ФЗскан.РФ
Соответствие·9 мин чтения·обновлено 02.05.2026

Уведомление в Роскомнадзор: пошаговая инструкция 2026

Уведомление в Роскомнадзор — формальный шаг, без которого работа с ПДн считается незаконной с 1 сентября 2022 года. Подаётся бесплатно через сайт pd.rkn.gov.ru, занимает в сумме 1–2 часа.

Кому уведомление обязательно

До 266‑ФЗ от 14 июля 2022 года уведомление было нужно не всем — был длинный список исключений. Сейчас исключения остались только два, и они узкие:

  1. Обработка ПДн только в рамках трудовых отношений (то есть данные сотрудников и больше ничего).
  2. Обработка ПДн на основе договора с субъектом, без передачи третьим лицам, исключительно для исполнения этого договора.

Если у вас на сайте есть Метрика — это передача данных третьему лицу (Яндексу). Значит, вы под второе исключение не подпадаете и уведомление подавать обязаны. Практически любой сайт с формой и счётчиком — должен подать.

Как подать

Только электронно через pd.rkn.gov.ru. Бумажные уведомления больше не принимают.

  1. Зайти в личный кабинет — авторизация через Госуслуги или ЭП.
  2. Выбрать «Подать уведомление об обработке ПДн».
  3. Заполнить форму (30+ полей, разбираем ниже).
  4. Отправить. Уведомление приходит в реестр в течение 30 дней.
  5. После публикации в реестре — операторы получают учётный номер. Номер можно указывать в политике.

Разбираем форму поле за полем

Сведения об операторе

Берутся из выписки ЕГРЮЛ (для ИП — из ЕГРИП). Полное наименование, ОГРН, ИНН, юридический и почтовый адреса. Тут особых ловушек нет — главное правильно скопировать.

Цель обработки

Самое важное поле. Должно быть конкретным. Хорошие формулировки:

  • «Обработка заказов в интернет-магазине, доставка, информирование о статусе»
  • «Заключение и исполнение договоров оказания услуг»
  • «Обработка обращений посетителей сайта»
  • «Маркетинговая активность и рассылка с согласия пользователя»

Плохая формулировка: «осуществление основной деятельности оператора». РКН такие переоформляет с возвратом.

Правовые основания

Перечисляются нормы. Минимум: ст. 6, 9, 18.1 152‑ФЗ. Если есть договорные отношения — добавляется ГК РФ. Для интернет-магазина — ФЗ «О защите прав потребителей».

Категории субъектов

Кто это — физлица. Конкретно:

  • посетители сайта;
  • покупатели/заказчики/клиенты;
  • контактные лица контрагентов‑юрлиц;
  • сотрудники (если обрабатываете и их).

Перечень обрабатываемых ПДн

Список галочками. Стандартный набор для типового сайта:

  • фамилия, имя, отчество;
  • номер телефона;
  • адрес электронной почты;
  • адрес доставки (если есть);
  • сведения, переданные субъектом в форме обращения.

Если обрабатываете специальные категории (паспорт, СНИЛС, медицинские данные) — отметьте отдельно. Это поднимает «уровень защищённости» и тянет за собой более строгие требования к ИБ.

Способы обработки

Скорее всего: автоматизированная обработка с передачей по информационно-телекоммуникационным сетям (через интернет). Все галочки в этом разделе обычно проставляются.

Меры по обеспечению безопасности

Перечень технических и организационных мер. Минимум для соответствия:

  • назначение ответственного за организацию обработки ПДн;
  • положение об обработке ПДн внутри компании;
  • контроль доступа к информационным системам (логин/пароль, разграничение прав);
  • антивирусная защита;
  • регулярное резервное копирование;
  • HTTPS на сайте.

Сроки обработки

Привязывайте к разумным основаниям. Для договорных — срок договора плюс 3 года. Для бухгалтерских документов — 5 лет. Для маркетинга — до отзыва согласия. Не пишите «бессрочно» — это красный флаг.

Трансграничная передача

Здесь нужно указать, отправляются ли данные за пределы России. Если у вас на сайте есть кнопки WhatsApp или используется иностранный сервис (некоторые CRM, рассылки, чаты) — формально это трансграничная передача. Лучше отметить как «осуществляется» и подать отдельное уведомление о трансграничной передаче. Иначе штраф по ст. 13.11 ч. 8 КоАП — до 6 миллионов.

Что после подачи

В течение 30 рабочих дней Роскомнадзор рассматривает уведомление. На практике обычно укладывается в 7–14 дней. Возможные исходы:

  • Включают в реестр. Уведомление публикуется на pd.rkn.gov.ru, оператор получает учётный номер.
  • Возвращают на доработку. Чаще всего — из-за неконкретных целей или неполного перечня категорий ПДн. Дорабатываете и подаёте заново.

Учётный номер из реестра — хорошо указать в политике конфиденциальности и в реквизитах на сайте. Это сигнал клиентам и проверяющим, что вы легальный оператор.

Что делать при изменениях

Если у вас изменились существенные условия обработки — добавили новый счётчик, поменяли сроки хранения, начали обрабатывать новые категории данных — нужно подать уведомление об изменениях. Тоже бесплатно, через тот же портал. Срок — 10 рабочих дней с момента изменений.

В реальности в этом смысле многие косячат: подали один раз в 2022, с тех пор поменяли половину сайта, ничего не уведомили. На проверке это обычно всплывает — пройдитесь по своему уведомлению хотя бы раз в год.

Проверить свой сайт по этим пунктам

Запустите автоматическую проверку — она пройдёт по типовым нарушениям 152‑ФЗ и сразу покажет, чего у вас нет.

Запустить проверку →

Читать дальше

6 мин чтения

Cookie‑баннер: когда обязателен и как сделать правильно

Если на сайте подключена Метрика, GA или любой другой счётчик — cookie‑баннер обязателен. Объясняем разницу между «уведомлением» и «согласием» и как избежать главной ошибки — счётчик грузится до того, как пользователь нажал «Принять».

Читать →