Регистрация в роскомнадзоре как оператора персональных данных, пошаговая инструкция, изменения в 152 ФЗ, риски и штрафы для бизнеса

30 мая 2025 года вступили в силу обновления к 152-ФЗ — теперь несоблюдение закона оборачивается не формальностью, а реальными миллионами штрафов и блокировками. Если у вас есть сайт, CRM, клиентская база или даже просто Excel с именами — вы обязаны зарегистрироваться как оператор персональных данных.

Почему сейчас об этом говорят все?

152-ФЗ существует с 2006 года. Но за последние 2 года он стал совсем другим:

Изменяется каждые 3–6 месяцев
Поправки 420-ФЗ и 421-ФЗ (вступили в силу с 30.05.2025) — самые жёсткие за всю историю
Введена уголовная ответственность за «серые» базы
Штрафы выросли в десятки раз и теперь могут достигать миллионов

Теперь регистрация в Роскомнадзоре — это не «бюрократия ради галочки», а реальная защита вашего бизнеса от проблем, которые могут стоить компании репутации, клиентов и выручки.

ВЕБИНАР "КАК НЕ НАРВАТЬСЯ НА ШТРАФЫ ПО ЗАКОНУ О ПДН"
Спикеры:
– Антон Карцев, CEO AlarmCRM
– Александр Рыжов - юрист, который говорит на языке бизнеса, а не "по Гражданскому кодексу"

Чтобы не пропустить вебинар, подпишитесь на 👉 КАНАЛ

Что грозит бизнесу за несоблюдение 152-ФЗ

Сравнение штрафов: до и после 30.05.2025
Нарушение	Было раньше	Стало с 30.05.2025
Нет регистрации в реестре РКН	Предупреждение / ≤ 5 тыс	100–300 тыс. ₽ (ЮЛ)
Утечка данных > 1000 субъектов	50–150 тыс. ₽	5–15 млн ₽ + 1–3% выручки
Неуведомление об инциденте в 72 ч	3–5 тыс. ₽	1–3 млн ₽
Иностранная аналитика (Google, Meta)	—	до 6 млн ₽
Cookie-баннер без кнопки «Отказаться»	—	до 300 тыс. ₽

⚠️ Больше нет «предупреждений» — теперь санкции начинаются с шестизначных сумм.

Кто обязан зарегистрироваться

Закон говорит просто: оператором считается «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн и определяющие её цели и способы» .

То есть важен не размер бизнеса, а сам факт, что вы собираете, храните или передаёте данные людей.

Категория	Типичные действия, создающие обязанность
Юридические лица (коммерческие и НКО)	Кадровый учёт сотрудников, CRM-системы, клиентские базы, программы лояльности, формы обратной связи на сайте
Индивидуальные предприниматели	Ведение базы поставщиков и контрагентов, онлайн-магазин, email-рассылки, курьерская доставка с адресами клиентов
Самозанятые	Сайт с формой заявки или отзывом, чат-бот, ведение клиентской таблицы в смартфоне, консультирование по здоровью/питанию и т. д.
Физлица-фрилансеры	Администрирование чужих сайтов, таргет-реклама с выгрузкой клиентских баз, приём заказов через мессенджер

Исключения? Их всего три

Обработка исключительно без автоматизации — полностью бумажные реестры, никаких файлов, сканов, e-mail и отчётности в электронном виде .
Участие в государственных ИС ПДн, созданных для обеспечения безопасности государства или правопорядка .
Организации транспортной безопасности, обеспечивающие устойчивую работу ТК РФ .

На практике чисто «бумажный» режим встречается крайне редко: достаточно завести WhatsApp-чат с жильцами или бухгалтерскую программу — и льгота исчезает.

Чек-лист: вы — оператор персональных данных, если...

№	Вопрос	Да	Нет
1	У вас есть сайт с формой обратной связи или используются cookie
2	Вы ведёте базу клиентов, соискателей, партнёров
3	Вы используете CRM, мессенджеры, облачные хранилища или сервисы
4	Храните хотя бы один контакт (email или номер телефона клиента/сотрудника)
5	Делаете e-mail или SMS-рассылки, уведомления, доставку
6	Получаете обращения через соцсети (Instagram, ВКонтакте, Telegram и др.)

Хотя бы один «да» — и вы обязаны быть в реестре операторов.

Что нужно сделать прямо сейчас

Проверить, есть ли вы в реестре РКН: https://pd.rkn.gov.ru
Подать уведомление по новой форме (после 01.02.2023)
Подготовить пакет документов (политика, приказы, согласия)
Привести сайт в порядок: локализация, куки-баннер, чекбоксы
Назначить ответственного за ПДн
Настроить технические меры защиты: антивирус, firewall, бэкапы
Обучить сотрудников
Разработать план на случай утечки: 72 часа на уведомление

В дальнейшем обновляйте данные при любых изменениях целей, способов обработки, ответственных или мест хранения

Пример: как это выглядит на практике

Компания B2B с 12 сотрудниками:

CRM → amoCRM
Сайт на Tilda, подключена Google Analytics
Заявки поступают через форму, телефоны — в WhatsApp

⚠️ Риски:

Штраф за отсутствие регистрации: 300 тыс. ₽
Утечка базы = 5–15 млн ₽
Использование Google → +6 млн ₽

Что сделали:

Подали уведомление
Убрали GA и перешли на Метрику
Настроили бэкапы, обновили антивирус
Назначили ответственного и провели обучение

Затраты: ≈ 50 тыс. ₽ на аудит + внедрение. Экономия — миллионы.

Обязанности оператора персональных данных: краткий обзор практических требований

1. Уведомление Роскомнадзора — и его постоянная актуализация

Первичное уведомление подаётся только по новой форме (действует с 01.02.2023)
При любом изменении целей, категорий данных, ответственных лиц или адресов хранилищ оператор обязан подать корректирующее уведомление не позднее 15-го числа месяца, следующего за изменениями
Контактное лицо для связи с РКН указывается в уведомлении и обновляется при кадровых перестановках

2. Локальная нормативная база (ЛНА) — “документальный скелет”

Что должно быть	Минимальное содержание	Где пригодится
Политика обработки ПДн	цели, категории субъектов, перечень данных, сроки хранения, порядок уничтожения, сведения о куки/метриках	Публикуется на сайте; инспектор сверяет её с уведомлением
Приказы и регламенты	назначение ответственного, перечень баз данных, порядок доступа, ввод ИСПДн в эксплуатацию, комиссия по уничтожению ПДн и т.д.	Запрашиваются при проверке; смягчают штраф при инциденте
Согласия субъектов	раздельно под каждую цель (обработка, передача, рассылка, распространение)	Хранятся как доказательство законности действий
Акты оценки вреда и уровня защищённости	анализ потенциального ущерба и выбор класса защиты ИСПДн	Обязательны для любой ИСПДн; служат обоснованием технических мер

Лайфхак: политика и уведомление должны «зеркалить» друг друга; три расхождения — и РКН автоматически относит оператора к группе повышенного риска.

3. Технические и организационные меры

Антивирус, межсетевой экран, контроль доступа, шифрование, резервное копирование. Затраты на ИБ рекомендуется планировать не ниже 0,1 % выручки в год; счета и акты об оплате хранятся как смягчающее обстоятельство
Регулярный аудит: внутренний контроль по утверждённому плану, журналы проверок, устранение уязвимостей
Обучение персонала: инструктаж о том, какие данные можно собирать, как их хранить, что делать при инциденте; факт обучения фиксируется в журналах

4. План реагирования на инциденты (72-часовой таймер)

Фиксация события и первичная локализация.
Уведомление РКН в течение 72 ч через личный кабинет; одновременно информируются затронутые субъекты ПДн.
Внутреннее расследование с итоговым актом: причины, объём утечки, предпринятые меры.
Корректирующие действия: усиление защиты, обновление ЛНА, повторное обучение сотрудников.

5. Назначение ответственного (DPO по-русски)

Для ИП это может быть сам владелец; для компании — любой сотрудник с административным ресурсом.
Должностная инструкция включает контроль соответствия 152-ФЗ, ведение реестра баз данных, взаимодействие с РКН и субъектами.
Ответственный указывается в приказе и в уведомлении; смена человека → корректировка обоих документов.
Первичное уведомление подаётся только по новой форме (действует с 01.02.2023)
При любом изменении целей, категорий данных, ответственных лиц или адресов хранилищ оператор обязан подать корректирующее уведомление не позднее 15-го числа месяца, следующего за изменениями.
Контактное лицо для связи с РКН указывается в уведомлении и обновляется при кадровых перестановках.

Суть: регистрация в реестре — лишь «паспорт» оператора. Настоящая обязанность — наладить живой цикл: документировать процессы, защищать данные, обучать команду и быть готовым за 72 ч. доказать РКН, что вы держите ситуацию под контролем.

Как подготовить бизнес к регистрации в Роскомнадзоре

Процесс сдаётся «под ключ» только тогда, когда внутри уже наведен порядок. Ниже — рабочая дорожная карта, которой пользуются консультанты при запуске проекта соответствия 152-ФЗ.

1. Назначьте ответственного и сформируйте мини-команду

Издайте приказ о назначении лица, курирующего обработку ПДн (для ИП это может быть сам владелец).
Определите, кто поможет: ИТ-специалист (инвентаризация систем), юрист/HR (документы), маркетолог (сайт, рассылки).
Внесите Ф. И. О., телефон, e-mail ответственного в будущем уведомлении. При любой замене человека — подавайте корректировку до 15-го числа следующего месяца.

2. Составьте «карту данных»

Цели — зачем нужны ПДн (кадровый учёт, маркетинг, доставка, обслуживание клиентов и т. д.).
Субъекты — сотрудники, клиенты, подписчики, поставщики.
Категории данных — Ф. И. О., телефоны, адреса, cookie, метрики и т. д.
Системы — CRM, 1С, Google Sheets, почта, чат-боты, складские программы.
Хранилища — локальные серверы, облачные ЦОД, ноутбуки, смартфоны.

Результат фиксируется в таблице (Excel или Miro) — она станет основой для политики и уведомления.

3. Проведите инвентаризацию сайта и внешних сервисов

Проверяем, где физически размещён сервер (только РФ).
Выявляем все счётчики, cookie, формы и CAPTCHА.
Убираем зарубежные аналитические сервисы (Google Analytics, reCAPTCHA) во избежание штрафа до 6 млн ₽.
Делаем чек-боксы согласия необязательными по умолчанию; ссылки на политику и согласия — рабочими.

4. Оцените вред субъектам и уровень защищённости

Градация РКН: до 1000, 1 000–100 000, >100 000 субъектов.
Итог оформляется Актом оценки вреда + Актом определения уровня защищённости ИСПДн.
На базе акта выбираются классы СЗИ (антивирус, DLP, шифрование).

5. Подготовьте комплект локальных нормативных актов

Блок	Ключевые документы (минимум)
Организационный	Приказ о назначении ответственного; Приказ о перечне баз ПДн; Политика обработки ПДн
Операционный	Положение о доступе; Журнал учёта обращений субъектов; Регламент внутреннего контроля
Инцидент-менеджмент	План реагирования (72 ч); Шаблон уведомления в РКН; Бланк акта расследования

Документы утверждаются директором/ИП и синхронизируются с данными в уведомлении; расхождения ≥ 3 автоматически повышают риск-профиль компании.

6. Проверьте технические меры защиты

Антивирус и актуальные патчи на всех рабочих станциях.
Межсетевой экран/IPS на периметре.
Резервное копирование баз на отдельный носитель или облако.
Ограничение прав доступа по принципу «минимально необходимого».
Документальное подтверждение инвестиций ≥ 0,1 % оборота — весомый аргумент при проверке.

7. Организуйте обучение персонала

Минимум раз в год — вводный и повторный инструктаж (фиксируется в журнале).
Темы: какие данные собирать, как хранить, что делать при подозрении на утечку.
Зафиксируйте факт обучения: подписи в ведомости или протоколе.

8. Сформируйте уведомление для РКН

Используйте актуальную форму (после 01.02.2023).
Впишите все цели, базы, защитные меры и данные об ответственном.
Проверьте, чтобы каждая цель имела отражение в политике и ЛНА.

9. Подайте уведомление и сохраните подтверждения

Каналы: портал Госуслуг (КЭП руководителя) или личный кабинет pd.rkn.gov.ru.
Сохраните квитанцию о приёме и номер реестровой записи.
Добавьте запись в календарь: ежегодный аудит + проверка актуальности целей и баз.

10. Настройте «петлю возврата»

Раз в квартал: мини-ревизия целей и систем.
При любом изменении — корректируем ЛНА ➜ вносим правки в уведомление (до 15-го числа следующего месяца).
Зафиксируйте цикл в регламенте внутреннего контроля, чтобы процесс не зависел от смены сотрудников.

Итог: грамотно подготовившись, вы подаёте уведомление лишь тогда, когда все процессы, документы и техника уже «строем». Такой подход экономит деньги (нет повторных уведомлений и штрафов за расхождения) и время команды, а главное — формирует устойчивую систему защиты персональных данных вместо разовой «галочки».

Частые ошибки компаний при работе с персональными данными и как их избежать

ТОП-10 ошибок при работе с персональными данными
№	Типовая ошибка (симптом)	Почему опасно	Как исправить
1	«Поставили галочку и забыли» — подано уведомление, но пакет ЛНА не разработан	Инспектор запросит приказы, журналы и акты; отсутствие документов = штраф по ч. 1 ст. 13.11 (до 300 000 ₽)	Разработайте политику, приказы, акты оценки вреда и внутренний контроль до подачи уведомления или сразу после — данные ЛНА должны «зеркалить» реестр
2	Уведомление подано по старой форме (до 01.02.2023)	В новой форме выделены цели обработки; старая запись считается неполной → предписание и штраф	Проверьте запись в реестре: если видите поля «информационные системы», подайте корректировку с указанием целей и ответственного
3	Не обновляете уведомление при смене целей, ответственных, адресов баз	Закон даёт 15 дней на корректировку; просрочка = 100–300 тыс. ₽	Добавьте напоминание: каждое изменение процессов ➜ корректировка уведомления до 15-го числа следующего месяца
4	Согласия «всё-в-одном»: одна форма на обработку, передачу и рассылку	РКН расценивает как отсутствие нужных правовых оснований	Делите согласия по целям: обработка, рассылка, передача 3-м лицам, распространение
5	Google Analytics / reCAPTCHA или Gmail в рабочих процессах	Трансграничная передача без оснований → штраф до 6 млн ₽	Переходите на отечественные аналоги: Яндекс Метрика, VK Капча, Ru-CDN, Mail/Yandex почта
6	Cookie-баннер лишь информирует, но нет кнопки «Отказаться», чек-боксы в формах предустановлены	Нарушение принципа добровольности согласия → 60 000–300 000 ₽	Сделайте баннер с двумя равнозначными опциями; чек-боксы по умолчанию пустые
7	Политика на сайте не совпадает с уведомлением (> 3 расхождений)	Автоматический «красный флаг» — компания попадает в группу повышенного риска	Сверяйте цели, категории данных, способы обработки каждый квартал; обновляйте обе версии синхронно
8	Храните «лишние» данные: сканы паспортов, даты рождения контрагентов	Утечка = больший объём → больший штраф; нет минимизации	Проведите инвентаризацию и удалите данные, не влияющие на бизнес-процесс
9	Базы «живут» без приказа: Excel-файлы на рабочих столах, неучтённые папки в облаке	Инспектор расценивает как незаконную обработку	Утвердите приказ о перечне баз ПДн и матрицу доступа; незакрытые файлы либо легализуйте, либо уничтожьте
10	Нет журнала обучения сотрудников	Сотрудник-нарушитель = «организационная бездействие» оператора	Введите ежегодный инструктаж, фиксируйте подписи и даты; приложите план обучения к ЛНА

Совет: используйте этот список как «живую» доску контроля — проставьте статусы, назначьте ответственных и дедлайны. После закрытия всех 10 пунктов риск штрафа падает в разы.

Практические рекомендации, сервисы и инструменты для соблюдения 152-ФЗ

1. Бесплатные официальные источники

Портал Госуслуг (gosuslugi.ru) — подача первичного или корректирующего уведомления с КЭП руководителя.
pd.rkn.gov.ru — реестр операторов, форма уведомления об инциденте, методички РКН и ответы на FAQ.
КонсультантПлюс / Гарант — актуальные тексты КоАП, 152-ФЗ, приказа Минцифры № 180 и чек-листов РКН.
1С:Лекторий — восемь бесплатных двухчасовых лекций юристов-практиков (осень 2024 + обновления)

2. Специализированные конструкторы документов (онлайн-сервисы)

Критерий выбора	Почему важен	Что есть в практике
Автоматическое построение ЛНА на основе опросника	Экономит время и снижает риск пропустить документ	Сервисы формируют политику, приказы, акты оценки вреда, матрицу доступа
Экспорт уведомления в РКН прямо из интерфейса	Исключает ручные ошибки при копировании полей	Поддерживается большинством современных платформ
Конструктор согласий под разные цели	Закон требует отдельное согласие на обработку, передачу, рассылку, распространение	—
Проверка сайта на куки / метрики	Позволяет быстро выявить «запрещённый» зарубежный код	Отчёт указывает скрипты Google, Meta и др.
Поддержка обновлений	Закон меняется каждые 6–12 мес; нужен авто-апдейт форм и шаблонов	Проверяйте SLA и политику обновлений у вендора

Совет: прежде чем покупать, запросите демо-доступ и проверьте:

Есть ли экспорт всех документов в .docx для хранения офлайн.
Можно ли пригласить стороннего юриста для ревью.
Шифруется ли хранение данных клиента в сервисе (TLS + ГОСТ).

3. Инструменты экспресс-аудита сайта

DevTools → Network (Chrome/Edge/Firefox) — мгновенно показывает все сторонние домены и cookie.
Lighthouse или webhint — прогон через CLI-скрипт выявляет отсутствие cookie-баннера, «битые» ссылки на политику, устаревший TLS.
SubDPA Scanner (open-source) — ищет зарубежные JS-библиотеки, iFrame платёжных систем, шрифты Google Fonts.
Парсер WHOIS/IP (например, whois-service.ru) — подтверждает, что сервер физически находится в РФ.

4. Базовый набор технических средств защиты

Задача	Пример решения (отечественные аналоги)	Минимум для SMB
Антивирус + EDR	Касперский, Dr.Web, DallasLock	1 сервер + 10 ПК
Межсетевой экран	Континент ТП, С-Терра	Аппаратный шлюз + IDS
DLP / контроль утечек	Код Безопасности, InfoWatch	Аудит почты и USB
Резервное копирование	Veeam, pVBK (российский форк)	Off-site копия 1 раз в 24 ч

Финансирование: РКН публично рекомендует тратить не менее 0,1 % годовой выручки на ИБ; акты приёмки-передачи служат смягчающим фактором при штрафах.

5. Мини-план автоматизации «на год вперёд»

Q1–Q2 (кварталы): выбор и внедрение конструктора документов; выпуск ЛНА; подача уведомления.
Q3: подключение DLP/EDR, автоматизация резервного копирования, обучение персонала.
Q4: внутренний аудит, корректировка уведомления, пен-тест сайта, обновление актов оценки вреда.

Главное: используйте бесплатные госресурсы, опирайтесь на открытые шаблоны и при необходимости подключайте юристов или SaaS-сервисы, чтобы закрыть «бумажную» часть. Техническую защиту и мониторинг сайта можно начать с open-source-инструментов, постепенно переходя на промышленные решения.

Заключение: делаем соблюдение 152-ФЗ конкурентным преимуществом

Последние поправки вывели персональные данные из «юридической мелочи» в зону стратегического риска. Штрафы теперь исчисляются миллионами и привязаны к выручке, а любая жалоба клиента автоматически запускает проверку.

Но в этом есть и плюс: компании, которые системно защищают данные, выигрывают у конкурентов — им доверяют партнёры, инвесторы и клиенты.

Регистрация в РКН — только начало. Без живых процессов (ЛНА + техзащита + обучение) уведомление превращается в «флажок» для инспектора.
Сайт — витрина комплаенса. Баннер cookie, российский хостинг, раздельные согласия и отказ от иностранных метрик защищают от штрафа 60 000–6 000 000 ₽.
72 часа на инцидент. Назначьте ответственного, держите шаблоны уведомлений и журналы расследований — это снижает санкции в разы.
0,1 % оборота на ИБ — инвестиция, а не расход. Документально подтверждённые траты смягчают наказание и повышают устойчивость бизнеса.

Самая дорогая ошибка — откладывать. Штрафы растут быстрее, чем бюджет «на потом», а репутационные потери не компенсирует ни одна страховка.

Ваши следующие шаги

Проверьте: есть ли ваша компания в реестре операторов ПДн и совпадает ли уведомление с действительностью.
Соберите «карту данных»: цели → субъекты → системы → хранилища.
Подготовьте пакет ЛНА и синхронизируйте его с политикой и сайтом.
Запланируйте аудит сайта и техническую доработку (локализация, куки-баннер, замена западных сервисов).
Организуйте регулярный контроль: квартальный самоаудит + годовое обучение персонала.

Успейте задать вопрос эксперту на ВЕБИНАРЕ "КАК НЕ НАРВАТЬСЯ НА ШТРАФЫ ПО ЗАКОНУ О ПДН"

Чтобы не пропустить вебинар, подпишитесь на 👉 КАНАЛ

Соблюдение 152-ФЗ — не разовая кампания, а элемент культуры компании. Чем раньше вы встроите его в процессы, тем надёжнее защитите бизнес и репутацию.