Роскомнадзор и реестр операторов персональных данных в 2026 году: регистрация, уведомление, проверка

В 2026 году практически каждая организация, индивидуальный предприниматель и даже физическое лицо, работающие с персональными данными граждан, обязаны соблюдать требования законодательства о защите информации. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор — осуществляет контроль за соблюдением Федерального закона № 152-ФЗ «О персональных данных» и ведёт реестр операторов, обрабатывающих персональные данные.

Что такое Роскомнадзор и какие функции он выполняет?

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций была создана Указом Президента РФ от 03.12.2008 № 1715 и является органом исполнительной власти, подведомственным Министерству цифрового развития, связи и массовых коммуникаций РФ. Основные направления деятельности Роскомнадзора:

1. Защита персональных данных граждан.
2. Надзор за соблюдением лицензионных условий в сферах связи, телерадиовещания, информационных технологий и массовых коммуникаций.
3. Контроль за маркировкой информационной продукции по возрастному критерию в целях защиты детей от вредной информации.
4. Регистрация средств массовой информации, сетей электросвязи, радиоэлектронных средств.
5. Выдача лицензий и разрешений на оказание услуг связи, использование радиочастотного спектра.
6. Ведение реестра операторов персональных данных.

Система добровольной сертификации «Росконтроль»: что это?

В последние годы участились случаи, когда руководители организаций и индивидуальные предприниматели получают письма от организаций, именующих себя «Системой добровольной сертификации Росконтроль» или подобными названиями. В таких письмах сообщается об обнаружении нарушений требований Федерального закона № 152-ФЗ и предлагается помощь в их устранении за вознаграждение. Важно понимать: «СДС Росконтроль» и подобные организации являются коммерческими структурами, оказывающими юридические и консультационные услуги. Они не являются органами государственной власти и не имеют отношения к Роскомнадзору. Название используется для придания значимости и привлечения клиентов.

Кто такие операторы персональных данных?

Персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Оператором персональных данных может быть:

• Юридическое лицо любой организационно-правовой формы (ООО, АО, НКО и т.д.).
• Индивидуальный предприниматель.
• Физическое лицо (например, нотариус, адвокат).
• Государственный или муниципальный орган.

Любой, кто собирает, хранит, использует или распространяет персональные данные, является оператором — от интернет-магазина с формой регистрации до банка, медицинского учреждения или кадровой службы предприятия.

Как проверить, зарегистрирована ли организация в реестре операторов?

Для проверки наличия записи в реестре операторов персональных данных необходимо:

1. Перейти на официальный портал персональных данных Роскомнадзора.
2. В поисковой форме указать ИНН организации или индивидуального предпринимателя.
3. Если ИНН неизвестен — ввести название организации (достаточно уникальной части наименования без организационно-правовой формы и спецсимволов).
4. Дождаться результатов поиска.

Кто обязан быть внесён в реестр операторов?

Согласно статье 22 Федерального закона № 152-ФЗ, оператор обязан направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных до начала такой обработки. Обязаны зарегистрироваться в реестре:

• Все юридические лица, ведущие кадровый учёт (обработка данных сотрудников, их родственников для оформления социальных льгот).
• Организации, собирающие данные клиентов для заключения договоров, оформления бонусных карт, рассылок.
• Индивидуальные предприниматели, использующие персональные данные клиентов или сотрудников.
• Владельцы интернет-сайтов с формами регистрации, подписки, обратной связи, где запрашиваются персональные данные.
• Медицинские, образовательные, финансовые организации.

О защите персональных данных в интернете читайте в нашей статье «Какую информацию нельзя разглашать в интернете».

Кто может не регистрироваться в реестре?

Согласно пункту 2 статьи 22 Федерального закона № 152-ФЗ, оператор вправе осуществлять обработку персональных данных без направления уведомления в Роскомнадзор в следующих случаях:

Основание для освобождения	Условия
Обработка персональных данных для осуществления правосудия	Обработка осуществляется судами, органами дознания, следствия, прокуратуры
Обработка в рамках трудовых отношений	Только данные, необходимые для заключения и исполнения трудового договора в соответствии с Трудовым кодексом РФ
Обработка общедоступных персональных данных	Данные являются общедоступными или субъект сделал их общедоступными
Обработка только Ф.И.О.	Обрабатываются исключительно фамилия, имя, отчество субъекта
Однократное использование	Персональные данные получены для однократного пропуска на территорию, разовой доставки и т.п.
Обработка без использования средств автоматизации	Данные обрабатываются только на бумажных носителях без использования компьютеров
Обработка для исполнения договора	Субъект является стороной договора, данные не распространяются, не предоставляются третьим лицам без согласия субъекта
Члены общественных объединений и религиозных организаций	Данные не распространяются без письменного согласия субъектов
Обеспечение транспортной безопасности	Обработка осуществляется для обеспечения безопасности на транспорте

Уведомление об обработке персональных данных: что указывать?

Одним из основных требований законодательства является направление оператором в Роскомнадзор уведомления о намерении осуществлять обработку персональных данных. В уведомлении необходимо указать:

1. Полное наименование юридического лица или Ф.И.О. физического лица (индивидуального предпринимателя), осуществляющего обработку.
2. Адрес места нахождения (регистрации) оператора.
3. Цели обработки персональных данных.
4. Категории субъектов, персональные данные которых обрабатываются (работники, клиенты, контрагенты и т.д.).
5. Категории обрабатываемых персональных данных (паспортные данные, адрес, телефон, образование и т.д.).
6. Правовое основание обработки (трудовой договор, договор оказания услуг, согласие субъекта и т.д.).
7. Перечень действий с персональными данными (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
8. Меры, применяемые для обеспечения безопасности персональных данных в соответствии со статьями 18.1 и 19 Федерального закона № 152-ФЗ.
9. Дата начала обработки персональных данных.
10. Срок или условие прекращения обработки персональных данных.
11. Сведения о наличии или отсутствии трансграничной передачи персональных данных.
12. Сведения о местонахождении базы данных (страна, адрес).

Подробнее об обработке и хранении персональных данных читайте в статье «Обработка и хранение персональных данных в России».

Как зарегистрироваться в реестре операторов персональных данных?

Порядок регистрации:

1. Зайти на официальный сайт Роскомнадзора.
2. В меню выбрать раздел «Реестр операторов персональных данных».
3. Перейти в подраздел «Электронные формы заявлений» и выбрать «Перейти к заполнению формы электронного уведомления».
4. Заполнить электронную форму уведомления, указывая полные и достоверные данные, соответствующие локальным нормативным актам организации (положению о защите персональных данных, политике конфиденциальности и т.д.).
5. Распечатать заполненное уведомление, заверить подписью руководителя и печатью организации (при наличии).
6. Направить уведомление в территориальный орган Роскомнадзора по месту нахождения оператора в двух экземплярах: на бумажном носителе (почтой или лично) и в электронном виде (на электронную почту территориального органа или через форму на сайте).

Срок регистрации: Роскомнадзор вносит сведения об операторе в реестр в течение 30 дней с момента получения уведомления.

Обязанности оператора персональных данных

Помимо обязанности уведомить Роскомнадзор о начале обработки персональных данных, оператор должен соблюдать следующие требования:

1. Назначить ответственного за обработку персональных данных. Издать приказ о назначении ответственного лица или создании структурного подразделения, ответственного за обработку персональных данных и обеспечение их безопасности.
2. Разработать и утвердить локальные нормативные акты:
   • Положение о защите персональных данных.
   • Политику конфиденциальности.
   • Форму согласия на обработку персональных данных.
   • Инструкции для сотрудников по обработке и защите персональных данных.
3. Принять меры по обеспечению безопасности персональных данных:
   • Определить угрозы безопасности персональных данных.
   • Установить антивирусное программное обеспечение, средства защиты информации.
   • Ограничить доступ к персональным данным (парольная защита, разграничение прав доступа).
   • Обеспечить учёт носителей персональных данных.
   • Проводить инструктаж сотрудников о мерах ответственности за разглашение персональных данных.
4. Получать согласие субъектов на обработку персональных данных (за исключением случаев, когда согласие не требуется по закону).
5. Информировать субъектов о целях, способах и сроках обработки их персональных данных.
6. Прекратить обработку и уничтожить персональные данные:
   • При достижении цели обработки.
   • При отзыве субъектом согласия на обработку.
   • При выявлении незаконной обработки.
7. Соблюдать требование локализации баз данных. Обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.
8. Удалить персональные данные в течение 10 дней с момента получения письменного требования субъекта, если будет установлено, что данные были получены незаконно или не являются необходимыми для заявленной цели обработки.

Также рекомендуем ознакомиться с материалами:

• Положение о защите персональных данных работников.
• Согласие на обработку персональных данных несовершеннолетних.
• Согласие на обработку персональных данных: когда нужно и как отозвать.

Как исключить сведения об операторе из реестра?

Существуют ситуации, когда необходимо удалить сведения об операторе из реестра Роскомнадзора:

• Прекращение деятельности оператора в результате реорганизации (слияние, присоединение, разделение, выделение, преобразование).
• Ликвидация юридического лица или прекращение деятельности индивидуального предпринимателя.
• Аннулирование лицензии (если обработка персональных данных осуществлялась в рамках лицензируемой деятельности).
• Вступление в законную силу решения суда о запрете обработки персональных данных.
• Наступление срока или условия прекращения обработки персональных данных, указанных в уведомлении.

Порядок исключения из реестра:

1. Оператор самостоятельно направляет в территориальный орган Роскомнадзора заявление об исключении из реестра.
2. К заявлению прилагаются документы, подтверждающие основание для исключения (свидетельство о ликвидации, решение о реорганизации, решение суда и т.д.).
3. Роскомнадзор рассматривает заявление в течение 30 дней с момента его регистрации.
4. Сведения об операторе исключаются из реестра.

Ответственность за отсутствие регистрации в реестре операторов

За непредставление или несвоевременное представление в Роскомнадзор уведомления о начале обработки персональных данных предусмотрена административная ответственность.

Нарушение	Статья КоАП РФ	Санкция для граждан	Санкция для должностных лиц	Санкция для юридических лиц
Непредставление уведомления об обработке персональных данных	Статья 19.7 КоАП РФ	Предупреждение или штраф 100–300 руб.	Предупреждение или штраф 300–500 руб.	Предупреждение или штраф 3 000–5 000 руб.
Нарушение требований к обработке и защите персональных данных	Статья 13.11 КоАП РФ	Предупреждение или штраф 1 000–3 000 руб.	Предупреждение или штраф 5 000–10 000 руб.	Предупреждение или штраф 30 000–50 000 руб.
Повторное нарушение требований к обработке и защите персональных данных	Часть 2 статьи 13.11 КоАП РФ	Штраф 3 000–5 000 руб.	Штраф 10 000–20 000 руб.	Штраф 50 000–70 000 руб.

Часто задаваемые вопросы

Обязан ли индивидуальный предприниматель без работников регистрироваться в реестре операторов персональных данных?

Если индивидуальный предприниматель собирает и обрабатывает персональные данные клиентов (например, для заключения договоров, оформления заказов, рассылок), он обязан зарегистрироваться в реестре операторов. Исключение составляют случаи, предусмотренные пунктом 2 статьи 22 Федерального закона № 152-ФЗ (например, обработка только Ф.И.О., однократное использование данных).

Нужно ли регистрироваться в реестре операторов, если персональные данные обрабатываются только на бумажных носителях?

Согласно пункту 2 статьи 22 Федерального закона № 152-ФЗ, если обработка персональных данных осуществляется без использования средств автоматизации (компьютеров, программного обеспечения), уведомление в Роскомнадзор направлять не требуется. Однако оператор обязан соблюдать все остальные требования законодательства о защите персональных данных.

Какой штраф грозит за отсутствие регистрации в реестре операторов в 2026 году?

За непредставление уведомления об обработке персональных данных предусмотрена административная ответственность по статье 19.7 КоАП РФ: для граждан — предупреждение или штраф 100–300 рублей, для должностных лиц — предупреждение или штраф 300–500 рублей, для юридических лиц — предупреждение или штраф 3 000–5 000 рублей. За нарушение требований к обработке и защите персональных данных штрафы значительно выше — до 70 000 рублей для юридических лиц (статья 13.11 КоАП РФ).

Как долго рассматривается уведомление об обработке персональных данных?

Роскомнадзор вносит сведения об операторе в реестр в течение 30 дней с момента получения уведомления. Если в уведомлении обнаружены недостоверные или неполные сведения, Роскомнадзор вправе запросить дополнительную информацию, что может увеличить срок регистрации.

Можно ли подать уведомление в Роскомнадзор в электронном виде?

Да, на официальном сайте Роскомнадзора доступна электронная форма уведомления. Однако после заполнения электронной формы необходимо распечатать уведомление, заверить его подписью руководителя и печатью организации (при наличии) и направить в территориальный орган Роскомнадзора на бумажном носителе (почтой или лично) и в электронном виде.

Что делать, если организация уже обрабатывает персональные данные, но не зарегистрирована в реестре операторов?

Необходимо как можно скорее подать уведомление в Роскомнадзор. Несвоевременная подача уведомления влечёт административную ответственность, однако регистрация в реестре всё равно обязательна. Рекомендуется также провести внутренний аудит соответствия обработки персональных данных требованиям законодательства и принять меры по устранению выявленных нарушений.

Нужно ли обновлять сведения в реестре операторов при изменении адреса или руководителя организации?

Да, при изменении сведений, указанных в уведомлении (адрес, руководитель, цели обработки, категории персональных данных и т.д.), оператор обязан в течение 30 дней направить в Роскомнадзор уведомление об изменении сведений.

Какие меры безопасности персональных данных должен обеспечить оператор?

Оператор обязан принять правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Конкретный перечень мер зависит от категории персональных данных, угроз безопасности и используемых информационных систем. Рекомендуется разработать и утвердить Положение о защите персональных данных, назначить ответственного за обработку персональных данных, установить средства защиты информации, проводить инструктаж сотрудников.