Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.
Скачанный из интернета шаблон согласия или политики чаще создаёт проблему, чем решает её. Роскомнадзор перешёл от профилактических бесед к автоматическим проверкам сайтов, и универсальный документ «на все случаи» при такой проверке выдаёт себя сразу: размытые цели, отсутствие порядка уничтожения, предзаполненные галочки. Ниже разбираем, какие документы по персональным данным действительно нужны бизнесу в 2026 году и что в каждом из них должно быть, чтобы он работал, а не лежал для вида.
Главное, что стоит держать в голове: документы по ПДн — это не разовый комплект «для галочки», а отражение вашей реальной обработки. Если на сайте собираются одни данные, а в политике описаны другие, наличие документа не спасёт.
Базовый комплект оператора в 2026 году выглядит так:
| Документ | Зачем нужен | Основание |
|---|---|---|
| Согласие на обработку | законное основание сбора данных | ст. 6, 9 152-ФЗ |
| Политика обработки ПДн | публичный документ, обязателен на сайте | ст. 18.1 152-ФЗ |
| Приказ о назначении ответственного | организационная мера защиты | ст. 18.1, 22.1 152-ФЗ |
| Акт об уничтожении + выгрузка из журнала | подтверждение удаления данных | Приказ РКН №179 |
| Уведомление оператора | информирование РКН до начала обработки | ст. 22 152-ФЗ |
| Уведомление о трансграничной передаче | при передаче данных за рубеж | ст. 12 152-ФЗ |
Согласие на обработку персональных данных
С 2022 года требования к согласию ужесточились: оно должно быть конкретным, предметным, информированным и однозначным. Это значит, что согласие нельзя «зашить» в текст пользовательского соглашения или оферты — оно оформляется отдельно. Рабочее согласие включает:
- конкретную цель — «для оформления и доставки заказа», а не «для повышения лояльности»;
- срок или событие, после которого данные уничтожаются;
- перечень данных и категорий, на которые даётся согласие;
- явное действие пользователя — отдельная отметка, которую он ставит сам, без предзаполненных галочек.
Для биометрии и специальных категорий данных нужно отдельное согласие именно на них: общая отметка под формой такие данные не покрывает.
Политика обработки персональных данных
Политика — это публичный документ, к которому статья 18.1 закона 152-ФЗ требует обеспечить неограниченный доступ. На сайте её размещают так, чтобы ссылка была доступна с каждой страницы, где собираются данные: в подвале и рядом с формами. Политика описывает, какие данные, с какими целями и на каком основании вы обрабатываете, как обеспечиваете их защиту и как субъект может реализовать свои права. Документ должен соответствовать тому, что реально происходит на сайте, и обновляться при изменении процессов.
Приказ о назначении ответственного и внутренние акты
Внутри компании нужен приказ, назначающий ответственного за организацию обработки персональных данных, а также положение и инструкции о порядке обработки и защиты для сотрудников. Эти документы запрашивают при проверке в первую очередь: их отсутствие означает, что организационные меры защиты формально не приняты, даже если технически данные защищены.
Акт об уничтожении данных по Приказу РКН №179
Здесь чаще всего ошибаются: считают, что данные «удалены», если стёрта строка в базе. Приказ Роскомнадзора №179 от 28.10.2022 (действует с 1 марта 2023 года) требует подтверждать уничтожение документально. При автоматизированной обработке подтверждением служат два документа:
- акт об уничтожении персональных данных, подписанный комиссией, с указанием данных, основания и способа удаления;
- выгрузка из журнала регистрации событий в информационной системе — с наименованием системы, причиной и датой уничтожения.
Оба документа хранят 3 года с момента уничтожения. Уничтожать данные нужно при достижении цели обработки, отзыве согласия или истечении срока хранения, и быть готовым подтвердить это, если придёт запрос.
На практике именно акт об уничтожении становится слабым местом даже у аккуратных компаний: согласие и политику они оформляют, а порядок удаления данных отозвавшихся клиентов не выстроен. Когда такой клиент жалуется в Роскомнадзор, выясняется, что данные либо всё ещё в базе, либо удалены без подтверждения — и то и другое образует нарушение.
Уведомление в Роскомнадзор и трансграничная передача
Базовое уведомление оператора подаётся до начала обработки через Госуслуги или сайт РКН — как именно, мы разбираем в смежном материале о подаче уведомления об обработке ПДн. Но если вы используете зарубежные сервисы — иностранные CRM, аналитику или серверы, на которых данные физически уходят за пределы РФ, — нужно отдельное уведомление о трансграничной передаче по статье 12 закона 152-ФЗ.
Его подают до начала передачи, и Роскомнадзор рассматривает уведомление в течение 10 рабочих дней. Для стран, обеспечивающих адекватную защиту данных, передавать можно сразу после отправки уведомления; для остальных нужно дождаться решения, и ведомство вправе запретить или ограничить передачу. Важная оговорка: российские облачные сервисы с серверами в РФ трансграничной передачей не являются — это распространённое заблуждение.
Чаще всего о трансграничной передаче вспоминают слишком поздно — когда форма на сайте уже полгода как отправляет данные в зарубежную аналитику. Формально передача началась без уведомления, и это отдельное нарушение помимо локализации. Проверять стоит не только «явные» иностранные сервисы, но и встроенные в сайт виджеты и трекеры.
Частые ошибки в документах
Большинство проблем при проверке возникает не из-за отсутствия документов, а из-за их формальности. Типичные ошибки повторяются из статьи в статью:
- цели обработки скопированы из чужого шаблона и не совпадают с тем, что делает сайт;
- согласие «зашито» в оферту или собирается предзаполненной галочкой;
- политика лежит файлом на сервере, но не опубликована и недоступна с форм;
- нет порядка уничтожения: данные отозвавших согласие остаются в базе;
- используются зарубежные сервисы без уведомления о трансграничной передаче;
- документы датированы 2023–2024 годами и не учитывают новые требования.
Каждый из этих пунктов — самостоятельное основание для предписания, а нередко и для штрафа. Поэтому документы стоит проверять комплектом и сверять с реальной обработкой, а не латать по одному.
Вопросы и ответы
Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.
Можно ли включить согласие в текст оферты или пользовательского соглашения?
Так делать нельзя. Согласие должно быть отдельным, конкретным и информированным; «зашитое» в оферту согласие не считается полученным надлежащим образом.
Достаточно ли удалить запись в базе, чтобы считать данные уничтоженными?
Недостаточно. По Приказу РКН №179 при автоматизированной обработке нужны акт об уничтожении и выгрузка из журнала событий системы; их хранят 3 года.
Подходит ли шаблон политики 2023 года в 2026-м?
Использовать устаревший шаблон рискованно: менялись требования к согласию, уничтожению и трансграничной передаче. Документ должен отражать актуальные нормы и вашу реальную обработку.
Считается ли российское облако трансграничной передачей?
Не считается, если серверы и данные находятся в России. Трансграничная передача — это передача за пределы РФ, например через иностранные сервисы и серверы.
Нужно ли отдельное согласие на биометрию?
Да. Для биометрических и специальных категорий данных требуется отдельное явное согласие; общая отметка под формой их не покрывает.
За сколько Роскомнадзор рассматривает уведомление о трансграничной передаче?
10 рабочих дней. Для «адекватных» стран передачу можно начинать сразу после отправки уведомления, для остальных — после решения ведомства.
Источники
- Приказ Роскомнадзора №179 от 28.10.2022 (КонсультантПлюс) — требования к подтверждению уничтожения ПДн: акт и выгрузка из журнала.
- Статья 12 ФЗ №152-ФЗ (КонсультантПлюс) — трансграничная передача данных, уведомление и сроки рассмотрения.
- Статья 18.1 ФЗ №152-ФЗ (КонсультантПлюс) — обязанность опубликовать политику обработки и принять меры защиты.