Как оформить реестр информационных систем персональных данных: пошаговая инструкция 2026 года

Если вы ведете бизнес в России и хотя бы раз собрали ФИО, телефон или паспортные данные клиента - вы уже оператор персональных данных. И по закону №152-ФЗ вы обязаны зарегистрировать все информационные системы, где эти данные хранятся или обрабатываются. Это не формальность. Это обязательство, за нарушение которого штрафуют от 15 000 до 1 миллиона рублей. В 2025 году Роскомнадзор провел на 40% больше проверок, чем в 2024-м. А в 2026 году требования только ужесточатся: теперь придется ежегодно обновлять реестр, а системы с биометрическими данными - обязательно защищать сертифицированными средствами.

Что такое реестр информационных систем персональных данных (ИСПДн)

Реестр ИСПДн - это официальный список всех систем, где вы обрабатываете персональные данные. Это не просто бумажка. Это ваш внутренний документ, который показывает: где хранятся данные, какие данные, зачем они нужны, кто за них отвечает и как они защищены. Роскомнадзор ведет этот реестр с 2006 года. Он не публичный - но вы обязаны его создать, поддерживать в актуальном виде и предоставить при проверке.

Каждая запись в реестре - это отдельная информационная система. Например: ваш сайт с формой обратной связи, CRM-система, база данных клиентов в Excel, мобильное приложение, сервер с зарплатными ведомостями. Даже если вы используете облачный сервис вроде Яндекс.Диск или Google Drive - если там хранятся паспортные данные, это тоже ИСПДн.

Что нужно включить в реестр

Реестр - это не просто перечень систем. Это структурированный документ с обязательными полями. Вот что обязательно должно быть в каждой строке:

• Название системы (например: «CRM-система «Клиент-360»»)
• Местонахождение сервера (например: «Россия, г. Москва, ул. Тверская, д. 12» или «облачный сервер Amazon AWS, регион eu-central-1»)
• Цель обработки (например: «Обработка заказов, отправка уведомлений, выставление счетов»)
• Категории персональных данных (ФИО, дата рождения, телефон, email, паспорт, адрес, медицинские данные и т.д.)
• Категории субъектов (клиенты, сотрудники, поставщики, заказчики)
• Сроки хранения (например: «5 лет после завершения договора» или «до отзыва согласия»)
• Группы лиц, которым передаются данные (например: «Банк для расчетов», «Такси-сервис для доставки»)
• Меры безопасности (например: «Шифрование базы данных», «Двухфакторная аутентификация», «Ограничение доступа по ролям»)
• Ответственное лицо (например: «Иванов И.И., сотрудник ИТ-отдела»)
• Дата начала обработки (обычно совпадает с датой регистрации организации или запуска системы)

Важно: если вы используете одну и ту же систему для разных целей - например, CRM для клиентов и для сотрудников - это две разные записи в реестре. Нельзя объединять разные цели в одной строке. Каждая цель - отдельная обработка, отдельная запись.

Как подготовиться к регистрации

Перед тем как отправлять уведомление в Роскомнадзор, сделайте три вещи:

1. Проведите инвентаризацию. Соберите все системы, где есть персональные данные. Не упускайте старые Excel-таблицы, архивы на флешках, внутренние базы в 1С. Даже если вы их не используете - если данные там есть, они попадают под закон.
2. Создайте внутренние документы. Вам нужно: приказ о назначении ответственного за обработку персональных данных, политику обработки персональных данных и локальные акты по безопасности. Без них Роскомнадзор вернет уведомление. У вас не может быть реестра, если нет ответственного и правил.
3. Оцените риски. Какой вред может быть, если данные утекут? Если вы обрабатываете медицинские данные, биометрию или данные несовершеннолетних - это повышенный риск. Для таких систем нужны усиленные меры защиты. Правительство РФ постановлением №1119 требует оценки вреда до запуска системы.

Эксперты говорят: 35% первичных уведомлений возвращают на доработку. Чаще всего - из-за неполного описания целей обработки или отсутствия подтверждения мер безопасности. Не повторяйте ошибки.

Как зарегистрироваться в Роскомнадзоре

Регистрация проходит только на официальном портале: pd.rkn.gov.ru. Это единственный канал. Никаких посредников, бумажных форм или почты - только электронно.

Вот пошаговая инструкция:

1. Перейдите на портал и выберите «Уведомление об обработке ПДн».
2. Выберите тип оператора: юрлицо, ИП или самозанятый.
3. Укажите ИНН, ОГРН, полное наименование, адрес регистрации и email.
4. Укажите регион деятельности (где вы работаете, а не где зарегистрированы).
5. Заполните раздел «Цели обработки». Выберите из списка: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, обезличивание, блокирование, удаление. Все действия, которые вы совершаете с данными, должны быть перечислены. Не пропускайте ни одного.
6. Укажите категории персональных данных и субъектов. Пример: «ФИО, телефон, email - клиенты».
7. Укажите сроки хранения. Не пишите «пока не потребуется». Укажите точный срок: «3 года с момента окончания договора».
8. Укажите, кому передаются данные (например: «Банк для списания платежей», «Курьерская служба для доставки»).
9. Опишите меры безопасности. Это не шаблонная фраза. Напишите конкретно: «Шифрование базы данных AES-256», «Доступ только для 3 сотрудников по логину и паролю», «Резервное копирование раз в сутки».
10. Укажите ФИО и должность ответственного лица.
11. Укажите дату начала обработки.
12. Подтвердите отправку.

После отправки система выдаст вам уникальный номер уведомления и ключ доступа. Сохраните их. Это ваша «квитанция». Позже вы сможете проверить статус - «принято», «отклонено» или «на доработке».

Что будет, если не оформить реестр

Нарушение - это не просто штраф. Это риск для бизнеса.

• Штрафы: от 1 000 до 75 000 рублей для должностных лиц, от 15 000 до 1 000 000 рублей для юрлиц (ст. 13.11 КоАП РФ).
• При проверке Роскомнадзор может остановить обработку данных - и вы не сможете работать с клиентами, пока не исправите нарушение.
• В случае утечки данных - вы не сможете доказать, что предпринимали меры защиты. Это увеличит размер компенсаций клиентам и штрафы.
• Потеря репутации. Клиенты перестанут доверять компании, которая не соблюдает базовые правила защиты данных.

В 2025 году 28,7% малых предприятий (до 15 человек) так и не оформили реестр. Чаще всего - потому что не понимали, с чего начать. Не будьте из этой статистики.

Как упростить процесс

Вы не обязаны делать всё вручную. Существуют специализированные сервисы, которые помогают автоматизировать ведение реестра.

Например:

• DataPrivacy Office - автоматически генерирует уведомление по вашим данным, синхронизируется с порталом Роскомнадзора, напоминает о сроках обновления.
• UralCMS - позволяет вести реестр в табличном виде, отслеживать изменения, выставлять уведомления на обновление.

Крупные компании, такие как Сбербанк и Яндекс, используют такие системы. Они сократили время на регистрацию новых систем с 30 дней до 7. Малый бизнес тоже может это сделать - и сэкономить не только время, но и деньги.

Совет: используйте таблицу Excel как основу. Каждая строка - одна система. Столбцы - все обязательные поля из реестра. Когда заполните - просто скопируйте данные в форму на портале. Это снимет 80% ошибок.

Что менять в реестре, а что - нет

Реестр - не разовая процедура. Это живой документ. Его нужно обновлять при каждом изменении:

• Вы добавили новую систему (например, мобильное приложение)? - Обновите реестр.
• Сменили сервер? - Укажите новый адрес.
• Начали собирать медицинские данные? - Добавьте категорию и усиленные меры защиты.
• Сменился ответственный сотрудник? - Обновите ФИО и должность.
• Изменился срок хранения? - Исправьте.

Но не нужно обновлять реестр, если:

• Вы просто поменяли пароль к системе - это техническая деталь, не требует изменения реестра.
• Вы обновили версию ПО - если цели и данные остались те же.

Эксперты советуют: раз в квартал проводить «ревизию» реестра. Сверяйте его с реальными системами. Это снизит риски при проверке.

Что ждет в 2026 году

В 2026 году законодательство ужесточится. Ожидается:

• Обязательная ежегодная актуализация реестра - без этого он перестанет считаться действительным.
• Требование к сертифицированным средствам защиты - особенно для биометрических данных (отпечатки, лицо, голос).
• Ужесточение проверок: Роскомнадзор планирует автоматизировать мониторинг через API-подключения к системам крупных операторов.

Не ждите, пока вас оштрафуют. Начните сейчас. Оформите реестр - и вы получите не просто соответствие закону, а прозрачность, доверие клиентов и уверенность в своей работе.