Реестр операторов персональных данных
Реестр операторов персональных данных — это государственная информационная система, представляющая собой перечень юридических и физических лиц, осуществляющих обработку персональных данных граждан Российской Федерации. Ведение реестра является обязательным требованием Федерального закона № 152-ФЗ «О персональных данных» и возложено на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Включение в реестр подтверждает, что оператор уведомил уполномоченный орган о начале обработки персональных данных, что является одной из мер государственного контроля за соблюдением законодательства в области защиты конфиденциальной информации.
Правовые основания
Обязанность операторов уведомлять Роскомнадзор о намерении обрабатывать персональные данные установлена статьёй 22 Федерального закона № 152-ФЗ. Уведомление должно быть направлено до начала обработки данных. На основании полученных уведомлений Роскомнадзор формирует и ведёт реестр операторов, который является открытым и общедоступным, за исключением сведений, отнесённых к государственной тайне.
Порядок ведения реестра, форма уведомления, перечень включаемых сведений и сроки их внесения регламентируются Приказом Роскомнадзора от 30 мая 2017 года № 94 «Об утверждении требований к содержанию уведомления об обработке персональных данных, а также порядка направления уведомления в уполномоченный орган по защите прав субъектов персональных данных».
Кто обязан включаться в реестр
В реестр подлежат включению все операторы, за исключением случаев, прямо предусмотренных законом. К операторам относятся:
- Юридические лица (коммерческие и некоммерческие организации), которые обрабатывают персональные данные своих сотрудников, клиентов, контрагентов.
- Индивидуальные предприниматели, осуществляющие деятельность, связанную с обработкой персональных данных (например, интернет-магазины, медицинские центры, образовательные учреждения).
- Государственные и муниципальные органы, обрабатывающие персональные данные в рамках выполнения своих полномочий.
Закон предусматривает ряд исключений, когда уведомление не требуется. В частности, не обязаны уведомлять Роскомнадзор операторы, которые обрабатывают персональные данные исключительно:
- без использования средств автоматизации (например, в бумажных картотеках);
- в рамках трудовых отношений (данные сотрудников);
- для однократного пропуска на территорию;
- в государственных информационных системах, созданных в соответствии с федеральными законами (например, Единая система идентификации и аутентификации — ЕСИА).
Однако даже при наличии исключений оператор обязан соблюдать все требования закона к обработке персональных данных.
Содержание реестра
Реестр операторов персональных данных включает следующие сведения об операторе:
- полное и сокращённое наименование (для юридических лиц) или фамилия, имя, отчество (для физических лиц и ИП);
- адрес места нахождения (юридический адрес);
- идентификационный номер налогоплательщика (ИНН);
- основной государственный регистрационный номер (ОГРН или ОГРНИП);
- дата регистрации уведомления;
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- правовое основание обработки (ссылка на конкретный пункт закона);
- перечень действий с персональными данными;
- сроки обработки и порядок уничтожения данных;
- сведения о местонахождении баз данных, содержащих персональные данные граждан РФ (с 2015 года — требование о локализации данных на территории России).
Реестр ведётся в электронной форме и доступен для просмотра на официальном сайте Роскомнадзора. Поиск по реестру возможен по наименованию оператора, ИНН, ОГРН или регистрационному номеру.
Порядок включения в реестр
Процедура включения в реестр состоит из следующих этапов:
- Подготовка уведомления. Оператор заполняет форму уведомления, утверждённую Роскомнадзором. Форма включает все обязательные сведения, перечисленные в законе.
- Направление уведомления. Уведомление может быть подано:
- в электронном виде через портал «Госуслуги» или личный кабинет на сайте Роскомнадзора (рекомендуемый способ);
- на бумажном носителе по почте или лично в территориальный орган Роскомнадзора.
- Регистрация уведомления. Роскомнадзор в течение 30 дней с момента получения уведомления проверяет его на полноту и корректность. При отсутствии ошибок оператору присваивается регистрационный номер, и сведения о нём вносятся в реестр. При выявлении несоответствий оператору направляется уведомление о необходимости устранения недостатков.
- Внесение изменений. В случае изменения сведений (смена адреса, целей обработки, реорганизация) оператор обязан в течение 10 рабочих дней уведомить Роскомнадзор, после чего данные в реестре обновляются.
С момента внесения записи в реестр оператор считается уведомившим уполномоченный орган о начале обработки персональных данных.
Ответственность за невключение в реестр
Нарушение обязанности по уведомлению Роскомнадзора влечёт административную ответственность по статье 13.11 Кодекса об административных правонарушениях РФ (КоАП РФ). Наказание предусмотрено за:
- невыполнение обязанности по уведомлению об обработке персональных данных;
- несвоевременное уведомление об изменении сведений;
- предоставление недостоверных сведений.
Размеры штрафов для должностных лиц составляют от 1 000 до 3 000 рублей, для юридических лиц — от 30 000 до 50 000 рублей. При повторном нарушении штрафы увеличиваются. Кроме того, Роскомнадзор вправе выдать предписание об устранении нарушения, а в случае неисполнения — обратиться в суд с требованием о блокировке сайта или приостановлении деятельности оператора.
Значение реестра
Реестр операторов персональных данных выполняет несколько ключевых функций:
- Контрольная функция. Позволяет Роскомнадзору отслеживать, какие организации и лица обрабатывают персональные данные, и проверять их деятельность на соответствие закону.
- Информационная функция. Граждане могут проверить, зарегистрирован ли оператор, которому они доверяют свои данные, и какие цели обработки он заявил. Это помогает выявлять недобросовестные компании.
- Пресечение незаконной обработки. Отсутствие записи в реестре является одним из признаков того, что оператор может нарушать законодательство, что служит основанием для проведения внеплановой проверки.
По состоянию на 2024 год в реестре зарегистрировано более 800 тысяч операторов, включая государственные органы, банки, страховые компании, медицинские учреждения, образовательные организации, интернет-сервисы и другие субъекты.
Критика и проблемы
Несмотря на формальную обязательность, на практике значительная часть операторов не уведомляет Роскомнадзор о начале обработки персональных данных. Это связано как с незнанием закона, так и с намеренным уклонением от контроля. Особенно это характерно для малого бизнеса и индивидуальных предпринимателей, которые обрабатывают данные клиентов в небольших объёмах.
Кроме того, существующая система уведомлений не всегда позволяет эффективно выявлять нарушения. Роскомнадзор проводит проверки в основном на основании жалоб граждан, а не на основе анализа реестра. Критики также отмечают, что процедура уведомления является бюрократической нагрузкой для добросовестных операторов, тогда как реальные нарушения часто остаются незамеченными.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11)
- Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении требований к содержанию уведомления об обработке персональных данных...»
- Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →