Главная страница категории

Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.

Перейти на страницу

Вы подали уведомление в Роскомнадзор — и на этом многие успокаиваются. Но запись в реестре операторов это не финиш, а старт обязанностей: именно после регистрации появляются требования к документам, защите данных и ответам на запросы, которые проверяют в первую очередь. Ниже — последовательный чек-лист, что сделать после подачи, в каком порядке и в какие сроки, чтобы регистрация не осталась формальной галочкой.

Главное, что стоит понять сразу: проверка смотрит не на факт записи в реестре, а на то, выполняете ли вы то, что в этой записи заявили. Поэтому шаги ниже идут по приоритету — от подтверждения регистрации до поддержания её в актуальном состоянии.

Шаг 1. Дождитесь записи в реестре и найдите свой номер

После подачи уведомления Роскомнадзор рассматривает его и вносит сведения в реестр операторов в срок до 30 календарных дней. На практике запись появляется за 2–3 недели. Уведомление о результате приходит в личный кабинет на Госуслугах, если вы подавали через них.

Когда сведения внесены, у вас появляется регистрационный номер оператора. Проверить его и убедиться, что регистрация состоялась, можно в публичном реестре операторов на сайте Роскомнадзора: откройте раздел реестра операторов персональных данных и найдите организацию по названию или ИНН — там же будет дата регистрации. Удобные способы проверки разобраны в смежном материале о проверке регистрации оператора.

На практике именно здесь возникает первая тревога: номер не появился через неделю, и владелец решает, что что-то пошло не так. В большинстве случаев это нормальная задержка проверки в пределах 30-дневного срока. Паниковать и подавать повторное уведомление не нужно — дубль в реестре потом придётся убирать отдельно.

Шаг 2. Оформите внутренние документы по защите ПДн

Это тот блок, про который забывают чаще всего, хотя именно его запрашивают при проверке и при первом же обращении субъекта данных. Закон 152-ФЗ (статьи 18.1 и 19) требует набор локальных актов:

Типичная картина из практики: политику скачали из интернета и разместили, а приказ о назначении ответственного не оформили. Формально это означает, что организационные меры защиты не приняты, и одного скачанного шаблона для проверки недостаточно — документы должны описывать вашу реальную обработку, а не абстрактную.

Шаг 3. Опубликуйте политику конфиденциальности

Политику обработки ПДн недостаточно держать в папке. Статья 18.1 закона 152-ФЗ обязывает обеспечить к ней неограниченный доступ: на сайте её размещают в подвале или на отдельной странице, доступной с любой формы, где собираются данные. Если данные собираются через страницу в соцсети, ссылка на политику должна быть доступна оттуда.

Шаг 4. Настройте меры защиты данных

Статья 19 требует организационных и технических мер, соразмерных угрозам. Минимальный практический набор: разграничение доступа к данным и парольная политика, резервное копирование, защита от несанкционированного доступа и вредоносного ПО, шифрование канала (HTTPS) на формах сбора. Конкретный состав зависит от уровня защищённости информационной системы, который вы определяете сами. Подробнее про практические меры — в смежном разборе защиты персональных данных.

Шаг 5. Обеспечьте права субъектов и реакцию на запросы

После регистрации вы обязаны отвечать на обращения людей, чьи данные обрабатываете. По статье 20 закона 152-ФЗ срок ответа субъекту — 10 рабочих дней с даты получения запроса; его можно продлить не более чем на 5 рабочих дней с мотивированным уведомлением. В тот же срок даётся мотивированный отказ, если основания для него есть. По запросу самого Роскомнадзора информация предоставляется тоже в течение 10 рабочих дней. По требованию субъекта данные уточняют, блокируют или удаляют.

Цифру в 10 рабочих дней недооценивают: кажется, что время есть, но отсчёт идёт с даты получения, а не с момента, когда до запроса дошли руки. Если в компании нет ответственного и регламента, письмо субъекта легко зависает в общей почте, и срок проходит сам собой — а это уже основание для жалобы в Роскомнадзор.

Шаг 6. Поддерживайте регистрацию в актуальном состоянии

Сама запись в реестре операторов бессрочна и действует, пока вы обрабатываете данные. Но сведения нужно поддерживать актуальными:

Эти два срока часто путают между собой и с разовой подачей — отметьте их в своём регламенте отдельно.

Что делать при отказе или приостановке

Роскомнадзор может вернуть уведомление, если в нём ошибки: не указаны цели или способы обработки, неверно выбран регион обработки, нет подписи или электронной подписи. Отказ приходит с указанием причины. Алгоритм простой: устранить конкретное замечание и подать уведомление повторно — повторная подача госпошлиной не облагается, как и первичная. Чаще всего причина именно в регионе и в нестыковке заявленных целей с реальной деятельностью, поэтому эти поля стоит перепроверить до повторной отправки.

Ключевые сроки после регистрации одним списком

Сроки оператора ПДн легко перепутать, поэтому держите их перед глазами:

ДействиеСрокНорма
Появление записи в реестре после подачидо 30 календарных днейст. 22 152-ФЗ
Ответ субъекту на запрос о его данных10 рабочих дней (+5 с уведомлением)ст. 20 152-ФЗ
Ответ на запрос Роскомнадзора10 рабочих днейст. 20 152-ФЗ
Обновление сведений при измененияхдо 15-го числа следующего месяцаст. 22 152-ФЗ
Уведомление о прекращении обработки10 рабочих днейст. 22 152-ФЗ

Если на каком-то из шагов нет уверенности, начать стоит с консультации: специалисты «Реестр Гарант» помогут оформить внутренние документы, оценить меры защиты и проверить корректность региона обработки, а также сопровождают операторов при проверках уже после внесения в реестр.

Вопросы и ответы

Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.

Как быстро появляется запись в реестре после подачи?

Обычно за 2–3 недели, предельный срок рассмотрения — 30 календарных дней. Если срок прошёл, а записи нет, стоит уточнить статус через Госуслуги или территориальное управление Роскомнадзора.

За какой срок нужно ответить на запрос человека о его данных?

10 рабочих дней с даты получения запроса по статье 20 закона 152-ФЗ. Продлить можно не более чем на 5 рабочих дней и только с мотивированным уведомлением заявителя.

Нужно ли заново регистрироваться каждый год?

Нет. Запись в реестре операторов бессрочна. Повторно обращаться нужно не для продления, а при изменении сведений или прекращении обработки.

В какой срок подавать обновление при смене ответственного или адреса?

Не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. Это не тот же срок, что для прекращения обработки (10 рабочих дней).

Можно ли указывать регистрационный номер на сайте и в договорах?

Да, и это нормальная практика: ссылка на запись в реестре в политике или договоре подтверждает, что обработка ведётся легально.

Что делать, если пришёл отказ?

Прочитать причину в уведомлении, исправить именно её (чаще всего это регион или цели обработки) и подать уведомление повторно. Госпошлины за повторную подачу нет.

Источники