, хранит анкеты соискателей или осуществляет видеонаблюдение с возможностью идентификации людей.

Когда подавать уведомление не нужно

Закон допускает ситуации, когда подача уведомления не обязательна. Это касается случаев, когда обработка персональных данных:

• проводится только в рамках трудовых отношений в соответствии с ТК
• необходима для выполнения обязательств по договору, стороной которого является владелец данных, без последующего распространения информации
• осуществляется для личных, семейных или бытовых целей
• включает обезличенные данные, по которым невозможно идентифицировать конкретное физическое лицо

Если обработка выходит за указанные рамки, то потребуется уведомление в Роскомнадзор.

Нужно собрать и систематизировать информацию об обработке персональных данных в организации или у предпринимателя.

Понадобится:

• сведения об операторе: наименование, ИНН, ОГРН или ОГРНИП, адрес
• цели обработки персональных данных
• категории субъектов персональных данных
• перечень обрабатываемых персональных данных
• правовые основания обработки
• способы обработки и хранения данных
• информацию о передаче данных третьим лицам, включая трансграничную передачу
• описание мер по обеспечению безопасности персональных данных
• сведения о лице, ответственном за организацию обработки персональных данных

Если часть данных обрабатывается подрядчиками, это тоже стоит зафиксировать заранее.

Процедура подачи уведомления формально несложная, однако требует аккуратности.

Шаг 1: Сбор информации для формы

На этом этапе фиксируется реальная модель обработки персональных данных: какие данные собираются, от кого, для каких целей и где хранятся. Формулировки должны быть точными и соответствовать действительным процессам.

Шаг 2: Заполнение уведомления онлайн или на бумаге

Уведомление можно заполнить:

• в электронном виде через официальный портал Роскомнадзора
• через портал Госуслуг
• на бумаге — по утвержденной форме

Онлайн-вариант удобнее: часть полей проверяется автоматически, меньше риска технических ошибок.

Шаг 3: Подача через портал РКН, Госуслуги или почту

Электронная подача осуществляется с использованием квалифицированной электронной подписи (КЭП) либо через подтвержденную учетную запись на Госуслугах.

Бумажное уведомление направляется заказным письмом в территориальное управление Роскомнадзора по месту регистрации оператора.

Шаг 4: Проверка статуса в реестре операторов

После рассмотрения уведомления Роскомнадзор вносит сведения об операторе в реестр операторов персональных данных. Проверить наличие записи можно по ИНН или наименованию оператора на официальном сайте ведомства.

Отсутствие уведомления Роскомнадзора об обработке персональных данных рассматривается как административное правонарушение. Оно не зависит от того, произошла ли утечка данных или был ли причинен вред субъектам персональных данных. Сам факт начала обработки без выполнения установленной законом процедуры уже образует состав нарушения.

Ответственность наступает по статье 13.11 КоАП РФ. Эта статья охватывает не только отсутствие уведомления, но и более широкий круг нарушений: несоблюдение целей обработки, избыточный сбор данных, отсутствие правовых оснований, нарушения требований к хранению и защите информации.

Роскомнадзор часто начинает проверку именно с вопроса регистрации оператора. Если организация или предприниматель не включены в реестр операторов персональных данных, это считается формальным и легко доказываемым нарушением. Дальнейшая проверка обычно выявляет и сопутствующие проблемы — например, некорректные формулировки согласий или отсутствие локальных актов.

Административная ответственность возможна даже при минимальном объеме обрабатываемых данных. Отсутствие коммерческой выгоды или небольшой масштаб деятельности не освобождают от санкций.

Размеры штрафов за неуведомление РКН

Размер штрафа зависит от категории нарушителя и характера нарушения. За неподачу уведомления об обработке персональных данных в Роскомнадзор применяются следующие санкции:

• для физических лиц — штраф от 5000 до 10 000 ₽
• для индивидуальных предпринимателей — от 100 000 до 300 000 ₽
• для должностных лиц — от 30 000 до 50 000 ₽
• для юридических лиц — от 100 000 до 300 000 ₽

Эти суммы применяются именно за отсутствие уведомления либо за подачу уведомления с существенными нарушениями, которые делают его юридически недействительным.

При повторных нарушениях или при выявлении утечки персональных данных ответственность ужесточается. В таких случаях Роскомнадзор вправе квалифицировать действия оператора по более строгим частям статьи 13.11 КоАП РФ, что существенно увеличивает финансовые риски.

Что делать, если срок пропущен

Лучшее решение — подать уведомление как можно скорее, не дожидаясь проверки. Если уведомление в Роскомнадзор не было подано вовремя, ситуацию еще можно исправить. Закон не устанавливает запрета на подачу уведомления после начала обработки персональных данных, однако формально такое опоздание считается нарушением установленного порядка.

Самое главное — подать уведомление как можно скорее. Ожидание проверки или попытка «дотянуть» до формального повода почти всегда ухудшают положение. Практика Роскомнадзора показывает, что добровольное исполнение обязанности до выявления нарушения учитывается при оценке ситуации.

После подачи уведомления оператор включается в реестр, и с этого момента нарушение считается прекращенным. Это не отменяет факт пропуска срока, но снижает риски привлечения к ответственности и, как правило, исключает претензии за продолжающееся правонарушение.

При рассмотрении дела суды и надзорные органы, как правило, оценивают совокупность обстоятельств: характер нарушения, длительность, наличие умысла и действия оператора по устранению последствий. Отсутствие уведомления при фактическом соблюдении остальных требований закона нередко рассматривается как менее тяжкое нарушение.

При подаче уведомления в Роскомнадзор основная сложность связана не с самой процедурой, а с заполнением формы. Большинство замечаний возникает из-за расхождения между фактической обработкой персональных данных и тем, как она описана в уведомлении. Ниже — наиболее распространенные ошибки и способы снизить риски.

Неполные данные

Одна из самых частых проблем — формальное или частично заполненное уведомление. В таких случаях сведения либо не позволяют понять, как именно осуществляется обработка персональных данных, либо не охватывают все процессы внутри организации.

Типичные примеры неполных данных:

• указаны только общие цели обработки без конкретизации
• не перечислены все категории субъектов персональных данных
• отсутствует или минимально описан перечень обрабатываемых данных
• не отражены способы обработки и хранения информации
• не указаны меры по обеспечению безопасности персональных данных

Часто это происходит из-за попытки «сократить» форму или использовать универсальные формулировки. Однако Роскомнадзор оценивает уведомление именно с точки зрения его информативности. Если из текста невозможно понять, какие данные и в каком объеме обрабатываются, уведомление считается некорректным.

Чтобы избежать этой ошибки, имеет смысл:

• описывать обработку исходя из реальных бизнес-процессов, а не шаблонных формулировок
• сверять данные уведомления с локальными документами и фактической практикой
• проверять, упомянуты ли все источники данных — сайт, кадровые процессы, договорная работа, системы учета

Полнота сведений снижает вероятность запросов о доработке и последующих претензий при проверке.

Трансграничная передача

Отдельное внимание Роскомнадзор уделяет вопросам трансграничной передачи персональных данных. Ошибки в этом разделе — одна из самых частых причин выявления нарушений.

Распространенная ситуация: оператор считает, что трансграничной передачи нет, поскольку данные физически не «отправляются» за границу. При этом используются иностранные сервисы — почтовые платформы, облачные хранилища, аналитические системы, мессенджеры. С точки зрения закона этого достаточно, чтобы признать наличие трансграничной передачи.

Основные ошибки здесь:

• полное игнорирование пункта о трансграничной передаче
• указание, что передача отсутствует, при использовании зарубежных сервисов
• отсутствие указания стран, на территорию которых передаются данные
• непонимание различий между странами, обеспечивающими адекватную защиту прав субъектов данных, и иными государствами

Чтобы избежать рисков, перед подачей уведомления необходимо проанализировать используемую IT-инфраструктуру: где физически расположены серверы, кто является владельцем сервисов, осуществляется ли доступ к данным из-за рубежа. Если хотя бы часть обработки связана с иностранной юрисдикцией, это должно быть отражено в уведомлении.

Корректное указание трансграничной передачи не является нарушением само по себе. Напротив, сокрытие или неверное отражение этой информации чаще всего и становится основанием для претензий со стороны Роскомнадзора.

Да. По общему правилу уведомление подается до начала обработки персональных данных. Это прямо следует из статьи 22 Федерального закона № 152-ФЗ.

На практике подача «задним числом» не запрещена технически, но с точки зрения закона это уже нарушение срока.

Если данные действительно обезличены и не позволяют идентифицировать конкретное лицо ни напрямую, ни косвенно, уведомление не требуется.Простое удаление ФИО при сохранении уникальных идентификаторов обычно обезличиванием не считается.