152-ФЗ

Уведомление в Роскомнадзор об обработке персональных данных

7 июня 2026 г.·5 минРКН · Персональные данные

Коротко

Уведомление в Роскомнадзор подаёт почти любая организация или ИП, которые обрабатывают персональные данные работников и клиентов. Подать его нужно до начала обработки, а перечень оснований для освобождения после реформы законодательства резко сузился.

Подача уведомления в Роскомнадзор перестала быть формальностью для узкого круга компаний. После реформы законодательства о персональных данных перечень оснований для освобождения резко сузился. Большинство юрлиц и ИП, которые ведут реальную хозяйственную деятельность, обязаны встать на учёт как операторы. Разберём порядок, сроки и риски с практической точки зрения.

Кто обязан подавать уведомление

Базовое правило закреплено в законодательстве о персональных данных. Оператором признаётся лицо, которое организует и осуществляет обработку персональных данных, а также определяет цели и состав обрабатываемых данных. Под это определение попадает почти любая организация с наёмными работниками и клиентами-физлицами.

Уведомление подаётся до начала обработки. Это означает, что обязанность возникает раньше первой операции с данными, а не после неё. На практике компании часто пропускают этот момент, потому что воспринимают регистрацию как разовое действие при старте бизнеса.

Освобождения от уведомления сегодня применяются крайне ограниченно. Раньше работодатели могли не уведомлять РКН при обработке данных только своих сотрудников. Эта льгота отменена. Теперь обработка данных работников требует уведомления на общих основаниях.

Когда уведомление всё же не требуется

Узкие исключения сохраняются. Их перечень закреплён в действующей редакции ч. 2 ст. 22 152-ФЗ и охватывает лишь отдельные случаи, например обработку без средств автоматизации в установленных пределах. Толковать эти исключения расширительно опасно. Если деятельность хоть как-то связана с базами клиентов, рассылками, CRM или кадровым учётом в электронном виде, освобождение почти наверняка не действует.

Содержание уведомления

Состав сведений в уведомлении прямо определён законом. Заявитель указывает следующие блоки данных.

Наименование оператора, адрес, ИНН и контактные данные.
Цель обработки персональных данных.
Категории персональных данных и категории субъектов.
Правовое основание обработки.
Перечень действий с данными и описание способов обработки.
Сведения о трансграничной передаче, если она планируется.
Сведения о месте хранения баз данных на территории РФ.
Дата начала обработки и срок или условие её прекращения.
Описание мер по защите данных, включая ответственное лицо.

Точность этих сведений критична. Расхождение между уведомлением и фактической деятельностью компании трактуется проверяющими как недостоверность. Если фактически обрабатываются специальные категории данных, а в уведомлении они не отражены, это самостоятельное нарушение.

Порядок и способы подачи

Уведомление подаётся в территориальный орган Роскомнадзора. Доступны несколько каналов.

Электронная форма на портале РКН с подписанием квалифицированной электронной подписью.
Через портал государственных услуг.
На бумажном носителе почтовым отправлением.

Электронная подача с квалифицированной подписью обрабатывается быстрее и снижает риск возврата по формальным причинам. После регистрации сведения об операторе вносятся в реестр операторов. Реестр публичный, и контрагенты используют его при проверке добросовестности партнёра.

Сроки и обновление сведений

Сроки в этой сфере имеют разную природу. Их удобно сопоставить в таблице.

Действие	Срок	Основание возникновения обязанности	Последствие нарушения
Первичное уведомление	до начала обработки данных	старт обработки данных физлиц	административный штраф по КоАП РФ
Уведомление об изменении сведений	в течение установленного законом срока с момента изменения	смена цели, состава данных, реквизитов оператора	привлечение к ответственности за недостоверные данные
Уведомление о прекращении обработки	в установленный срок после прекращения	завершение деятельности по обработке	сохранение записи в реестре с риском проверки
Реакция на запрос РКН	в срок, указанный в требовании	поступление запроса контрольного органа	штраф за непредставление сведений

Любое изменение ранее поданных сведений требует отдельного уведомления. Сменился юридический адрес, добавилась новая цель обработки, появилась рассылка через нового подрядчика. Каждое такое событие порождает обязанность обновить запись в реестре. Молчание здесь опаснее, чем кажется, поскольку устаревшие данные в реестре сами по себе образуют состав нарушения.

Ответственность за нарушения

Невыполнение обязанности подать уведомление образует административное правонарушение по КоАП РФ. Размеры штрафов для юрлиц после ужесточения законодательства выросли многократно. Отдельно наказывается обработка без подачи уведомления и отдельно представление недостоверных сведений.

Наибольшие риски связаны не с первичной регистрацией, а с утечками данных и проверками. Если у компании произошёл инцидент с персональными данными, отсутствие уведомления в РКН становится отягчающим фактором. Проверка начинается с базового вопроса, состоит ли оператор в реестре и совпадают ли заявленные цели с реальными.

Практика по оспариванию постановлений РКН складывается неоднородно. Суды поддерживают операторов, когда нарушение носит формальный характер и устранено добровольно. В то же время суды отказывают в смягчении, если компания обрабатывала данные годами без какой-либо регистрации. Добровольное устранение нарушения до проверки заметно улучшает позицию в споре.

Практический алгоритм

Последовательность действий для компании выглядит так.

Провести аудит реальных потоков персональных данных. Сотрудники, клиенты, подрядчики, посетители сайта.
Определить цели и правовые основания по каждому потоку.
Проверить, нет ли применимого освобождения. В большинстве случаев его нет.
Назначить ответственного за организацию обработки и оформить внутренние документы.
Подготовить и подать уведомление, лучше в электронной форме с квалифицированной подписью.
Сверить запись в реестре после регистрации.
Выстроить процесс обновления сведений при любых изменениях.

Мы сопровождали построение системы защиты данных в проектах с большими клиентскими базами, в том числе в кейсе компании «Люди Любят», где корректная регистрация и приведение документов в соответствие закрыли риск претензий регулятора.

Если вы не уверены, обязаны ли подавать уведомление или как отразить состав данных без ошибок, специалисты DEPA LAW помогут с аудитом и подготовкой документов. Опишите вашу ситуацию через страницу контактов, и мы предложим решение.

Вопросы и ответыFAQ

Наша компания обрабатывает только данные своих сотрудников. Нужно ли подавать уведомление в РКН?

Да, нужно. Прежняя льгота, позволявшая работодателям не уведомлять регулятор при обработке данных только сотрудников, отменена. Теперь кадровый учёт в электронном виде требует уведомления на общих основаниях.

Что грозит компании, если уведомление вовремя не подано?

За невыполнение обязанности подать уведомление предусмотрена административная ответственность по КоАП РФ, причём размеры штрафов для юрлиц после ужесточения закона выросли многократно. Отдельно наказываются обработка без уведомления и представление недостоверных сведений. Наибольший риск возникает при утечке данных или проверке, когда отсутствие записи в реестре становится отягчающим фактором.

Мы сменили юридический адрес и добавили новую цель обработки. Надо ли что-то сообщать в РКН?

Да, любое изменение ранее поданных сведений требует отдельного уведомления об изменении в установленный законом срок. Смена реквизитов, новая цель обработки, подключение нового подрядчика для рассылок, каждое такое событие порождает обязанность обновить запись в реестре. Устаревшие данные в реестре сами по себе образуют состав нарушения.