Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.
Вокруг «регистрации в Роскомнадзоре» много шума и мало ясности: одни считают её необязательной формальностью, другие — наоборот, своего рода сертификатом, который доказывает, что с персональными данными у них всё в порядке. Оба представления неверны. Разберёмся, что такое реестр операторов на самом деле, зачем он существует, кому нужно в нём быть и, главное, чего нахождение в реестре не означает.
Если коротко, главное удержать три мысли. Первая: «регистрация» это подача уведомления и внесение в публичный реестр операторов, а не разрешение и не лицензия. Вторая: быть в реестре обязаны почти все, кто обрабатывает чужие данные. Третья: само по себе нахождение в реестре не подтверждает, что вы соблюдаете закон, — это лишь заявление о том, что вы обрабатываете данные.
Что такое реестр операторов
Реестр операторов персональных данных это публичный список тех, кто заявил Роскомнадзору, что обрабатывает персональные данные. Попадают в него не по решению ведомства, а по собственному уведомлению оператора: вы сообщаете, какие данные, с какой целью и на каком основании обрабатываете, и вас вносят в реестр. Смысл реестра двойной: для граждан это прозрачность (можно увидеть, кто и зачем собирает их данные), а для регулятора — инструмент учёта и надзора.
Зачем нужно быть в реестре
Причины не сводятся к «чтобы не оштрафовали», хотя и это важно. Наличие записи в реестре всё чаще становится практическим требованием делового оборота:
- это прямая обязанность по закону для тех, кто обрабатывает персональные данные;
- запись проверяют банки, маркетплейсы и крупные заказчики при заключении договоров;
- в анкетах комплаенса и при аккредитации появляется вопрос о статусе оператора;
- отсутствие записи всплывает в самый неподходящий момент — перед сделкой или выходом на площадку.
Кто именно обязан подавать уведомление и в каких узких случаях это не требуется, мы подробно разбирали в материале о том, кто должен подавать уведомление.
Чего регистрация не означает
Здесь кроется самое опасное заблуждение. Внесение в реестр это не знак соответствия и не «прошёл проверку». Роскомнадзор не проверяет вашу обработку при подаче уведомления — он принимает заявленные сведения и вносит вас в список. Поэтому запись в реестре сама по себе не доказывает, что у вас есть политика, назначен ответственный, выстроена защита и соблюдаются права субъектов.
| Регистрация (запись в реестре) | Реальное соответствие закону |
|---|---|
| факт подачи уведомления | наличие политики, ответственного, мер защиты |
| заявленные оператором сведения | соответствие сведений реальной обработке |
| публичная видимость в списке | соблюдение прав субъектов и сроков |
Иными словами, реестр отвечает на вопрос «заявил ли оператор о себе», а не «соблюдает ли он закон». Настоящее соответствие обеспечивают документы и процессы, а не строчка в списке.
Это различие на практике дорого обходится тем, кто его не понимает. Компания подаёт уведомление, видит себя в реестре и считает вопрос закрытым, а при проверке выясняется, что политики нет, ответственный не назначен, данные хранятся где попало. Запись в реестре в этой ситуации не защищает — наоборот, она подтверждает, что оператор знал о своих обязанностях. Поэтому правильнее воспринимать уведомление как первый шаг, а не как финал.
Как устроена процедура
Сама процедура несложная: уведомление подаётся электронно, с авторизацией через Госуслуги и электронной подписью, а внесение в реестр занимает до 30 дней. Детально порядок подачи мы описывали в материале о подаче уведомления через Госуслуги, а проверить, есть ли запись у вас или у контрагента, можно по ИНН — об этом материал о проверке регистрации в реестре.
Реестр и проверки: как это связано
Ещё одно частое заблуждение — что запись в реестре либо защищает от проверок, либо, наоборот, привлекает их. Ни то, ни другое. Плановые проверки бизнеса сейчас ограничены мораторием, а внеплановые приходят не из-за наличия или отсутствия записи, а по конкретному поводу: жалоба субъекта, сообщение об утечке, обращение в Роскомнадзор.
Запись в реестре играет роль уже во время самой проверки. Проверяющий сверяет заявленные в реестре сведения с тем, что компания делает на самом деле. Если они совпадают и подкреплены документами — это в пользу оператора. Если запись есть, но устарела или не отражает реальную обработку, расхождение работает против него. Поэтому реестр не щит и не мишень, а зеркало: он показывает, насколько ваши заявления совпадают с практикой.
Чем грозит отсутствие записи
Отсутствие уведомления наказывается по части 10 статьи 13.11 КоАП: для ИП и юрлиц это 100 000–300 000 рублей. Но штраф — не единственный риск. На фоне общего ужесточения санкций за персональные данные отсутствие в реестре всё чаще закрывает доступ к контрактам и площадкам, где статус оператора стал условием работы. Полный разбор составов и сумм — в обзоре штрафов и ответственности за персональные данные.
Совет из практики: относитесь к записи в реестре как к входному билету, а не как к гарантии. Билет нужен, без него не пускают, но сам по себе он не делает обработку законной. Поэтому одновременно с подачей уведомления стоит привести в порядок политику, назначить ответственного и выстроить базовую защиту — тогда запись в реестре будет подкреплена реальным соответствием, а не висеть в воздухе.
Вопросы и ответы
Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.
Что значит регистрация в Роскомнадзоре?
Это подача уведомления об обработке персональных данных и внесение в публичный реестр операторов. Это не лицензия и не разрешение, а заявление о том, что вы обрабатываете данные.
Доказывает ли запись в реестре, что я соблюдаю закон?
Нет. Реестр фиксирует факт уведомления, а не соответствие. Соблюдение закона подтверждают политика, ответственный, меры защиты и реальные процессы, а не сама запись.
Кому нужно быть в реестре операторов?
Быть в реестре обязаны почти все, кто обрабатывает персональные данные. Это касается и организаций, и ИП, и самозанятых, и частных специалистов. Исключения после изменений 2022 года остались узкие.
Проверяет ли Роскомнадзор обработку при подаче уведомления?
Нет. Ведомство принимает заявленные сведения и вносит оператора в реестр. Проверка обработки происходит отдельно — по жалобе или в рамках надзора.
Зачем партнёры проверяют запись в реестре?
Чтобы убедиться, что контрагент заявил о себе как оператор. Это элемент должной осмотрительности при заключении договоров, особенно с банками, маркетплейсами и крупными заказчиками.
Что будет, если не быть в реестре?
Штраф по части 10 статьи 13.11 КоАП (для ИП и юрлиц 100–300 тыс рублей), а также практические ограничения: доступ к ряду контрактов и площадок требует статуса оператора.
Источники
- Статья 22 ФЗ №152-ФЗ (КонсультантПлюс) — уведомление об обработке и реестр операторов.
- Статья 18.1 ФЗ №152-ФЗ (КонсультантПлюс) — обязанности оператора по обеспечению соответствия закону.
- Реестр операторов персональных данных (Роскомнадзор) — публичный список операторов.