Регистрация в Роскомнадзоре (РКН) — внесение организации или ИП в реестр операторов персональных данных (ПДн). Требование установлено Федеральным законом № 152-ФЗ «О персональных данных». Оператор персональных данных — любое лицо, самостоятельно или совместно с другими обрабатывающее персональные данные граждан.
Кто обязан регистрироваться
Регистрация обязательна для большинства организаций, ведущих сайты с формами сбора данных. Исключения (ст. 22 152-ФЗ):
- Обработка ПДн только в рамках трудовых отношений (кадровый учёт без передачи третьим лицам)
- Данные, необходимые для однократного договора с субъектом ПДн
- ПДн членов общественных объединений, обрабатываемые только этими объединениями
Сайт с формой обратной связи, регистрацией пользователей, корзиной интернет-магазина или личным кабинетом — оператор ПДн, обязанный зарегистрироваться в РКН.
Процедура регистрации
- Подать уведомление через портал РКН: pd.rkn.gov.ru
- Указать: наименование организации, адрес, цели обработки ПДн, категории субъектов, меры защиты
- Уведомление подаётся до начала обработки персональных данных (ст. 22 152-ФЗ)
- РКН вносит в реестр в течение 30 дней. Внесение бесплатное
Хостинг и 152-ФЗ
Для хостинга критично требование о локализации ПДн (ст. 18.1 152-ФЗ): первичная запись, систематизация и накопление ПДн граждан РФ должны происходить на серверах в России. Хранение на зарубежных VPS (AWS EU, Hetzner DE) при первичной обработке в России формально нарушает это требование — именно за это в ноябре 2016 года РКН заблокировал LinkedIn.
Практические шаги для соответствия: разместить базу данных с ПДн на сервере российского провайдера или в российском облаке (Яндекс Облако, VK Cloud); заключить договор с хостинг-провайдером как уполномоченным оператором (ст. 6 152-ФЗ) с обязательствами по защите данных.
История и штрафы
152-ФЗ принят в 2006 году, вступил в силу в 2007-м. Поправки 2014 года (186-ФЗ) добавили требование локализации с 2015 года (позднее перенесено на 2016 год). Первая крупная блокировка за нарушение — LinkedIn в ноябре 2016 года. Штрафы последовательно увеличивались: до 2022 года максимум составлял 75 000 руб., после поправок 2022–2023 годов — до 6 млн рублей за обработку ПДн без согласия субъекта и до 15 млн руб. за повторные нарушения.
При работе с иностранными хостинг-провайдерами: данные о SSL-сертификатах, логи Nginx с IP-адресами пользователей, email-адреса в базах данных — всё это ПДн, требующие локализации при работе с гражданами РФ.
Порядок уведомления РКН
Подача уведомления: через портал Госуслуги (раздел «Уведомление об обработке персональных данных»), электронно с ЭЦП или на бумаге. Срок — до начала обработки ПДн. Изменение сведений (новые категории ПДн, новые цели обработки, новая СУБД) — уведомить в течение 10 рабочих дней. РКН присваивает регистрационный номер — он должен быть указан в Политике обработки персональных данных на сайте.
Политика конфиденциальности и её связь с РКН
Оператор ПДн обязан разместить на сайте Политику обработки ПДн (ст. 18.1 ФЗ-152). Документ должен содержать: цели обработки, категории субъектов и ПДн, сроки хранения, меры защиты, права субъектов (на доступ, исправление, удаление), контактные данные оператора. Формальное наличие «Privacy Policy» с текстом на английском языке не удовлетворяет требованиям российского законодательства.
При нарушении требований ФЗ-152 РКН вправе: выдать предписание об устранении нарушений, составить административный протокол, заблокировать сайт (для злостных нарушителей). Суммы штрафов после реформы 2024 года существенно выросли.
Документы для регистрации
Для подачи уведомления через портал pd.rkn.gov.ru потребуется:
- ИНН, ОГРН или ОГРНИП организации/ИП
- Юридический и фактический адрес
- Описание целей обработки ПДн (например: «регистрация пользователей, обработка заказов, почтовые рассылки с согласия пользователей»)
- Категории субъектов ПДн (пользователи сайта, клиенты, сотрудники)
- Категории ПДн (ФИО, email, телефон, адрес доставки, IP-адрес)
- Описание мер защиты (технических и организационных)
Уведомление подаётся бесплатно, в течение 30 дней организация вносится в реестр. После внесения необходимо актуализировать сведения при изменении целей обработки или категорий ПДн — в течение 10 рабочих дней (ст. 22.1 152-ФЗ).
Политика конфиденциальности и согласие на ПДн
Регистрация в РКН — один из элементов соответствия 152-ФЗ. Полный комплект мер включает:
- Политика конфиденциальности — публичный документ на сайте, описывающий цели, объём и порядок обработки ПДн
- Согласие на обработку ПДн — чекбокс при регистрации или оформлении заказа (предварительно поставленная галочка не считается согласием)
- Договор с хостинг-провайдером об обработке ПДн (ст. 6 ч. 3 152-ФЗ) — провайдер как технический обработчик должен обеспечивать защиту данных
Для сайтов на WordPress: плагины Cookiebot или Complianz помогают автоматизировать управление согласиями. Для кастомных приложений на VPS: базу данных пользователей с ПДн размещайте только на серверах российских провайдеров или в российских облаках (Яндекс Облако, VK Cloud, SberCloud) в соответствии с требованием локализации.
Штрафы за нарушения
Актуальные штрафы после поправок 2022–2023 годов:
| Нарушение | Штраф (юрлицо) |
|---|---|
| Обработка без уведомления РКН | до 300 000 руб. |
| Нарушение требований локализации | до 6 000 000 руб. |
| Нарушение при повторном нарушении локализации | до 18 000 000 руб. |
| Утечка ПДн (до 1 тыс. записей) | до 3 000 000 руб. |
| Утечка ПДн (более 100 тыс. записей) | до 15 000 000 руб. |
Хостинг-провайдер не несёт ответственности за нарушения 152-ФЗ клиентом, если клиент сам является оператором ПДн. Провайдер отвечает только за технические меры защиты данных согласно договору. Это разграничение ответственности закреплено в публичной оферте каждого провайдера.