Распространяется ли 152-ФЗ на мой небольшой сайт?

Да, если на сайте есть любая форма с именем, email или телефоном — даже простая «Связаться с нами» или подписка на рассылку. Закон не делает исключений для малого бизнеса, ИП или самозанятых.

У меня уже есть политика конфиденциальности. Этого достаточно?

Не всегда. Роскомнадзор проверяет не только наличие политики, но и её содержание. Документ должен включать 17 обязательных пунктов (статья 18.1 152-ФЗ) и соответствовать тому, что вы указали в реестре операторов. Если политика — это шаблон из интернета без ваших реквизитов и без описания всех собираемых данных, штраф возможен.

Использую Яндекс Метрику — это нарушение?

Яндекс Метрика — российский сервис, использовать можно. Но её нужно задекларировать в политике и в cookie-уведомлении на сайте. Google Analytics и Meta Pixel передают данные за рубеж — для них нужно отдельное согласие пользователя и заявление в Роскомнадзор о передаче данных за границу. Дешевле и проще убрать Google Analytics и поставить Яндекс Метрику.

Какие сейчас штрафы за нарушения 152-ФЗ?

С 30 мая 2025 года штрафы выросли в 10 раз. Для ИП и для ООО суммы одинаковые: первичное нарушение — 300 000 – 700 000 ₽, повторное — 1 000 000 – 1 500 000 ₽. За утечку 1–10 тысяч записей — 3–5 миллионов ₽. За отсутствие уведомления в Роскомнадзор — 100 000 – 300 000 ₽. Точные суммы по каждому нарушению — в нашем отчёте.

Что такое «автоматический сканер РКН» и при чём тут я?

С ноября 2025 года Роскомнадзор запустил автоматическую проверку сайтов. Бот заходит на сайт, ищет формы, политику, согласие, иностранные счётчики — и если что-то не так, выписывает предписание. После предписания у вас 10 рабочих дней на исправление, иначе штраф. Наша проверка работает по той же логике — вы узнаете о проблемах раньше Роскомнадзора.

Проверяете ли соответствие закону о русском языке (168-ФЗ)?

Да. С 1 марта 2026 года вся потребительская информация на сайте должна быть на русском языке (ФЗ-168). Мы находим иностранные слова без русского перевода рядом — например кнопки «Sale», «Buy», «Checkout» — сверяясь со словарями РАН и отсеивая зарегистрированные бренды и общепринятые термины. Результат — сигнал к проверке с указанием штрафов по ст. 14.8 КоАП (5 000–10 000 ₽ для юрлиц, 500–1 000 ₽ для ИП).

Нужно ли подавать заявление (уведомление) в Роскомнадзор?

Если на сайте есть форма с персональными данными (имя, email, телефон) — да, нужно. Подаётся через Госуслуги бесплатно, занимает 20-30 минут. Без подачи — штраф 100 000 – 300 000 ₽. После заявления вас включают в реестр операторов персональных данных.

Что я получу в платном тарифе кроме отчёта?

В тарифе «Полный пакет» (490 ₽): подробный PDF с анализом каждого нарушения, политика конфиденциальности и согласие на обработку персональных данных под ваши реквизиты, cookie-уведомление с готовым кодом для вставки, инструкции по установке для Tilda, WordPress, Webasyst, Битрикс, Wix, OpenCart, MODX. Всё на email после оплаты.

Что входит в тариф «Под ключ» за 9 900 ₽?

Всё что в «Базовом» плюс мы сами поставим cookie-уведомление и политику на ваш сайт по SSH (или вы дадите доступ в админку). Дополнительно: договор оказания услуг через электронный документооборот, счёт, акт выполненных работ. Подходит если вы ИП или ООО и хотите чтобы за вас всё сделали.

Что такое мониторинг и зачем он мне?

Сразу после оплаты 990 ₽/мес вы получаете полный пакет документов под ваш сайт — как в тарифе «Базовый» (политика, согласие, cookie-баннер, инструкции, PDF-отчёт). Дальше раз в 7 дней мы перепроверяем сайт и присылаем diff на email: что добавилось из нарушений, что исправилось. Критичные — с приоритетным заголовком. Отмена в любой момент.

Как вы получаете данные о сайте? Это безопасно?

Мы заходим на сайт как обычный посетитель и смотрим публичные страницы (главная, политика, форма контактов). К базе данных, админке или коду на сервере мы не подключаемся. Никаких логинов и паролей не нужно. Это полностью безопасно — то же самое делает любой посетитель сайта.

Регистрация в Роскомнадзоре как оператор персональных данных — пошаговая инструкция

Регистрация в РКН как оператор персональных данных — пошаговая инструкция 2026

Q: Сколько стоит регистрация в РКН?

Бесплатно через Госуслуги или с УКЭП. Если через коммерческие сервисы типа Контур.Реестр — 2 000 – 5 000 рублей. За саму процедуру Роскомнадзор ничего не берёт.

Q: Нужна ли УКЭП для подачи?

Нет, если подаёте через Госуслуги — там используется аутентификация ЕСИА. УКЭП нужна только для второго способа подачи (без Госуслуг).

Q: Что делать если меня уже зарегистрировал бухгалтер 5 лет назад?

Зайдите в реестр, проверьте свою запись. Если категория Посетители сайта и цель работа с сайтом не указаны — подавайте уведомление о внесении изменений. Это не новая регистрация, а дополнение.

Q: А если я подал, но что-то не так указал?

Можно подать уведомление о внесении изменений в любой момент. Бесплатно, та же форма, но во втором варианте на странице портала.

Q: Что писать в поле Средства защиты информации?

Указывайте категории средств которые реально используете: средства антивирусной защиты, средства межсетевого экранирования, средства резервного копирования. Минимальный набор для микро-бизнеса — антивирус, файрвол и бэкап. Не пишите бренды (Kaspersky, Dr.Web), иначе при смене ПО придётся обновлять реестр. Полный список из 13 категорий есть в самой статье.

Q: Когда лучше отправлять уведомление чтобы не словить ошибку сайта?

Сайт pd.rkn.gov.ru регулярно тормозит днём из-за нагрузки. Самое тихое время — после 20:00 МСК, идеально с 23:00 до 6:00 утра. ЕСИА работает круглосуточно, форма за это время проходит без ошибок 503 Service Unavailable. Если днём не отправляется — попробуйте вечером, обычно срабатывает с первой попытки.

Если у вас есть сайт с любой формой (заявка, обратная связь, подписка) — вы оператор персональных данных. Подача уведомления в Роскомнадзор обязательна с сентября 2022 года (раньше для большинства бизнесов было исключение, теперь его нет). Бесплатно, через Госуслуги, занимает 15-30 минут.

В этой статье разберу пошагово: куда нажимать, что писать в каждое поле и как не наделать типовых ошибок, из-за которых уведомление принимают, но при проверке сайта Роскомнадзор всё равно выпишет штраф.

Сразу один критичный момент, который многие пропускают и потом удивляются проверкам: просто наличие записи в реестре не означает, что ваш сайт легален. Объясню это подробно — это база.

Содержание

Кто обязан регистрироваться
⚠ Самое главное: «зарегистрирован» ≠ «сайт легален»
Штрафы за пропуск регистрации
Как проверить себя в реестре операторов
Способы подачи: Госуслуги, бумага, Контур
Шаг 0 — что подготовить заранее
Шаг 1 — открыть портал РКН
Шаг 2 — Сведения об операторе (поля и расшифровка)
Шаг 3 — Цели обработки персональных данных
Шаг 4 — Категории субъектов (тут главная ловушка)
Шаг 5 — Категории персональных данных
Шаг 6 — Правовое основание обработки
Шаг 7 — Перечень действий и способы обработки
Шаг 8 — Меры защиты по ст. 18.1 и 19
Шаг 9 — Ответственный, даты, трансграничная передача
Шаг 10 — Подписание и отправка
Что после: проверка состояния и попадание в реестр
Внесение изменений если уже зарегистрированы
Готовые формулировки для сайта (копипаст)
Частые ошибки
FAQ
Об авторе

Кто обязан регистрироваться

Краткий ответ. Любой бизнес, который как-то обрабатывает персональные данные (имя, email, телефон, ИНН, фото), кроме редких исключений.

С сентября 2022 года почти все исключения, которые раньше позволяли не регистрироваться, отменили. До 2022 можно было не подавать уведомление если данные касались только трудовых отношений или только клиентов по договору. Теперь оба этих исключения убрали из закона.

Сейчас обязаны зарегистрироваться (подать уведомление):

ИП или ООО с сайтом, где есть любая форма (заявка, обратный звонок, подписка, корзина)
Магазины, в том числе на маркетплейсах (Wildberries, Ozon, Я.Маркет — там вы оператор данных покупателей)
Сервисы услуг (фитнес, салон красоты, репетиторы, фрилансеры с лендингом)
Любой работодатель с сотрудниками (минимум один)
Управляющие компании, ТСЖ, ЖСК — собственники и жильцы
Государственные и муниципальные органы

Не обязаны регистрироваться только:

Самозанятые без сайта и без сотрудников (но у большинства самозанятых уже есть Я.Услуги или Avito-аккаунт → там собирают переписку, по сути это обработка ПДн через посредника)
Обработка ПДн только для себя лично (личная адресная книга, семейные фото)

Если у вас есть сайт и форма захвата — вы обязаны. Точка.

⚠ Самое главное: «зарегистрирован» ≠ «сайт легален»

Это критичный нюанс, который не объясняют ни в инструкциях самого Роскомнадзора, ни в большинстве статей. Запомните: запись в реестре операторов и соответствие сайта 152-ФЗ — это две разные вещи.

Типичный сценарий

Бухгалтер вашей компании, ИП Иванов, ещё в 2018 году подал уведомление в РКН: «обработка персональных данных работников для целей кадрового учёта и бухгалтерии». Запись в реестре есть, регистрационный номер 77-12-XXXXXX выдан.

Через 5 лет вы сделали сайт. Поставили форму «Оставить заявку». Подключили Яндекс.Метрику. Запустили рекламу через Я.Директ.

Дальше проверка РКН (или жалоба клиента → проверка):

Реестр: «Иванов И.И. — оператор, цели: кадровый учёт и бухгалтерия. Категории субъектов: работники».
Сайт: собирает имя и телефон посетителей через форму. Это другая цель (продажа услуг) и другие субъекты (посетители сайта, клиенты).

Вывод инспектора: уведомление есть, но обработка ПДн на сайте не заявлена в реестре. Это нарушение ч. 1 ст. 22 152-ФЗ — «оператор обязан уведомить уполномоченный орган о намерении осуществлять обработку».

Штраф такой же, как если бы уведомления не было вообще. По состоянию на 2026 — это от 60 000 ₽ для ИП и от 300 000 ₽ для юрлица.

Как этот момент проверять

Когда наш бесплатный сканер на pdaudit.ru проверяет ваш сайт, он по ИНН смотрит факт записи в реестре операторов РКН. Что у вас внутри уведомления — публично недоступно (это видно только вам, когда вы заходите на свою запись). Поэтому если запись есть — наш сканер показывает «✓ оператор зарегистрирован». Но он не может проверить, что именно там заявлено.

Чтобы убедиться, что ваш сайт реально покрыт, надо:

Зайти на реестр операторов РКН → найти себя по ИНН → открыть свою запись.
Посмотреть раздел «Цели обработки персональных данных».
Посмотреть раздел «Категории субъектов» — там должны быть либо «Посетители сайта», либо «Клиенты» (если у вас интернет-магазин).
Посмотреть раздел «Категории персональных данных» — должны быть как минимум «фамилия, имя», «адрес электронной почты», «номер телефона».

Если хоть чего-то из этого нет — нужно подать уведомление о внесении изменений (не повторная регистрация, а дополнение существующей записи). Об этом будет ниже отдельный раздел.

Дальше — пошаговая инструкция как пройти первоначальную регистрацию (или как заполнить изменения, форма та же самая).

Штрафы за пропуск регистрации

Краткий ответ. Штраф по ст. 19.7 КоАП — от 3 000 до 5 000 ₽ для ИП и от 30 000 до 50 000 ₽ для юрлица — за непредставление уведомления. Плюс штрафы по ст. 13.11 КоАП за обработку ПДн без законных оснований — от 60 000 ₽ для ИП и от 300 000 ₽ для юрлица.

Что нарушено	Статья КоАП	ИП	Юрлицо
Не подал уведомление в РКН	ст. 19.7	3 000 – 5 000 ₽	30 000 – 50 000 ₽
Обработка без законных оснований	ст. 13.11 ч. 1	60 000 – 100 000 ₽	300 000 – 500 000 ₽
Передача ПДн без согласия	ст. 13.11 ч. 1.1	30 000 – 50 000 ₽	350 000 – 700 000 ₽

Главное по таблице: сама непредставленная заявка стоит немного (5-50 тыс), но если РКН найдёт ещё и обработку без оснований (то есть фактически вы собираете данные через формы сайта, но в реестре этого нет) — это уже сотни тысяч.

Как проверить себя в реестре операторов

Краткий ответ. Зайти на pd.rkn.gov.ru/operators-registry/operators-list/, ввести ИНН или название организации, нажать «Найти».

Поиск в реестре операторов РКН — страница pd.rkn.gov.ru

На скриншоте видно три поля поиска:

Организация — название без кавычек и сокращений. Если в реестре «Ромашка», ищите «Ромашка», не «ООО "Ромашка"».
ИНН — самый надёжный способ. По ИНН найдёт точно одну запись.
Регистрационный номер — формата 77-XX-XXXXXX. Если у вас уже есть номер, проверка по нему быстрее всего.

Если ничего не нашлось — значит, в реестре вас нет. Идите подавать уведомление по инструкции ниже.

Если нашлось — кликните на свою запись и пройдитесь по разделам, как я описал в блоке «зарегистрирован ≠ сайт легален».

Способы подачи: Госуслуги, бумага, Контур

Краткий ответ. Три способа — каждый со своими плюсами и минусами:

Способ	Кому подходит	Время	Стоимость
Через Госуслуги (ЕСИА)	Самозанятым, ИП, малому бизнесу	15-30 мин	Бесплатно
С усиленной квалифицированной ЭП	Юрлицам с уже настроенной УКЭП	20 мин	Бесплатно (УКЭП должна быть)
Бумажно	Без интернета или с допотопной техникой	1-2 недели	Бесплатно + почта
Через Контур / Тензор / коммерческие сервисы	Если ну совсем нет времени	1 день	2 000 – 5 000 ₽

В этой статье — через Госуслуги. Это самый простой и быстрый способ. У вас должна быть подтверждённая учётная запись на gosuslugi.ru (если только базовая — сначала подтвердите через банк или МФЦ).

Если вы юрлицо — ваша учётная запись на Госуслугах должна быть привязана к организации (руководитель или сотрудник с правом подписи).

Шаг 0 — что подготовить заранее

Чтобы не открывать форму и судорожно искать данные — подготовьте их в одном файле:

Реквизиты оператора

Полное и сокращённое наименование (для ИП: «Индивидуальный предприниматель Иванов Иван Иванович» — полное, «ИП Иванов И.И.» — сокращённое)
ИНН, ОГРН (для ИП — ОГРНИП), дата регистрации в ЕГРЮЛ/ЕГРИП
Юридический адрес (для ИП — адрес регистрации)
Почтовый адрес (если отличается)
Телефон, факс (если есть), email
ОКВЭД (главный код деятельности), ОКПО, ОКФС, ОКОГУ, ОКОПФ — все эти коды есть в выписке из ЕГРЮЛ/ЕГРИП (можно бесплатно скачать на egrul.nalog.ru)

Сведения о сайте и обработке

Адрес сайта
Категории субъектов (см. шаг 4) — для сайта это «Посетители сайта», плюс «Клиенты» если есть продажи, плюс «Работники» если есть сотрудники
Цели обработки (см. шаг 3) — для сайта типовые: «обеспечение функционирования сайта», «обработка заявок», «маркетинговая коммуникация» (последнее — только если есть email-рассылки)
Какие поля собираете в формах: ФИО, email, телефон, иные

Ответственный за обработку ПДн

ФИО, должность, контактный телефон, email, почтовый адрес.
Это отдельная должность по 152-ФЗ. Обычно для маленького бизнеса — это сам руководитель или директор.
Эти данные являются общедоступными (опубликуются в реестре). Учитывайте это.

Меры защиты по ст. 18.1 и 19

Готовый текст для большинства случаев — дам в шаге 8.

Шаг 1 — открыть портал РКН

Перейдите на pd.rkn.gov.ru/operators-registry/notification/form/ — это страница «Форма уведомления».

Форма уведомления на портале РКН — выбор способа подачи

На странице две кнопки и описание трёх способов подачи:

«Подать уведомление (перейти к сервису ЕСИА)» — для подачи через Госуслуги. Жмём её.
Ниже: «В бумажном виде» — если хотите распечатать и отправить почтой.
Ниже: «В электронном виде с усиленной квалифицированной электронной подписью» — если у вас есть УКЭП и установлен плагин КриптоПро.

После клика «Подать уведомление» вас перебросит на Госуслуги для входа. Войдите под своим аккаунтом (для юрлица — под аккаунтом организации).

После входа — снова откроется форма, но уже с автоподстановкой ваших данных из ЕСИА (ФИО, ИНН и т.д.).

Дальше — заполняем форму по разделам.

Шаг 2 — Сведения об операторе (поля и расшифровка)

Это первый блок. Поля со звёздочкой * обязательные.

Регион регистрации * — субъект РФ, где вы зарегистрированы. Москва — выбираем «Москва». Подмосковье — «Московская область». ИП по месту прописки.

Тип оператора * — выпадающий список. Выбираете:

«Юридическое лицо» для ООО / АО / ЗАО / ПАО / некоммерческой организации
«Физическое лицо» для ИП и самозанятого
«Государственный или муниципальный орган» — если у вас гос. структура (явно нет, раз читаете эту статью)

Наименование оператора * — полное юридическое название без кавычек по-разному в разных полях. Для ООО — «Общество с ограниченной ответственностью "Ромашка"». Для ИП — «Индивидуальный предприниматель Иванов Иван Иванович».

Сокращённое наименование — необязательно, но крайне желательно заполнить. Для ООО — «ООО "Ромашка"». Для ИП — «ИП Иванов И.И.».

Адрес оператора * — два подраздела:

Адрес местонахождения (для ИП — адрес регистрации) — выбираете через помощник: страна → регион → город → улица → дом. Помощник связан с ФИАС (государственной адресной системой), он сам предложит варианты как только начнёте печатать.
Почтовый адрес — если совпадает с местонахождением, ставьте галочку «совпадает с адресом местонахождения», поле станет неактивным.

Телефон, факс — необязательно, но желательно. Хотя бы телефон.

Адрес электронной почты * — куда придёт подтверждение и куда потенциально будут писать инспекторы РКН. Используйте корпоративный, не личный. Если у вас есть info@вашсайт.ru — указывайте его.

Регионы обработки * — где физически вы обрабатываете данные. Если только в офисе в Москве — «Москва». Если у вас удалёнка по всей России — «Российская Федерация».

ИНН * — 10 цифр для юрлица, 12 для ИП. Помощник проверит формат.

ОГРН * — 13 цифр для юрлица, 15 для ИП (ОГРНИП). Плюс дата регистрации (есть в выписке из ЕГРЮЛ/ЕГРИП).

ОКВЭД — основной код вашей деятельности (например, 47.91 для розничной торговли через интернет). Указывается только основной, не все. Из выписки.

ОКПО, ОКФС, ОКОГУ, ОКОПФ — это вспомогательные классификационные коды. Все есть в выписке из ЕГРЮЛ/ЕГРИП. Для большинства ИП и малых ООО они автоматически проставятся при выборе ИНН.

Филиалы — если у вашей организации есть филиалы или представительства, добавьте их (по одному, кнопка «добавить»). Большинство малого бизнеса пропускают.

Шаг 3 — Цели обработки персональных данных

Это критически важный раздел. Тут вы заявляете, зачем обрабатываете ПДн. Если цели описаны узко (только «кадровый учёт») — а в реальности вы собираете данные посетителей сайта — будет нарушение.

В форме можно добавить несколько целей (кнопка «Добавить цель обработки» внизу). Для бизнеса с сайтом нужно как минимум две цели: одна для работников, одна для сайта.

Цель №1 — обеспечение функционирования сайта

В поле «Цель обработки ПД»:

Обеспечение функционирования сайта оператора, обработка заявок и обращений посетителей сайта, оказание услуг (продажа товаров), маркетинговая коммуникация с согласия посетителя.

Эта формулировка покрывает: формы захвата, корзину, обратную связь, email-рассылки (если ставите чекбокс согласия на рассылку отдельно).

Цель №2 — кадровый учёт (если есть сотрудники)

Кадровое делопроизводство, ведение учёта рабочего времени, начисление заработной платы, выполнение требований законодательства о труде и налогах.

Цель №3 — взаимодействие с контрагентами (если работаете с юрлицами)

Заключение и исполнение договоров с контрагентами, ведение бухгалтерского и налогового учёта, исполнение обязательств перед поставщиками и подрядчиками.

Для каждой цели вы дальше указываете категории субъектов и категории ПДн отдельно. То есть «Посетители сайта» относятся только к цели №1, а «Работники» — только к цели №2.

Шаг 4 — Категории субъектов (тут главная ловушка)

Под каждой целью отмечаете чекбоксами, чьи данные обрабатываете.

В форме готовый список:

Работники
Соискатели
Родственники работников
Уволенные работники
Контрагенты
Представители контрагентов
Клиенты
Посетители сайта ← обязательно если есть сайт
Выгодоприобретатели по договорам
Субъект персональных данных, предоставивший согласие на трансграничную передачу персональных данных
Учащиеся
Студенты
Законные представители
Иные категории субъектов персональных данных, персональные данные которых обрабатываются

Главная ловушка: для цели «обеспечение функционирования сайта» обязательно отметьте «Посетители сайта». Если у вас интернет-магазин — ещё «Клиенты». Если есть форма ответа от работодателя — «Соискатели».

Если эту галочку не поставить — формально вы не заявили обработку данных посетителей сайта, и при проверке инспектор скажет «обработка без оснований». А это от 60 тыс ₽ ИП и от 300 тыс ₽ ООО.

Для цели «кадровый учёт» — отмечаете «Работники», и если у вас есть найм — «Соискатели». «Родственники работников» — если ведёте учёт детей сотрудников (для соц. вычетов). «Уволенные работники» — если храните личные дела дольше срока работы (вы обязаны по ТК — 75 лет для большинства документов).

Шаг 5 — Категории персональных данных

Под каждой целью отмечаете, какие именно поля собираете.

В форме разделено на три блока:

Обычные персональные данные (отмечаете много)

Для сайта типичный набор:

фамилия, имя, отчество
адрес электронной почты
номер телефона

Если у вас интернет-магазин с доставкой: + адрес места жительства (адрес доставки).

Если у вас оплата через ЮКассу: + реквизиты банковской карты (даже если хранит ЮКасса, юридически данные проходят через ваш сайт).

Для работников (цель №2) — отмечаете больше: ФИО, год рождения, СНИЛС, ИНН, паспортные данные, должность, сведения о трудовой деятельности, реквизиты банковской карты (для зарплаты), отношение к воинской обязанности.

Специальные категории

сведения о состоянии здоровья
национальная принадлежность
политические взгляды
религиозные или философские убеждения
сведения о судимости

Для большинства бизнеса — ничего не отмечаем. Если вы медицинская клиника или психолог — придётся отметить «сведения о состоянии здоровья». Тогда вам потребуется отдельное согласие в письменной форме (не просто галочка на сайте).

Биометрические персональные данные

данные изображения лица (фото для идентификации)
данные голоса
папиллярные узоры пальцев рук

Если вы не делаете биометрическую идентификацию — не отмечаете ничего. Если у вас фото на пропуске в офис — это уже биометрия с риском проверки.

Шаг 6 — Правовое основание обработки

Под каждой целью указываете, на каком законном основании обрабатываете.

В форме список (можно отметить несколько):

«Обработка персональных данных осуществляется с согласия субъекта персональных данных» — это для сайта основное. Когда посетитель ставит галочку «Согласен на обработку ПДн» в форме — вот это оно.
«Обработка персональных данных необходима для исполнения договора» — это когда у вас интернет-магазин: договор оферты, посетитель что-то покупает = договор.
Куча длинных пунктов про судопроизводство, исполнение решений судов и т.д. — для обычного бизнеса не нужно.

Для сайта типичный набор

Цель №1 (сайт):

✓ «Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных»
✓ «Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных» — для интернет-магазина и услуг по оферте

Цель №2 (работники):

✓ «Обработка персональных данных необходима для исполнения договора» — трудовой договор
✓ «Обработка персональных данных необходима для исполнения возложенных законодательством Российской Федерации функций» — налоги, СФР

Шаг 7 — Перечень действий и способы обработки

Перечень действий * — какие действия с ПДн вы реально совершаете. Готовый список, отмечаете чекбоксами:

Типичный набор для сайта:

✓ сбор
✓ запись
✓ систематизация
✓ накопление
✓ хранение
✓ уточнение (обновление, изменение)
✓ извлечение
✓ использование
✓ передача (предоставление, доступ)
✓ удаление
✓ уничтожение

Если у вас email-рассылка: + блокирование (когда отписался).

Что НЕ ставить если не уверены:

обезличивание (это только если вы реально обезличиваете данные для статистики)
распространение (это публикация в открытом доступе — мало кому нужно)

Способы обработки * — поле «обработка вышеуказанных персональных данных будет осуществляться путём». Готовый текст:

Смешанная обработка с использованием средств автоматизации и без использования таких средств. Передача персональных данных по внутренней сети организации и через сеть Интернет с использованием средств защиты информации.

«Смешанная» обработка — потому что у вас есть и компьютер (автоматизация), и бумажные документы (без автоматизации). Это самая безопасная формулировка.

Шаг 8 — Меры защиты по ст. 18.1 и 19

Здесь нужно описать, какие меры вы принимаете для защиты ПДн. Готовый текст для большинства малого бизнеса:

Описание мер по статьям 18.1 и 19 Федерального закона «О персональных данных»:

— назначение лица, ответственного за организацию обработки персональных данных;
— издание Положения в отношении обработки персональных данных;
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства;
— ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных;
— применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
— учёт машинных носителей персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учёта действий, совершаемых с персональными данными в ИСПДн;
— контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

Этот текст подойдёт для большинства ИП и ООО без специфики. Если у вас есть сертифицированная СУИБ (система управления ИБ) — добавьте конкретику.

⚠ Важно: все меры, которые вы укажете, должны реально выполняться в компании. За заполнение заведомо ложных сведений — штраф по ст. 19.7 КоАП.

Средства обеспечения безопасности — что отметить

В соседнем поле указываете конкретные средства защиты, которые вы используете. Минимальный набор, который должен быть у любой организации с компьютером: антивирус + межсетевой экран + резервное копирование.

Полный список средств, из которых отмечаете применимые к вам:

Средства антивирусной защиты информации — Kaspersky, Dr.Web, ESET и подобные
Средства защиты информации от несанкционированного доступа — пароли, разграничение прав доступа
Средства межсетевого экранирования (файрволы) — Windows Firewall, аппаратные роутеры с фильтрацией
Средства криптографической защиты информации (СКЗИ) — шифрование дисков, КриптоПро, VipNet
Средства защиты каналов передачи данных — VPN, TLS/SSL (HTTPS на сайте)
Средства обнаружения и предотвращения атак (IDS/IPS) — для УЗ-3+, обычно не нужно микро-бизнесу
Средства контроля и управления доступом пользователей — Active Directory, корпоративные учётные записи
Средства резервного копирования и восстановления данных — Veeam, бэкапы на внешний диск или в облако
Средства защиты от вредоносного кода — антивирусы, антишпионы
Средства защиты мобильных устройств и носителей информации — MDM-системы, защита флешек паролем
Средства журналирования и мониторинга действий пользователей — Windows Event Log, корпоративные SIEM
Средства идентификации и аутентификации пользователей — токены, смарт-карты, двухфакторная аутентификация
Средства ограничения физического доступа к серверам и рабочим станциям — замки на серверной, СКУД

⚠ Указывайте только реально работающие у вас средства. РКН не будет требовать сертификат на каждое (это для УЗ-3+), но при проверке инспектор может попросить показать что антивирус действительно установлен и обновляется.

Шаг 9 — Ответственный, даты, трансграничная передача

Использование шифровальных (криптографических) средств * — если у вас есть УКЭП, ставьте «Да», указывайте «КриптоПро CSP» или аналог. Если нет — «Нет, не используются».

Ответственный за организацию обработки персональных данных * — ФИО, почтовый адрес, телефон, email. Это обязательная должность по 152-ФЗ. У ИП обычно ответственный — сам ИП. У ООО — назначается приказом.

⚠ Эти данные являются общедоступными — они опубликуются в реестре. Не указывайте личный мобильный, лучше рабочий номер.

Дата начала обработки персональных данных * — когда фактически начали. Для нового сайта — дата запуска. Для давнего — дату когда сайт впервые принял первую заявку (приблизительно).

Срок или условие прекращения обработки персональных данных * — стандартная формулировка:

При достижении целей обработки, отзыве согласия субъекта персональных данных, ликвидации оператора, либо по требованию субъекта персональных данных.

Осуществление трансграничной передачи персональных данных * — выбираете «Да» или «Нет».

«Да» если: вы используете Google Analytics, Stripe, Facebook Pixel, или другие иностранные сервисы. С 2025 года — даже если вы просто пользуетесь иностранным хостингом или CDN.

«Нет» если: всё хранится в России, только Я.Метрика, российский хостинг (Selectel, Beget, Yandex.Cloud).

Если «Да» — придётся отдельно уведомить РКН о трансграничной передаче до её начала (это другая форма, на том же портале). За пропуск этого уведомления штраф до 6 млн ₽ для ООО. Большинству малого бизнеса проще ответить «Нет» и убрать иностранные сервисы.

Сведения о местонахождении базы данных — здесь указываете, где физически хранятся данные ваших пользователей. По 242-ФЗ данные граждан РФ должны храниться на серверах в России. Указываете:

Страна: Российская Федерация
Адрес ЦОДа: адрес дата-центра вашего хостера (для Beget — «Санкт-Петербург», для Selectel — «Москва, Санкт-Петербург, Новосибирск», для Yandex.Cloud — «Москва, Владимир, Рязань»)
Собственный ЦОД: «Нет» (если у вас обычный хостинг)

Сведения о лицах, имеющих доступ к ПДн — указываете хостера, бухгалтерский сервис (например, Контур.Бухгалтерия), и других подрядчиков, у которых есть доступ к данным ваших клиентов.

Шаг 10 — Подписание и отправка

Заполняете информацию об исполнителе (тот, кто подписывает) — ФИО, должность, контактные данные. Это руководитель организации или ИП, либо лицо по доверенности.

Если по доверенности — нужна машиночитаемая доверенность: два файла XML и SIG (можно сделать через сервис «Доверенности» на Госуслугах).

В самом конце два чекбокса:

«Я ознакомлен с порядком подачи уведомления в электронном виде»
«Я подтверждаю согласие на передачу информации в электронной форме»

И кнопка «Подписать и отправить электронное уведомление».

Процесс подписания: подключается УКЭП через КриптоПро (если подаёте с ЭЦП напрямую) или ЕСИА-подпись (если через Госуслуги). Это занимает 30-60 секунд.

Если что-то заполнено не до конца — форма подсветит красным, вернётесь и исправите.

После успешной отправки на email придёт письмо «Уведомление принято в работу». На бумаге — расписка с регистрационным номером.

Лайфхаки от тех кто подавал

Три практических совета которые экономят время и нервы при подаче — собрано из опыта тех, кто уже прошёл процедуру.

1. Отправляйте уведомление после 20:00 МСК

Сайт Роскомнадзора pd.rkn.gov.ru регулярно тормозит и выдаёт ошибки «503 Service Unavailable» при отправке формы. Особенно днём и вечером в рабочее время — нагрузка большая.

Что делать. Если форма не отправляется — попробуйте после 20:00 МСК. Самое тихое время — с 23:00 до 6:00 утра, форма проходит без ошибок. ЕСИА работает круглосуточно.

2. Не указывайте личный телефон и email ответственного

По части 4 статьи 22 152-ФЗ контактные данные ответственного за обработку ПДн становятся общедоступными в реестре операторов. Их можно вытащить за минуту через поиск по ИНН.

Что происходит дальше. Спам-сервисы и продавцы услуг регулярно парсят свежие записи в реестре и звонят/пишут на указанные контакты. Если поставите личный мобильный руководителя — он получит десятки звонков «купите политику», «зарегистрируйтесь на курсы по ИБ», «давайте проведём аудит».

Что делать. Используйте корпоративный номер (типа +7 (800) 555-XX-XX или общий офисный) и общую почту вида compliance@вашсайт.ru или privacy@вашсайт.ru. Если ИП и нет корпоративных контактов — заведите отдельный email специально для этой цели.

3. В средствах защиты указывайте категорию, а не бренд

В поле «Средства обеспечения безопасности» соблазнительно вписать конкретные программы: «Kaspersky Endpoint Security 12», «КриптоПро CSP 5.0», «Veeam Backup 11». Этого делать не нужно.

Почему. Если завтра вы смените антивирус с Касперского на Dr.Web — формально нужно подавать уведомление о внесении изменений в реестр. Хотя суть защиты не изменилась.

Что делать. Пишите по категориям: «средства антивирусной защиты», «средства межсетевого экранирования», «средства криптографической защиты». Категория остаётся стабильной независимо от смены конкретного ПО — не нужно каждый раз обновлять реестр.

Что после: проверка состояния и попадание в реестр

После подачи у вас два сценария:

Через Госуслуги — почти мгновенно

В личном кабинете Госуслуг увидите статус: «Принято», затем «На рассмотрении», затем «Включено в реестр». От подачи до публикации в реестре операторов — обычно 3-7 рабочих дней.

Бумажно — около 30 дней

Письмо доходит → РКН вносит вручную → через 30 дней публикуется. Долго.

Как проверить состояние

Если вы получили номер уведомления и ключ, но в реестре ещё не появились — перейдите на pd.rkn.gov.ru/operators-registry/notification_check/.

Проверка состояния уведомления — портал РКН

Введите:

Номер — регистрационный номер из расписки
Ключ — числовой ключ (тоже в расписке)
Защитный код — капча с картинки

Покажет текущий статус: «На обработке», «Включено», «Возвращено на доработку» (с указанием что исправить).

После публикации в реестре — у вас новый регистрационный номер формата 77-XX-XXXXXX (где 77 — номер региона), вы официальный оператор.

Внесение изменений если уже зарегистрированы

Если вы зарегистрированы, но цели в реестре не покрывают сайт (типичная история «бухгалтер подал только на сотрудников») — нужно подать уведомление о внесении изменений.

Это не новая регистрация, а дополнение существующей записи.

На странице pd.rkn.gov.ru/operators-registry/notification/form/ — справа две кнопки:

«Форма уведомления об обработке» — первичная регистрация
«Форма уведомления о внесении изменений в сведения в реестре операторов» — изменения

Жмёте вторую. Форма идентична первой, но в начале нужно указать ваш существующий регистрационный номер. Дальше — заполняете заново все разделы с полным набором целей и категорий (включая сайт). Старая запись будет дополнена.

⚠ Особенность: при изменениях нужно перечислить все цели и категории заново, не только новые. Если в новой подаче забудете старые — они исчезнут из реестра.

Срок рассмотрения такой же — 3-7 рабочих дней через Госуслуги.

Готовые формулировки для сайта (копипаст)

Если у вас обычный сайт малого бизнеса (лендинг, корпоративный, интернет-магазин, услуги) — вот готовые формулировки, которые можно вставлять в форму без переделки.

Цель обработки

Обеспечение функционирования сайта оператора, обработка заявок и обращений посетителей через формы обратной связи, оказание услуг и заключение договоров на условиях публичной оферты, маркетинговая коммуникация с субъектом персональных данных на основании отдельного согласия.

Категории субъектов (отмечаете в чекбоксах)

Посетители сайта (всегда)
Клиенты (если есть продажи через сайт)
Контрагенты (если у вас есть B2B-форма для юрлиц)
Соискатели (если на сайте есть форма для трудоустройства)

Категории ПДн

фамилия, имя, отчество
адрес электронной почты
номер телефона
адрес места жительства (если есть доставка)
реквизиты банковской карты (если есть онлайн-оплата)

Правовое основание

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных
Обработка персональных данных необходима для исполнения договора (для интернет-магазина)

Перечень действий

Отмечаете: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, удаление, уничтожение.

Способы обработки

Смешанная обработка с использованием средств автоматизации и без использования таких средств. Передача персональных данных по внутренней сети организации и через сеть Интернет с использованием средств защиты информации.

Срок или условие прекращения

При достижении целей обработки, отзыве согласия субъекта персональных данных, ликвидации оператора, либо по требованию субъекта персональных данных.

Частые ошибки

1. Подали только на работников, забыли про сайт. Самая частая. Решение — внесение изменений (см. выше).

2. Не указали «Посетители сайта» в категориях субъектов. Даже если цель «работа с сайтом» указана. Решение — внесение изменений.

3. Указали «Нет» для трансграничной передачи, а сами используете Google Analytics или Facebook Pixel. При проверке РКН увидит счётчики на сайте → штраф. Решение: либо убираете иностранные сервисы и пишете «Нет», либо честно «Да» + отдельное уведомление о трансграничной передаче.

4. В качестве ответственного указали супругу или ребёнка, а они не работают у вас. РКН проверяет, есть ли этот человек реально (через СФР по СНИЛС). Решение — указать реального сотрудника или себя.

5. Не указали филиал, который реально есть. Если у вашего ООО есть филиал в другом городе и там обрабатываются ПДн — он должен быть в форме. Решение — внесение изменений.

6. Заявили слишком широкие цели «на всякий случай». Например, «обработка ПДн для любых законных целей оператора». РКН такие формулировки не принимает. Решение — пишите конкретные цели по нашему шаблону.

7. Использовали личный мобильный или личный email ответственного. Эти данные общедоступны в реестре. Решение — корпоративный номер и почта.

FAQ

Сколько стоит регистрация в РКН?

Бесплатно через Госуслуги или с УКЭП. Если через коммерческие сервисы типа Контур.Реестр — 2 000 – 5 000 ₽. За саму процедуру РКН ничего не берёт.

Сколько ждать после подачи?

Через Госуслуги — обычно 3-7 рабочих дней до публикации в реестре. На email придёт уведомление сразу при принятии в работу.

Нужна ли УКЭП для подачи?

Нет, если подаёте через Госуслуги — там используется аутентификация ЕСИА. УКЭП нужна только для второго способа подачи (без Госуслуг).

Что делать если меня уже зарегистрировал бухгалтер 5 лет назад?

Зайдите в реестр, проверьте свою запись. Если категория «Посетители сайта» и цель «работа с сайтом» не указаны — подавайте уведомление о внесении изменений. Это не новая регистрация, а дополнение.

Я самозанятый без сайта — нужно регистрироваться?

Если вы реально без сайта и без сотрудников — не нужно. Но если у вас профиль на Авито или Я.Услугах с собранными контактами клиентов — это уже спорно (вы оператор данных, переданных вам через посредника). На практике РКН пока к самозанятым без сайта не приходит.

А если я подал, но что-то не так указал?

Можно подать уведомление о внесении изменений в любой момент. Бесплатно, та же форма, но во втором варианте на странице портала.

Могут ли отказать в регистрации?

Только если форма заполнена некорректно (пропущены обязательные поля, неправильный ИНН, противоречия в данных). В этом случае статус будет «Возвращено на доработку» с указанием что исправить. После исправления — можно отправить заново.

Что писать в поле «Средства защиты информации»?

Указывайте категории средств которые реально используете: «средства антивирусной защиты», «средства межсетевого экранирования», «средства резервного копирования». Минимальный набор для микро-бизнеса — антивирус, файрвол и бэкап. Не пишите бренды (Kaspersky, Dr.Web) — иначе при смене ПО придётся обновлять реестр. Полный список из 13 категорий — в разделе «Шаг 8» выше.

Когда лучше отправлять уведомление чтобы не словить ошибку сайта?

Сайт pd.rkn.gov.ru регулярно тормозит днём из-за нагрузки. Самое тихое время — после 20:00 МСК, идеально с 23:00 до 6:00 утра. ЕСИА (Госуслуги) работает круглосуточно, форма за это время проходит без ошибок «503 Service Unavailable». Если днём не отправляется — попробуйте вечером, обычно срабатывает с первой попытки.

Что в итоге

Регистрация в РКН — это 15-30 минут через Госуслуги. Бесплатно. И главное — не повод думать что у вас всё в порядке. Запись в реестре только подтверждает факт уведомления.

Чтобы ваш сайт реально соответствовал 152-ФЗ, нужно ещё:

Политика конфиденциальности на сайте по 17 пунктам ст. 18.1 (мы делаем за 490 ₽ как часть пакета)
Согласие на обработку ПДн отдельным документом (с сентября 2025 — обязательно)
Cookie-баннер с отложенной загрузкой счётчиков (ФЗ-420)
Чекбоксы согласия во всех формах
Соответствие целей в реестре тому, что реально на сайте

pdaudit.ru бесплатно проверяет сайт по 152-ФЗ за 30 секунд: находит нарушения и показывает что нужно сделать. Полный пакет за 490 ₽ — готовый архив с политикой, согласием, cookie-баннером под ваши реквизиты.

Об авторе

Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.

Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.

PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.

ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.