Главная страница категории

Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.

Перейти на страницу

Для организации уведомление Роскомнадзора по персональным данным — это не разовая формальность “для галочки”, а публичная запись о том, какие данные компания собирает, в каких целях и на каком основании. На практике с этой темой сталкиваются почти все юридические лица: работодатели, интернет-магазины, медицинские и образовательные организации, управляющие компании, производители с дилерской сетью, B2B-поставщики с CRM, сервисные центры и компании с обычной формой обратной связи на сайте.

В разговорной речи это часто называют регистрацией в Роскомнадзоре. Юридически точнее говорить об уведомлении оператора персональных данных. Организация направляет уведомление через официальный сервис Роскомнадзора, после чего сведения появляются в публичном реестре операторов персональных данных. Запись не выдает компании “лицензию на персональные данные” и не заменяет политику конфиденциальности, согласия, договоры с подрядчиками и внутренние меры защиты. Она показывает, что оператор заявил свои процессы обработки и раскрыл их регулятору.

Когда организации нужно уведомление Роскомнадзора

Базовое правило закреплено в статье 22 Федерального закона №152-ФЗ: оператор направляет уведомление до начала обработки персональных данных, если не подходит одно из специальных исключений. Для обычной коммерческой или некоммерческой организации исключения применяются редко. Если компания ведет кадровый учет в электронных системах, собирает заявки с сайта, хранит телефоны клиентов, использует CRM, оформляет доставки физическим лицам, получает резюме соискателей или ведет рассылки, ей нужно отдельно оценить обязанность по уведомлению.

Важно смотреть не только на организационно-правовую форму. ООО, АО, автономная некоммерческая организация, учреждение или фонд становятся оператором не из-за названия, а потому что определяют цели и состав обработки персональных данных. Даже небольшая компания может обрабатывать несколько разных контуров данных: сотрудники, клиенты, представители контрагентов, пользователи сайта, участники мероприятий, подписчики, соискатели.

Процесс в организацииКакие данные обычно появляютсяЧто проверить перед уведомлением
Кадровый учетФИО, паспортные данные, СНИЛС, ИНН, контакты, сведения о семье и льготахЦель обработки, правовые основания, ответственный за ПДн, место хранения базы
Продажи и клиентский сервисИмя, телефон, email, адрес доставки, история заказов, обращенияФормы сбора, CRM, договоры с подрядчиками, сроки хранения
Сайт и рекламаЗаявки, cookie-идентификаторы, IP-адреса, подписки, сообщения в чатахПолитика на сайте, согласия, аналитика, сервисы рассылок
Подрядчики и B2B-контактыДанные представителей контрагентов, доверенности, телефоны, должностиЦель деловой коммуникации, доступ сотрудников, передача третьим лицам
Подбор персоналаРезюме, портфолио, контакты, результаты интервьюИсточник резюме, срок хранения, отдельное согласие при резерве кандидатов

Что такое реестр операторов персональных данных

Публичный реестр Роскомнадзора — это база сведений об операторах персональных данных. Проверить запись можно в разделе реестра операторов персональных данных. В карточке ищут организацию по наименованию, ИНН, ОГРН или регистрационному номеру записи. Такой поиск удобен для внутреннего аудита, проверки подрядчика, подготовки к тендеру, банковской комплаенс-проверки и ответа на запрос контрагента.

В открытой части реестра обычно видны сведения об операторе, дата внесения, адрес, ИНН и ОГРН, цели обработки, категории субъектов, категории персональных данных, правовое основание, действия с данными, способы обработки, сведения о трансграничной передаче и месте нахождения базы данных граждан РФ. Сведения о конкретных средствах обеспечения безопасности персональных данных в публичную часть не раскрываются.

Запись в реестре полезна не тем, что “одобряет” бизнес-процесс, а тем, что делает его проверяемым. Если компания заявила только кадровую обработку, но на сайте собирает клиентские заявки и ведет рассылку, публичная карточка будет плохо совпадать с реальной работой. Поэтому уведомление лучше готовить после короткой инвентаризации процессов, а не по шаблону из одного абзаца.

Какие сведения готовят для формы

Официальная форма доступна в разделе уведомления об обработке персональных данных. В ней указываются сведения об операторе, цели обработки, меры по статьям 18.1 и 19 закона №152-ФЗ, ответственное лицо, дата начала обработки, срок или условие прекращения обработки, наличие трансграничной передачи, место нахождения базы данных граждан РФ и сведения о безопасности персональных данных.

Отдельно заполняется детализация по каждой цели. Например, кадровый учет, исполнение договора с клиентом и рассылка новостей — это разные цели. Для каждой цели нужно описать категории субъектов, категории персональных данных, правовое основание, действия с данными и способы обработки. Именно здесь чаще всего видна разница между живой заявкой и формальным документом: одна фраза “обработка персональных данных клиентов и сотрудников” не помогает понять, что компания реально делает с данными.

Поле уведомленияКак его читать бизнесуПример для организации
Цель обработкиЗачем компании нужны данныеКадровый учет, заключение и исполнение договора, обработка заявки с сайта
Категории субъектовЧьи данные используютсяРаботники, клиенты, представители контрагентов, соискатели
Категории персональных данныхКакой состав данных собираетсяФИО, контактные данные, паспортные данные, адрес, реквизиты договора
Правовое основаниеПочему обработка допустимаТрудовой кодекс, договор, согласие, законная обязанность оператора
Действия с даннымиЧто организация делает с информациейСбор, запись, хранение, уточнение, передача, удаление
Место базы данныхГде размещены базы граждан РФСобственный сервер, российский хостинг, облачный сервис с дата-центром в РФ

Как подать уведомление организации

Перед подачей удобно пройти простой маршрут. Сначала организация собирает карту процессов: где появляются персональные данные, кто имеет доступ, какие сервисы используются, кому данные передаются. Затем сверяет документы: политика обработки персональных данных, формы согласий, договоры с обработчиками, приказ о назначении ответственного, порядок доступа сотрудников, меры защиты и тексты на сайте. После этого заполняется уведомление в электронном сервисе Роскомнадзора.

Роскомнадзор рассматривает поступившее уведомление и вносит сведения в реестр в течение 30 дней с даты поступления. Госпошлина за рассмотрение уведомления и внесение сведений в реестр не возлагается на оператора. После появления записи стоит открыть публичную карточку и проверить, что в ней отражены ключевые цели: сотрудники, клиенты, сайт, заявки, договоры, рассылки или другие реальные процессы компании.

Если у организации меняются сведения из уведомления, обновление направляется не позднее 15-го числа месяца, следующего за месяцем изменений. Например, компания запустила новую форму заявки, подключила сервис рассылок, начала передавать данные новому подрядчику или изменила адрес базы. При прекращении обработки персональных данных уведомление о прекращении направляется в течение 10 рабочих дней.

Какие документы должны идти рядом с уведомлением

Уведомление в Роскомнадзор не закрывает всю работу по персональным данным. Для проверки важна связка документов и фактических процессов. На сайте должна быть понятная политика обработки персональных данных, формы должны собирать согласия там, где они нужны, сотрудники должны понимать, кто имеет доступ к базам, а подрядчики должны быть оформлены договорно, если они обрабатывают данные по поручению организации.

Для компании это особенно заметно в продажах и маркетинге. Если заявка с сайта попадает в CRM, затем менеджер пишет клиенту в мессенджер, а доставка передается внешней службе, в одном сценарии участвуют сайт, CRM, сотрудник, подрядчик и клиент. В уведомлении нужно описать не рекламный лозунг, а реальную цель, состав данных и действия с ними.

Ответственность за отсутствие уведомления

За непредставление или несвоевременное представление уведомления применяется часть 10 статьи 13.11 КоАП РФ. Для юридических лиц штраф составляет от 100 000 до 300 000 рублей, для должностных лиц — от 30 000 до 50 000 рублей, для граждан — от 5 000 до 10 000 рублей. Это отдельный состав ответственности: помимо него могут проверяться политика на сайте, согласия, безопасность обработки, трансграничная передача и работа с запросами субъектов.

Из-за этого организациям не стоит сводить задачу к одному заполнению формы. Сильная позиция перед регулятором и контрагентами строится на совпадении трех вещей: что написано в уведомлении, что опубликовано на сайте и как данные обрабатываются внутри компании. Если эти элементы расходятся, сама запись в реестре не решает проблему.

Как помогает «Реестр Гарант»

Мы начинаем с карты обработки персональных данных: сотрудники, клиенты, сайт, CRM, подрядчики, рассылки, соискатели, документы и базы. После этого готовим структуру уведомления, помогаем разделить цели обработки, проверить состав полей, собрать документы рядом с заявкой и сверить опубликованную запись в реестре Роскомнадзора.

Такой подход подходит организациям, которым нужен не шаблонный текст, а понятная процедура: что подать, какие сведения указать, где проверить результат и какие документы привести в порядок после внесения записи. Если у компании уже есть запись, можно отдельно проверить, соответствует ли она текущим процессам, сайту и используемым сервисам. Для руководителя это дает понятную картину: какие процессы уже описаны, какие требуют обновления и какие документы нужно привести к одной версии.

FAQ

Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.

Какие организации должны уведомлять Роскомнадзор?

Уведомление нужно организации, которая обрабатывает персональные данные и не попадает под специальные исключения статьи 22 закона №152-ФЗ. На практике это часто относится к компаниям с сотрудниками, клиентскими заявками, CRM, сайтом, рассылками, договорами с физическими лицами или подбором персонала.

Нужно ли уведомление, если у компании есть только сотрудники?

Кадровая обработка тоже является обработкой персональных данных. Для ответа нужно смотреть реальные процессы, способ хранения и применимые исключения, но организациям с электронным кадровым учетом обычно стоит отдельно оценить обязанность по уведомлению.

Где подать уведомление об обработке персональных данных?

Уведомление подается через официальный сервис Роскомнадзора в разделе уведомлений операторов персональных данных. Перед отправкой лучше подготовить цели обработки, категории субъектов, состав данных, основания обработки, сведения о базе и ответственном лице.

Сколько Роскомнадзор вносит запись в реестр?

Сведения вносятся в реестр операторов в течение 30 дней с даты поступления уведомления. После появления записи ее можно проверить в публичном реестре по наименованию организации, ИНН, ОГРН или регистрационному номеру.

Есть ли госпошлина за уведомление Роскомнадзора?

Госпошлина за рассмотрение уведомления и внесение сведений в реестр операторов персональных данных не возлагается на оператора. Расходы компании обычно связаны не с пошлиной, а с подготовкой сведений, документов и внутренней карты обработки данных.

Когда нужно обновлять сведения в реестре?

Если сведения из уведомления изменились, обновление направляют не позднее 15-го числа месяца, следующего за месяцем изменений. При прекращении обработки персональных данных уведомление о прекращении подается в течение 10 рабочих дней.