Статья 22 152‑ФЗ: Уведомление оператора в Роскомнадзор

Статья 22 152‑ФЗ: Уведомление оператора в Роскомнадзор

Статья 22 152‑ФЗ устанавливает обязанность операторов персональных данных уведомлять Роскомнадзор о начале обработки ПДн и регламентирует ведение официального реестра операторов. Ниже — практическое пояснение, когда и как подавать уведомление 152‑ФЗ, какие сведения нужны и в каких случаях уведомление в Роскомнадзор 152‑ФЗ не требуется.

См. также: О законе 152‑ФЗ, Текст закона (последняя редакция), Структура и статьи закона.

---

Что регулирует ст. 22 152‑ФЗ

Ст 22 закона № 152‑ФЗ «О персональных данных» (часто говорят: «ст 22 152 фз о персональных данных» или «статья 22 152 фз») определяет:

• обязанность оператора уведомить Роскомнадзор до начала обработки ПДн;
• состав сведений, которые оператор должен сообщить;
• порядок внесения записи в официальный реестр операторов ПДн;
• требования к последующим изменениям сведений и прекращению обработки.

Идея нормы — обеспечить прозрачность обработки ПДн: кто, зачем, на каком основании и где хранит данные.

Кому и когда нужно подавать уведомление

Общее правило: уведомление 152‑ФЗ подаётся ДО начала обработки персональных данных.

Нужно уведомлять, если вы:

• собираете ПДн через сайт, CRM, формы обратной связи, подписки на рассылку, заявки, чат-боты;
• обрабатываете ПДн клиентов, контрагентов, представителей (включая деловую переписку);
• ведёте видеонаблюдение с идентификацией;
• используете сервисы аналитики и маркетинга, где возможна обработка идентификаторов пользователей;
• организуете трансграничную передачу ПДн (дополнительно см. трансграничная передача ПДн).

Практически любой сайт с формами и cookie-технологиями подпадает под уведомление, если есть идентифицируемые лица. Проверьте себя: онлайн-проверка сайта и требования к сайту.

Исключения: когда уведомление не требуется

Часть 2 ст. 22 152‑ФЗ содержит перечень исключений. На практике уведомление в Роскомнадзор 152‑ФЗ чаще всего НЕ подаётся, если соблюдаются условия закона и одновременно:

• обработка связана исключительно с трудовыми отношениями (персональные данные работников и кандидатов — в объёме, предусмотренном трудовым законодательством);
• обработка необходима для заключения и исполнения договора, стороной или выгодоприобретателем по которому является сам субъект ПДн (например, разовые сделки без дополнительных маркетинговых целей);
• данные сделаны общедоступными самим субъектом либо по его просьбе (при соблюдении ограничений по цели и объёму);
• обрабатываются только ФИО без иных атрибутов идентификации;
• разовая проверка личности для пропускного режима на объект (разовый пропуск);
• обработка для журналистской, научной, литературной деятельности при соблюдении профильных норм;
• обработка ведётся физлицом для личных/семейных нужд без коммерческих целей;
• обработка ведётся без автоматизации на бумаге — при условии соблюдения требований закона и минимального набора операций.

Важно: список в законе детализирован и содержит условия. Если добавляются новые цели (маркетинг, аналитика), появляются новые категории данных или автоматизация — исключение может перестать работать. При сомнении подайте уведомление или проведите аудит соответствия.

Сроки, изменения и ответственность

• Срок подачи: до начала обработки ПДн.
• Изменения: сообщайте об изменении сведений, указанных в уведомлении, в течение 10 рабочих дней с даты их наступления (например, добавили новую категорию субъектов, подключили новый сервис, изменили место хранения базы).
• Прекращение: при завершении обработки направьте уведомление о прекращении, чтобы запись в реестре была актуальной.
• Ответственность: за неподачу уведомления или недостоверные сведения предусмотрена административная ответственность (см. КоАП 13.11 и обзор ответственности и штрафов). Кроме штрафов возможно проведение проверки Роскомнадзором.

Какие данные указывать в уведомлении

В уведомление по ст. 22 152‑ФЗ включают, в частности:

• сведения об операторе (наименование/ФИО, ИНН/ОГРН, адрес);
• цели обработки и правовое основание (законы, договоры, согласия и др.);
• категории субъектов (клиенты, сотрудники, посетители сайта и др.);
• категории персональных данных (контактные, идентификационные, платежные, биометрические и др.);
• перечень операций (сбор, запись, хранение, уточнение, передача, уничтожение и др.);
• описание мер безопасности (организационные, технические; уровни ИСПДн — см. уровни защищенности ИСПДн, меры безопасности);
• сведения об ИСПДн и месте базы данных (локализация в РФ — см. серверы/хостинг/ЦОД, облака);
• трансграничная передача (страны, правовые механизмы — см. трансграничная передача ПДн);
• дата начала обработки, сроки хранения и уничтожения (см. сроки хранения ПДн, уничтожение и блокировка);
• ответственное лицо за организацию обработки ПДн (см. ответственный за обработку ПДн);
• сведения о поручениях обработчикам и третьим лицам (см. поручение обработки ПДн, передача третьим лицам).

Пошаговая инструкция подачи

1. Подготовьте пакет: цели, перечни данных и субъектов, процессы, договоры, согласия, ИСПДн, меры защиты. Полезно иметь: политику обработки ПДн, пакет документов, шаблоны и формы.

2. Проведите инвентаризацию ИСПДн и моделирование угроз (см. ИСПДн: определение и требования, модель угроз, криптография/шифрование, требования ФСТЭК и ФСБ).

3. Заполните уведомление в личном кабинете Роскомнадзора/через госуслуги. Внесите все обязательные поля, отметьте трансграничную передачу (если есть).

4. Подпишите УКЭП и отправьте. Отслеживайте статус.

5. Получите подтверждение и проверьте запись в реестре операторов 152‑ФЗ.

Подсказка для владельцев сайтов: проверьте блоки «cookies/метрики/формы/чат-боты» (см. cookie и баннеры, формы на сайте и согласие, Яндекс.Метрика, Tilda, WordPress, Bitrix).

Реестр операторов 152‑ФЗ: как проверить себя

Роскомнадзор ведёт открытый реестр. Найдите карточку по ИНН/названию и проверьте актуальность сведений: цели, категории ПДн, трансграничка, локация БД, контакт ответственного. Полезные ссылки: реестр операторов ПДн, уведомление в Роскомнадзор.

Мини‑таблица: нужно ли уведомление

Ситуация	Нужно уведомлять?	Комментарий
Приём заявок на сайте, CRM, рассылки	Да	Автоматизированная обработка, идентификация пользователей
Только кадровые данные сотрудников	Как правило, нет	Если обработка строго в рамках трудового права
Разовый пропуск на объект	Как правило, нет	При выполнении условий ч. 2 ст. 22
Обработка общедоступных ПДн (субъект сам опубликовал)	Зависит от цели	При выходе за цель публикации — уведомление нужно
Видеонаблюдение с идентификацией	Да	ИСПДн, меры защиты и локализация
Трансграничная передача	Да	Плюс доптребования по трансграничке

Типичные кейсы для сайтов и бизнеса

• Интернет‑магазин: корзина, личный кабинет, оплатa, рассылки — уведомление обязательно; предусмотрите политику ПДн, согласия, локализацию, договоры с обработчиками.
• Корпоративный сайт с формой «Контакты»: уведомление нужно; добавьте баннер cookie, информирование и согласия (см. cookie и баннеры).
• Видеонаблюдение в офисе: идентификация сотрудников и посетителей → уведомление + меры ИБ по ИСПДн.
• Рекламные кампании и веб‑аналитика: вероятна обработка идентификаторов и профилей → уведомление, договоры с провайдерами, реклама и ПДн.

Частые ошибки и как их избежать

• Уведомление подано для «узких» целей, но фактически целей больше (маркетинг, аналитика) — при несоответствии грозит штраф и предписание. Решение: инвентаризация процессов и актуализация уведомления.
• Не указан трансграничный поток, хотя используются зарубежные сервисы — риск нарушения. Решение: карта потоков данных и правовая оценка стран.
• Нет связки с «реальными» документами: политика, согласия, договоры, модели угроз. Решение: приведите документы в порядок (см. пакет документов, генератор политики и согласий).
• Пропущены изменения (новый сайт/форма/сервис) — уведомление не актуально. Решение: процесс регулярного внутреннего контроля и обучения, чек‑лист изменений.

Связанные нормы и изменения 2025

• Ст. 19: обязанности оператора и организационные меры (см. обязанности оператора).
• Ст. 10.1: согласие на распространение ПДн — отдельная процедура (см. согласие на распространение ПДн).
• Ст. 22.1: смежные особенности взаимодействия с уполномоченным органом (см. статья 22.1).
• Следите за обновлениями: изменения 2025 и связанные законы.

Для терминов см. глоссарий 152‑ФЗ. Для практики — судебная практика.

Краткие выводы и следующий шаг

• Статья 22 152‑ФЗ — «точка входа» для законной обработки ПДн: уведомляйте Роскомнадзор до старта, актуализируйте сведения при изменениях и проверяйте себя в реестре.
• Исключения есть, но они узкие и условные. Если у вас сайт, CRM, рассылки или видео — почти наверняка уведомление требуется.
• Без корректного уведомления возрастает риск штрафов и проверок.

Нужна помощь с оценкой, подготовкой и подачей уведомления? Обратитесь в наш сервис: консалтинг и документы под ключ, пройдите аудит сайта и оформите документы через генератор политики и согласий. Мы поможем соблюсти ст 22 закона № 152‑ФЗ быстро и без ошибок.