Гайды · 4 июля 2026 · 8 мин чтения

Уведомление в Роскомнадзор об обработке персональных данных: как подать в 2026

Пошаговая инструкция: как подать уведомление об обработке персональных данных в Роскомнадзор в 2026 году. Кто обязан подавать, какие данные подготовить, разбор полей формы, на которых стопорятся, и что делать после включения в реестр операторов. Штраф за неподачу до 300 тысяч.

Уведомление в Роскомнадзор об обработке персональных данных: инструкция 2026
Содержание · 6

Уведомление в Роскомнадзор — самая недооценённая обязанность из всего 152-ФЗ. Про политику и галочки согласия слышали почти все, а про то, что перед началом обработки данных нужно один раз зарегистрироваться в реестре операторов, многие узнают из письма с протоколом. До 2025 года это прощалось: штраф за неподачу был символическим. Теперь нет.

Кому подавать обязательно, а кто может выдохнуть#

Правило по статье 22 закона 152-ФЗ простое: оператор обязан уведомить Роскомнадзор до начала обработки персональных данных. Оператором вы становитесь незаметно: форма заявки на сайте, клиенты в CRM или таблице, трудовые договоры, запись на услуги. Любой из этих признаков — и вы обрабатываете персональные данные.

До сентября 2022 года были удобные лазейки: можно было не подавать уведомление, если обрабатываешь только данные своих сотрудников или только то, что нужно для исполнения договора. Под них подпадал почти весь малый бизнес. Эти исключения отменены. Сейчас без уведомления можно работать в редких случаях, главный из которых — обработка данных исключительно на бумаге, без компьютеров и программ. Если у вас есть сайт с формой или база в Excel, это уже не про вас.

Отдельная ловушка: многие думают, что уведомление нужно только «настоящим» IT-компаниям и магазинам. Реестр операторов устроен иначе — там стоматологии, автосервисы, салоны красоты и ИП с лендингами. Размер бизнеса роли не играет.

Цена вопроса. Подача уведомления бесплатна и занимает меньше часа. Неподача с 30 мая 2025 года стоит компании от 100 до 300 тысяч рублей (часть 10 статьи 13.11 КоАП), ИП и должностному лицу от 30 до 50 тысяч. Это одно из немногих нарушений, которое Роскомнадзор видит, вообще не выходя из кабинета: сверить сайт с реестром операторов можно автоматически.

Что подготовить до подачи#

Форма заполняется за один заход, если данные собраны заранее. Понадобится:

  1. Реквизиты: полное наименование или ФИО ИП, ИНН, ОГРН, юридический и фактический адрес.
  2. Цели обработки: зачем собираете данные. Формулировки берите те же, что в вашей политике конфиденциальности: обработка заявок, исполнение договоров, кадровый учёт, рассылка.
  3. Категории данных: что именно собираете (имя, телефон, почта, адрес доставки; для сотрудников — паспортные данные, СНИЛС).
  4. Категории субъектов: чьи это данные — клиенты, сотрудники, соискатели, посетители сайта.
  5. Правовое основание: согласие субъекта, договор, требования трудового и налогового законодательства.
  6. Меры защиты: как ограничен доступ, есть ли шифрование, антивирус, резервные копии. Здесь же форма спрашивает про использование средств криптографической защиты.
  7. Ответственный за организацию обработки: ФИО и контакты. Если ещё не назначили приказом, самое время — это отдельное требование закона.
  8. Местонахождение базы данных: по требованию о локализации база с данными россиян должна находиться в России, в форме указывается её адрес.
  9. Трансграничная передача: передаёте ли данные за границу и в какие страны. Для типового сайта с российским хостингом и CRM ответ «нет».

Пункты 2-6 должны слово в слово биться с вашими документами: политикой конфиденциальности на сайте и положением об обработке данных внутри компании. Расхождение между реестром и сайтом — первое, что видно проверяющему при сверке.

Как подать: четыре шага#

Шаг 1. Откройте портал персональных данных Роскомнадзора pd.rkn.gov.ru и найдите форму уведомления об обработке персональных данных.

Шаг 2. Заполните форму по данным из списка выше. Поля с целями, категориями и мерами защиты заполняются выбором из справочников и текстом — не изобретайте формулировки на ходу, переносите из своих документов.

Шаг 3. Подпишите и отправьте. Электронный способ основной: подтверждение через Госуслуги или усиленная электронная подпись. Бумажный вариант остаётся — распечатанное уведомление отправляется в территориальное управление Роскомнадзора по месту регистрации.

Шаг 4. Дождитесь включения в реестр: по закону на это у Роскомнадзора 30 дней с даты поступления уведомления. Проверить себя можно в открытом реестре операторов на том же портале — по ИНН.

Поля, на которых стопорятся#

По опыту, затык случается в одних и тех же местах.

Правовое основание. Написать «152-ФЗ» недостаточно: закон это рамка, а основание — то, что даёт право обрабатывать данные конкретных людей. Для клиентов это согласие и договор, для сотрудников — Трудовой кодекс, для бухгалтерии — Налоговый.

Средства криптографической защиты. Вопрос про СКЗИ пугает, но для типового сайта ответ обычно скромный: используется шифрование соединения (HTTPS), сертифицированные СКЗИ не применяются. Писать «применяются» стоит только если у вас реально стоят сертифицированные средства, это проверяемо.

Цели «на вырост». Есть соблазн указать побольше целей на будущее: рассылки, аналитика, реклама. Не надо: каждая заявленная цель должна подтверждаться реальным основанием и согласиями. Начали делать рассылку через год — тогда и внесёте изменение.

Локализация базы. Если сайт и CRM на зарубежных серверах, честный ответ в этом поле создаёт вам проблему по другой статье: первичная база с данными россиян должна быть в России. Этот вопрос лучше решить до подачи уведомления, а не после.

После подачи: реестр это не финиш#

Включение в реестр — это регистрация, а не сертификат соответствия. Дальше две обязанности. Первая: поддерживать сведения в актуальном состоянии. Сменили адрес, добавили цель обработки, поменяли ответственного — сообщите не позднее 15 числа месяца, следующего за месяцем изменения. Прекратили обработку — уведомите в течение 10 рабочих дней.

Вторая: то, что вы задекларировали, должно сходиться с тем, что видно на вашем сайте. В реестре заявлены согласия — у форм должны стоять галочки. Заявлена политика — ссылка на неё должна открываться. Проверить, как ваш сайт выглядит глазами проверяющего, можно за пару минут через наш бесплатный аудит сайта на соответствие 152-ФЗ: восемь видимых требований, светофор по каждому, без регистрации.

Если по итогам проверки всплыли дыры, мы закрываем весь пакет в рамках услуги соответствие 152-ФЗ под ключ: политика и согласия у форм, баннер cookie, подсказки по уведомлению и внутренним документам. Фиксированная цена и срок.

Источники#

FAQ

Частые вопросы про уведомление в Роскомнадзор

  • 01Кто обязан подавать уведомление в Роскомнадзор?
    Практически любая компания и ИП. С 1 сентября 2022 года старые исключения (обработка только данных сотрудников или только по договору) отменены. Форма на сайте, база клиентов в CRM или Excel, трудовые договоры — любой из этих признаков означает, что уведомление нужно.
  • 02Какой штраф за неподачу уведомления?
    С 30 мая 2025 года действует отдельный состав (часть 10 статьи 13.11 КоАП): граждане 5 000-10 000 ₽, должностные лица и ИП 30 000-50 000 ₽, компании 100 000-300 000 ₽.
  • 03Как подать уведомление?
    Через форму на портале персональных данных Роскомнадзора pd.rkn.gov.ru. Подписать можно электронной подписью или подтвердить через Госуслуги, остаётся и бумажный вариант. Подача бесплатная.
  • 04Что указывать в уведомлении?
    Реквизиты оператора, цели обработки, категории данных и субъектов, правовое основание, перечень действий, меры защиты, ответственного за организацию обработки, дату начала обработки, местонахождение базы данных и сведения о трансграничной передаче.
  • 05Что делать после подачи?
    Роскомнадзор вносит сведения в реестр в течение 30 дней, проверить себя можно по ИНН в открытом реестре. Об изменениях сообщайте не позднее 15 числа следующего месяца, о прекращении обработки — в течение 10 рабочих дней.
  • 06Достаточно ли уведомления для соответствия 152-ФЗ?
    Нет. На сайте должны быть политика конфиденциальности, согласия у форм и баннер cookie, внутри компании — положение об обработке данных и ответственный. Уведомление лишь регистрирует вас в реестре операторов.
уведомление в роскомнадзоробработка персональных данныхреестр операторов152-ФЗкак подать уведомлениештраф за неподачу уведомления
Юрий, основатель Digital Impuls
— ОБ АВТОРЕ

Юрий · основатель Digital Impuls

Веду агентство Digital Impuls в Москве: сайты, SEO и GEO, Telegram-боты и AI-автоматизация под бизнес-задачу. Пишу разборы от практики — что реально проверили на проектах клиентов.

О студии и подходе →
— DIGITAL IMPULS

Нужен сайт, который приносит заявки?

Делаем сайты под бизнес-задачу с фикс-ценой и сроком. Начните с бесплатного аудита текущего сайта.

— TELEGRAM-КАНАЛ

Не пропусти следующий разбор.

Дублируем каждый пост в Telegram с короткой выжимкой.

@digitalimpulschannel →
ПОХОЖИЕ РАЗБОРЫ