Открыть сервис

Реестр операторов персональных данных

Реестр операторов персональных данных — это государственная информационная система, представляющая собой перечень юридических и физических лиц, осуществляющих обработку персональных данных граждан Российской Федерации. Ведение реестра является обязательным требованием Федерального закона № 152-ФЗ «О персональных данных» и возложено на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Включение в реестр подтверждает, что оператор уведомил уполномоченный орган о начале обработки персональных данных, что является одной из мер государственного контроля за соблюдением законодательства в области защиты конфиденциальной информации.

Правовые основания

Обязанность операторов уведомлять Роскомнадзор о намерении обрабатывать персональные данные установлена статьёй 22 Федерального закона № 152-ФЗ. Уведомление должно быть направлено до начала обработки данных. На основании полученных уведомлений Роскомнадзор формирует и ведёт реестр операторов, который является открытым и общедоступным, за исключением сведений, отнесённых к государственной тайне.

Порядок ведения реестра, форма уведомления, перечень включаемых сведений и сроки их внесения регламентируются Приказом Роскомнадзора от 30 мая 2017 года № 94 «Об утверждении требований к содержанию уведомления об обработке персональных данных, а также порядка направления уведомления в уполномоченный орган по защите прав субъектов персональных данных».

Кто обязан включаться в реестр

В реестр подлежат включению все операторы, за исключением случаев, прямо предусмотренных законом. К операторам относятся:

  • Юридические лица (коммерческие и некоммерческие организации), которые обрабатывают персональные данные своих сотрудников, клиентов, контрагентов.
  • Индивидуальные предприниматели, осуществляющие деятельность, связанную с обработкой персональных данных (например, интернет-магазины, медицинские центры, образовательные учреждения).
  • Государственные и муниципальные органы, обрабатывающие персональные данные в рамках выполнения своих полномочий.

Закон предусматривает ряд исключений, когда уведомление не требуется. В частности, не обязаны уведомлять Роскомнадзор операторы, которые обрабатывают персональные данные исключительно:

  • без использования средств автоматизации (например, в бумажных картотеках);
  • в рамках трудовых отношений (данные сотрудников);
  • для однократного пропуска на территорию;
  • в государственных информационных системах, созданных в соответствии с федеральными законами (например, Единая система идентификации и аутентификацииЕСИА).

Однако даже при наличии исключений оператор обязан соблюдать все требования закона к обработке персональных данных.

Содержание реестра

Реестр операторов персональных данных включает следующие сведения об операторе:

  • полное и сокращённое наименование (для юридических лиц) или фамилия, имя, отчество (для физических лиц и ИП);
  • адрес места нахождения (юридический адрес);
  • идентификационный номер налогоплательщика (ИНН);
  • основной государственный регистрационный номер (ОГРН или ОГРНИП);
  • дата регистрации уведомления;
  • цели обработки персональных данных;
  • категории обрабатываемых персональных данных;
  • правовое основание обработки (ссылка на конкретный пункт закона);
  • перечень действий с персональными данными;
  • сроки обработки и порядок уничтожения данных;
  • сведения о местонахождении баз данных, содержащих персональные данные граждан РФ (с 2015 года — требование о локализации данных на территории России).

Реестр ведётся в электронной форме и доступен для просмотра на официальном сайте Роскомнадзора. Поиск по реестру возможен по наименованию оператора, ИНН, ОГРН или регистрационному номеру.

Порядок включения в реестр

Процедура включения в реестр состоит из следующих этапов:

  1. Подготовка уведомления. Оператор заполняет форму уведомления, утверждённую Роскомнадзором. Форма включает все обязательные сведения, перечисленные в законе.
  2. Направление уведомления. Уведомление может быть подано:
  • в электронном виде через портал «Госуслуги» или личный кабинет на сайте Роскомнадзора (рекомендуемый способ);
  • на бумажном носителе по почте или лично в территориальный орган Роскомнадзора.
  1. Регистрация уведомления. Роскомнадзор в течение 30 дней с момента получения уведомления проверяет его на полноту и корректность. При отсутствии ошибок оператору присваивается регистрационный номер, и сведения о нём вносятся в реестр. При выявлении несоответствий оператору направляется уведомление о необходимости устранения недостатков.
  2. Внесение изменений. В случае изменения сведений (смена адреса, целей обработки, реорганизация) оператор обязан в течение 10 рабочих дней уведомить Роскомнадзор, после чего данные в реестре обновляются.

С момента внесения записи в реестр оператор считается уведомившим уполномоченный орган о начале обработки персональных данных.

Ответственность за невключение в реестр

Нарушение обязанности по уведомлению Роскомнадзора влечёт административную ответственность по статье 13.11 Кодекса об административных правонарушениях РФ (КоАП РФ). Наказание предусмотрено за:

  • невыполнение обязанности по уведомлению об обработке персональных данных;
  • несвоевременное уведомление об изменении сведений;
  • предоставление недостоверных сведений.

Размеры штрафов для должностных лиц составляют от 1 000 до 3 000 рублей, для юридических лиц — от 30 000 до 50 000 рублей. При повторном нарушении штрафы увеличиваются. Кроме того, Роскомнадзор вправе выдать предписание об устранении нарушения, а в случае неисполнения — обратиться в суд с требованием о блокировке сайта или приостановлении деятельности оператора.

Значение реестра

Реестр операторов персональных данных выполняет несколько ключевых функций:

  • Контрольная функция. Позволяет Роскомнадзору отслеживать, какие организации и лица обрабатывают персональные данные, и проверять их деятельность на соответствие закону.
  • Информационная функция. Граждане могут проверить, зарегистрирован ли оператор, которому они доверяют свои данные, и какие цели обработки он заявил. Это помогает выявлять недобросовестные компании.
  • Пресечение незаконной обработки. Отсутствие записи в реестре является одним из признаков того, что оператор может нарушать законодательство, что служит основанием для проведения внеплановой проверки.

По состоянию на 2024 год в реестре зарегистрировано более 800 тысяч операторов, включая государственные органы, банки, страховые компании, медицинские учреждения, образовательные организации, интернет-сервисы и другие субъекты.

Критика и проблемы

Несмотря на формальную обязательность, на практике значительная часть операторов не уведомляет Роскомнадзор о начале обработки персональных данных. Это связано как с незнанием закона, так и с намеренным уклонением от контроля. Особенно это характерно для малого бизнеса и индивидуальных предпринимателей, которые обрабатывают данные клиентов в небольших объёмах.

Кроме того, существующая система уведомлений не всегда позволяет эффективно выявлять нарушения. Роскомнадзор проводит проверки в основном на основании жалоб граждан, а не на основе анализа реестра. Критики также отмечают, что процедура уведомления является бюрократической нагрузкой для добросовестных операторов, тогда как реальные нарушения часто остаются незамеченными.

Источники

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
  • Кодекс Российской Федерации об административных правонарушениях (статья 13.11)
  • Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении требований к содержанию уведомления об обработке персональных данных...»
  • Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →