Главная страница категории

Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.

Перейти на страницу

Скачанный из интернета шаблон согласия или политики чаще создаёт проблему, чем решает её. Роскомнадзор перешёл от профилактических бесед к автоматическим проверкам сайтов, и универсальный документ «на все случаи» при такой проверке выдаёт себя сразу: размытые цели, отсутствие порядка уничтожения, предзаполненные галочки. Ниже разбираем, какие документы по персональным данным действительно нужны бизнесу в 2026 году и что в каждом из них должно быть, чтобы он работал, а не лежал для вида.

Главное, что стоит держать в голове: документы по ПДн — это не разовый комплект «для галочки», а отражение вашей реальной обработки. Если на сайте собираются одни данные, а в политике описаны другие, наличие документа не спасёт.

Базовый комплект оператора в 2026 году выглядит так:

ДокументЗачем нуженОснование
Согласие на обработкузаконное основание сбора данныхст. 6, 9 152-ФЗ
Политика обработки ПДнпубличный документ, обязателен на сайтест. 18.1 152-ФЗ
Приказ о назначении ответственногоорганизационная мера защитыст. 18.1, 22.1 152-ФЗ
Акт об уничтожении + выгрузка из журналаподтверждение удаления данныхПриказ РКН №179
Уведомление оператораинформирование РКН до начала обработкист. 22 152-ФЗ
Уведомление о трансграничной передачепри передаче данных за рубежст. 12 152-ФЗ

Согласие на обработку персональных данных

С 2022 года требования к согласию ужесточились: оно должно быть конкретным, предметным, информированным и однозначным. Это значит, что согласие нельзя «зашить» в текст пользовательского соглашения или оферты — оно оформляется отдельно. Рабочее согласие включает:

Для биометрии и специальных категорий данных нужно отдельное согласие именно на них: общая отметка под формой такие данные не покрывает.

Политика обработки персональных данных

Политика — это публичный документ, к которому статья 18.1 закона 152-ФЗ требует обеспечить неограниченный доступ. На сайте её размещают так, чтобы ссылка была доступна с каждой страницы, где собираются данные: в подвале и рядом с формами. Политика описывает, какие данные, с какими целями и на каком основании вы обрабатываете, как обеспечиваете их защиту и как субъект может реализовать свои права. Документ должен соответствовать тому, что реально происходит на сайте, и обновляться при изменении процессов.

Приказ о назначении ответственного и внутренние акты

Внутри компании нужен приказ, назначающий ответственного за организацию обработки персональных данных, а также положение и инструкции о порядке обработки и защиты для сотрудников. Эти документы запрашивают при проверке в первую очередь: их отсутствие означает, что организационные меры защиты формально не приняты, даже если технически данные защищены.

Акт об уничтожении данных по Приказу РКН №179

Здесь чаще всего ошибаются: считают, что данные «удалены», если стёрта строка в базе. Приказ Роскомнадзора №179 от 28.10.2022 (действует с 1 марта 2023 года) требует подтверждать уничтожение документально. При автоматизированной обработке подтверждением служат два документа:

Оба документа хранят 3 года с момента уничтожения. Уничтожать данные нужно при достижении цели обработки, отзыве согласия или истечении срока хранения, и быть готовым подтвердить это, если придёт запрос.

На практике именно акт об уничтожении становится слабым местом даже у аккуратных компаний: согласие и политику они оформляют, а порядок удаления данных отозвавшихся клиентов не выстроен. Когда такой клиент жалуется в Роскомнадзор, выясняется, что данные либо всё ещё в базе, либо удалены без подтверждения — и то и другое образует нарушение.

Уведомление в Роскомнадзор и трансграничная передача

Базовое уведомление оператора подаётся до начала обработки через Госуслуги или сайт РКН — как именно, мы разбираем в смежном материале о подаче уведомления об обработке ПДн. Но если вы используете зарубежные сервисы — иностранные CRM, аналитику или серверы, на которых данные физически уходят за пределы РФ, — нужно отдельное уведомление о трансграничной передаче по статье 12 закона 152-ФЗ.

Его подают до начала передачи, и Роскомнадзор рассматривает уведомление в течение 10 рабочих дней. Для стран, обеспечивающих адекватную защиту данных, передавать можно сразу после отправки уведомления; для остальных нужно дождаться решения, и ведомство вправе запретить или ограничить передачу. Важная оговорка: российские облачные сервисы с серверами в РФ трансграничной передачей не являются — это распространённое заблуждение.

Чаще всего о трансграничной передаче вспоминают слишком поздно — когда форма на сайте уже полгода как отправляет данные в зарубежную аналитику. Формально передача началась без уведомления, и это отдельное нарушение помимо локализации. Проверять стоит не только «явные» иностранные сервисы, но и встроенные в сайт виджеты и трекеры.

Частые ошибки в документах

Большинство проблем при проверке возникает не из-за отсутствия документов, а из-за их формальности. Типичные ошибки повторяются из статьи в статью:

Каждый из этих пунктов — самостоятельное основание для предписания, а нередко и для штрафа. Поэтому документы стоит проверять комплектом и сверять с реальной обработкой, а не латать по одному.

Вопросы и ответы

Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.

Можно ли включить согласие в текст оферты или пользовательского соглашения?

Так делать нельзя. Согласие должно быть отдельным, конкретным и информированным; «зашитое» в оферту согласие не считается полученным надлежащим образом.

Достаточно ли удалить запись в базе, чтобы считать данные уничтоженными?

Недостаточно. По Приказу РКН №179 при автоматизированной обработке нужны акт об уничтожении и выгрузка из журнала событий системы; их хранят 3 года.

Подходит ли шаблон политики 2023 года в 2026-м?

Использовать устаревший шаблон рискованно: менялись требования к согласию, уничтожению и трансграничной передаче. Документ должен отражать актуальные нормы и вашу реальную обработку.

Считается ли российское облако трансграничной передачей?

Не считается, если серверы и данные находятся в России. Трансграничная передача — это передача за пределы РФ, например через иностранные сервисы и серверы.

Нужно ли отдельное согласие на биометрию?

Да. Для биометрических и специальных категорий данных требуется отдельное явное согласие; общая отметка под формой их не покрывает.

За сколько Роскомнадзор рассматривает уведомление о трансграничной передаче?

10 рабочих дней. Для «адекватных» стран передачу можно начинать сразу после отправки уведомления, для остальных — после решения ведомства.

Источники