Избранное

Уведомление в Роскомнадзор: когда нужно и как сделать

    28 апреля 2026 года

    Если коротко: если вы — компания или ИП и у вас есть сотрудники, клиенты, заявки с сайта, договоры с физлицами или даже просто пропуска/учёт посетителей — вы почти наверняка обрабатываете персональные данные. А значит, нужно понять, подпадаете ли вы под обязанность уведомления по ст. 22 152-ФЗ, и если да — подать его нормально, без “написали что-то на глаз и забыли”.

     

    В этой статье:

     

    Ниже — практичный разбор: что требует закон, где есть исключения, и как подойти к подаче уведомления так, чтобы потом не переделывать.

    Кто такой “оператор персональных данных” и почему это почти все

    В терминах 152-ФЗ персональные данные — это любая информация, относящаяся к прямо или косвенно определяемому человеку. [8]

    Оператор — это тот, кто определяет цели и средства обработки. В реальной жизни “оператором” становится и работодатель (данные сотрудников), и компания с CRM (данные клиентов и лидов), и любой бизнес, который собирает заявки через формы на сайте.

    Обычно МСБ ошибается на первом шаге: “мы работаем только с юрлицами — значит, ПДн нет”. Но на практике почти всегда есть хотя бы:

    • сотрудники (кадры, зарплата, пропуска);
    • контакты представителей контрагентов;
    • заявки с сайта/мессенджеров;
    • записи звонков/переписка;
    • доступы в информационные системы, привязанные к человеку.

    Когда уведомление обязательно

    Базовое правило в ст. 22 звучит очень прямо: оператор до начала обработки обязан уведомить уполномоченный орган (в РФ — Роскомнадзор) о намерении осуществлять обработку, если вы не подпадаете под исключения. [3]

    Важно: уведомление — это не “разрешение”. Это регистрация в реестре операторов и фиксация того, какие данные, для каких целей и какими способами вы обрабатываете.

    Ещё два момента, которые часто упускают:

    • если меняются сведения, указанные в уведомлении, нужно уведомить об изменениях не позднее 15-го числа следующего месяца; [3]
    • если вы прекращаете обработку персональных данных, нужно уведомить об этом в течение 10 рабочих дней. [3]

    м Когда можно без уведомления (и почему это редко про МСБ)

    В ст. 22 перечислены случаи, когда уведомление можно не подавать. По актуальной редакции это три “живых” пункта:

    • персональные данные в госинформационных системах, созданных для защиты безопасности государства и общественного порядка;
    • обработка исключительно без использования средств автоматизации (по сути — “всё только на бумаге”);
    • случаи, связанные с законодательством о транспортной безопасности. [3]

    Если вы используете 1С/CRM/почту/таблицы/облачные сервисы/кадровые системы — это уже “средства автоматизации”. Поэтому в типичном офисе/магазине/складе исключение “только на бумаге” почти никогда не работает.

    Что подготовить до заполнения уведомления

    Уведомление проще всего заполнить, если у вас есть минимальный “порядок в голове” по персональным данным. Рекомендуем перед подачей собрать короткую инвентаризацию.

    1) Цели обработки

    Не “для работы компании”, а конкретно: кадровый учёт, заключение и исполнение договоров, клиентская поддержка, маркетинг (если есть), доступ на территорию, бухгалтерия и т.п.

    Это важно, потому что в ст. 22 по каждой цели нужно указать категории данных и субъектов. [3]

    2) Субъекты и категории данных

    Сотрудники, кандидаты, клиенты, посетители, представители контрагентов.

    Категории: ФИО, контакты, паспортные/кадровые данные (если есть), изображения (если у вас фото на пропуск/СКУД), и т. д.

    3) Системы и “где живут данные”

    Сайт (формы), CRM, почта, файлы, 1С, кадровая система, сервисы рассылок.

    В уведомлении есть отдельный пункт про место нахождения базы данных информации, содержащей персональные данные граждан РФ — его нельзя заполнять “на глаз”. [3]

    4) Кто имеет доступ и кто обрабатывает по договору

    Сотрудники (роль/отдел), подрядчики (например, бухгалтерия, IT-аутсорс, облачный провайдер).

    5) Меры защиты

    В уведомлении нужно описать меры по ст. 18.1 и 19 152-ФЗ, в том числе — использование криптосредств, если применяются. [3]

    Не нужно писать “у нас защита на максималках”. Нужна честная и проверяемая картина: разграничение прав, пароли и MFA где возможно, резервное копирование, регламент доступа, антивирус/EDR (если есть), обновления, журналы.

    Как подать уведомление на практике

    Официальный путь — через электронные формы на портале персональных данных Роскомнадзора. [9]

    Ст. 22 допускает подачу уведомления на бумаге или в форме электронного документа, подписанного уполномоченным лицом. [3]

    Технические детали зависят от выбранного способа подачи, но логика заполнения одна: вы последовательно заполняете сведения об операторе, целях, категориях данных/субъектов, способах обработки, мерах защиты и т. д. [6]

    Практический совет: не пытайтесь “угадывать правильный вариант”. Если вы не уверены, например, есть ли у вас трансграничная передача данных или как корректно описать место нахождения базы, лучше сначала сделать короткий аудит потоков данных, а потом уже заполнять форму.

    Типовые ошибки МСБ (и как их избежать)

    1) Слишком общие цели (“ведение деятельности”). Потом это плохо стыкуется с реальными процессами.

    2) Не совпадает реальность и уведомление: в уведомлении “нет CRM”, а по факту CRM есть.

    3) Непонимание, где хранится база (особенно при связке сайт > формы > CRM > мессенджеры). В уведомлении это критично, потому что поле про местонахождение базы ПДн граждан РФ — обязательное. [3]

    4) Меры защиты “для галочки”: пишут абстрактно, без реальных процедур.

    5) Не обновляют сведения после изменений. Напоминаем: в ст. 22 установлен срок уведомления об изменениях — до 15-го числа следующего месяца. [3]

    Что после подачи

    Сведения попадают в реестр операторов. По ст. 22 уполномоченный орган вносит сведения в реестр в течение 30 дней с даты поступления уведомления (часть сведений является общедоступной). [3]

    Если вы прекращаете обработку — отдельно подаётся уведомление о прекращении, и орган исключает сведения из реестра в течение 30 дней с даты поступления уведомления. [3]

    И да: ответственность за нарушения в сфере ПДн закреплена в КоАП РФ (ст. 13.11), а Роскомнадзор в своих разъяснениях прямо указывает на ответственность отдельных составов, включая обязанности предоставлять информацию в установленные сроки. [5]

    Нормальная стратегия для МСБ — не “быстро отправить форму”, а сначала привести в порядок базовый контур: инвентаризация процессов, доступы, документы, меры защиты. И уже потом — подача уведомления так, чтобы оно соответствовало реальности.

    Что важно запомнить

    • Уведомление по ст. 22 152-ФЗ — обязанность “до начала обработки”, исключений немного. [3]
    • Если у вас есть ИТ-системы (CRM, 1С, почта, сайт), вы почти наверняка используете средства автоматизации, и “не уведомлять” обычно нельзя. [3]
    • В уведомлении придётся честно описать цели, категории данных/субъектов, меры защиты и место нахождения базы данных. [3]
    • Изменились сведения — уведомляйте об изменениях до 15-го числа следующего месяца. [3]
    • Прекратили обработку — уведомляйте в течение 10 рабочих дней. [3]
    • Лучше сначала навести порядок в процессах ПДн, чем “подавать наугад”, а потом разгребать несоответствия.

     

    FAQ (4–6 вопросов и ответов)

    Нужно ли уведомление, если у нас только сайт с формой “оставьте заявку”?

    Если вы собираете данные человека (контакты, имя, иногда комментарий), это обработка персональных данных. Базовое правило ст. 22 — уведомление до начала обработки, если вы не подпадаете под исключения. [7]

    Есть ли случаи, когда уведомление не нужно?

    Да, но они узкие: госинформсистемы для безопасности/общественного порядка, обработка исключительно без средств автоматизации, случаи транспортной безопасности. [3]

    Нужно ли обновлять уведомление, если мы поменяли CRM или подрядчика?

    Если меняются сведения из уведомления (цели, способы, место базы, перечень лиц с доступом и т. п.), ст. 22 требует уведомить об изменениях до 15-го числа следующего месяца. [3]

    Какой самый частый “провал” у малого бизнеса?

    Подают уведомление, не понимая, где реально находятся базы и какие подрядчики/сервисы участвуют в обработке. А потом уведомление расходится с реальностью.

    Можно ли подать уведомление электронно?

    Закон допускает подачу на бумаге либо в форме электронного документа, подписанного уполномоченным лицом. [6]

    Как мы можем помочь

    • Если хотите подать уведомление без “угадайки”, можем сделать короткий аудит процессов ПДн (сайт/CRM/кадры/подрядчики) и помочь подготовить корректные сведения для формы.
    • Нужно привести в порядок персональные данные перед подачей уведомления? Поможем собрать инвентаризацию, доступы и понятный набор мер защиты — без лишней бюрократии.
    • Если сомневаетесь, подпадаете ли под исключения или как описать базы и меры защиты — можно обсудить ситуацию: подскажем, где обычно “тонко”, и что стоит поправить в первую очередь.