Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.
Вы подали уведомление в Роскомнадзор — и на этом многие успокаиваются. Но запись в реестре операторов это не финиш, а старт обязанностей: именно после регистрации появляются требования к документам, защите данных и ответам на запросы, которые проверяют в первую очередь. Ниже — последовательный чек-лист, что сделать после подачи, в каком порядке и в какие сроки, чтобы регистрация не осталась формальной галочкой.
Главное, что стоит понять сразу: проверка смотрит не на факт записи в реестре, а на то, выполняете ли вы то, что в этой записи заявили. Поэтому шаги ниже идут по приоритету — от подтверждения регистрации до поддержания её в актуальном состоянии.
Шаг 1. Дождитесь записи в реестре и найдите свой номер
После подачи уведомления Роскомнадзор рассматривает его и вносит сведения в реестр операторов в срок до 30 календарных дней. На практике запись появляется за 2–3 недели. Уведомление о результате приходит в личный кабинет на Госуслугах, если вы подавали через них.
Когда сведения внесены, у вас появляется регистрационный номер оператора. Проверить его и убедиться, что регистрация состоялась, можно в публичном реестре операторов на сайте Роскомнадзора: откройте раздел реестра операторов персональных данных и найдите организацию по названию или ИНН — там же будет дата регистрации. Удобные способы проверки разобраны в смежном материале о проверке регистрации оператора.
На практике именно здесь возникает первая тревога: номер не появился через неделю, и владелец решает, что что-то пошло не так. В большинстве случаев это нормальная задержка проверки в пределах 30-дневного срока. Паниковать и подавать повторное уведомление не нужно — дубль в реестре потом придётся убирать отдельно.
Шаг 2. Оформите внутренние документы по защите ПДн
Это тот блок, про который забывают чаще всего, хотя именно его запрашивают при проверке и при первом же обращении субъекта данных. Закон 152-ФЗ (статьи 18.1 и 19) требует набор локальных актов:
- Политика обработки персональных данных — основной документ, описывающий, какие данные, с какими целями и на каком основании вы обрабатываете.
- Приказ о назначении ответственного за организацию обработки персональных данных.
- Положение и инструкции о порядке обработки и защиты ПДн для сотрудников.
- Перечень обрабатываемых данных и категорий субъектов, который должен соответствовать тому, что заявлено в уведомлении.
Типичная картина из практики: политику скачали из интернета и разместили, а приказ о назначении ответственного не оформили. Формально это означает, что организационные меры защиты не приняты, и одного скачанного шаблона для проверки недостаточно — документы должны описывать вашу реальную обработку, а не абстрактную.
Шаг 3. Опубликуйте политику конфиденциальности
Политику обработки ПДн недостаточно держать в папке. Статья 18.1 закона 152-ФЗ обязывает обеспечить к ней неограниченный доступ: на сайте её размещают в подвале или на отдельной странице, доступной с любой формы, где собираются данные. Если данные собираются через страницу в соцсети, ссылка на политику должна быть доступна оттуда.
Шаг 4. Настройте меры защиты данных
Статья 19 требует организационных и технических мер, соразмерных угрозам. Минимальный практический набор: разграничение доступа к данным и парольная политика, резервное копирование, защита от несанкционированного доступа и вредоносного ПО, шифрование канала (HTTPS) на формах сбора. Конкретный состав зависит от уровня защищённости информационной системы, который вы определяете сами. Подробнее про практические меры — в смежном разборе защиты персональных данных.
Шаг 5. Обеспечьте права субъектов и реакцию на запросы
После регистрации вы обязаны отвечать на обращения людей, чьи данные обрабатываете. По статье 20 закона 152-ФЗ срок ответа субъекту — 10 рабочих дней с даты получения запроса; его можно продлить не более чем на 5 рабочих дней с мотивированным уведомлением. В тот же срок даётся мотивированный отказ, если основания для него есть. По запросу самого Роскомнадзора информация предоставляется тоже в течение 10 рабочих дней. По требованию субъекта данные уточняют, блокируют или удаляют.
Цифру в 10 рабочих дней недооценивают: кажется, что время есть, но отсчёт идёт с даты получения, а не с момента, когда до запроса дошли руки. Если в компании нет ответственного и регламента, письмо субъекта легко зависает в общей почте, и срок проходит сам собой — а это уже основание для жалобы в Роскомнадзор.
Шаг 6. Поддерживайте регистрацию в актуальном состоянии
Сама запись в реестре операторов бессрочна и действует, пока вы обрабатываете данные. Но сведения нужно поддерживать актуальными:
- При изменении сведений (адрес, ответственное лицо, цели или категории обработки) подайте обновлённое уведомление не позднее 15-го числа месяца, следующего за месяцем изменения.
- При полном прекращении обработки направьте уведомление в течение 10 рабочих дней с даты прекращения.
Эти два срока часто путают между собой и с разовой подачей — отметьте их в своём регламенте отдельно.
Что делать при отказе или приостановке
Роскомнадзор может вернуть уведомление, если в нём ошибки: не указаны цели или способы обработки, неверно выбран регион обработки, нет подписи или электронной подписи. Отказ приходит с указанием причины. Алгоритм простой: устранить конкретное замечание и подать уведомление повторно — повторная подача госпошлиной не облагается, как и первичная. Чаще всего причина именно в регионе и в нестыковке заявленных целей с реальной деятельностью, поэтому эти поля стоит перепроверить до повторной отправки.
Ключевые сроки после регистрации одним списком
Сроки оператора ПДн легко перепутать, поэтому держите их перед глазами:
| Действие | Срок | Норма |
|---|---|---|
| Появление записи в реестре после подачи | до 30 календарных дней | ст. 22 152-ФЗ |
| Ответ субъекту на запрос о его данных | 10 рабочих дней (+5 с уведомлением) | ст. 20 152-ФЗ |
| Ответ на запрос Роскомнадзора | 10 рабочих дней | ст. 20 152-ФЗ |
| Обновление сведений при изменениях | до 15-го числа следующего месяца | ст. 22 152-ФЗ |
| Уведомление о прекращении обработки | 10 рабочих дней | ст. 22 152-ФЗ |
Если на каком-то из шагов нет уверенности, начать стоит с консультации: специалисты «Реестр Гарант» помогут оформить внутренние документы, оценить меры защиты и проверить корректность региона обработки, а также сопровождают операторов при проверках уже после внесения в реестр.
Вопросы и ответы
Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.
Как быстро появляется запись в реестре после подачи?
Обычно за 2–3 недели, предельный срок рассмотрения — 30 календарных дней. Если срок прошёл, а записи нет, стоит уточнить статус через Госуслуги или территориальное управление Роскомнадзора.
За какой срок нужно ответить на запрос человека о его данных?
10 рабочих дней с даты получения запроса по статье 20 закона 152-ФЗ. Продлить можно не более чем на 5 рабочих дней и только с мотивированным уведомлением заявителя.
Нужно ли заново регистрироваться каждый год?
Нет. Запись в реестре операторов бессрочна. Повторно обращаться нужно не для продления, а при изменении сведений или прекращении обработки.
В какой срок подавать обновление при смене ответственного или адреса?
Не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. Это не тот же срок, что для прекращения обработки (10 рабочих дней).
Можно ли указывать регистрационный номер на сайте и в договорах?
Да, и это нормальная практика: ссылка на запись в реестре в политике или договоре подтверждает, что обработка ведётся легально.
Что делать, если пришёл отказ?
Прочитать причину в уведомлении, исправить именно её (чаще всего это регион или цели обработки) и подать уведомление повторно. Госпошлины за повторную подачу нет.
Источники
- Статья 20 ФЗ №152-ФЗ (КонсультантПлюс) — сроки ответа оператора на запросы субъектов и Роскомнадзора (10 рабочих дней + 5).
- Статья 22 ФЗ №152-ФЗ (КонсультантПлюс) — сроки актуализации сведений (до 15-го числа следующего месяца) и прекращения обработки.
- Реестр операторов персональных данных (Роскомнадзор) — проверка регистрационного номера и даты включения.