Уведомление в Роскомнадзор о персональных данных: как подать в 2026

10 мин
персональные данныероскомнадзоруведомлениесамозанятый152-фзкоап
Уведомление в Роскомнадзор о персональных данных как подать в 2026, обложка статьи sitelaw

Слова «уведомление в Роскомнадзор» звучат так, будто это забота крупных компаний с собственным отделом юристов. На деле обязанность одна и та же - что для ООО с сотней сотрудников, что для самозанятого с единственной формой обратной связи на сайте. Стоит посетителю оставить имя, телефон или email - вы уже обрабатываете персональные данные, а значит, обязаны заявить об этом до начала обработки. Ниже разберём, как подать уведомление в Роскомнадзор о персональных данных в 2026 году через Госуслуги, кто на самом деле обязан это сделать и чем оборачивается молчание.

Кто обязан уведомлять, и почему самозанятого это тоже касается

Закон оперирует понятием «оператор», а не «компания». Оператором закон называет любое лицо, которое организует или само обрабатывает персональные данные, и не привязывает этот статус к организационно-правовой форме. Под определение разом попадают и ООО, и индивидуальный предприниматель, и физлицо на НПД, то есть самозанятый. Освобождения «потому что я просто самозанятый» в 152-ФЗ нет.

Дальше начинается арифметика, которую часто пропускают. Обязанность уведомить Роскомнадзор лежит на операторе до начала обработки. Несколько лет назад существовал длинный список исключений: если данные собираются в рамках договора с клиентом, для кадрового учёта или это общедоступные сведения, уведомлять было не нужно. Именно на эти послабления до сих пор ссылаются устаревшие статьи и скачанные где-то шаблоны.

А широких исключений больше нет. С 1 сентября 2022 года они утратили силу. Остались только узкие случаи: обработка для государственных информационных систем безопасности, обработка исключительно без средств автоматизации (то есть руками на бумаге, без компьютера и без сайта) и сфера транспортной безопасности. Малого бизнеса и самозанятого в этом коротком перечне нет.

Вывод простой. Форма на сайте, CRM, выгрузка контактов в таблицу - всё это обработка с использованием средств автоматизации, и под бумажное исключение она не подходит. Собираете контакты клиентов через сайт - подать уведомление обязаны, самозанятый вы или компания.

Что закон требует на самом деле

Норма короткая: оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о намерении их обрабатывать. Это не разрешительная процедура и не лицензия. Вы не запрашиваете согласие, а информируете надзорный орган о том, что собираетесь обрабатывать данные, какие именно, на каком основании и с какими целями.

По сути уведомление - это анкета о вашей обработке. В ней вы указываете цели (например, обработка заявок с сайта и связь с клиентами), категории субъектов (клиенты, посетители сайта), состав данных (имя, телефон, email), правовое основание и меры защиты. После подачи запись о вас появляется в публичном реестре операторов на сайте Роскомнадзора, и по нему вашу организацию или вас как самозанятого можно найти по ИНН или названию.

Уведомление легко спутать с другими обязанностями оператора, а это разные вещи. Уведомление сообщает надзорному органу о намерении обрабатывать данные. Политика обработки персональных данных, согласие на обработку и реестр учёта остаются отдельными документами и действиями. Подача уведомления не отменяет необходимость опубликовать политику на сайте и собирать согласие там, где оно требуется. Требования разные, и спрашивают за каждое по отдельности.

Что писать в анкете уведомления

Уведомление - это структурированное описание вашей обработки, а не отписка в одну строку. Чтобы заполнить его без ошибок, заранее ответьте себе на несколько вопросов: ответы лягут прямо в поля формы.

Цели обработки. Сформулируйте по-человечески и по факту: «обработка заявок и обращений с сайта, связь с клиентами», «оформление и исполнение заказов», «ведение клиентской базы». Не переписывайте абстрактные формулировки из чужих шаблонов, если у вас другая деятельность.

Категории субъектов. Чьи данные вы собираете: клиенты, потенциальные клиенты, посетители сайта, при необходимости работники. У самозанятого чаще всего две категории - клиенты и посетители сайта.

Состав данных. Перечислите ровно то, что реально собираете: имя, телефон, email, иногда адрес доставки. Не указывайте категории «на всякий случай»: заявленные в анкете данные, которые формы не собирают, дают расхождение между анкетой и фактом. Обратная ошибка опаснее - собирать то, чего в уведомлении нет.

Правовое основание. Чаще всего это согласие субъекта либо исполнение договора с клиентом. От основания зависит, нужен ли отдельный чекбокс согласия на форме: при договоре он не всегда обязателен, при обработке на основании согласия нужен.

Меры защиты. Опишите, как вы бережёте данные: ограничение доступа, использование защищённого соединения, хранение в системах на территории России. Трактат тут не нужен - нужна правдивая короткая картина.

Дата начала обработки. Если обработка уже идёт, укажите фактическую дату, а не «сегодня». Честная дата лучше попытки её скрыть.

Штраф за неподачу уведомления в Роскомнадзор

Раньше за неуведомление мог последовать в основном общий состав или предупреждение. С 30 мая 2025 года появился отдельный денежный состав: КоАП теперь прямо наказывает за неуведомление или несвоевременное уведомление Роскомнадзора о намерении обрабатывать персональные данные. Состав ввёл закон от 30 ноября 2024 года.

Вилка зависит от того, к какой категории лиц вас отнесут:

Категория лицаШтраф за неподачу уведомления (КоАП, ч. 10 ст. 13.11)
Гражданинот 5 000 до 10 000 ₽
Должностное лицоот 30 000 до 50 000 ₽
Юридическое лицоот 100 000 до 300 000 ₽

Несколько уточнений, чтобы не вводить в заблуждение. Самозанятый остаётся физическим лицом на НПД и не приравнивается к индивидуальному предпринимателю. По примечанию к статье 13.11 ИП за это нарушение отвечает как юридическое лицо, то есть по верхней вилке. К самозанятому это правило не переносится: его, как правило, рассматривают как гражданина. Но конкретную категорию в каждом деле определяет орган с учётом характера деятельности, поэтому самозанятому имеет смысл ориентироваться на нижнюю вилку, но не считать её гарантией.

И сразу дисклеймер, без него таблицу читать нельзя. Это вилка по КоАП, а не юридическое заключение. Точный размер штрафа и саму квалификацию определяет надзорный орган с учётом обстоятельств. Таблица показывает одно: состав реальный и денежный, а не формальный.

Есть и нефинансовая сторона. Уведомление заодно создаёт публичную запись в реестре операторов. Сайт с формами работает, а записи о вас нет - и расхождение видно со стороны: данные собираются, а оператора в реестре не найти. Подача уведомления убирает этот очевидный сигнал и переводит вас из категории «вообще не заявился» в категорию «заявился, дальше работаем с деталями».

Как подать уведомление в Роскомнадзор: пошагово в 2026

Подать уведомление в 2026 году можно двумя способами: в электронном виде или на бумаге. Электронный путь быстрее и для большинства удобнее. Порядок самопроверки и подачи выглядит так:

  1. Определите, обязаны ли вы вообще подавать. Есть на сайте хотя бы одна форма, которая собирает контакты, или вы ведёте базу клиентов в электронном виде - ответ почти наверняка да.
  2. Соберите исходные данные для анкеты: цели обработки, категории субъектов, перечень собираемых данных, правовое основание, сведения о мерах защиты, дата начала обработки.
  3. Выберите способ подачи. Электронных путей обычно два: личный кабинет на портале Роскомнадзора по персональным данным и подача с авторизацией через Госуслуги, если этот вариант доступен для вашего статуса. Принципиальной разницы в самой анкете между ними нет, отличается только способ входа и подтверждения личности. Для электронной подачи, как правило, нужна подтверждённая учётная запись, а в ряде случаев и электронная подпись. Бумажный путь дольше и обычно нужен тем, у кого нет возможности подать электронно.
  4. Заполните форму уведомления. Указывайте только то, что действительно собираете: лишние категории данных в анкете создают расхождение с реальной обработкой.
  5. Отправьте уведомление и сохраните подтверждение о приёме. После обработки запись о вас появится в реестре операторов.
  6. Проверьте себя в реестре операторов на сайте Роскомнадзора по ИНН или названию через несколько дней.

Прежде чем заполнять анкету, имеет смысл свериться с тем, что реально происходит на вашем сайте. В уведомлении вы заявляете состав данных и цели - и эти заявления должны совпадать с тем, что на самом деле собирают ваши формы и подключённые сервисы. Расхождение между анкетой и фактической обработкой даёт лишний повод для вопросов.

Обойти каждую страницу вручную долго; увидеть, какие данные и через какие формы собирает сайт, проще автоматически и сразу по всем страницам. Если вы уже получили письмо или запрос от Роскомнадзора либо просто готовитесь к подаче, сканер проходит по сайту, находит формы и внешние сервисы и показывает, где данные собираются без видимого основания или без ссылки на политику. Индивидуальную юридическую работу это не заменит, но подскажет, с чего начинать и что именно заявлять в уведомлении.

Как исправить ситуацию, если вы ещё не уведомили

Если обработка уже идёт, а уведомление вы не подавали, подайте его как можно скорее, не дожидаясь запроса. Закон говорит об уведомлении до начала обработки, и подача с опозданием всё равно предпочтительнее молчания: устранение нарушения и добросовестность учитываются.

Порядок действий простой:

  1. Подайте уведомление по шагам выше, не откладывая.
  2. Параллельно приведите в порядок сайт: опубликуйте политику обработки персональных данных и обеспечьте к ней доступ со страниц, где есть формы.
  3. Проверьте, что на формах есть корректное информирование, а согласие собирается там, где оно действительно требуется по основанию обработки.
  4. Сверьте состав данных в уведомлении с тем, что собирают формы и подключённые сервисы аналитики, чтобы анкета и реальность совпадали.

Эти шаги связаны. Уведомление, политика и согласие складываются в одну картину: оператор заявил о себе, объяснил посетителю, что и зачем собирает, и получил основание там, где оно нужно. Закрыть один пункт и забыть про остальные - значит оставить открытыми соседние составы.

Частые вопросы

Нужно ли уведомлять Роскомнадзор, если на сайте только одна форма обратной связи? Да. Форма обратной связи, которая просит имя, телефон или email, собирает персональные данные с использованием средств автоматизации. Под исключение «обработка только без автоматизации» это не подходит, так что уведомление подавать нужно.

Должен ли самозанятый подавать уведомление, как компания? Сама обязанность уведомить одинакова: закон смотрит на статус оператора, а не на форму бизнеса. Различается ответственность за неподачу: самозанятого как физлицо на НПД, как правило, рассматривают по вилке для граждан, а не как юридическое лицо. Но обязанность подать уведомление от этого не исчезает.

Можно ли подать уведомление через Госуслуги? Уведомление подаётся в электронном виде через сервисы Роскомнадзора по персональным данным, и в ряде случаев доступна подача с авторизацией через Госуслуги. Для электронной подачи обычно нужна подтверждённая учётная запись, а иногда и электронная подпись.

Что будет, если подать уведомление с опозданием? Закон требует уведомить до начала обработки, поэтому подача с опозданием формально квалифицируется как несвоевременное уведомление. И всё же подать его позже предпочтительнее молчания: добровольное устранение нарушения работает в вашу пользу.

Уведомление заменяет политику конфиденциальности? Нет. Это разные требования. Уведомление адресовано надзорному органу и сообщает о намерении обрабатывать данные, а политика служит документом для посетителей сайта о том, как вы с данными обращаетесь. За отсутствие политики предусмотрен отдельный штраф.

Коротко

Обязанность уведомить Роскомнадзор лежит на любом операторе персональных данных до начала обработки, и закон смотрит на статус оператора, а не на организационно-правовую форму, поэтому самозанятый с одной формой на сайте обязан так же, как компания. Широкие исключения (договор, работники, общедоступные данные) утратили силу с 1 сентября 2022 года, а под узкое «без автоматизации» сайт с формой не подходит. С 30 мая 2025 года за неподачу действует отдельный денежный штраф по КоАП: для граждан от 5 000 до 10 000 ₽, для должностных лиц от 30 000 до 50 000 ₽, для юридических лиц от 100 000 до 300 000 ₽ (это вилка по КоАП, не юридическое заключение). Подать уведомление можно в электронном виде через сервисы Роскомнадзора, в том числе с авторизацией через Госуслуги, а перед подачей стоит свериться, что заявленный в анкете состав данных совпадает с тем, что реально собирают формы сайта.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 22: оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о намерении осуществлять их обработку, за исключением случаев части 2.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 22: перечень исключений из обязанности уведомлять; прежние широкие основания (договор, работники, общедоступные данные) утратили силу с 1 сентября 2022 года, остались узкие случаи (например, обработка исключительно без средств автоматизации).
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, пункт 2 статьи 3: оператор это лицо, организующее или осуществляющее обработку персональных данных, без привязки к организационно-правовой форме.
  • КоАП РФ, часть 10 статьи 13.11: неуведомление или несвоевременное уведомление Роскомнадзора о намерении обрабатывать персональные данные; влечёт административный штраф (для граждан от 5 000 до 10 000 рублей, для должностных лиц от 30 000 до 50 000 рублей, для юридических лиц от 100 000 до 300 000 рублей). Состав введён Федеральным законом от 30.11.2024 № 420-ФЗ, вступил в силу 30 мая 2025 года.

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также