AZEXO

Регистрация в реестре операторов персональных данных Роскомнадзора: Руководство по соблюдению требований 152-ФЗ

от автора

Андрей Солодухин
в

Обработка персональных данных (ПДн) в Российской Федерации регулируется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» [официальный текст]. Одним из ключевых требований законодательства для большинства организаций и индивидуальных предпринимателей является уведомление уполномоченного органа (Роскомнадзора) о начале обработки данных и включение сведений об операторе в соответствующий реестр.

Несоблюдение этого требования влечет за собой административную ответственность. Данная статья предназначена для помощи операторам персональных данных в понимании регуляторных требований и формировании плана действий по уведомлению Роскомнадзора.

1. Кто обязан уведомлять Роскомнадзор?

Согласно части 1 статьи 22 Федерального закона № 152-ФЗ, оператор до начала обработки персональных данных обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных.

Важно отметить, что с 1 сентября 2022 года перечень исключений, когда уведомление подавать не требовалось, был значительно сокращен. Пункты 1–6 части 2 статьи 22 утратили силу. Это означает, что ранее популярные исключения (например, обработка данных только для исполнения договора с субъектом или обработка данных сотрудников) более не освобождают от обязанности уведомления.

Исключения (когда уведомлять не нужно):
Согласно актуальной редакции части 2 статьи 22, оператор вправе осуществлять обработку без уведомления только в следующих случаях:

  1. Обработка данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7).
  2. Обработка данных исключительно без использования средств автоматизации (то есть только на бумаге, без использования баз данных и компьютеров для поиска) (п. 8) — при этом применяются требования [Постановления Правительства РФ от 15.09.2008 № 687].
  3. Обработка данных в случаях, предусмотренных законодательством о транспортной безопасности (п. 9).

Если ваша деятельность не подпадает под эти три узкие категории, вы обязаны подать уведомление.

2. Сроки подачи уведомления

Уведомление должно быть направлено до начала обработки персональных данных (ч. 1 ст. 22).

  • Если вы только планируете начать бизнес или внедрить новую систему учета клиентов, уведомление подается заранее.
  • Если обработка уже ведется, но уведомление не было подано, это считается нарушением. Необходимо подать уведомление незамедлительно.

Проверить наличие организации в реестре можно на официальном портале: [Реестр операторов, осуществляющих обработку персональных данных].

3. Содержание уведомления

Требования к содержанию уведомления регламентированы частью 3 и частью 3.1 статьи 22. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа, подписанного уполномоченным лицом. Актуальные формы уведомлений устанавливаются уполномоченным органом [сайт Роскомнадзора].

Обязательные сведения:

  1. Наименование (ФИО) и адрес оператора.
  2. Цель обработки персональных данных.
  3. Описание мер, предусмотренных статьями 18.1 и 19 закона (в том числе сведения о наличии шифровальных средств).
  4. ФИО или наименование лица, ответственного за организацию обработки ПДн, его контактные данные (телефон, почта, адрес).
  5. Дата начала обработки.
  6. Срок или условие прекращения обработки.
  7. Сведения о наличии или отсутствии трансграничной передачи данных.
  8. Сведения о месте нахождения базы данных, содержащей ПДн граждан РФ.
  9. Сведения об обеспечении безопасности ПДн в соответствии с требованиями Правительства РФ — см. [Постановление Правительства РФ от 01.11.2012 № 1119].
  10. Сведения о лицах, имеющих доступ к данным в государственных и муниципальных информационных системах (если применимо).

Дополнительные требования (ч. 3.1 ст. 22):
Для каждой цели обработки оператор должен указать:

  • Категории персональных данных.
  • Категории субъектов, чьи данные обрабатываются.
  • Правовое основание обработки.
  • Перечень действий с данными.
  • Способы обработки.

4. Требования к защите персональных данных

Согласно статье 19 Федерального закона № 152-ФЗ, оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных.

Ключевые нормативные акты, регулирующие меры защиты:

ДокументНазначениеСсылка
Постановление Правительства РФ от 01.11.2012 № 1119Уровни защищенности персональных данных[ссылка]
Приказ ФСТЭК России от 18.02.2013 № 21Состав и содержание мер по защите ПДн[ссылка]
Приказ ФСТЭК России от 11.02.2013 № 17Требования к защите информации в ИСПДн[ссылка]
Базовая модель угроз безопасности ПДн (ФСТЭК, 15.02.2008)Идентификация угроз[ссылка]
Методика определения актуальных угроз (ФСТЭК, 14.02.2008)Оценка угроз[ссылка]
Методика оценки угроз безопасности информации (ФСТЭК, 05.02.2021)Актуальная методология оценки[ссылка]
Постановление Правительства РФ от 23.12.2021 № 2425Меры по обеспечению выполнения обязанностей оператора[ссылка]

Практические шаги по обеспечению безопасности:

  1. Провести классификацию информационной системы персональных данных (ИСПДн).
  2. Определить актуальные угрозы с использованием [Базовой модели угроз] и [Методики определения актуальных угроз].
  3. Разработать и внедрить модель угроз и частную модель угроз (при необходимости).
  4. Реализовать организационные и технические меры в соответствии с [Приказом ФСТЭК № 21].
  5. При использовании криптографических средств обеспечить их сертификацию в соответствии с требованиями ФСБ России [Приказ ФСБ России от 10.07.2014 № 378].

5. Процедура внесения в реестр и публикация сведений

  1. Рассмотрение: Уполномоченный орган (Роскомнадзор) в течение 30 дней с даты поступления уведомления вносит сведения в реестр операторов (ч. 4 ст. 22).
  2. Публичность: Сведения, содержащиеся в реестре (за исключением сведений о средствах обеспечения безопасности), являются общедоступными (ч. 4 ст. 22). Проверить публикацию можно в [Реестре операторов].
  3. Формы: Формы уведомлений устанавливаются уполномоченным органом (ч. 8 ст. 22) и размещаются на [сайте Роскомнадзора].

6. Обязанности после внесения в реестр

Включение в реестр не является разовым действием. Оператор обязан поддерживать актуальность сведений.

Изменение сведений:
В случае изменения сведений, указанных в уведомлении, оператор обязан уведомить Роскомнадзор обо всех произошедших изменениях не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения (ч. 7 ст. 22).

Прекращение обработки:
В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней с даты прекращения обработки (ч. 7 ст. 22).
На основании такого уведомления сведения об операторе исключаются из реестра (ч. 4.1 ст. 22).

Уведомление об инцидентах:
Согласно части 3.1 статьи 21, при выявлении факта неправомерной или случайной передачи персональных данных оператор обязан уведомить Роскомнадзор:

  • в течение 24 часов — о произошедшем инциденте, предполагаемых причинах и принятых мерах;
  • в течение 72 часов — о результатах внутреннего расследования.

Информация об инцидентах учитывается в реестре, ведение которого возложено на Роскомнадзор (ч. 10 ст. 23).

7. Ответственность за нарушение требований

Согласно статье 24, лица, виновные в нарушении требований закона, несут ответственность в соответствии с законодательством РФ (Кодекс об административных правонарушениях).

Нарушение порядка уведомления (обработка без уведомления, предоставление недостоверных сведений) является самостоятельным составом правонарушения.

Кроме того, часть 6 статьи 22 предусматривает, что в случае предоставления неполных или недостоверных сведений уполномоченный орган вправе требовать от оператора уточнения сведений до их внесения в реестр.

8. Пошаговый алгоритм действий для оператора

Для обеспечения соответствия требованиям 152-ФЗ рекомендуется следующий порядок действий:

  1. Аудит процессов: Определите, какие персональные данные вы обрабатываете, с какой целью и какими способами (автоматизированными или нет).
  2. Проверка исключений: Убедитесь, что ваша деятельность не подпадает под исключения части 2 статьи 22 (госсистемы, только бумага, транспортная безопасность). В большинстве случаев уведомление требуется.
  3. Подготовка документов:
    • Разработайте политику обработки ПДн (ст. 18.1).
    • Назначьте ответственного за организацию обработки ПДн (ст. 22.1).
    • Определите меры защиты данных в соответствии со [статьей 19] и [Приказом ФСТЭК № 21].
  4. Оценка угроз: Проведите оценку угроз безопасности ПДн с использованием [Методики определения актуальных угроз].
  5. Заполнение уведомления: Используйте актуальную форму, утвержденную Роскомнадзором [сайт Роскомнадзора]. Внимательно заполните разделы согласно части 3 и 3.1 статьи 22. Укажите все цели обработки.
  6. Подача уведомления: Направьте уведомление в Роскомнадзор (через портал госуслуг, лично или по почте) до начала фактической обработки.
  7. Контроль реестра: После истечения 30 дней проверьте наличие вашей организации в [Реестре операторов].
  8. Актуализация: Внедрите внутренний процесс отслеживания изменений. Если меняются цели, состав данных или ответственные лица, подавайте уведомление об изменении сведений до 15-го числа следующего месяца.
  9. Прекращение деятельности: Если вы закрываете бизнес или прекращаете обработку данных, направьте уведомление о прекращении в течение 10 рабочих дней.

Заключение

Регистрация в реестре операторов персональных данных (путем подачи уведомления) является обязательным требованием для большинства организаций в России. Законодательство ужесточило требования к уведомлению, убрав большинство льготных категорий в 2022 году.

Своевременное уведомление, предоставление достоверных сведений и их актуализация позволяют минимизировать риски административных штрафов и демонстрируют добросовестность оператора перед регулятором и субъектами персональных данных.

Полезные ресурсы:

Примечание: Данная статья носит информационный характер и основана на тексте Федерального закона № 152-ФЗ с изменениями по состоянию на 2026 год. Для принятия конкретных юридических решений рекомендуется консультироваться с профильными специалистами и сверяться с актуальными редакциями нормативных правовых актов на официальных правовых порталах.