Реестр операторов ПДн 2026: как подать уведомление в РКН, что проверяют и за что выводят из реестра

В реестре операторов персональных данных на pd.rkn.gov.ru на 9 мая 2026 — около 1,1 млн записей. Подавляющее большинство — крупный бизнес, банки и госучреждения. Малого бизнеса там в разы меньше, чем должно быть по закону: по нашей оценке из практики сопровождения проверок, около 60% коммерческих сайтов малого бизнеса работают без уведомления и узнают об этом только после первого предписания.

В апреле 2026 один наш клиент — ИП на УСН, продаёт товары через сайт, формы обратной связи и личный кабинет — получил предписание. Первым пунктом стояло: «не уведомил Роскомнадзор о намерении обрабатывать персональные данные». Штраф по ст. 19.7 КоАП — 3 000 ₽ для ИП. Звучит немного, но дальше шёл список из ещё семи нарушений по 13.11 КоАП, и совокупно набегало под 800 тыс. ₽. Если бы клиент уведомил вовремя, шесть из восьми пунктов либо не возникли бы (мы ловили бы их на этапе подготовки), либо проверка вообще не пришла бы — РКН целенаправленно проходит по тем, кого нет в реестре.

Эта статья — про то, как сделать всё аккуратно: подать корректное уведомление, не словить претензий по содержимому, не вылететь из реестра при смене инфраструктуры. С отсылками к статьям закона и образцами формулировок из практики.

TL;DR

Уведомление об обработке персональных данных подаётся до начала обработки, бесплатно, через Госуслуги или личный кабинет на pd.rkn.gov.ru, занимает 30–90 минут и проверяется РКН в течение 30 дней. Штраф за неподачу — до 5 000 ₽ для ИП и до 75 000 ₽ для ООО (ст. 19.7 КоАП), но реальная цена вопроса в десятки раз выше: операторов без уведомления автомат-инспектор РКН проверяет в первую очередь, и за этим обычно идёт цепочка нарушений по ст. 13.11 КоАП на сотни тысяч рублей.

Главное

• Любой коммерческий сайт с формой контакта, кабинетом, аналитикой или CRM = оператор персональных данных = обязан уведомить РКН (ст. 22 152-ФЗ).
• Исключения из ст. 22 ч. 2 узкие: бухгалтерия только по своим работникам; обработка по трудовому договору; разовые публичные данные. Большинство коммерческих сценариев не подходят.
• Уведомление подаётся через pd.rkn.gov.ru — личный кабинет или Госуслуги. Платных «помощников» нанимать не нужно, форма простая, но полей много (около 30).
• Самые частые ошибки: неконкретные цели обработки, неполный перечень категорий ПДн, забытый трансграничный сервис, неактуальный адрес фактической обработки данных.
• РКН проверяет уведомление автоматически и сравнивает с тем, что реально лежит на сайте оператора (политика, формы, согласия). Расхождение = предписание.
• При смене хостинга в РФ-ЦОД (актуально для тех, кого штрафуют за хранение ПДн на зарубежных серверах в 2025–2026) уведомление надо обновить в течение 10 рабочих дней. Не обновили — отдельный штраф.

Что такое реестр операторов и зачем он нужен

Реестр операторов персональных данных — публичная база, которую ведёт Роскомнадзор. По 152-ФЗ оператор — это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки» (ст. 3 п. 2).

Реестр выполняет три функции:

1. Уведомительная. РКН узнаёт, кто обрабатывает данные, в каких целях и какими средствами. Без этого надзор был бы невозможен.
2. Публичная. Любой человек может на pd.rkn.gov.ru проверить, что компания, которая просит у него ПДн, действительно состоит в реестре. Если нет — это первый красный флаг для пользователя и формальное нарушение для оператора.
3. Идентификационная. Каждой записи присваивается номер и дата. Этот номер должен быть указан в политике конфиденциальности на сайте — в стандартной шапке «Сведения о включении в реестр».

Запись в реестре — это не «лицензия на обработку», как иногда говорят. Она ничего не разрешает и не запрещает по существу. Это инструмент учёта. Но без записи обрабатывать данные нельзя, и это требование жёсткое: ч. 1 ст. 22 152-ФЗ говорит, что оператор обязан уведомить до начала обработки.

Кто обязан подать уведомление

Короткий ответ — почти все, кто ведёт коммерческую деятельность через сайт или приложение в РФ. Длинный — посмотрим на исключения, потому что 80% «не уведомили, потому что прочитали в интернете, что нам можно» относятся к неправильно понятым исключениям.

Точно обязаны уведомить:

• сайт с любой формой обратной связи, заявки, подписки на рассылку (имя + email = персональные данные);
• интернет-магазин с любой регистрацией, кабинетом, корзиной или оформлением заказа;
• сайт с Яндекс.Метрикой, Google Analytics, VK Pixel и аналогичными трекерами в режиме идентификации пользователей (а это режим по умолчанию);
• любой SaaS-продукт, который собирает email/телефон при регистрации;
• сервис, выдающий чек, накладную или электронный билет с ФИО получателя;
• B2B-компания, ведущая базу клиентов и контактов в CRM (это тоже обработка);
• ИП, который ведёт переписку с клиентами с указанием их ФИО или паспортных данных, даже если без сайта;
• работодатель, ведущий учёт персонала (но тут есть нюанс — см. ниже про исключения).

Узкие исключения из ст. 22 ч. 2 152-ФЗ:

1. Обработка только в рамках трудовых отношений — например, ИП, у которого ровно один наёмный работник, и эту работу он не использует ни для каких смежных целей (не рассылает по адресу почту, не использует фото для маркетинга). На практике встречается крайне редко.
2. Получение данных в связи с заключением договора стороной которого является субъект, без передачи третьим лицам и без передачи в составе сети. Тоже узко: как только вы взяли email клиента и отправили туда чек через стороннего провайдера почты — исключение перестаёт работать.
3. Общедоступные ПДн — например, реестр членов СРО на собственном сайте, если все участники подписали согласие на публикацию.
4. Обезличенные данные — но именно настоящее обезличивание по ГОСТ Р 70262.1-2022, а не «удалили имя, оставили email + телефон + историю заказов».
5. Только ФИО — если обрабатывается исключительно ФИО без других идентификаторов (адреса, телефона, email, даты рождения). Подразумевалось для очень ограниченных сценариев и на практике почти не встречается, потому что «ФИО + любая привязка к контакту» уже выходит за исключение.

Если вы не на 100% уверены, что попадаете под одно из узких исключений — подавайте уведомление. Это бесплатно, не накладывает доп. обязательств сверх того, что и так нужно по 152-ФЗ, и снимает 99% рисков.

Как подать уведомление: по шагам

В 2026 актуальны два пути: через Госуслуги (быстрее, если у вас уже есть учётка ИП/ЮЛ) и через личный кабинет на самом pd.rkn.gov.ru. Содержательно одно и то же — заполняется одна форма, около 30 полей.

Шаг 1. Подготовить вход

• Для ИП: учётная запись Госуслуг с подтверждённой ЭП, либо учётная запись на pd.rkn.gov.ru (требует подтверждённой ЭП всё равно).
• Для ООО: усиленная квалифицированная электронная подпись на руководителя или уполномоченного представителя (с доверенностью).
• Полностью бумажная подача с 2024 года недоступна для коммерческих операторов в большинстве регионов.

Шаг 2. Собрать содержание уведомления

Нужно подготовить ответы на блоки формы заранее, потому что в форме нет «черновика», а сессия отваливается через 30 минут бездействия.

Блок 1 — об операторе:

• наименование, ИНН, ОГРН/ОГРНИП, адрес (юридический + фактический);
• контактное лицо для вопросов от РКН (ФИО, телефон, email);
• адрес сайта/сайтов, через которые ведётся обработка.

Блок 2 — цели обработки. Здесь самая частая ошибка. Цели должны быть конкретными. Плохо: «улучшение сервиса», «маркетинговые цели». Хорошо:

• исполнение договора купли-продажи и доставки товара
• информирование клиента о статусе заказа
• ответ на обращение через форму обратной связи
• ведение реестра участников программы лояльности
• маркетинговые рассылки о продуктах и акциях оператора (при наличии отдельного согласия)
• аналитика трафика сайта через Яндекс.Метрику без сбора webvisor и clickmap (при наличии согласия на cookies)

Каждой цели — свой блок «правовые основания», «категории ПДн», «срок хранения».

Блок 3 — категории субъектов и ПДн. Перечисляете, чьи данные и какие именно:

• субъекты: клиенты, потенциальные клиенты (лиды), сотрудники, подрядчики, посетители сайта;
• ПДн: ФИО, контактный телефон, email, IP-адрес, cookies, дата рождения (если собираете), геолокация (если собираете), фото профиля (если есть кабинет с аватаром).

Если обрабатываете специальные категории (здоровье, политические взгляды, биометрия) — отдельная отметка и отдельные требования.

Блок 4 — обработчики. Все третьи лица, которым вы передаёте ПДн или которые обрабатывают их по вашему поручению:

• хостинг-провайдер сайта;
• почтовый сервис рассылок (UniSender, Mindbox, MailChimp и т. д.);
• CRM (AmoCRM, Bitrix24, OkoCRM, ваш собственный продукт);
• аналитика (Яндекс.Метрика, Google Analytics);
• платёжный сервис (ЮKassa, CloudPayments и т. п.);
• виджет онлайн-чата (Jivo, Carrot Quest, и т. д.).

С каждым обработчиком должен быть подписан договор поручения по ст. 6 ч. 3 152-ФЗ. Без договора передавать ПДн нельзя — это сразу нарушение, отдельный штраф.

Блок 5 — трансграничная передача. Если кто-то из обработчиков находится за пределами РФ (Mailchimp в США, Google Analytics обрабатывает в США/ЕС, Telegram BotAPI на серверах за рубежом), это трансграничная передача, и нужно:

• перечислить страны;
• указать, есть ли у этих стран адекватный уровень защиты ПДн (по списку РКН);
• если страна не в списке — отдельно подавать уведомление о намерении и получать разрешение РКН (ст. 12 ч. 4 152-ФЗ).

В 2025–2026 это самый «горячий» блок: Telegram, многие SaaS-сервисы и часть аналитики формально передают данные за рубеж, и операторы массово получают претензии за неуказание этого в уведомлении.

Блок 6 — меры защиты. Что вы делаете, чтобы данные не утекли:

• технические: шифрование при передаче (HTTPS), шифрование в покое (для критичных категорий), ролевой доступ, парольная политика, журналирование действий;
• организационные: NDA с сотрудниками, обучение персонала, назначен ответственный за организацию обработки ПДн;
• регламентные: политика конфиденциальности, согласия, регламент реагирования на инциденты.

Шаг 3. Заполнить форму и отправить

На pd.rkn.gov.ru форма стандартная, с подсказками. На Госуслугах — то же самое, но интерфейс проще. Сохраняйте PDF готового уведомления — пригодится при проверке.

После отправки уведомление сразу появляется в реестре с пометкой «на проверке». В течение 30 рабочих дней РКН проверит и либо включит окончательно, либо вернёт на доработку с конкретным замечанием.

Шаг 4. Подтвердить включение и обновить политику

После окончательного включения вам приходит уведомление с реестровым номером и датой. Этот номер — ваш «штамп доверия». Размещаете его на сайте в политике конфиденциальности по стандартному шаблону:

ООО «Ромашка» (ИНН 7700000000, ОГРН 1117700000000) включено в реестр операторов, осуществляющих обработку персональных данных, под № 77-21-XXXXXX от 15 мая 2026.

Без этого блока политика считается неполной — это отдельная претензия по ст. 18.1 152-ФЗ.

Что РКН проверяет в уведомлении

Автомат-инспектор после подачи уведомления делает три проверки.

1. Проверка корректности самого уведомления. Сравнивает обязательные поля, корректность ИНН/ОГРН с базами ФНС, наличие контактного лица. Если поля заполнены формально — может вернуть на доработку, но обычно пропускает.

2. Проверка соответствия с сайтом. Бот заходит на сайты, указанные в уведомлении, и сверяет:

• цели обработки в политике совпадают с указанными в уведомлении (хотя бы частично пересекаются);
• категории собираемых ПДн в формах совпадают с указанными;
• все обработчики, видимые на сайте (Метрика, JivoChat, Mailchimp по footer’у), есть в списке обработчиков;
• адрес сайта в уведомлении доступен и отдаёт легитимный 200-ответ.

3. Проверка содержательной части сайта на 152-ФЗ. Параллельно прогоняется чек-лист на cookie-баннер, форму согласий, политику и т. д. — это уже часть стандартной проверки, мы подробно разбирали её в отдельной статье.

Расхождение между уведомлением и сайтом — самая частая причина предписаний после подачи. Поэтому уведомление — это не «галочка в формочке», а юридически значимый документ, который должен быть синхронизирован с реальным поведением сайта.

Типовые ошибки в уведомлениях

По нашей практике подготовки уведомлений для клиентов и сопровождения проверок, девять из десяти первичных уведомлений содержат хотя бы одну из этих ошибок.

Ошибка 1. «Цель обработки — улучшение качества сервиса». Не цель, а лозунг. РКН требует конкретики. Расписывайте каждый сценарий отдельно: «исполнение договора купли-продажи через сайт», «отправка маркетинговых писем при отдельном согласии», «аналитика поведения пользователей через Яндекс.Метрику без webvisor».

Ошибка 2. Забытая Метрика или GA. На сайте стоит счётчик, в уведомлении не указан. РКН ловит это автоматически — открывает страницу, видит загрузку mc.yandex.ru/metrika/tag.js, проверяет, есть ли в списке обработчиков «АО Яндекс». Нет — претензия.

Ошибка 3. Не указан хостинг-провайдер. Хостинг — это обработчик, потому что именно на его серверах физически лежат базы с ПДн. Должен быть в перечне обработчиков с договором поручения. В 2025–2026 особенно критично: после требований размещать ПДн россиян на серверах в РФ многих штрафовали за хостинг в DE/NL без оснований.

Ошибка 4. «Данные хранятся 5 лет» в качестве срока для всех целей. Срок зависит от цели и правового основания. Для исполнения договора — общий срок исковой давности по ГК (3 года). Для согласия на маркетинг — пока согласие не отозвано. Для бухгалтерских документов — 5 лет по НК. Не один срок на всё.

Ошибка 5. Юридический адрес вместо фактического. Если фактически команда сидит в коворкинге на другом адресе и сервера там же, это нужно указать. Расхождение видно по выписке ФНС, и при проверке РКН попросит обновить.

Ошибка 6. Отсутствие ответственного за организацию обработки ПДн. По ст. 22.1 152-ФЗ оператор обязан назначить ответственного. В уведомлении это контактное лицо. Если стоит «директор Иванов И. И.» без приказа о назначении — на проверке претензия будет.

Ошибка 7. Незаявленная трансграничная передача через Telegram-бота, Mailchimp или Google Workspace. Самая частая ошибка 2025–2026. Если вы используете любой из этих сервисов и обрабатываете там клиентские данные — это трансгранична передача, нужно либо отказаться от сервиса, либо подать дополнительное уведомление по ст. 12.

Ошибка 8. «Меры защиты — соответствуют требованиям 152-ФЗ». Опять не ответ. Перечислите конкретно: HTTPS, шифрование диска на сервере, ролевая модель доступа, журналирование критичных действий, NDA с разработчиками. Расплывчатые формулировки = претензия.

Ошибка 9. Список категорий ПДн «ФИО, телефон, email». А cookies? IP-адрес? Идентификатор корзины? Если они есть на сайте, должны быть в уведомлении. RFC по этому поводу нет, но судебная практика однозначна: cookies-идентификаторы — это персональные данные.

Когда обновлять уведомление и за что выводят из реестра

Уведомление — не «отправил и забыл». По ст. 22 ч. 7 152-ФЗ оператор обязан уведомить РКН о любых изменениях в течение 10 рабочих дней. На практике часто забывают.

Обязательно обновлять при:

• смене юридического или фактического адреса;
• смене контактного лица или ответственного за обработку ПДн;
• добавлении новой цели обработки (например, запустили программу лояльности — это новая цель);
• смене обработчика (мигрировали с Mailchimp на UniSender — новый обработчик, новый трансграничный статус);
• смене хостинга, особенно с зарубежного на российский (актуально для тех, кто переезжает в РФ-ЦОДы);
• расширении категорий собираемых ПДн (добавили загрузку фото в кабинет — новая категория);
• появлении нового сайта/приложения, через который ведётся обработка.

Не обновили — формально это не «штраф за необновление», но при проверке РКН это покажет, что данные в реестре не соответствуют действительности, и пойдёт по той же ст. 19.7 КоАП.

Из реестра выводят, если:

• организация ликвидирована (ФНС присылает данные автоматически);
• оператор подал заявление о прекращении обработки (стандартная процедура при закрытии бизнеса);
• РКН по результатам проверки установил, что обработка фактически не ведётся (редко, но бывает после длительного простоя сайта);
• оператор обязался прекратить обработку по решению суда (грубые повторные нарушения).

При выводе из реестра обработка должна прекратиться в течение 30 дней. Иначе это уже не «не уведомил» (ст. 19.7), а «незаконная обработка» (ст. 13.11 ч. 1) — другой порядок штрафов и реальная санкционная мера для бизнеса.

Чек-лист: прошли ли вы уведомление правильно

Если уже подавали — пробегитесь по этим пунктам. Девять из десяти найдут что обновить.

1. На сайте указан реестровый номер и дата включения в политике конфиденциальности.
2. Цели обработки в уведомлении и в политике на сайте совпадают.
3. Все видимые на сайте трекеры (Метрика, GA, Pixel, чат-виджеты) есть в списке обработчиков.
4. Хостинг-провайдер есть в списке обработчиков, договор поручения подписан.
5. Если используются зарубежные сервисы (Telegram-бот, Mailchimp, Google Workspace, Stripe) — это указано в трансграничной передаче.
6. Назначен ответственный за организацию обработки ПДн (приказ + контактное лицо в реестре).
7. Срок хранения для каждой цели прописан отдельно, по соответствующему правовому основанию.
8. Категории ПДн включают cookies и IP-адрес, если на сайте стоит хоть какая-то аналитика.
9. Контактное лицо актуально (не уволенный полгода назад сотрудник).
10. Адрес фактической обработки совпадает с реальным местоположением серверов.

Если хоть один пункт не сходится — обновите уведомление сейчас, не дожидаясь предписания. Обновление бесплатно, занимает 15 минут, делается в личном кабинете.

Если кратко

Подача уведомления — точка входа в legal compliance по 152-ФЗ. Без неё любая обработка ПДн считается незаконной независимо от того, насколько хорошо оформлены политики и согласия на сайте. Бесплатно, относительно просто и снимает 80% рисков самой первой проверки РКН.

Подача — через pd.rkn.gov.ru или Госуслуги. 30 полей, 30–90 минут, проверка до 30 дней. После включения — синхронизировать содержимое уведомления с тем, что реально работает на сайте, и обновлять при любых изменениях в течение 10 рабочих дней.

Если страшно делать самому — типовое уведомление мы автоматизируем в DocAssist: импорт реквизитов из ЕГРЮЛ/ЕГРИП по ИНН, проверка состава обработчиков по тегам сайта, генерация черновика по чек-листу выше. Готовый PDF и текст для копипаста в личный кабинет РКН. Сэкономит пару часов и не даст забыть про Метрику.

Если уже подавали раньше и сомневаетесь, что оно ещё актуально — пробегитесь по чек-листу выше или запустите наш compliance-сканер, он найдёт расхождения между уведомлением и сайтом за минуту.

Источники и нормативная база

Все нормы, пороги штрафов и процедуры сверены с первичными источниками на 10 мая 2026.

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — официальный текст. Ключевые статьи в этой публикации: ст. 3 (определение оператора), ст. 6 (правовые основания), ст. 12 (трансграничная передача), ст. 18.1 (политика конфиденциальности), ст. 22 (уведомление об обработке), ст. 22.1 (ответственное лицо).
• Реестр операторов, осуществляющих обработку персональных данных — официальная база Роскомнадзора. На той же поддомене — формы и инструкции по подаче уведомления.
• Статья 19.7 КоАП РФ — Непредставление сведений (информации) — норма о штрафе за неподачу уведомления (КонсультантПлюс).
• Статья 13.11 КоАП РФ — Нарушение законодательства РФ в области персональных данных — сетка штрафов за содержательные нарушения, на которую переходит проверка после установления факта неподачи.
• Информационный портал Роскомнадзора по ПДн — официальные методические разъяснения, образцы уведомлений и пояснения.
• Госуслуги: подача уведомления об обработке ПДн — карточка услуги для ИП и ЮЛ.
• ГОСТ Р 70262.1-2022 — Защита информации. Идентификация и аутентификация. Уровни идентификации — стандарт обезличивания, на который ссылаемся при разборе исключений из ст. 22.
• Распоряжение Правительства РФ от 04.07.2017 № 1428-р — перечень обязательной для размещения на сайте информации о порядке обработки ПДн.
• Приказ Роскомнадзора от 24.02.2021 № 18 — действующая форма уведомления и порядок ведения реестра. Полезен при разборе спорных полей.

Если в статье будет обнаружено устаревшее утверждение или ошибка — напишите команде, исправление выйдет с обновлением dateModified в schema. См. также наши предыдущие материалы по теме: методичка про автомат-инспектора РКН и 9 ошибок в согласиях на ПДн.