Уведомление в Роскомнадзор об обработке персональных данных в 2026 году

Обработка персональных данных — неотъемлемая часть любого бизнеса: от заключения договоров и проведения платежей до ведения клиентской базы и найма сотрудников. Во всех этих случаях используется личная информация, а значит, необходимо заранее уведомить Роскомнадзор. Игнорирование этого требования может привести к серьёзным штрафам. Точка Банк поможет разобраться в требованиях и сроках подачи документов.

Если бизнес собирает и использует персональные данные, например принимает заказы на сайте, ведёт клиентскую базу или оформляет сотрудников, он автоматически становится оператором персональных данных. Это касается всех: организаций, ИП и самозанятых.

Оператором считают любого, кто работает с персональными данными клиентов, партнёров, сотрудников: фамилиями, телефонами, адресами, паспортными данными, электронной почтой и прочее. Даже если вы самозанятый, работаете без сотрудников и продаёте товары через маркетплейс, уведомление Роскомнадзору всё равно может понадобиться.

В большинстве случаев продавцам на маркетплейсах уведомление не нужно, если вы пользуетесь стандартной системой площадки и не получаете персональные данные клиентов напрямую.

Но если вы собираете и обрабатываете персональные данные — как в собственных системах, так и с привлечением сторонних сервисов, — уведомление в Роскомнадзор подавать обязательно.

Важно! Уведомление требуется, даже если вы не видите данные клиентов напрямую. Если данные проходят через вашу систему, например логируются, передаются или временно хранятся, это уже считается обработкой.

Уведомление подают до начала обработки персональных данных. Это не рекомендация, а требование Федерального закона от 27.07.2006 №152-ФЗ. Кроме того, уведомление необходимо обновлять не позднее 15-го числа месяца, следующего за тем, в котором произошли изменения, согласно ч. 7 ст. 22 №152-ФЗ, в случае перемены:

Уведомление подаётся в течение 10 рабочих дней (ч. 7 ст. 22 №152-ФЗ), если организация прекратила обрабатывать ПД.

Обработка персональных данных — это не только их сбор. К ней также относятся хранение, передача, систематизация, обезличивание, удаление и любые другие операции с информацией. Даже если ИП или самозанятый всего лишь формирует клиенту платёжное поручение на компьютере, это уже считается обработкой его персональных данных.

Уведомление заполняется через личный кабинет на сайте Роскомнадзора. В нём указывают, кто обрабатывает данные, с какой целью, где и как они хранятся и какие меры защиты применяются. 

После подачи организация или ИП попадают в реестр операторов персональных данных. И могут разместить на своём сайте информационный баннер с указанием, что являются оператором персональных данных. Проверить наличие записи можно по ИНН, наименованию и регистрационному номеру. Если запись есть — второй раз подавать уведомление не нужно.

Есть три случая, когда уведомление в Роскомнадзор можно не подавать. Они перечислены в ч. 2 ст. 22 Федерального закона №152-ФЗ:

Во всех остальных случаях уведомление обязательно. Даже если у вас нет сотрудников, но вы ведёте деятельность через маркетплейс, заключаете договоры с юридическими лицами или просто составляете счета в Excel, вы уже обрабатываете персональные данные и обязаны уведомить Роскомнадзор.

Чтобы стать оператором персональных данных, бизнесу нужно пройти регистрацию в Роскомнадзоре. Это касается всех — организаций, ИП и самозанятых, которые обрабатывают данные хотя бы одного клиента или сотрудника. Для регистрации нужно отправить в РКН специальное уведомление. Его форма и правила заполнения утверждены приказом Роскомнадзора от 28 октября 2022 года №180.

С формой можно ознакомиться на официальном сайте РКН. 

Бланк уведомления стандартный и состоит из пяти разделов. Заполнить его несложно — в большинстве пунктов достаточно просто поставить галочки или выбрать нужный вариант из выпадающего списка. 

Удобнее всего заполнить уведомление на сайте Роскомнадзора. Даже если вы подаёте его на бумаге, форму необходимо заполнить онлайн, затем распечатать с сайта, подписать от руки и отправить по почте. Если у вас есть электронная подпись, можно сразу подать уведомление через сайт, без печати и почтовой отправки.

С печатной версией формы можно ознакомиться в приказе от 28.10.2022 №80.

Уведомление можно подать одним из трёх способов:

1. Через Госуслуги — в электронном виде с подтверждённой учётной записью на Госуслугах. Авторизуйтесь, заполните форму и отправьте её онлайн.

2. На бумаге — распечатайте форму, заполните и направьте в территориальный орган Роскомнадзора по месту регистрации.

3. С электронной подписью — заполните форму на сайте и подпишите её усиленной квалифицированной подписью. Перед отправкой установите плагин КриптоПро ЭЦП Browser plug-in и настройте его.

При заполнении уведомления на сайте Роскомнадзора нажмите на гиперссылку «Перейти к форме». 

Рассмотрим подробнее, как правильно заполнить уведомление в РКН.

В этом разделе нужно указать регион регистрации компании, её полное наименование, а для ИП, самозанятых и физических лиц — фамилию, имя и отчество. Также потребуется внести ИНН, ОГРН, фактический адрес ведения деятельности — он может отличаться от адреса регистрации, контактный email и перечень регионов, на территории которых осуществляется обработка персональных данных.

Поле «Адрес оператора» состоит из двух строк:

Если организация зарегистрирована в одном регионе, а обрабатывает персональные данные в других, тогда нужно отметить:

В этом разделе нужно указать, зачем вашей компании нужны персональные данные физлиц, для чего вы их собираете, храните и используете. Целей может быть несколько, но уведомление подаётся одно. 

Что нужно указать для каждой цели

Для каждой цели обработки нужно заполнить отдельный блок, в котором указываются:

В законе нет точного списка целей. Зато на сайте Роскомнадзора есть готовые формулировки, можно выбрать подходящую из них.

Каждая компания или ИП определяет цели самостоятельно. Сайт предлагает на выбор более 30 целей обработки. Если ни одна не подходит, выберите в списке вариант «иная» и впишите свою формулировку вручную. 

Например, если у вас нет сотрудников и сайта, можно указать цель — формирование базы клиентов и контрагентов для заключения и исполнения договоров. Если вы ИП без сотрудников и оказываете бухуслуги, то в уведомлении можно указать такие цели обработки:

Здесь указывается, какие именно персональные данные вы будете обрабатывать и зачем. Для каждой цели обработки заполняется отдельный блок с нужными категориями данных.

Если в уведомлении вы указали, например, три цели, значит, нужно оформить три блока с категориями персональных данных. При этом одни и те же данные могут повторяться в разных целях — это не считается ошибкой.

Все персональные данные делятся на три группы:

Нужно указать все данные, которые вы действительно собираете и используете. Например, если цель — ведение кадрового и бухгалтерского учёта, то в этом разделе можно указать такие данные: ФИО, дата и место рождения, адреса проживания и регистрации, СНИЛС, ИНН, паспортные данные, номер телефона, адрес электронной почты, профессия, должность, сведения о зарплате и трудовой деятельности, реквизиты банковской карты, номер счёта, образование и воинский учёт.

Собирать можно только те персональные данные, которые действительно нужны для выбранной цели.

Например, если цель — заключение и выполнение договоров, то запрещено запрашивать информацию о национальности, религии, политических взглядах или других личных убеждениях человека.

Укажите, с какого числа вы начали или начнёте обрабатывать персональные данные.

Иногда пользователи не могут определиться с датой. Например, если данные вы уже давно обрабатываете, а уведомление подаёте только сейчас. Или наоборот — только собираетесь начать, но точной даты ещё нет.

Вот как действовать в разных случаях:

— Если вы уже давно обрабатываете данные — укажите фактическую дату начала. Обычно это день регистрации вашей компании или ИП.

— Если открыли новую компанию и планируете нанять сотрудников позже — можно указать предполагаемую дату, когда начнёте работать с персональными данными. Например, вы зарегистрировали компанию 1 августа, подаёте уведомление 5 августа, а нанимать сотрудников планируете с 1 сентября. В этом случае в уведомлении можно указать 1 сентября как дату начала обработки данных.

В этом разделе нужно описать, каким способом компания будет обрабатывать персональные данные: вручную, с помощью компьютеров или и тем, и другим одновременно. 

Если в компании есть внутренняя локальная сеть, в уведомлении нужно выбрать вариант «с передачей по внутренней сети». Даже если у вас всего 10 компьютеров, но они не объединены в общую сеть, указывайте «без передачи по внутренней сети». Здесь важно наличие самой сети, а не количество техники.

Последний вариант — «с передачей по сети Интернет», как правило, подходит всем. 

Центр обработки данных (ЦОД) — это место, где оператор хранит и обрабатывает персональные данные, например офис или сервер. На сайте Роскомнадзора сведения состоят из строк: «Страна», «Адрес ЦОДа», «Собственный ЦОД». Например, организация хранит персональные данные на бумаге (в офисе или архиве) и в электронном виде — в программах «1С:ЗУП» и БИТ. Использует «коробочную» версию, самостоятельно устанавливает программы, настраивает защиту и контролирует, где находятся данные. 

Тогда в уведомлении ей нужно указать:

— в поле «Собственный ЦОД» — выберите вариант «да».

Если же организация арендует сервер у другой компании, то в поле «Адрес ЦОДа» нужно поставить её адрес. Его можно взять из договора.

В уведомлении об обработке персональных данных есть обязательное поле — «Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных». Здесь нужно указать, какие меры вы принимаете для защиты данных.

Опишите, какие меры вы принимаете, чтобы защитить персональные данные. Например, можно указать, что:

Впишите ФИО, должность и контактные данные человека, который оформлял уведомление.

Чем конкретнее будет описание, тем проще Роскомнадзору убедиться, что вы соблюдаете закон.

Когда заполните все поля, не забудьте подписать уведомление и отправить его удобным способом. 

После этого вы получите номер и ключ уведомления. 

Номер и ключ уведомления Роскомнадзора — это уникальные идентификаторы, присваиваемые каждому уведомлению об обработке персональных данных, направленному оператором в Роскомнадзор. Они используются для внесения корректировок в ранее поданные сведения и для отслеживания статуса уведомления в реестре.

Если вы потеряете номер или ключ, восстановить их через сайт не получится. Придётся обращаться в то подразделение Роскомнадзора, куда вы отправляли уведомление.

Проверить, зарегистрировано ли ваше уведомление, можно в любое время через реестр Роскомнадзора.  Просто введите в поиске:

Если уведомление зарегистрировано, вы сразу увидите его в списке. Если записей нет, под кнопкой «Найти» появится сообщение «Записей не найдено».

В этом случае лучше не ждать и подать уведомление заново — так вы избежите претензий со стороны Роскомнадзора.

Если собираетесь передавать персональные данные физических лиц за границу, заранее сообщите об этом в Роскомнадзор. Уведомление нужно подать до начала передачи — отдельно от обычного уведомления о том, что вы обрабатываете персональные данные.

Форму для уведомления можно найти на сайте Роскомнадзора. Пока она не утверждена официально, но можно использовать размещённый образец. Подайте уведомление отдельным документом. 

Уведомление о трансграничной передаче можно подать в двух вариантах: бумажном или электронном. Электронное уведомление нужно подписать усиленной квалифицированной электронной подписью и отправить через сайт Роскомнадзора — для этого понадобится установить специальный плагин. Бумажный вариант подписывает руководитель, затем его отправляют в региональное отделение Роскомнадзора.

Если не подать уведомление или направить его с ошибками, компанию могут оштрафовать. Как правило, ответственность наступает по ст. 19.7 КоАП РФ: для директора — от 300 до 500 ₽, для организации — от 3 000 до 5 000 ₽.

На практике встречаются случаи привлечения по ч. 10 ст. 13.11 КоАП РФ. В такой ситуации штрафы значительно выше: для юридических лиц — от 100 000 до 300 000 ₽. Поэтому риск более серьёзной ответственности также нельзя исключать.

Работа с персональными данными — это не только уведомление в РКН, но и ответственность за их защиту. То же самое касается и бухгалтерской информации.

В 2026 году штрафы остались прежними за то, что компания, самозанятые (НПД) или ИП не отправили уведомление в Роскомнадзор о начале работы с персональными данными. Суммы зависят от того, кто нарушил правило — физлицо, ИП или организация.

Вот какие штрафы сейчас действуют: