Нужно ли уведомлять Роскомнадзор о персональных данных на сайте

Короткий ответ

Если сайт собирает персональные данные через форму заявки, обратную связь, регистрацию, личный кабинет, заказ, доставку, подписку, поддержку или иные реальные процессы, вопрос уведомления РКН нужно проверять отдельно. По общему правилу оператор обязан уведомить Роскомнадзор до начала обработки персональных данных. На официальном портале РКН прямо сказано, что уведомлять нужно о начале или осуществлении любой обработки персональных данных, кроме случаев, перечисленных в части 2 статьи 22. Эти исключения сегодня узкие, и для обычного коммерческого сайта они подходят далеко не всегда.

Главная практическая мысль для владельца сайта проста: сначала не ищите оправдание вроде «у нас только одна форма» или «мы небольшой проект». Сначала соберите реальную картину обработки: какие данные собираете, от кого, для чего, куда они уходят, кто к ним получает доступ, где хранится база и есть ли передача за рубеж. Уже после этого можно честно отвечать на вопрос, есть ли основание не подавать уведомление или, наоборот, уведомление надо готовить. Такой подход прямо вытекает из статьи 22, где для каждой цели требуется указывать категории данных, категории людей, правовое основание, перечень действий и способы обработки, а также из статьи 5, которая требует заранее определить законные и конкретные цели и не обрабатывать лишние данные.

Что такое уведомление РКН простыми словами и чем оно отличается от политики персональных данных на сайте. Уведомление РКН — это не страница на сайте и не текст для посетителя. Это отдельное сообщение в Роскомнадзор о том, что оператор намерен обрабатывать персональные данные, с указанием существенных сведений о такой обработке. После получения уведомления Роскомнадзор вносит сведения в реестр операторов; по общему правилу это происходит в течение 30 дней, а большая часть сведений в реестре является общедоступной.

Политика обработки персональных данных — другой документ и другая обязанность. Статья 18.1 Закона № 152-ФЗ требует опубликовать политику и обеспечить к ней неограниченный доступ, а если данные собираются через интернет — разместить ее на страницах сайта, где идет сбор данных. Поэтому политика нужна для посетителей сайта и для раскрытия правил обработки, а уведомление — для Роскомнадзора и реестра операторов. Одно другое не заменяет. Политика может быть опубликована идеально, но это само по себе не снимает вопрос уведомления. И наоборот: наличие записи в реестре не отменяет обязанности иметь корректную политику на сайте.

Еще один важный момент: статус оператора не зависит от того, есть ли вы уже в реестре. Роскомнадзор прямо разъясняет, что оператором лицо является независимо от включения в реестр. Это значит, что отсутствие записи в реестре — не аргумент «мы не оператор», а лишь повод проверить, подавалось ли уведомление и актуальны ли сведения.

Когда уведомление обычно требуется: таблица по сценариям сайта.

Эта таблица — не набор «магических» правил, а сжатая логика из статьи 3 о понятиях оператора и обработки, статьи 22 о необходимости уведомления, официального разъяснения РКН о действующих исключениях и состава электронной формы уведомления, где отдельно выделены категории субъектов, действия с данными, способы обработки и даже сведения, собираемые посредством метрических программ.

Какие исключения нужно проверить и почему с ними нельзя обращаться небрежно

В действующей редакции статьи 22 ситуация изменилась по сравнению со многими старыми публикациями. Пункты 1–6 части 2 статьи 22 утратили силу с 1 сентября 2022 года. Сейчас в статье 22 остались три группы исключений: данные, включенные в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка; обработка, которая ведется исключительно без использования средств автоматизации; а также случаи, связанные с транспортной безопасностью. РКН в официальных разъяснениях подтверждает именно этот состав исключений.

Для владельца обычного сайта самое опасное заблуждение связано со словом «исключительно». Если на сайте есть форма, заявка приходит на почту, попадает в систему учета заявок и клиентов, хранится в админке, таблице, личном кабинете или ином электронном сервисе, обработка уже идет с использованием средств вычислительной техники. Закон определяет автоматизированную обработку именно так. Поэтому на типичном сайте исключение про полностью неавтоматизированную обработку обычно неприменимо. Малый размер проекта, одна форма, одностраничный сайт или отсутствие интернет-магазина сами по себе исключениями не являются.

Из этого следует практическое правило: старые статьи, где в качестве исключений перечислены, например, более ранние случаи из старой редакции части 2 статьи 22, использовать как основу для решения уже нельзя. По теме уведомления особенно опасно опираться на материалы, написанные до изменений 2022 года, не сверяя их с действующей редакцией статьи 22 и текущими разъяснениями РКН.

Дерево решений для владельца сайта

Ниже удобный порядок проверки — не по шаблону, а по реальным процессам сайта.

Есть форма заявки или обратной связи

Значит, вы уже как минимум собираете, записываете, храните и используете персональные данные посетителя. Для такого сценария вопрос уведомления нельзя закрывать фразой «у нас только имя и телефон». Закон не делает исключения по малому объему данных, а обработкой признает и сбор, и запись, и хранение, и использование.

Есть регистрация или личный кабинет

Здесь почти всегда появляется отдельная цель обработки: создание и ведение учетной записи, авторизация, хранение профиля, история заказов или действий. По статье 22 сведения в уведомлении указываются по каждой цели отдельно, поэтому «личный кабинет» часто требует отдельного описания, а не простой приписки к общей цели «для работы сайта».

Есть оплата. Это уже не просто прием контактов, а подготовка, заключение или исполнение договора, а иногда и связанные учетные обязанности. Правовое основание, категории субъектов и состав данных здесь обычно отличаются от простой формы заявки, поэтому их надо выделять отдельно. В самой форме уведомления РКН правовые основания и действия выбираются раздельно, а статья 5 требует, чтобы объем данных соответствовал каждой заявленной цели.

Есть доставка

Значит, вы почти наверняка работаете с адресом, телефоном, сведениями о заказе и, как правило, передаете часть данных службам доставки или иным исполнителям. Это влияет не только на состав операций с данными, но и на перечень лиц, которым данные фактически раскрываются или предоставляются доступ.

Есть поддержка, чат, обращения по возврату или претензии

Тогда сайт уже обрабатывает не только «контакты из формы», но и переписку, историю обращений, сведения о заказах, иногда вложенные документы. Это отдельный процесс, который часто забывают включить в карту обработки, хотя именно он расширяет категории данных и сроки хранения.

Есть рассылка

Даже если на сайте нет личного кабинета и сложной покупки, рассылка часто означает отдельную цель — информирование или продвижение товаров, работ, услуг. А статья 5 требует не смешивать несовместимые цели и не собирать лишние данные сверх заявленной задачи. Поэтому рассылку лучше не прятать внутри общей цели «обратная связь».

Есть подрядчики: система учета заявок и клиентов, сервис рассылок, хостинг, чат, внешняя форма, иностранный сервис

Тогда дальше нужно проверять, где физически находится база, кто отвечает за хранение, осуществляется ли передача по сети интернет, есть ли трансграничная передача и какие меры защиты применяются. Это практический вывод из состава обязательных полей формы уведомления и из статьи 22. Иными словами, подрядчик — это не мелочь «про технику», а часть фактической обработки.

Что проверять дальше после дерева решений

После ответа на эти вопросы нужно сверить только три вещи: есть ли у вас сама обработка персональных данных; подпадаете ли вы под действующие исключения части 2 статьи 22; готовы ли вы описать цели, субъектов, данные, основания, действия, сроки, меры защиты и инфраструктуру без выдумок и догадок. Если на любой из этих стадий вы отвечаете «не уверен», значит, сначала нужна карта обработки сайта, а не поспешный вывод «уведомление точно не требуется».

Что подготовить перед уведомлением

Ниже — тот минимум сведений, без которого уведомление почти всегда либо заполняется формально, либо потом требует корректировок.

1. Разделите реальные цели обработки. Статья 5 требует конкретных, заранее определенных и законных целей, а для уведомления по статье 22 сведения подаются по каждой цели отдельно. В официальной инструкции к форме прямо сказано: под целью понимаются цели фактически осуществляемой оператором деятельности.

1. Определите категории людей, чьи данные вы обрабатываете. В форме РКН это не абстрактное поле, а отдельный список: клиенты, посетители сайта, контрагенты, представители контрагентов и иные категории. Для сайта часто минимумом оказываются «посетители сайта» и «клиенты», но точный список зависит от процессов.

1. Соберите категории персональных данных. Форма РКН предлагает отмечать конкретные виды данных: ФИО, телефон, адрес электронной почты, адрес места жительства, сведения, собираемые посредством метрических программ, и другие. Это полезная проверка против привычки писать в документах слишком общо. Если на сайте реально есть только почта и телефон, не надо дописывать паспорт и СНИЛС. Если есть доставка, возвраты, поддержка или метрики — наоборот, не надо делать вид, что данных меньше.

1. Подберите правовое основание, а не формальную отсылку к закону. В инструкции РКН прямо указано, что правовым основанием является один из случаев, предусмотренных частью 1 статьи 6 Закона № 152-ФЗ, и что сам Закон № 152-ФЗ не является правовым основанием обработки. На практике для сайтов чаще всего встречаются согласие субъекта, исполнение договора с субъектом или исполнение обязанностей по закону.

1. Поймите, какие действия вы реально совершаете с данными и как именно. В форме отдельно выбираются сбор, запись, хранение, использование, передача, удаление и другие действия, а также способы обработки: автоматизированная, неавтоматизированная или смешанная; с передачей по сети интернет или без нее. Это еще одна причина, почему вывод по уведомлению нельзя делать без разбора реальных процессов сайта.

1. Подготовьте дату начала обработки и срок либо условие ее прекращения. В инструкции РКН сказано, что дата начала обработки — фактическая дата начала обработки персональных данных; она может совпадать с датой регистрации юридического лица, ИП или самозанятого. Там же указано, что в поле прекращения нужно выбрать либо дату окончания, либо условие окончания обработки.

1. Соберите описание мер защиты и сведения об ответственном за организацию обработки персональных данных. Эти сведения входят в состав уведомления по статье 22. При этом РКН специально предупреждает, что сведения об ответственном за организацию обработки и его контактные данные являются общедоступными в реестре. Это значит, что ответственного надо выбирать осознанно, а не ставить первое попавшееся имя «для формы».

1. Проверьте подрядчиков, местонахождение базы данных и передачу за рубеж. В уведомлении нужно указывать сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ. Официальная форма спрашивает страну, адрес центра обработки данных, собственный это центр или нет, а также сведения об организации, ответственной за хранение данных. Если есть трансграничная передача, это отражается в уведомлении по статье 22; кроме того, с 1 марта 2023 года до начала такой деятельности требуется отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных.

Как проверить наличие оператора в реестре РКН

На портале РКН сведения из реестра операторов являются общедоступными, за исключением сведений о средствах обеспечения безопасности. Для самого быстрого поиска РКН советует использовать ИНН организации; если ИНН неизвестен, можно искать по отличительной части наименования без организационно-правовой формы и лишних символов. Отдельно на портале есть форма проверки состояния электронного уведомления по номеру и ключу.

Здесь есть важная тонкость. Проверка в реестре нужна, но она не заменяет анализ ваших процессов. Даже если записи нет, вы все равно можете уже быть оператором в смысле закона. Именно поэтому сначала стоит проверять фактическую обработку, а затем — наличие и актуальность сведений в реестре. Иначе легко попасть в ловушку «не нашли себя в реестре — значит, вопрос не наш». Это неверная логика.

Когда сведения нужно обновлять после изменений на сайте

Статья 22 прямо устанавливает срок: если изменились сведения, ранее указанные в уведомлении, оператор обязан сообщить об изменениях не позднее 15‑го числа месяца, следующего за месяцем, в котором такие изменения возникли. Если обработка прекращена, уведомить об этом нужно в течение десяти рабочих дней с даты прекращения обработки. Официальная инструкция РКН повторяет этот срок и прямо говорит, что уведомление о намерении подается однократно, а уведомления об изменениях можно подавать по мере необходимости.

Для сайта это означает простой рабочий принцип: запускаете новую форму, личный кабинет, магазин, доставку, возвраты, рассылку, внешний сервис, новый хостинг, новый иностранный инструмент или меняете цели обработки — значит, сразу смотрите, не меняет ли это уже поданные сведения в реестре. Уведомление не должно «отставать» от сайта. Оно должно отражать текущую реальность обработки, иначе реестр и фактические процессы начинают жить отдельно друг от друга.

Связь с политикой персональных данных, согласиями, файлами cookie и рекламой

Уведомление РКН — только одна часть общей картины. Политика обработки персональных данных нужна для раскрытия правил обработки и должна быть опубликована там, где через сайт идет сбор данных; подробнее это стоит разбирать в отдельном материале про политику обработки персональных данных для сайта. Согласия на формах — это отдельный слой: они могут быть правовым основанием или дополнительным требованием в конкретных сценариях, но наличие согласия под формой не заменяет уведомление по статье 22; поэтому полезно отдельно ссылаться на материал про согласия на обработку персональных данных на формах.

Если вопрос упирается в счетчики, идентификаторы, метрические программы и сбор сведений о посетителях, не раздувайте эту тему внутри статьи про уведомление. Достаточно честно отметить, что официальная форма РКН прямо предусматривает отдельную категорию «сведения, собираемые посредством метрических программ», а дальше увести читателя в отдельные материалы: политика cookie для сайта и Метрика, аналитика и cookie по 152-ФЗ. Аналогично и с общим составом документов: для широкой картины лучше вести на какие документы нужны сайту в 2026 году, а сценарий интернет-магазина раскрывать через какие документы нужны интернет-магазину.

Реклама и рассылки тоже не стоит разбирать здесь подробно, но короткую связь показать важно. Как только вы используете контакты для продвижения, у вас часто появляется новая цель обработки, а иногда и новые получатели данных. Значит, нужно пересматривать не только тексты на формах, но и сведения для уведомления, чтобы цели и объем данных не расходились с фактическим сайтом.

Частые ошибки сайтов при решении «уведомлять или нет».

1. Решать по размеру сайта, а не по фактической обработке. В статье 22 нет критерия «маленький сайт», а у РКН перечень исключений закрытый и узкий.
2. Считать, что одна форма заявки слишком незначительна для уведомления. Даже форма — это уже сбор и иная обработка персональных данных в смысле статьи 3.
3. Опира́ться на старые исключения из прежней редакции статьи 22. Пункты 1–6 части 2 статьи 22 утратили силу с 1 сентября 2022 года.
4. Путать политику персональных данных с уведомлением РКН. Это разные обязанности, закрепленные в разных статьях закона.
5. Писать одну общую цель вместо нескольких реальных. Статья 5 требует конкретных целей, а статья 22 — отдельного указания сведений по каждой цели.
6. Указывать «152-ФЗ» как правовое основание обработки. Официальная инструкция РКН прямо предупреждает, что сам закон не является правовым основанием.
7. Забывать про посетителей сайта и сведения метрических программ. Официальная форма прямо содержит и категорию «посетители сайта», и категорию «сведения, собираемые посредством метрических программ».
8. Не проверять подрядчиков и место хранения базы данных. Без этого сложно корректно описать передачу, доступ, инфраструктуру и местонахождение базы.
9. Механически ставить ответственное лицо в уведомлении. Контакты такого лица попадают в общедоступный реестр, поэтому этот выбор не должен быть формальностью.
10. Не обновлять сведения после изменений на сайте. Закон дает срок до 15‑го числа следующего месяца, а прекращение обработки нужно заявлять отдельно.
11. Думать, что отсутствие записи в реестре означает отсутствие статуса оператора. Роскомнадзор прямо разъясняет обратное.
12. Игнорировать зарубежные сервисы. Если есть трансграничная передача, это не только влияет на сведения по статье 22, но и может требовать отдельного уведомления по статье 12.

Проверочный список перед решением о подаче уведомления

Этот проверочный список собран из статей 5, 18.1 и 22 Закона № 152-ФЗ, официальной формы РКН и инструкции к ней.

1. Кто у вас оператор: юридическое лицо, ИП, самозанятый или иное лицо?
2. Какие процессы сайта реально собирают данные: заявка, регистрация, заказ, доставка, поддержка, рассылка, кабинет?
3. Какие цели обработки есть по каждому процессу отдельно?
4. Какие категории людей задействованы: посетители сайта, клиенты, контрагенты, представители контрагентов и другие?
5. Какие именно данные вы берете в каждом процессе и нет ли лишних?
6. Какое правовое основание подходит к каждой цели: согласие, договор, законная обязанность и так далее?
7. Какие действия с данными выполняются и идет ли передача по интернету?
8. Есть ли подрядчики, которые получают доступ к данным или хранят их?
9. Где находится база данных информации, содержащей персональные данные граждан РФ?
10. Есть ли передача за рубеж и не требуется ли отдельное уведомление о трансграничной передаче?
11. Опубликована ли политика обработки персональных данных там, где данные собираются через сайт?
12. Актуальна ли запись в реестре РКН, если вы уже подавали уведомление раньше?

Если по двум-трем пунктам ответа пока нет, не пытайтесь сразу заполнять форму. Сначала полезнее пройти общий проверочный список сайта по 152-ФЗ, а уже потом возвращаться к вопросу уведомления. Без карты обработки даже хорошо написанная политика и аккуратные формы согласия не дадут точного ответа, что именно писать в РКН.

Что делать дальше

Лучший следующий шаг — не спорить абстрактно о том, «нужно ли уведомление маленькому сайту», а собрать карту обработки именно вашего сайта: какие формы стоят, куда уходят заявки, что хранится в админке, есть ли личный кабинет, рассылка, доставка, счетчики, подрядчики и иностранные сервисы. После этого уже можно спокойно привести в порядок политику обработки персональных данных, согласия на формах и, если это требуется по фактическим процессам, подготовить уведомление в РКН. Правослой здесь уместен не как «волшебная бумажка», а как способ собрать карту данных сайта, проверить формы и подготовить комплект документов без обещаний юридической гарантии.

Источники и дата проверки