Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: 25 мая 2026 года. Учтены изменения ФЗ № 420-ФЗ от 30.11.2024 и приказ Роскомнадзора № 274 от 27.10.2022.

Что такое реестр обработки ПДн и зачем он нужен

Реестр (или «журнал учёта операций») обработки персональных данных — это внутренний документ оператора, в котором фиксируются все процессы, связанные со сбором, хранением и передачей ПДн. Это не уведомление в РКН (которое подаётся один раз) и не политика конфиденциальности (которая публикуется на сайте). Реестр живёт внутри компании и предъявляется по требованию проверяющего.

Обязанность вести реестр прямо вытекает из ст. 18.1 ч. 1 152-ФЗ: оператор должен принять «правовые, организационные и технические меры» по защите ПДн, а одной из таких мер закон называет учёт процессов обработки. На практике Роскомнадзор требует именно реестр — и просит его первым на любой проверке.

Штраф за отсутствие документов по ст. 18.1: до 500 000 ₽ для юрлиц по ч. 1 ст. 13.11 КоАП. При повторном нарушении — до 1,5 млн ₽. Для ИП — до 30 000 ₽.

Когда реестр обязателен

Реестр обязан вести любой оператор ПДн — то есть любая организация или ИП, которые принимают заявки через сайт, ведут CRM, отправляют рассылки или хотя бы хранят контакты клиентов в Excel.

Освобождения, аналогичного «исключениям из уведомления РКН» (ст. 22 ч. 2), для реестра нет. Даже если вы не обязаны подавать уведомление в Роскомнадзор (например, обрабатываете данные только сотрудников по трудовому договору) — вести внутренний реестр всё равно обязаны.

Обязательные поля реестра (приказ РКН № 274)

Приказ Роскомнадзора № 274 от 27.10.2022 «Об утверждении требований к содержанию документа, определяющего политику оператора в отношении обработки ПДн» косвенно задаёт состав реестра. На практике РКН ожидает следующие графы:

  1. Категория субъектов — клиенты, сотрудники, подрядчики, посетители сайта
  2. Перечень обрабатываемых ПДн — ФИО, email, телефон, ИНН, данные паспорта и т.д.
  3. Цель обработки — заключение договора, рассылка, кадровый учёт, аналитика
  4. Правовое основание — ст. 6 ч. 1 152-ФЗ (согласие, договор, закон и т.д.)
  5. Перечень действий — сбор, запись, систематизация, хранение, передача, уничтожение
  6. Способы обработки — автоматизированная / неавтоматизированная / смешанная
  7. Места хранения — сервер (страна, ЦОД), бумажные носители (адрес, сейф)
  8. Лица, имеющие доступ — должности, ФИО, основание допуска
  9. Срок обработки и хранения — до достижения цели / 3 года / 75 лет (кадры)
  10. Способ уничтожения — шредер, форматирование, акт уничтожения
  11. Трансграничная передача — да/нет, страна, основание (ст. 12 152-ФЗ)
  12. Передача третьим лицам — подрядчики, основание, договор поручения

Каждой бизнес-процесс — отдельная строка в реестре. У среднего сайта получается 5–10 строк: лидогенерация, email-рассылка, кадры, бухгалтерия, аналитика, отзывы, чат поддержки.

Формат реестра: Excel, Word или система?

Закон не предписывает конкретный формат. Допустимы:

  • Excel/Google Sheets — самый частый вариант для малого и среднего бизнеса
  • Word/PDF — таблица в документе с подписью руководителя
  • Специализированная ИСПДн — модули в 1С, СЭД, ГИС «Учёт операторов»

Главное требование: реестр должен быть актуальным и подписанным руководителем (или ответственным за ПДн). При проверке инспектор может запросить версию на конкретную дату — поэтому полезно вести историю изменений (хотя бы через колонку «дата последнего обновления»).

Как часто обновлять

Реестр пересматривается при любых изменениях в обработке ПДн:

  • Добавили новую форму на сайт → новая строка
  • Сменили CRM или хостинг → правка в «местах хранения»
  • Запустили рассылку через нового подрядчика → правка в «передаче третьим лицам»
  • Уволили ответственного → правка в «доступе»

Минимум — раз в год проводится плановая ревизия реестра, даже если изменений не было. Это требование вытекает из ст. 18.1 ч. 2 152-ФЗ: оператор обязан осуществлять «внутренний контроль соответствия».

Реестр + регламент обработки = пакет внутренней документации

Реестр — лишь один из обязательных внутренних документов. Полный пакет по ст. 18.1 включает:

  • Положение об обработке ПДн (внутренний регламент)
  • Реестр операций обработки ПДн (эта статья)
  • Приказ о назначении ответственного за организацию обработки (ст. 22.1)
  • Приказ об утверждении перечня лиц, допущенных к ПДн
  • Журнал учёта обращений субъектов (запросы по ст. 14, 20, 21)
  • Акты уничтожения ПДн по истечении срока хранения

Отсутствие любого из этих документов — отдельное нарушение со штрафом до 500 000 ₽.

Сроки реакции на запросы субъектов

Реестр помогает оператору быстро отвечать на запросы граждан. Закон даёт жёсткие сроки:

  • 30 дней — на ответ субъекту о факте и условиях обработки его ПДн (ст. 20 ч. 3)
  • 7 рабочих дней — на уточнение, блокирование или уничтожение по требованию субъекта (ст. 21 ч. 1)
  • 24 часа — на уведомление РКН об инциденте (утечке) ПДн + 72 часа на результаты расследования (https://pd.rkn.gov.ru/incidents/)

Без актуального реестра уложиться в 7 рабочих дней почти невозможно: придётся вручную выяснять, где хранятся данные конкретного человека и кому они передавались.

Чеклист готового реестра

  • [ ] Перечислены все категории субъектов (клиенты, сотрудники, кандидаты, посетители)
  • [ ] Каждой цели обработки соответствует правовое основание из ст. 6
  • [ ] Указаны конкретные подрядчики и страна размещения серверов
  • [ ] Перечислены лица с доступом и основание допуска
  • [ ] Указаны сроки хранения и способ уничтожения
  • [ ] Документ подписан руководителем или ответственным за ПДн
  • [ ] Назначена дата ежегодной ревизии
  • [ ] Реестр согласован с политикой конфиденциальности на сайте

Сколько стоит подготовка реестра

С юристом по ПДн: 8 000 – 25 000 ₽ за разработку под бизнес + регулярное сопровождение от 5 000 ₽/месяц.

Через автоматический генератор: реестр персонализирован под ваш бизнес (анкета о бизнес-процессах, формах, подрядчиках) и входит в тариф «Стандарт» от 12 490 ₽ вместе с политикой, согласиями и регламентом обработки.

Не уверены, какие процессы у вас попадают под 152-ФЗ? Запустите бесплатный аудит сайта на соответствие 152-ФЗ →

Статья актуальна на 25 мая 2026 года. Нормативные акты: 152-ФЗ «О персональных данных» (ст. 6, 12, 14, 18.1, 20, 21, 22, 22.1), приказ Роскомнадзора № 274 от 27.10.2022, КоАП ст. 13.11 в редакции ФЗ № 420-ФЗ от 30.11.2024.