Реестр операторов персональных данных: как проверить и зарегистрироваться

Реестр операторов, осуществляющих обработку персональных данных — это официальная публичная база данных, которую ведёт Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Правовой основой для ведения реестра является статья 22 Федерального закона № 152-ФЗ «О персональных данных».

Реестр был создан в 2007 году одновременно с вступлением 152-ФЗ в силу. Его основное назначение — обеспечить прозрачность обработки персональных данных в Российской Федерации. Любой гражданин может проверить, зарегистрирована ли конкретная организация как оператор ПДн, какие данные она обрабатывает и на каком правовом основании это происходит.

Ключевые функции реестра:

• Учёт операторов — централизованная регистрация всех юридических и физических лиц, обрабатывающих персональные данные с использованием средств автоматизации
• Информирование граждан — субъекты ПДн могут узнать, кто и с какой целью обрабатывает их персональные данные, какие меры безопасности применяются
• Контроль и надзор — Роскомнадзор использует реестр для планирования проверок, выявления операторов, не подавших уведомление, и мониторинга соблюдения законодательства
• Проверка контрагентов — организации проверяют своих партнёров, подрядчиков и поставщиков на предмет соблюдения законодательства о ПДн перед заключением договоров, предусматривающих передачу данных
• Статистика и аналитика — реестр позволяет отслеживать динамику регистрации операторов по отраслям и регионам

Реестр размещён в открытом доступе на портале pd.rkn.gov.ru. По состоянию на начало 2026 года в реестре зарегистрировано более 900 000 операторов, и это число постоянно растёт по мере ужесточения контроля и увеличения штрафов за нарушения. Только за 2025 год количество новых записей выросло на десятки процентов — во многом благодаря введению оборотных штрафов за утечки.

Включение в реестр осуществляется на основании уведомления об обработке персональных данных, которое оператор обязан подать до начала обработки. Роскомнадзор вносит сведения в реестр в течение 30 дней с момента получения уведомления. Исключение из реестра происходит при прекращении обработки ПДн по заявлению оператора или при ликвидации юридического лица.

Важно понимать: реестр не является «разрешением» на обработку ПДн. Оператором вас делает сам факт обработки персональных данных, а не наличие записи в реестре. Однако отсутствие уведомления и соответствующей записи в реестре является самостоятельным нарушением закона, влекущим административную ответственность. Более того, при проверке Роскомнадзор в первую очередь обращает внимание на наличие записи в реестре — её отсутствие практически гарантирует выявление целого комплекса нарушений.

Реестр операторов ПДн содержит обширную информацию о каждом зарегистрированном операторе. Все эти сведения указываются оператором при подаче уведомления и доступны для публичного просмотра любому пользователю. Разберём состав данных детально.

Идентификационные данные оператора:

• Регистрационный номер — уникальный номер записи в реестре, присваивается автоматически при включении оператора. Этот номер используется для идентификации при подаче информационных писем об изменениях
• Дата внесения в реестр — дата, когда Роскомнадзор зарегистрировал оператора на основании уведомления
• Наименование оператора — полное и сокращённое наименование юридического лица, либо фамилия, имя, отчество индивидуального предпринимателя или физического лица
• ИНН — идентификационный номер налогоплательщика (10-значный для юрлиц, 12-значный для ИП и физлиц)
• ОГРН / ОГРНИП — основной государственный регистрационный номер
• Юридический адрес — адрес регистрации оператора по данным ЕГРЮЛ/ЕГРИП

Сведения об обработке персональных данных:

• Правовое основание обработки — конкретные ссылки на федеральные законы (152-ФЗ, Трудовой кодекс, ГК РФ, закон о бухучёте), договоры, согласия субъектов
• Цели обработки — для каждой категории субъектов указываются конкретные цели: ведение кадрового учёта, исполнение договоров, обработка обращений через сайт, бухгалтерский учёт и другие
• Категории субъектов — чьи персональные данные обрабатываются: работники и члены их семей, клиенты и покупатели, посетители сайта, контрагенты, соискатели
• Категории персональных данных — конкретный перечень обрабатываемых данных: ФИО, дата рождения, паспортные данные, адрес, телефон, email, данные о здоровье, биометрические данные
• Перечень действий с ПДн — какие операции выполняются: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение
• Способ обработки — автоматизированная, неавтоматизированная или смешанная
• Дата начала обработки — когда оператор фактически начал обрабатывать ПДн

Сведения о безопасности:

• Описание мер по обеспечению безопасности — применяемые организационные (разграничение доступа, инструктажи, журналы учёта) и технические (шифрование, антивирус, межсетевой экран, системы обнаружения вторжений) меры защиты
• Сведения о наличии шифровальных (криптографических) средств — используется ли шифрование при обработке, хранении и передаче ПДн, какие именно средства применяются
• Место нахождения базы данных — физический адрес серверов, дата-центра или хостинга, на котором хранятся ПДн граждан РФ (обязательно на территории России)

Сведения о трансграничной передаче:

• Осуществляется ли трансграничная передача — да или нет
• Перечень стран-получателей — в какие государства передаются персональные данные
• Основание для трансграничной передачи — договор, согласие субъекта, международное соглашение

Контактная информация:

• ФИО ответственного за организацию обработки ПДн — лицо, назначенное приказом руководителя
• Должность, телефон и email ответственного — для связи субъектов ПДн и Роскомнадзора

Все перечисленные сведения являются публичными и доступны для просмотра через поиск на pd.rkn.gov.ru без авторизации. Оператор обязан поддерживать их в актуальном состоянии — при любых изменениях необходимо подать информационное письмо в Роскомнадзор в течение 10 рабочих дней.

Проверка наличия организации в реестре операторов ПДн — простая и быстрая процедура, доступная любому пользователю интернета. Она не требует регистрации, авторизации или установки специального программного обеспечения.

Пошаговая инструкция по проверке:

Шаг 1. Откройте портал Роскомнадзора по адресу pd.rkn.gov.ru. Это единственный официальный сайт для работы с реестром операторов персональных данных. Не доверяйте сторонним сервисам, предлагающим «быструю проверку» — они могут содержать неактуальные данные.

Шаг 2. На главной странице портала найдите раздел «Реестр операторов» и перейдите в форму поиска.

Шаг 3. Выберите один из параметров поиска и введите значение:

• ИНН — самый надёжный способ поиска, так как ИНН уникален для каждого юридического лица и индивидуального предпринимателя. Введите 10-значный ИНН юрлица или 12-значный ИНН ИП/физлица
• ОГРН / ОГРНИП — альтернативный уникальный идентификатор, особенно удобен при проверке контрагентов
• Наименование организации — используйте полное или сокращённое наименование. Обратите внимание: поиск по названию может дать множественные результаты при распространённых наименованиях (например, ООО «Ромашка»)
• Регистрационный номер в реестре — если вы уже знаете номер оператора (например, он указан на сайте компании в политике конфиденциальности)

Шаг 4. Нажмите кнопку «Найти» и дождитесь результатов. Обычно поиск занимает несколько секунд.

Интерпретация результатов поиска:

Кому и зачем полезна проверка:

• Самим операторам — убедиться, что уведомление принято, запись создана, и все сведения актуальны. Рекомендуется проверять не реже одного раза в квартал
• Гражданам (субъектам ПДн) — узнать, на каком основании компания обрабатывает их данные, какие именно данные обрабатываются и кому передаются
• Юристам и консультантам — при аудите соблюдения 152-ФЗ клиентом, при подготовке к проверкам Роскомнадзора
• Службам безопасности — при проверке контрагентов и поставщиков перед заключением договоров, предусматривающих передачу или совместную обработку ПДн
• Инвесторам и покупателям бизнеса — при due diligence (юридической проверке) компании для оценки регуляторных рисков
• HR-специалистам — при проверке новых работодателей или подрядчиков по кадровому аутсорсингу

Практический совет: рекомендуем проверять свою запись в реестре не реже одного раза в квартал. Это особенно важно, если в организации произошли изменения: смена юридического адреса, назначение нового руководителя или ответственного за ПДн, добавление информационных систем, расширение целей обработки или категорий обрабатываемых данных. Помните, что несвоевременное внесение изменений — это тоже нарушение.

Регистрация в реестре операторов ПДн осуществляется путём подачи уведомления об обработке персональных данных в Роскомнадзор. Законом предусмотрены два способа подачи: электронный и бумажный. Рассмотрим оба варианта подробно.

Способ 1: Электронная подача через портал pd.rkn.gov.ru (рекомендуется)

Электронная подача — самый быстрый и удобный способ. Для неё потребуется:

• Подтверждённая учётная запись организации или ИП на портале Госуслуг (ЕСИА)
• Усиленная квалифицированная электронная подпись (УКЭП) руководителя или уполномоченного лица

Порядок действий:

Шаг 1. Перейдите на pd.rkn.gov.ru и авторизуйтесь через ЕСИА (Госуслуги). Выберите организацию, от имени которой подаёте уведомление. Убедитесь, что у вашей учётной записи есть полномочия для подачи документов.

Шаг 2. В личном кабинете выберите «Подача уведомления об обработке персональных данных». Укажите тип уведомления — «Первичное».

Шаг 3. Заполните раздел «Сведения об операторе»:

• Полное и сокращённое наименование организации (для юрлица) или фамилия, имя, отчество (для ИП)
• ИНН, ОГРН (ОГРНИП) — подтягиваются автоматически из ЕСИА
• Юридический адрес и фактический адрес (если они отличаются)
• Контактный телефон и адрес электронной почты организации

Шаг 4. Заполните сведения об ответственном за организацию обработки ПДн: ФИО, должность, контактный телефон и email. Ответственный должен быть назначен приказом руководителя до подачи уведомления.

Шаг 5. Укажите правовые основания обработки: ссылки на конкретные нормативные акты (152-ФЗ, Трудовой кодекс РФ, Гражданский кодекс РФ, Федеральный закон о бухгалтерском учёте, Налоговый кодекс и др.), а также на типы договоров и согласий субъектов.

Шаг 6. Опишите цели обработки для каждой категории субъектов. Роскомнадзор требует конкретных формулировок — не абстрактное «обработка ПДн», а детальные описания: «ведение кадрового и бухгалтерского учёта сотрудников», «исполнение договоров купли-продажи с физическими лицами», «обработка обращений через форму на сайте», «организация пропускного режима» и т.д.

Шаг 7. Укажите категории персональных данных (ФИО, дата рождения, паспортные данные, адрес проживания, телефон, email, ИНН, СНИЛС, данные о здоровье, биометрические данные) и категории субъектов (работники и члены их семей, клиенты и покупатели, посетители сайта, контрагенты, соискатели на вакансии).

Шаг 8. Заполните раздел о мерах безопасности: применяемые средства защиты информации (шифрование каналов связи, антивирусная защита, межсетевое экранирование, системы обнаружения вторжений), организационные меры (разграничение прав доступа, обучение персонала, ведение журналов). Обязательно укажите адрес расположения базы данных с ПДн граждан РФ на территории Российской Федерации.

Шаг 9. Если персональные данные передаются за пределы России — заполните раздел о трансграничной передаче: перечислите страны-получатели, укажите основания передачи (договор, согласие субъекта, международное соглашение).

Шаг 10. Внимательно проверьте все введённые данные на корректность и полноту, подпишите уведомление УКЭП и отправьте. Обязательно сохраните номер входящего документа — он понадобится для отслеживания статуса.

Способ 2: Бумажная подача

Если у организации нет электронной подписи, уведомление можно подать в бумажной форме. Заполните форму уведомления (утверждена приказом Роскомнадзора от 30.05.2017 № 94), подпишите руководителем организации, заверьте печатью (при наличии) и направьте заказным письмом с уведомлением о вручении в территориальное управление Роскомнадзора по месту регистрации юридического лица или ИП. Адрес территориального управления можно найти на сайте rkn.gov.ru.

Сроки рассмотрения: Роскомнадзор вносит сведения об операторе в реестр в течение 30 дней с даты получения уведомления. Регистрационный номер присваивается автоматически. После внесения запись становится доступна для публичного поиска.

Стоимость: подача уведомления и включение в реестр — полностью бесплатны. Государственная пошлина не предусмотрена. Единственные возможные затраты — оформление УКЭП (если её ещё нет у организации) и, при необходимости, консультация юриста для корректного заполнения.

Закон 152-ФЗ предусматривает строго ограниченный перечень случаев, когда оператор может обрабатывать персональные данные без подачи уведомления в Роскомнадзор. Эти исключения установлены в части 2 статьи 22 закона. С 1 сентября 2022 года (вступление в силу Федерального закона № 266-ФЗ) перечень исключений был существенно сокращён.

Действующие исключения (2025–2026):

1. Обработка без средств автоматизации (исключительно на бумаге)

Если персональные данные обрабатываются исключительно без использования средств автоматизации — то есть вручную, на бумажных носителях, без применения компьютеров, программ и электронных баз данных — уведомление подавать не нужно. На практике этот случай крайне редок: даже если личные дела работников хранятся в бумажных папках, заработная плата почти наверняка начисляется через бухгалтерскую программу, а значит, средства автоматизации используются и исключение не применяется.

2. Обработка в целях транспортной безопасности

Операторы, обрабатывающие ПДн исключительно в целях обеспечения транспортной безопасности в соответствии с Федеральным законом «О транспортной безопасности», освобождены от подачи уведомления. Это узкоспециализированное исключение, касающееся ограниченного круга организаций транспортной отрасли.

Важно: какие исключения БОЛЬШЕ НЕ ДЕЙСТВУЮТ

До 1 сентября 2022 года действовали многочисленные дополнительные исключения, которые были отменены Федеральным законом № 266-ФЗ. Многие организации до сих пор ошибочно полагают, что эти исключения применимы к ним:

Это означает, что большинство организаций, ранее освобождённых от регистрации, теперь обязаны подать уведомление. Если ваша компания не подавала уведомление, ссылаясь на одно из этих старых исключений, — необходимо срочно подать уведомление, чтобы избежать штрафа.

Отдельно о физических лицах:

Граждане, обрабатывающие ПДн других лиц исключительно для личных и семейных нужд (например, ведение адресной книги, семейного альбома), не считаются операторами в понимании 152-ФЗ и не обязаны подавать уведомление. Однако если физическое лицо обрабатывает чужие ПДн в коммерческих или иных неличных целях — например, ведёт клиентскую базу как фрилансер, администрирует сообщество с базой подписчиков для рассылки — формально оно является оператором и обязано подать уведомление.

Рекомендация: если вы сомневаетесь, подпадает ли ваша деятельность под исключение, — подайте уведомление. Это полностью бесплатно, занимает 30–60 минут, а штрафы за непредставление и связанные с ним проверочные мероприятия многократно превышают затраченное время.

Сведения об операторе в реестре не являются статичными — они должны актуализироваться при любых изменениях в деятельности организации. Согласно части 7 статьи 22 закона 152-ФЗ, оператор обязан уведомить Роскомнадзор об изменениях в ранее представленных сведениях в течение 10 рабочих дней с момента их возникновения.

Перечень ситуаций, требующих подачи информационного письма:

• Смена юридического адреса — при переезде офиса, перерегистрации юрлица, изменении адреса в ЕГРЮЛ
• Изменение наименования — при переименовании организации или изменении организационно-правовой формы
• Смена руководителя или ответственного за обработку ПДн — назначение нового генерального директора или нового ответственного лица
• Добавление новых целей обработки — запуск интернет-магазина, программы лояльности, email-рассылки, нового мобильного приложения
• Новые категории субъектов — начали обрабатывать данные не только сотрудников, но и клиентов, подписчиков, пользователей приложения
• Новые категории ПДн — стали собирать биометрические данные, данные о здоровье, геолокацию
• Новые информационные системы — внедрили CRM, ERP, перешли на новый сайт, подключили новый сервис рассылок или аналитики
• Изменение мер безопасности — обновили средства защиты, установили новое оборудование, сменили хостинг или облачного провайдера
• Начало или прекращение трансграничной передачи — начали использовать иностранные сервисы (облако, аналитику) или прекратили
• Смена места нахождения базы данных — миграция серверов, переход на другой хостинг, смена дата-центра

Как подать информационное письмо об изменениях:

Электронно через портал pd.rkn.gov.ru:

• Авторизуйтесь в личном кабинете через ЕСИА (Госуслуги)
• Выберите раздел «Подача информационного письма об изменениях»
• Укажите регистрационный номер оператора в реестре
• Заполните поля с изменёнными сведениями — система позволяет редактировать только те блоки, в которых произошли изменения
• Подпишите информационное письмо УКЭП и отправьте

В бумажной форме:

• Составьте информационное письмо на бланке организации
• Укажите регистрационный номер оператора в реестре
• Подробно опишите, какие именно сведения изменились, и укажите актуальные данные
• Подпишите руководителем, заверьте печатью (при наличии)
• Направьте заказным письмом с уведомлением о вручении в территориальное управление Роскомнадзора

Сроки обработки: Роскомнадзор вносит изменения в реестр в течение 30 дней с момента получения информационного письма.

Прекращение обработки ПДн:

Если оператор полностью прекращает обработку персональных данных (ликвидация организации, прекращение определённого вида деятельности), необходимо подать уведомление о прекращении обработки персональных данных. После его рассмотрения Роскомнадзор исключает оператора из реестра. Рекомендуется сохранить копию уведомления и подтверждение его отправки для подтверждения снятия обязательств.

Распространённая ошибка: значительная часть организаций подала уведомление 5–10 лет назад и с тех пор ни разу не актуализировала данные в реестре. При проверке Роскомнадзор фиксирует расхождение между сведениями в реестре и фактической деятельностью оператора, что влечёт предписание об устранении нарушений и может стать основанием для административного штрафа.

По данным проверок Роскомнадзора и анализу административной и судебной практики, операторы допускают одни и те же ошибки при регистрации и ведении записи в реестре. Рассмотрим наиболее распространённые, чтобы вы могли их избежать.

1. Полное отсутствие уведомления

Самая частая и самая грубая ошибка — организация обрабатывает ПДн (сотрудников, клиентов, посетителей сайта), но никогда не подавала уведомление в Роскомнадзор. Многие руководители до сих пор уверены, что это «необязательная формальность» или что их деятельность попадает под исключения. После масштабного сокращения исключений в сентябре 2022 года подавляющее большинство организаций обязано иметь запись в реестре.

2. Уведомление подано, но данные устарели

Организация подала уведомление несколько лет назад и забыла о нём. С тех пор сменился руководитель, юридический адрес, добавились новые цели обработки и информационные системы — но в реестре всё по-старому. Несоответствие данных в реестре фактическому положению дел — отдельное нарушение, которое фиксируется при проверке.

3. Неполное или некорректное заполнение уведомления

Оператор торопился и заполнил уведомление «для галочки»: указал не все цели обработки, пропустил категории субъектов (например, забыл указать посетителей сайта), не описал меры безопасности. При проверке Роскомнадзор сравнивает данные в реестре с реальной деятельностью — любое расхождение фиксируется как нарушение.

4. Указание абстрактных целей обработки

Роскомнадзор неоднократно обращал внимание на то, что цели обработки должны быть конкретными. Формулировки типа «обработка персональных данных» или «обеспечение деятельности организации» — недопустимы. Правильно: «ведение кадрового учёта работников», «исполнение договоров купли-продажи», «обработка заявок через форму на сайте».

5. Неуказание всех информационных систем

Оператор указал только 1С и CRM, но «забыл» о сайте с формами сбора данных, email-рассылке, системе видеонаблюдения, WhatsApp-чатах с клиентами и облачных хранилищах. Каждая система, в которой обрабатываются ПДн, должна быть отражена в уведомлении.

6. Подача уведомления без подготовки документов

Уведомление ссылается на внутренние документы оператора (политика, приказы, положения). Если подать уведомление, не имея этих документов, при проверке Роскомнадзор потребует их предъявить — и их отсутствие станет дополнительным нарушением. Правильный порядок: сначала разработать документы, затем подать уведомление.

7. Неуведомление о прекращении обработки

Организация прекратила определённый вид деятельности (например, закрыла интернет-магазин), но не подала уведомление о прекращении обработки. Данные остаются в реестре, что может вызвать вопросы при проверке — почему заявлена обработка данных клиентов магазина, если магазин не работает.

8. Игнорирование требования о локализации

В уведомлении указано, что база данных находится в России, а фактически данные хранятся на зарубежных серверах (AWS, Google Cloud без российского региона). Это особенно опасное нарушение — штрафы за нарушение локализации достигают 6 млн рублей, а при повторном нарушении — до 18 млн рублей.

Рекомендация: проведите самопроверку своей записи в реестре по этому списку. Откройте pd.rkn.gov.ru, найдите свою организацию по ИНН и сравните данные в карточке оператора с фактическим положением дел. Если обнаружите расхождения — подайте информационное письмо об изменениях в течение 10 рабочих дней.

Ответственность за нарушения в сфере обработки персональных данных установлена статьёй 13.11 КоАП РФ. С 2025 года штрафы были многократно увеличены, а за утечки введены оборотные штрафы. Рассмотрим актуальные санкции, непосредственно связанные с реестром операторов.

Штраф за обработку ПДн без уведомления (ч. 1 ст. 13.11 КоАП РФ):

Сам по себе штраф за отсутствие уведомления относительно невелик. Однако реальная опасность кроется в другом: проверка, инициированная из-за отсутствия записи в реестре, как правило, выявляет целый комплекс нарушений — отсутствие внутренних документов, неполучение согласий субъектов, неопубликованную политику обработки ПДн, нарушение сроков ответа на запросы граждан.

Сопутствующие штрафы, выявляемые при проверке:

Совокупность штрафов по итогам одной проверки может составить от сотен тысяч до нескольких миллионов рублей.

Оборотные штрафы за утечку данных (с 30 мая 2025 года):

Федеральным законом № 421-ФЗ от 30.11.2024 введены принципиально новые санкции за утечку персональных данных. Они не связаны напрямую с реестром, но отсутствие в реестре и системных мер защиты многократно увеличивает риск утечки:

• Утечка данных 1 000–10 000 субъектов — штраф от 3 до 5 млн руб.
• Утечка данных 10 000–100 000 субъектов — штраф от 5 до 10 млн руб.
• Утечка данных более 100 000 субъектов — штраф от 10 до 15 млн руб.
• Повторная утечка — оборотный штраф от 1% до 3% годовой выручки, минимум 20 млн руб., максимум 500 млн руб.

Кроме административной ответственности, с 2025 года действуют нормы об уголовной ответственности за незаконное использование ПДн (ст. 272.1 УК РФ): штраф до 300 000 руб. или лишение свободы до 4 лет.

Практический вывод: отсутствие в реестре операторов — это «красная тряпка» для Роскомнадзора. Первое, что проверяют инспекторы, — есть ли организация в реестре. Если нет — это сигнал к углублённой проверке, которая почти всегда выявляет множественные нарушения с суммарными штрафами, в десятки и сотни раз превышающими штраф за само отсутствие уведомления.

Если ваша организация обрабатывает персональные данные, но отсутствует в реестре операторов ПДн, — это нарушение закона, которое необходимо устранить как можно быстрее. Чем дольше вы откладываете, тем выше риск: Роскомнадзор активно сверяет данные реестра с ЕГРЮЛ и выявляет организации, которые обязаны быть зарегистрированы, но отсутствуют.

Пошаговый план действий:

Шаг 1. Проведите экспресс-аудит обработки ПДн

Определите полную картину: какие именно персональные данные вы обрабатываете, чьи это данные (сотрудники, клиенты, посетители сайта, контрагенты), в каких информационных системах происходит обработка (1С, CRM, сайт, Excel, облачные сервисы), на каком правовом основании (закон, договор, согласие субъекта). Составьте перечень всех процессов обработки — он понадобится при заполнении уведомления.

Шаг 2. Назначьте ответственного за обработку ПДн

Издайте приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Его ФИО, должность и контактные данные указываются в уведомлении. Ответственный должен быть штатным сотрудником организации.

Шаг 3. Разработайте комплект внутренних документов

Прежде чем подавать уведомление, подготовьте минимальный набор документов, на которые оно ссылается:

• Политика обработки персональных данных (для публикации на сайте)
• Приказ о назначении ответственного за обработку ПДн
• Приказ об утверждении перечня лиц, допущенных к обработке
• Положение об обработке персональных данных
• Формы согласий на обработку ПДн (для сотрудников и клиентов)
• Обязательства о неразглашении для сотрудников

Шаг 4. Подайте уведомление в Роскомнадзор

Через портал pd.rkn.gov.ru (электронно с УКЭП) или в бумажной форме заказным письмом в территориальное управление Роскомнадзора. Заполните все разделы максимально подробно и корректно — неполное или некорректное заполнение может вызвать запрос на доработку или создать расхождения при проверке.

Шаг 5. Опубликуйте политику обработки ПДн на сайте

Если у организации есть сайт — разместите на нём политику обработки персональных данных в общедоступном месте. Ссылка на политику должна быть доступна с любой страницы, где осуществляется сбор ПДн (формы заказа, регистрации, обратной связи, подписки на рассылку).

Шаг 6. Получите недостающие согласия

Если обработка требует согласия субъектов — получите его у сотрудников, клиентов и иных лиц, чьи данные уже обрабатываются. Для посетителей сайта реализуйте механизм получения согласия (чекбокс перед отправкой формы, cookie-баннер).

Шаг 7. Дождитесь включения в реестр

В течение 30 дней после подачи уведомления проверяйте статус на pd.rkn.gov.ru по ИНН организации. После появления записи убедитесь в корректности всех данных.

Шаг 8. Настройте процесс поддержания актуальности

Назначьте ответственного за регулярную проверку данных в реестре (не реже раза в квартал) и оперативное внесение изменений при их возникновении.

Реестр операторов ПДн — один из ключевых инструментов Роскомнадзора при планировании и проведении проверочных мероприятий. Понимание того, как регулятор работает с реестром, поможет вам подготовиться и минимизировать риски.

Как реестр используется при планировании проверок:

• Выявление незарегистрированных операторов. Роскомнадзор регулярно сопоставляет реестр операторов ПДн с данными ЕГРЮЛ/ЕГРИП. Если организация ведёт деятельность, явно связанную с обработкой ПДн (медицина, образование, торговля, финансы), но отсутствует в реестре — она становится кандидатом на проверку
• Анализ актуальности данных. Если запись оператора не обновлялась несколько лет, а организация активно работает, это также может стать основанием для включения в план проверок
• Обработка жалоб граждан. Когда субъект ПДн жалуется на организацию, первое, что проверяет Роскомнадзор, — наличие записи в реестре. Отсутствие записи автоматически становится дополнительным нарушением

Что проверяют в рамках контрольных мероприятий:

Виды проверок:

Плановые проверки проводятся на основании ежегодного плана, утверждаемого Роскомнадзором. План публикуется до 31 декабря предшествующего года на сайте rkn.gov.ru. О плановой проверке оператор уведомляется не менее чем за 3 рабочих дня.

Внеплановые проверки проводятся по жалобам граждан, при выявлении утечек, по истечении срока предписания и по иным основаниям. Жалоба субъекта ПДн — самая распространённая причина внеплановых проверок: достаточно одной жалобы на спам-рассылку, несанкционированные звонки или отказ удалить данные.

Как подготовиться:

• Убедитесь, что организация включена в реестр и все данные актуальны
• Проведите внутренний аудит документации по 152-ФЗ
• Проверьте наличие согласий на обработку для всех категорий субъектов
• Подготовьте журнал учёта обращений субъектов ПДн
• Убедитесь, что ответственный за обработку ПДн назначен приказом и готов взаимодействовать с проверяющими
• Проверьте, что политика обработки ПДн опубликована на сайте и соответствует фактическим процессам

Процесс регистрации в реестре операторов ПДн и поддержания данных в актуальном состоянии может показаться сложным, особенно для малого бизнеса без штатного юриста. Однако существуют инструменты и подходы, которые значительно упрощают эту задачу.

Что нужно подготовить до подачи уведомления:

Подача уведомления в Роскомнадзор — не изолированная процедура. Это финальный шаг в процессе приведения обработки ПДн в соответствие с законом. Вот минимальный чек-лист:

• Провести аудит обработки ПДн — понять, какие данные, чьи и в каких системах обрабатываются
• Подготовить политику обработки ПДн — основной публичный документ
• Издать приказ о назначении ответственного — без него невозможно заполнить уведомление
• Разработать формы согласий — для сотрудников, клиентов, посетителей сайта
• Составить перечень ИСПДн — список всех информационных систем с ПДн
• Определить уровень защищённости — на основании Постановления Правительства № 1119
• Описать меры безопасности — для указания в уведомлении

Сервис Кибероснова Документы позволяет автоматизировать большую часть этой работы. Вы отвечаете на простые вопросы о вашей организации, а система генерирует полный комплект документов — от политики обработки ПДн до форм согласий и приказов. Все документы адаптированы под актуальные требования 152-ФЗ с учётом изменений 2022–2025 годов.

Преимущества автоматизации:

• Скорость — комплект документов формируется за минуты, а не за недели работы юриста
• Актуальность — шаблоны обновляются при изменении законодательства
• Полнота — система учитывает все обязательные документы и не пропускает важные разделы
• Согласованность — данные в уведомлении, политике, приказах и согласиях не противоречат друг другу
• Экономия — стоимость автоматической генерации в разы ниже услуг юриста по подготовке документации с нуля

Рекомендация по регулярному обслуживанию записи в реестре:

После включения в реестр не забывайте о нём. Установите напоминание на проверку данных раз в квартал. При любых изменениях в деятельности организации (новые сотрудники, новые системы, новые услуги, смена адреса) оценивайте, нужно ли обновить сведения в реестре. Своевременное внесение изменений — лучшая страховка от штрафов и неприятных сюрпризов при проверке Роскомнадзора.