О компании Услуги Ситуации Отрасли Органы Блог Отзывы F.A.Q. Кейсы Контакты
+7 (901) 499-39-49
Главная
Блог
Приказ Роскомнадзор 180 от 28.10 2022

Приказ Роскомнадзор 180 от 28.10 2022

+7 (495) 134-80-68

Приказ РКН №180: новые формы уведомлений по 152-ФЗ и риски старых карточек в реестре

Если вы открывали реестр операторов персональных данных, вы могли заметить странность: у одних компаний карточка выглядит как "старая", у других - как "новая", с детальной разбивкой по целям. Это не ошибка реестра. Это следствие того, что с конца 2022 года действует приказ Роскомнадзора 180 (он же приказ 180 от 28.10 2022) и именно он поменял структуру уведомлений.

Ниже - понятное объяснение, что поменял приказ 180, когда нужно обновляться и какие штрафные риски возникают, если уведомление "старое" и не соответствует реальности.

1) Что такое приказ Роскомнадзора № 180 от 28.10.2022 и когда он применяется

Приказ Роскомнадзора от 28.10.2022 № 180 утвердил формы:

  • уведомления о намерении осуществлять обработку ПДн,
  • уведомления об изменении сведений,
  • уведомления о прекращении обработки.

Ключевое для практики:

  • приказ зарегистрирован в Минюсте (№ 71532),
  • вступил в силу 26.12.2022.

2) О каких "двух формах" речь и почему они разные

Юридически

У оператора одна обязанность: уведомить РКН до начала обработки ПДн и обновлять сведения при изменениях (ст. 22 152-ФЗ).

Практически

В реестре видны две "эпохи":

Старая логика (до 26.12.2022)

Уведомления заполнялись по старым шаблонам портала и старой структуре полей.

Новая логика (с 26.12.2022)

Работает приказ РКН 180: форма заставляет описывать обработку по каждой цели. Для каждой цели указываются категории ПДн, категории субъектов, правовые основания, действия, способы и т.д.

Дополнительно важный факт: в ст. 22 были изменения, и ряд пунктов в части 2 и части 3 признаны утратившими силу с 01.09.2022 (ФЗ № 266-ФЗ). Это тоже повлияло на практику заполнения и проверок.

3) Главное про "старое уведомление": оно опасно, если не отражает реальность

Сам факт того, что уведомление подавалось по "старой структуре", не означает автоматическое нарушение. Риски начинаются там, где:

  • фактические цели обработки расширились,
  • добавились сервисы и подрядчики,
  • изменилась архитектура (CRM, коллтрекинг, облака),
  • появилась трансграничная передача,
  • поменялись контакты и ответственные.

Практическая позиция РКН, на которую регулярно ссылаются территориальные управления: в реестре должны быть указаны все цели обработки ПДн.

4) Риски старого уведомления

Риск A. Реестр не соответствует фактической обработке = нарушение обязанности обновлять сведения

Если изменились сведения из ст. 22, оператор обязан уведомить РКН не позднее 15-го числа месяца, следующего за месяцем изменений.

Что чаще всего "ломает" соответствие:

  • добавили новую цель (маркетинг, рассылки, аналитика, видеонаблюдение, пропускной режим);
  • подключили новый сервис (CRM, чат-виджет, коллтрекинг, ATS);
  • сменили подрядчика (колл-центр, аутсорс бухгалтерии/кадров);
  • появилась/изменилась трансграничная передача;
  • поменялись контакты ответственного.

Риск B. Штраф за неисполнение обязанности уведомить о намерении обрабатывать ПДн

С 30.05.2025 введены усиленные составы и штрафы. Для коммерческих организаций и ИП за нарушение обязанности уведомить о намерении осуществлять обработку ПДн указываются штрафы 100 000 - 300 000 руб.

Практический смысл: если проверяющий квалифицирует ситуацию как "обработка фактически ведется без корректного уведомления", появляется прямой денежный риск.

Риск C. Инциденты (утечки): отдельные обязанности 24 часа и 72 часа, и отдельные штрафы

Инцидент (утечка) по 152-ФЗ - это не только “проблема информационной безопасности”, а юридически регламентированная процедура: оператор обязан уведомить РКН в 2 шага - 24 часа (первичное уведомление) и 72 часа (итоги расследования). Просрочка этих уведомлений сама по себе влечет штраф до 3 млн руб. для юрлиц по ч. 11 ст. 13.11 КоАП РФ, а дополнительно могут применяться штрафы за сам факт утечки - до 15 млн руб. и в отдельных случаях оборотные санкции при повторности.

Риск D. Предписания и расширение проверки

Как только всплывает "реестр не бьется с фактом", проверка почти всегда расширяется на:


  • политику и согласия,
  • поручения обработчикам и договоры,
  • локализацию и трансграничку,
  • организационные и технические меры.

Риск E. Репутационный и коммерческий

Реестр общедоступен (кроме сведений о средствах безопасности). Контрагенты, банки, тендерные комиссии это смотрят.

Практический план: как снизить риск "старого уведомления" за 7 шагов

  1. Сверка факт vs реестр: какие цели реально есть сейчас, какие указаны в карточке.
  2. Инвентаризация систем: сайт, CRM, коллтрекинг, облака, аналитика, HR-системы.
  3. Карта целей: цель -> субъекты -> категории ПДн -> основание -> операции -> сроки хранения -> подрядчики.
  4. Проверка трансгранички: где хостинг, где сервисы, куда уходят идентификаторы.
  5. Подать уведомление об изменении сведений по приказу РКН 180.
  6. Назначить правило контроля изменений: запуск новой цели или сервиса = проверка необходимости обновления уведомления.
  7. Готовность к инцидентам: заранее назначить ответственных и шаблоны, чтобы уложиться в 24 часа и 72 часа.

Частые ошибки в уведомлении по приказу 180

  1. "Одна цель на все" типа "ведение деятельности компании" вместо конкретных целей.
  2. Не указаны подрядчики и процессы (CRM, коллтрекинг, контакт-центр).
  3. Трансграничка фактически есть, но в уведомлении "нет".
  4. Дата начала обработки указана раньше даты подачи.
  5. Реестр обновляли, а внутренние документы и сайт остались в старой логике.

Получить предложение
Подберем решение под вашу задачу и рассчитаем стоимость
Разберем ситуацию, покажем риски и предложим конкретный формат
работы без общих консультаций

Оставить заявку
Услуги к статье
Персональные данные
Регистрация оператора ПДн в Роскомнадзор
от 12 600 ₽
Персональные данные
Аудит уведомления в Роскомнадзор за 72 часа
от 5000

Возврат к списку