Регистрация в Роскомнадзоре: пошаговое руководство

С персональными данными мы сталкивается на каждом шагу. При трудоустройстве сотрудника кадровик компании запрашивает у него персональные сведения, при заполнении различных анкет для получения дисконтных карт.

Поэтому компании, которые получают и обрабатывают эту информацию, перед ее обработкой, должны уведомить Роскомнадзор и назначить ответственное лицо за обработку этих сведений (п.1 ст.22 Федерального закона от 27.07.2006 г. №152-ФЗ).

Что относится к ПД

Чтобы понимать, что какие действия связаны с обработкой ПД, обратимся к самому термину «персональные данные».

ПД — это абсолютно любая информация, которая прямо или косвенно относится к конкретному физическому лицу (п.1 ст.3 Федерального закона от 27.07.2006 г. №152-ФЗ). Например, ФИО, адрес проживания, электронная почта, серия и номер паспорта, дата и место рождения, семейное, социальное, имущественное положение, образование, профессия, доходы, фотография, национальность, вероисповедание, сведения о болезнях, биометрические данные.

Эти сведения люди оставляют повсеместно — в интернет-магазинах, при заполнении различных анкет при оказании медицинских услуг, банковских услуг.

Важно знать, что перед обработкой ПД человека, компания должна заручиться его письменным согласием.

Что представляют собой действия по обработке ПД

К действиям по ПД относится любое действие, операция либо совокупность операций, которые совершаются с использованием средств автоматизации или без них (п.3 ст.3 Федерального закона от 27.07.2006 г. №152-ФЗ):

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение, то есть обновление либо изменение;
• извлечение;
• использование;
• передача, то есть распространение, предоставление, доступ;
• обезличивание;
• блокирование, удаление, уничтожение персональных данных.

Все ли сведения о сотруднике вправе получать работодатель

Работодатель может получать ПД о сотруднике только в целях, определенных законом (ст.86 ТК РФ).

Например, бухгалтер направляет сведения о работнике в СФР, кадровик направляет сотрудника на курсы повышения квалификации, на работника заказывается пропуск для прохода на предприятие.

В иных целях, даже если сотрудник не против предоставления своих ПД, работодатель не вправе получать информацию.

Как зарегистрироваться в Роскомнадзоре

Для того чтобы обеспечить сохранность ПД, не допускать разглашение этих сведений, Роскомнадзор формирует реестр операторов, осуществляющих обработку ПД (постановление Правительства РФ от 16.03.2009 г. №228).

Для того чтобы попасть в этот реестр, все бизнесмены, которые обрабатывают ПД, должны направить уведомление в Роскомнадзор.

Сообщение можно направить одним из трех способов:

1. В бумажном виде

   Для этого нужно предварительно заполнить форму, распечатать бланк и отправить его в территориальный орган по почте.

2. По электронным каналам связи

   Для этого заполненную форму нужно подписать электронной подписью, предварительно установив плагин КриптоПро ЭЦП Browserplug-in.

3. Через портал госуслуг 

   Для отправки уведомления у пользователя должна быть подтвержденная учетная запись.

После того, как оператор ПД направит уведомление, Роскомнадзор должен внести его в реестр в течение 30 дней.

Как проверить внесли или нет бизнесмена в реестр Роскомнадзора

Через месяц с момента отправки уведомления работодатель должен проверить внесение его в реестр Роскомнадзора. Ведь даже для оформления пропуска в офис или заключения гражданско-правового договора, нужны паспортные данные физического лица. А значит, перед началом обработки ПД, компания должна уведомить об этом Роскомнадзор.

По состоянию на 13 марта 2025 года в реестре содержатся сведения о 940 199 операторах ПД. Поиск удобнее осуществлять по ИНН компании.

В том случае, если пользователь не помнит точный ИНН, то можно найти компании по ее наименованию. В поисковой строке достаточно указать только оригинальную его часть без указания организационно-правовой формы, спецсимволов, кавычек и сокращений. Если название состоит из двух и более слов, в том числе разделенных дефисом, достаточно указать только одно из этих слов.

Важно знать, что реестр Роскомнадзора открыт для любых посетителей, поэтому получить информацию об операторе ПД может каждый заинтересованный пользователь.

В том случае если компании в реестре нет, то нужно подать уведомление о начале обработке ПД.

С какой периодичностью нужно уведомлять Роскомнадзор

В первый раз все компании должны единожды подать уведомления. Впоследствии необходимость подачи может быть связана с тремя причинами.

1. Изменение в ранее предоставленном уведомлении

Чаще всего, повторная подача уведомления обусловлена изменением названия компании, адреса, цели обработки ПД. 

Например, в ранее поданном документе целью обработки ПД было «обеспечение соблюдения трудового законодательства». Теперь нужно добавить другую цель — «продвижение товаров, работ, услуг на рынке». О новой цели нужно сообщить в Роскомнадзор. Срок уведомления — не позднее 15 числа следующего месяца после изменений;

2. Факт утечки ПД

Например, у компании взломали базу, где хранятся ПД сотрудников. Тогда компания должна в кратчайшие сроки сообщить:

• в течение 24 часов — о произошедшем инциденте, оценить последствия данного события, выявить потенциальные причины и назначить ответственное лицо; 
• в течение 72 часов — о результатах проведенного расследования, которое касается утечки ПД.

3. Прекращение обработки ПД

Например, компания решила сворачивать свой бизнес либо приняла решение о реорганизации. Такие сведения должны быть поданы не позднее чем через 10 дней с момента завершения обработки ПД.

В том случае если бизнес-планы поменяются, и компании вновь необходимо набрать штат, подобрать соискателей на вакантные должности, то следует вновь подать уведомление в Роскомнадзор.

Когда не нужно подавать уведомление в Роскомнадзор

Уведомление подавать не нужно при обработке ПД в государственных системах, которые созданы для защиты безопасности государства и общественного порядка, а также, если сведения обрабатываются без средств автоматизации (пп.8 п.2 ст.22 Федерального закона от 27.07.2006 г. №152-ФЗ).

Если ПД хранятся только на бумаге и никак не переносятся для обработки вычислительной техникой, то Роскомнадзор можно не уведомлять. Но если ведение учета осуществляется в программе «1С.ЗУП», то это относится к автоматизированной обработке ПД.

Подведем итоги. Для того чтобы не было утечки информации о личных данных граждан, любая компания, которая обрабатывает ПД должна быть внесена в реестр Роскомнадзора. Для этого бизнесмены должны подать уведомление.