Уведомление в Роскомнадзор об обработке персональных данных: пошаговая инструкция 2026
Почти каждый оператор персональных данных — ИП, ООО, самозанятый — обязан уведомить Роскомнадзор до начала обработки ПДн. Подать уведомление можно через Госуслуги без отдельной ЭЦП. РКН вносит в реестр в течение 30 дней. За неподачу или просрочку с 30 мая 2025 года штраф для юрлиц — 100–300 тысяч рублей (ч. 10 ст. 13.11 КоАП).
Кто обязан уведомлять РКН — и три реальных исключения
С 1 сентября 2022 года (ФЗ-266) массовых исключений практически не осталось. Есть сайт с формой обратной связи, база клиентов, CRM или таблица с контактами сотрудников? Почти наверняка вы оператор персональных данных и обязаны встать в реестр РКН.
Уведомить должны юридические лица, ИП, самозанятые, физические лица, которые обрабатывают чужие ПДн в коммерческих целях: интернет-магазины, клиники, фитнес-центры, агентства, фрилансеры с базой заказчиков, школы, онлайн-сервисы.
Три исключения, которые реально работают (пп. 7, 8, 9 ч. 2 ст. 22 ФЗ-152):
| Исключение | Что означает на практике |
|---|---|
| ПДн в государственных ИС в сфере безопасности | Только для спецслужб и госорганов |
| Обработка исключительно без средств автоматизации | На практике почти не работает: любая база в Excel, 1С или CRM — уже автоматизированная обработка |
| ПДн в сфере транспортной безопасности | Узкая отраслевая норма |
Есть контактная форма на сайте, телефон клиента в базе или адрес для доставки? Уведомлять нужно.
Куда подавать и какие способы доступны
Электронная форма — на портале pd.rkn.gov.ru. Это единственный специализированный ресурс РКН для уведомлений об обработке ПДн.
Три способа подачи:
- Через ЕСИА / Госуслуги — подтверждённая учётная запись (для юрлица — привязанная к организации). Отдельная квалифицированная ЭЦП не нужна. Самый удобный вариант для малого бизнеса и ИП.
- С усиленной квалифицированной электронной подписью (УКЭП) — для тех, у кого она уже есть.
- Бумажным письмом в территориальный орган РКН — медленно, но формально законно.
Большинство ИП и небольших ООО идут через Госуслуги. Никакой дополнительной ЭЦП для этого не нужно — подтверждённый аккаунт организации на портале достаточен.
Перед подачей обязательно проверьте реестр. Зайдите на pd.rkn.gov.ru и найдите вашу организацию по ИНН. Если запись уже есть — не подавайте повторно; при изменениях подаётся форма 2.
Что писать в уведомлении: ключевые поля
Форма состоит из нескольких разделов. Вот где обычно спотыкаются.
Категории субъектов — чьи данные вы обрабатываете. Пишите конкретно: клиенты, покупатели, посетители сайта, сотрудники, контрагенты. Не «все физические лица» скопом.
Категории ПДн — что именно собираете. Типовой набор для интернет-магазина: ФИО, email, телефон, адрес доставки, история заказов. Принимаете оплату картой через агрегатор — упомяните платёжные данные: они проходят через вашу цепочку.
Цели обработки — зачем нужны данные. «Исполнение договора», «обратная связь», «рассылка» (если есть отдельное согласие). Цели должны совпадать с тем, что написано в вашей Политике обработки ПДн.
Правовые основания — чаще всего ст. 6 ч. 1 пп. 1 (согласие) и пп. 5 (договор). Для сотрудников добавляется трудовое законодательство.
Местонахождение баз данных — с 1 июля 2025 года (ФЗ-23) первичный сбор ПДн граждан РФ должен происходить в базах на территории РФ. Хостинг и CRM в России — пишите «Российская Федерация». Зарубежные сервисы для хранения — отдельная история с рисками по ч. 8 ст. 13.11 КоАП (до 6 млн рублей для юрлиц).
Трансграничная передача — передаёте ли данные за рубеж. Подключены Google Analytics, Mailchimp, Hotjar — технически да. Укажите страны.
Меры защиты — перечень организационных и технических мер. Для малого бизнеса без гостайны это обычно: разграничение прав доступа, антивирус, резервное копирование, политика паролей, обучение сотрудников.
Сроки: когда подавать, как обновлять, когда снимать
Три ситуации — три разных срока:
| Ситуация | Срок |
|---|---|
| Первичное уведомление | До начала обработки ПДн |
| Изменения в обработке (новая цель, новая категория ПДн, смена хостинга) | Не позднее 15-го числа месяца, следующего за месяцем изменений |
| Прекращение деятельности / обработки | В течение 10 рабочих дней |
РКН вносит оператора в реестр в течение 30 дней после получения уведомления.
Когда нужна форма изменений? Поменяли цели обработки, расширили перечень ПДн, перешли на другую CRM за рубежом, добавили новую категорию субъектов. Всё это — повод подать форму 2.
Практический совет: заведите напоминание на 1-е число каждого месяца — пробегитесь по изменениям за прошлый месяц. Если ничего не поменялось, три секунды и закрыли.
Штрафы за неуведомление в 2026 году
С 30 мая 2025 года действует новая редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024). За неподачу уведомления или нарушение сроков — ч. 10:
| Кто | Штраф |
|---|---|
| Гражданин | 5 000 — 10 000 руб. |
| Должностное лицо | 30 000 — 50 000 руб. |
| ИП | как юридическое лицо |
| Юридическое лицо | 100 000 — 300 000 руб. |
Это только за «забыл уведомить». Рядом — другие составы: обработка без согласия (ч. 2) — до 700 тысяч для юрлиц, нарушение локализации (ч. 8) — до 6 млн, утечка данных (ч. 12–14) — от 3 до 15 млн.
Про практику: РКН в 2026 году усилил автоматизированный мониторинг и массово сканирует сайты. При выявлении нарушения обычно сначала приходит требование об устранении — около 10 рабочих дней на исправление. Штраф — следующий шаг. Суды при первом нарушении нередко применяют предупреждение по ст. 4.1.1 КоАП. Но рассчитывать на это как на стратегию — странная идея.
Уведомление РКН в составе комплексного приведения сайта в порядок
Уведомление — одна из обязанностей оператора, не единственная. Часто бизнес делает так: подаёт уведомление, успокаивается, а на сайте при этом формы без чекбоксов, нет Политики обработки ПДн, cookie-баннер отсутствует. Это четыре разных нарушения с отдельными составами.
Полный порядок по 152-ФЗ для сайта включает:
- Политику обработки ПДн, опубликованную на сайте (ст. 18.1 ч. 2)
- Чекбокс согласия у каждой формы — непредустановленный, со ссылкой на Политику; с 1 сентября 2025 года — отдельный под каждую цель (ФЗ-156)
- Cookie-баннер с реальным выбором, если используете аналитику или маркетинговые пиксели
- Базы данных граждан РФ на серверах в РФ (ст. 18 ч. 5, ФЗ-23, с 01.07.2025)
- Само уведомление в РКН до начала обработки
Если делаете всё под ключ — сервис пдн152.рф закрывает весь этот перечень за 2–4 рабочих дня. Тариф «Под ключ» 14 900 руб. включает документы, порядок на сайте и подачу уведомления через Госуслуги. Или отдельно только уведомление — тариф 5 900 руб. Автор — самозанятый Видманов Максим Анатольевич (ИНН 667103082080), сам стоит в реестре РКН, уведомление №100197275.
Пошаговый порядок действий
- Проверьте, есть ли ваша организация в реестре операторов Зайдите на pd.rkn.gov.ru, найдите раздел «Реестр операторов». Введите ИНН. Если запись есть — уведомление уже подано, оцените актуальность данных. Если нет — двигайтесь дальше.
- Подготовьте данные для заполнения формы Запишите: категории субъектов (клиенты, сотрудники, посетители сайта), категории ПДн (ФИО, email, телефон, адрес, платёжные данные), цели обработки, правовые основания, страну хранения данных (должна быть РФ по ФЗ-23 с 01.07.2025), перечень мер защиты и список лиц с допуском к ПДн.
- Войдите на pd.rkn.gov.ru через Госуслуги Выберите «Подача уведомления» и авторизуйтесь через ЕСИА. Для юрлица — учётная запись должна быть привязана к организации. Отдельная ЭЦП не нужна.
- Заполните электронную форму уведомления Пройдите все разделы: сведения об операторе, цели и основания, категории субъектов и ПДн, местонахождение баз данных, трансграничная передача (если есть), меры защиты. Сверяйтесь с подготовленными данными из шага 2.
- Проверьте форму и отправьте Перечитайте заполненное уведомление. Цели обработки должны совпадать с тем, что написано в вашей Политике обработки ПДн на сайте — расхождение это отдельный риск. Отправьте форму и сохраните подтверждение.
- Дождитесь внесения в реестр РКН вносит данные в течение 30 дней. После этого проверьте запись на pd.rkn.gov.ru по ИНН — убедитесь, что всё корректно отображается.
- Настройте напоминание об изменениях Заведите ежемесячное напоминание на 1-е число: проверяйте, не изменились ли цели, категории ПДн, хостинг или список обработчиков. Если что-то поменялось за прошлый месяц — подайте форму изменений до 15-го числа текущего месяца.
Коротко о главном
- Уведомить РКН обязаны почти все: ИП, ООО, самозанятые с базой клиентов или сотрудников. Три реальных исключения (гос. ИС безопасности, только ручная обработка, транспортная безопасность) малый бизнес почти не затрагивают.
- Подать уведомление можно через Госуслуги без отдельной ЭЦП — достаточно подтверждённой учётной записи организации на портале.
- Первичное уведомление — до начала обработки. Изменения — до 15-го числа следующего месяца. РКН вносит в реестр за 30 дней.
- За неподачу или просрочку (ч. 10 ст. 13.11 КоАП) юрлица получают 100–300 тысяч рублей штрафа, ИП — как юрлицо.
- Перед подачей проверьте реестр на pd.rkn.gov.ru по ИНН — возможно, запись уже есть и повторно подавать не нужно.
- Уведомление — не финал: нужны ещё Политика ПДн, чекбоксы у форм, cookie-баннер и локализация данных в РФ.
Частые вопросы
Нужно ли уведомлять РКН, если я только веду Instagram и не собираю персональные данные?
Если в профиле или директе вы получаете имена и контакты потенциальных клиентов и сохраняете их хоть где-то — вы оператор ПДн. Статический IP, email из переписки — всё это ПДн по ст. 3 ФЗ-152. При любой минимальной коммерческой активности уведомить стоит.
Можно ли подать уведомление в РКН без электронной подписи?
Да. Через Госуслуги с подтверждённой учётной записью отдельная ЭЦП не нужна. Это прямо следует из порядка подачи на pd.rkn.gov.ru.
Сколько времени занимает проверка уведомления в РКН?
По закону — 30 дней. На практике бывает быстрее, но начало обработки ПДн лучше планировать с запасом.
Я уже работаю несколько лет и никогда не подавал уведомление. Что делать?
Подать сейчас. Сначала проверьте реестр по ИНН — возможно, запись уже есть. Если нет — подайте первичное уведомление. При первом нарушении РКН нередко даёт время на устранение, но тянуть не стоит: с 30.05.2025 штрафы кратно выросли.
Надо ли подавать новое уведомление, если я поменял CRM или переехал на другой хостинг?
Да, это изменение в обработке ПДн. Подайте форму 2 (изменения) не позднее 15-го числа месяца, следующего за месяцем, когда произошли изменения.
Что будет, если не подать уведомление и РКН это обнаружит?
Обычная схема: сначала требование об устранении (около 10 рабочих дней), потом штраф. Суды при первом нарушении нередко применяют предупреждение по ст. 4.1.1 КоАП. Но штраф по ч. 10 ст. 13.11 КоАП для юрлиц — 100–300 тысяч рублей, и с 30.05.2025 он реален.
Материал носит информационный характер, актуален на 2026 год и не заменяет юридическую консультацию по вашему конкретному случаю.