Уведомление в Роскомнадзор о персональных данных

Да, в большинстве случаев обязательно. Сбор имени, email или телефона через форму обратной связи — это обработка персональных данных, и компания становится оператором по статье 3 152-ФЗ. С 2025 года перечень случаев освобождения от уведомления резко сокращён, и «у нас только сайт» больше не работает как основание не подавать.

До начала обработки персональных данных. На практике — до момента, когда сайт принимает первую заявку или компания заключает первый трудовой договор. Если деятельность уже идёт без уведомления — подать нужно как можно быстрее, до момента возможной проверки.

Через портал pd.rkn.gov.ru, заполнив форму из 14 разделов и подписав электронной подписью руководителя. Технически процедура бесплатная и доступная. Сложность — в корректном заполнении: цели обработки, категории данных, правовые основания и описание мер защиты должны соответствовать реальным процессам, а не общим формулировкам. Большинство самостоятельных уведомлений содержат ошибки, которые приводят к запросам разъяснений.

Прямой штраф — до 5 тысяч рублей по статье 19.7 КоАП для юр. лица. Более существенно — последствия: отсутствие в реестре операторов означает, что при любой плановой или внеплановой проверке (по жалобе клиента, в рамках планового надзора, по запросу прокуратуры) Роскомнадзор автоматически фиксирует дополнительный состав. Плюс — компании нет в открытом реестре, что становится проблемой при B2B-договорах с крупными клиентами и при due diligence.

Сокращён перечень случаев освобождения от подачи — большинство работодателей теперь обязаны подавать уведомление, даже если не обрабатывают данные клиентов. Расширена форма — теперь нужно указывать конкретных подрядчиков, которым передаются данные, и более детально описывать меры защиты. Уведомления, поданные по старой форме, в большинстве случаев требуют актуализации.

Да. Согласно статье 22 152-ФЗ, оператор обязан уведомить о любых изменениях в обработке не позднее 10 рабочих дней с момента таких изменений. К существенным изменениям относятся: новые цели обработки, новые категории данных, новые категории субъектов, новый адрес местонахождения базы данных, существенные изменения в мерах защиты.

Проверить можно бесплатно на портале pd.rkn.gov.ru/operators-registry/operators-list — введите ИНН или название компании. Если в реестре есть запись с реестровым номером — значит уведомление было подано и принято. Если записи нет — уведомление либо не подавалось, либо отклонено Роскомнадзором (это редко, но бывает при существенных ошибках).

Согласно Приказу Роскомнадзора №274 (в редакции 2024–2025): наименование оператора, ИНН/ОГРН, адреса, цели обработки, правовые основания, категории субъектов, категории обрабатываемых ПДн, перечень действий с данными, способы обработки (автоматизированная/неавтоматизированная), описание мер защиты, дата начала обработки, сведения о трансграничной передаче, сведения о месте нахождения базы данных, сведения о наличии или отсутствии шифрования. 14 разделов в форме.

Указываются те конкретные основания, по которым обрабатываются данные каждой категории субъектов. Для клиентов сайта — обычно статья 6 152-ФЗ пункт 1 (согласие субъекта) + договор оказания услуг. Для работников — Трудовой кодекс РФ + статья 6 152-ФЗ пункт 5 (исполнение договора). Для контрагентов — гражданские договоры + статья 6 152-ФЗ пункт 5. Указание «152-ФЗ» в общем виде — типовая ошибка.

Подача уведомления сама по себе бесплатна (госуслуга). Стоимость работы зависит от объёма: подготовка с нуля для компании среднего размера — обычно от 8 до 20 тысяч рублей. Срочная подача (в день обращения) дороже. В составе общего пакета документов по 152-ФЗ — уведомление включено в стоимость пакета 30–60 тысяч рублей. См. /paket-dokumentov-pdn.