Find My Articles
Blog

Как оформить реестр информационных систем персональных данных: пошаговая инструкция 2026 года

Право Posted on January 21 2026
Как оформить реестр информационных систем персональных данных: пошаговая инструкция 2026 года
Deborah McPeake 10 Comments

Если вы ведете бизнес в России и хотя бы раз собрали ФИО, телефон или паспортные данные клиента - вы уже оператор персональных данных. И по закону №152-ФЗ вы обязаны зарегистрировать все информационные системы, где эти данные хранятся или обрабатываются. Это не формальность. Это обязательство, за нарушение которого штрафуют от 15 000 до 1 миллиона рублей. В 2025 году Роскомнадзор провел на 40% больше проверок, чем в 2024-м. А в 2026 году требования только ужесточатся: теперь придется ежегодно обновлять реестр, а системы с биометрическими данными - обязательно защищать сертифицированными средствами.

Что такое реестр информационных систем персональных данных (ИСПДн)

Реестр ИСПДн - это официальный список всех систем, где вы обрабатываете персональные данные. Это не просто бумажка. Это ваш внутренний документ, который показывает: где хранятся данные, какие данные, зачем они нужны, кто за них отвечает и как они защищены. Роскомнадзор ведет этот реестр с 2006 года. Он не публичный - но вы обязаны его создать, поддерживать в актуальном виде и предоставить при проверке.

Каждая запись в реестре - это отдельная информационная система. Например: ваш сайт с формой обратной связи, CRM-система, база данных клиентов в Excel, мобильное приложение, сервер с зарплатными ведомостями. Даже если вы используете облачный сервис вроде Яндекс.Диск или Google Drive - если там хранятся паспортные данные, это тоже ИСПДн.

Что нужно включить в реестр

Реестр - это не просто перечень систем. Это структурированный документ с обязательными полями. Вот что обязательно должно быть в каждой строке:

  • Название системы (например: «CRM-система «Клиент-360»»)
  • Местонахождение сервера (например: «Россия, г. Москва, ул. Тверская, д. 12» или «облачный сервер Amazon AWS, регион eu-central-1»)
  • Цель обработки (например: «Обработка заказов, отправка уведомлений, выставление счетов»)
  • Категории персональных данных (ФИО, дата рождения, телефон, email, паспорт, адрес, медицинские данные и т.д.)
  • Категории субъектов (клиенты, сотрудники, поставщики, заказчики)
  • Сроки хранения (например: «5 лет после завершения договора» или «до отзыва согласия»)
  • Группы лиц, которым передаются данные (например: «Банк для расчетов», «Такси-сервис для доставки»)
  • Меры безопасности (например: «Шифрование базы данных», «Двухфакторная аутентификация», «Ограничение доступа по ролям»)
  • Ответственное лицо (например: «Иванов И.И., сотрудник ИТ-отдела»)
  • Дата начала обработки (обычно совпадает с датой регистрации организации или запуска системы)

Важно: если вы используете одну и ту же систему для разных целей - например, CRM для клиентов и для сотрудников - это две разные записи в реестре. Нельзя объединять разные цели в одной строке. Каждая цель - отдельная обработка, отдельная запись.

Как подготовиться к регистрации

Перед тем как отправлять уведомление в Роскомнадзор, сделайте три вещи:

  1. Проведите инвентаризацию. Соберите все системы, где есть персональные данные. Не упускайте старые Excel-таблицы, архивы на флешках, внутренние базы в 1С. Даже если вы их не используете - если данные там есть, они попадают под закон.
  2. Создайте внутренние документы. Вам нужно: приказ о назначении ответственного за обработку персональных данных, политику обработки персональных данных и локальные акты по безопасности. Без них Роскомнадзор вернет уведомление. У вас не может быть реестра, если нет ответственного и правил.
  3. Оцените риски. Какой вред может быть, если данные утекут? Если вы обрабатываете медицинские данные, биометрию или данные несовершеннолетних - это повышенный риск. Для таких систем нужны усиленные меры защиты. Правительство РФ постановлением №1119 требует оценки вреда до запуска системы.

Эксперты говорят: 35% первичных уведомлений возвращают на доработку. Чаще всего - из-за неполного описания целей обработки или отсутствия подтверждения мер безопасности. Не повторяйте ошибки.

Сравнение хаотичного офиса с чистым, правильно оформленным реестром — штраф превращается в доверие клиентов.

Как зарегистрироваться в Роскомнадзоре

Регистрация проходит только на официальном портале: pd.rkn.gov.ru. Это единственный канал. Никаких посредников, бумажных форм или почты - только электронно.

Вот пошаговая инструкция:

  1. Перейдите на портал и выберите «Уведомление об обработке ПДн».
  2. Выберите тип оператора: юрлицо, ИП или самозанятый.
  3. Укажите ИНН, ОГРН, полное наименование, адрес регистрации и email.
  4. Укажите регион деятельности (где вы работаете, а не где зарегистрированы).
  5. Заполните раздел «Цели обработки». Выберите из списка: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, обезличивание, блокирование, удаление. Все действия, которые вы совершаете с данными, должны быть перечислены. Не пропускайте ни одного.
  6. Укажите категории персональных данных и субъектов. Пример: «ФИО, телефон, email - клиенты».
  7. Укажите сроки хранения. Не пишите «пока не потребуется». Укажите точный срок: «3 года с момента окончания договора».
  8. Укажите, кому передаются данные (например: «Банк для списания платежей», «Курьерская служба для доставки»).
  9. Опишите меры безопасности. Это не шаблонная фраза. Напишите конкретно: «Шифрование базы данных AES-256», «Доступ только для 3 сотрудников по логину и паролю», «Резервное копирование раз в сутки».
  10. Укажите ФИО и должность ответственного лица.
  11. Укажите дату начала обработки.
  12. Подтвердите отправку.

После отправки система выдаст вам уникальный номер уведомления и ключ доступа. Сохраните их. Это ваша «квитанция». Позже вы сможете проверить статус - «принято», «отклонено» или «на доработке».

Что будет, если не оформить реестр

Нарушение - это не просто штраф. Это риск для бизнеса.

  • Штрафы: от 1 000 до 75 000 рублей для должностных лиц, от 15 000 до 1 000 000 рублей для юрлиц (ст. 13.11 КоАП РФ).
  • При проверке Роскомнадзор может остановить обработку данных - и вы не сможете работать с клиентами, пока не исправите нарушение.
  • В случае утечки данных - вы не сможете доказать, что предпринимали меры защиты. Это увеличит размер компенсаций клиентам и штрафы.
  • Потеря репутации. Клиенты перестанут доверять компании, которая не соблюдает базовые правила защиты данных.

В 2025 году 28,7% малых предприятий (до 15 человек) так и не оформили реестр. Чаще всего - потому что не понимали, с чего начать. Не будьте из этой статистики.

В 2026 году биометрические данные защищены сертифицированными средствами, а реестр обновляется ежегодно по таймеру.

Как упростить процесс

Вы не обязаны делать всё вручную. Существуют специализированные сервисы, которые помогают автоматизировать ведение реестра.

Например:

  • DataPrivacy Office - автоматически генерирует уведомление по вашим данным, синхронизируется с порталом Роскомнадзора, напоминает о сроках обновления.
  • UralCMS - позволяет вести реестр в табличном виде, отслеживать изменения, выставлять уведомления на обновление.

Крупные компании, такие как Сбербанк и Яндекс, используют такие системы. Они сократили время на регистрацию новых систем с 30 дней до 7. Малый бизнес тоже может это сделать - и сэкономить не только время, но и деньги.

Совет: используйте таблицу Excel как основу. Каждая строка - одна система. Столбцы - все обязательные поля из реестра. Когда заполните - просто скопируйте данные в форму на портале. Это снимет 80% ошибок.

Что менять в реестре, а что - нет

Реестр - не разовая процедура. Это живой документ. Его нужно обновлять при каждом изменении:

  • Вы добавили новую систему (например, мобильное приложение)? - Обновите реестр.
  • Сменили сервер? - Укажите новый адрес.
  • Начали собирать медицинские данные? - Добавьте категорию и усиленные меры защиты.
  • Сменился ответственный сотрудник? - Обновите ФИО и должность.
  • Изменился срок хранения? - Исправьте.

Но не нужно обновлять реестр, если:

  • Вы просто поменяли пароль к системе - это техническая деталь, не требует изменения реестра.
  • Вы обновили версию ПО - если цели и данные остались те же.

Эксперты советуют: раз в квартал проводить «ревизию» реестра. Сверяйте его с реальными системами. Это снизит риски при проверке.

Что ждет в 2026 году

В 2026 году законодательство ужесточится. Ожидается:

  • Обязательная ежегодная актуализация реестра - без этого он перестанет считаться действительным.
  • Требование к сертифицированным средствам защиты - особенно для биометрических данных (отпечатки, лицо, голос).
  • Ужесточение проверок: Роскомнадзор планирует автоматизировать мониторинг через API-подключения к системам крупных операторов.

Не ждите, пока вас оштрафуют. Начните сейчас. Оформите реестр - и вы получите не просто соответствие закону, а прозрачность, доверие клиентов и уверенность в своей работе.

Обязательно ли регистрировать реестр, если я работаю один и обрабатываю данные только для себя?

Нет, если вы обрабатываете персональные данные исключительно в личных, семейных или домашних целях - например, ведете адресную книгу друзей или храните данные родственников. Но если вы используете эти данные в бизнесе - даже если вы ИП без сотрудников - регистрация обязательна. Например: вы ведете репетиторство и храните ФИО и телефоны учеников - это обработка в рамках деятельности, и вы оператор.

Можно ли не регистрировать реестр, если я использую облачные сервисы (например, Google или Яндекс)?

Нет, нельзя. Даже если данные хранятся на серверах Google или Яндекса, вы - оператор. Вы собираете данные, определяете цели обработки, передаете их в облако. Вы несете ответственность. Облачный провайдер - это оператор по поручению, но вы остаетесь основным оператором и обязаны зарегистрировать ИСПДн.

Что делать, если уведомление вернули на доработку?

Сначала найдите причину в личном кабинете на портале Роскомнадзора. Часто - неполное описание целей, отсутствие ответственного лица или несоответствие мер безопасности. Исправьте ошибки, перепроверьте все поля, особенно список действий с данными. Не спешите - 35% ошибок повторяются. Лучше потратить еще день на проверку, чем ждать месяц на новую подачу.

Нужно ли обновлять реестр, если я перестал использовать какую-то систему?

Да. Если вы больше не обрабатываете данные в системе - вы должны внести в реестр запись об ее удалении. Укажите дату прекращения обработки и меры по удалению данных (например: «Данные удалены 15.03.2026, подтверждение в логах системы»). Это важно для доказательства, что вы не храните данные без основания.

Какие данные считаются персональными?

Любые сведения, по которым можно идентифицировать человека: ФИО, дата рождения, адрес, телефон, email, паспорт, СНИЛС, ИНН, фото, голос, отпечатки, данные о здоровье, доходах, семейном положении, месте работы. Даже IP-адрес или cookie, если они позволяют связать их с конкретным человеком - это тоже персональные данные.

Deborah McPeake
Deborah McPeake

I am a legal writer and policy analyst focusing on civil rights, administrative law, and consumer protection. I turn complex legal issues into clear, practical guides for the public and professionals. I contribute to think tanks and legal blogs and consult on plain-language compliance. My work often bridges U.S. law with comparative perspectives.

Latest Posts
Банкротство застройщика: права дольщиков и порядок включения в реестр требований

Банкротство застройщика: права дольщиков и порядок включения в реестр требований

Банкротство застройщика в 2025 году - это не катастрофа, а возможность получить квартиру или деньги. Узнайте, как включиться в реестр требований, как работает ФРТ и что делать, если вы вложили меньше 2 млн рублей.

Posted on November 25 2025
Реструктуризация долгов физического лица: процедура и условия в 2025 году

Реструктуризация долгов физического лица: процедура и условия в 2025 году

Реструктуризация долгов физического лица в 2025 году - это законный способ пересмотреть условия долга без продажи имущества. Узнайте, как подать заявление, какие документы нужны и как избежать банкротства.

Posted on November 22 2025
Comments (10)
  • Наталья Феденева
    Наталья Феденева

    January 22, 2026 AT 07:57 AM

    Они всё ещё верят, что Роскомнадзор - это просто «бюрократия»? Лол. У меня друг в ФСБ сказал, что уже в 2025-м все серверы с ПДн автоматически сканируются по IP-адресам. Если в базе есть хоть один несогласованный email - сразу блокировка сайта, а потом - штраф в 1,5 млн. И да, они уже знают, кто использует Яндекс.Диск. Не думайте, что вы «просто храните» - вы уже в их системе. И да, это не теория. Я видел, как у соседа по офису закрыли бизнес за «неправильную формулировку цели обработки» - он написал «для связи», а не «для уведомлений о статусе заказа». Бум. Всё. Конец.

    Вы думаете, это про «закон»? Нет. Это про контроль. И вы - часть эксперимента.

  • Дмитрий Дмитриев
    Дмитрий Дмитриев

    January 23, 2026 AT 20:45 PM

    Сколько можно тратить время на эти бумажки? Я просто не вижу смысла. Даже если оформлю - кто вообще это читает? Роскомнадзор? Они сами не знают, что в их базе. Я бы лучше потратил эти часы на то, чтобы клиентам скидку сделать, а не на заполнение форм, где каждое слово должно быть как в инструкции из 1987 года.

    Мне плевать на штрафы. Пусть штрафуют. Я и так живу на грани. Закон - это для тех, кто боится жить.

  • Катя Хариенко
    Катя Хариенко

    January 24, 2026 AT 09:19 AM

    Ах да, «обязательные поля». Класс. Потому что в 2026 году, когда вы заполните всё идеально, они просто добавят 12 новых полей и скажут: «О, вы же не указали, что данные хранятся в битах, а не в байтах. Пересылайте». Это не закон - это система постоянного вымогательства. Каждый раз, когда вы думаете, что всё сделали - они меняют правила. И да, они знают, что вы используете Excel. Они уже сканируют облака по шаблонам «Клиенты.xlsx». Не думайте, что вы умнее системы. Вы - её пешка.

    А ещё они требуют «меры безопасности». Вы пишете «шифрование». А что, если у вас AES-128? Это не «шифрование» - это «надеюсь, никто не взломает». Потому что в реальности - никто не проверяет. Пока не будет утечки. А потом - «вы не соблюдали ГОСТ Р 57580-2017». И всё. Всё, что вы сделали - мусор.

  • Олег Гречко
    Олег Гречко

    January 25, 2026 AT 04:08 AM

    Люди, не паникуйте. Это не магия, это просто порядок. Я сам ИП, работаю в одиночку - и оформил реестр за 2 дня с помощью DataPrivacy Office. Там всё пошагово: выбираешь систему, вносишь цели, копируешь в форму - и готово. Штрафы? Да, они страшные. Но если ты не оформишь - потом придётся платить в 10 раз больше. А если оформишь - ты спишь спокойно. Клиенты даже благодарят, что ты «серьёзно относишься к данным». Это не бремя - это доверие. Просто начни с Excel-таблицы. Потом - в систему. Потом - жизнь проще.

    Не бойся. Просто сделай.

  • Рафаэль Гадельшин
    Рафаэль Гадельшин

    January 26, 2026 AT 01:14 AM

    Необходимо подчеркнуть, что согласно ст. 18.1 Закона №152-ФЗ, обязанность по ведению реестра ИСПДн возникает у любого оператора, осуществляющего обработку персональных данных, независимо от масштаба деятельности - включая индивидуальных предпринимателей, самозанятых, а также лиц, ведущих профессиональную деятельность без формальной регистрации. Важно: термин «обязательно» не подразумевает исключений, даже в случае использования облачных сервисов. Даже если данные хранятся на серверах Amazon AWS, ответственность за соблюдение требований законодательства, включая определение целей, сроков, категорий и мер защиты, лежит исключительно на операторе. Следует также отметить, что в случае отсутствия документального подтверждения мер безопасности - например, отсутствия протоколов доступа, журналов резервного копирования, или неуказания ответственного лица - уведомление подлежит возврату с формулировкой «не соответствует требованиям п. 5.2 приложения №1 к приказу ФСТЭК №21». Рекомендую: перед подачей - провести внутреннюю аудиторскую проверку, используя контрольный список, разработанный в соответствии с ГОСТ Р ИСО/МЭК 27001-2023. Это не формальность - это юридическая необходимость.

  • Sergey Litvinov
    Sergey Litvinov

    January 27, 2026 AT 15:17 PM

    А вы знаете, кто на самом деле стоит за всем этим? Не Роскомнадзор. Не закон. Это американские корпорации. Они хотят, чтобы мы тратили время на бумажки, чтобы не думать о том, как они собирают наши данные через Google, Apple и Facebook. А мы - тупые русские - бегаем, заполняем форму, а они - смеются. Они знают, что мы не можем им противостоять. Поэтому они создали этот закон - чтобы мы думали, что «защищаем данные», а на самом деле - мы их отдаем. И да, они уже знают, что вы используете Яндекс.Диск. Они видят всё. А вы? Вы только заполняете форму. И радуетесь, что «всё по закону». Лол. Вы - их инструмент. Не верьте в «безопасность». Это игра. И вы проиграли ещё до начала.

  • Sofiya Shazal
    Sofiya Shazal

    January 27, 2026 AT 18:05 PM

    Я из Украины, но работаю с российскими клиентами - и мне тоже пришлось это проходить. Сначала думала, что это бред. Но потом поняла: если ты хочешь, чтобы твои клиенты доверяли тебе - ты должен быть прозрачным. Даже если ты не любишь бюрократию. Это как паспорт для данных. Не красиво? Нет. Но нужно. Я использовала UralCMS - и всё стало проще. Плюс, теперь я знаю, где какие данные лежат. Это как уборка в шкафу - страшно начать, а потом - облегчение. Совет: не ждите проверки. Начните сегодня. Потому что завтра - уже поздно.

  • maria smoleva
    maria smoleva

    January 28, 2026 AT 13:10 PM

    Спасибо за подробную инструкцию! Очень помогло. Я тоже ИП, раньше думала, что «мало данных - не надо». А потом один клиент спросил: «А вы защищаете мои данные?» - и я не смогла ответить. Стала паниковать. Но теперь оформила всё через Excel - и даже не заметила, как всё сделала. Главное - не переживать, а просто начать. Спасибо, что не просто написали «надо», а показали, как.

  • Геннадий Кроль
    Геннадий Кроль

    January 30, 2026 AT 08:57 AM

    Это не просто регистрация - это философия ответственности. Каждая строка в реестре - это не формальность, а этический акт. Ты выбираешь: либо ты - хранитель данных, либо ты - их эксплуататор. Когда ты указываешь «срок хранения - 5 лет», ты не просто заполняешь поле - ты утверждаешь: «я не буду хранить ваши данные вечно». Когда ты пишешь «меры безопасности - двухфакторная аутентификация», ты говоришь: «я не считаю ваши данные мусором». Это не закон. Это моральный выбор. И если ты его избегаешь - ты не просто нарушитель. Ты - предатель доверия. И да, это сложно. Но всё, что стоит того, чтобы быть значимым - требует усилий. Сделай это. Не для государства. Для себя. Для тех, кто доверил тебе свои данные.

  • Светлана Чигрина
    Светлана Чигрина

    January 30, 2026 AT 17:58 PM

    Ой, ну кто ещё не заполнил? 😘 Я вчера сделала, а потом пошла в бар и рассказала всем, что я «оператор ПДн» - все ахнули, как будто я получила Оскар. А потом один мужик спросил: «А ты шифруешь?» - я: «Ну да, в смысле, я использую пароль “123456”». Все смеялись. Но я же не виновата, что это так сложно! И да, я не указала «обезличивание» - потому что забыла. Но зато написала «для связи» вместо «для уведомлений». Всё равно примут - ведь я же красиво написала! 😘💕 #ПДнЛайф #КлиентыЭтоМоиДрузья

Write a comment

© 2026. All rights reserved.