Расширенный поиск
8 (800) 300-83-09 officeros@yandex.ru
Личный кабинет
Главная Авторские обзоры Позиция юрисконсульта Реестр операторов персональных данных
16 Мая 2025, 07:47
204
Версия для печати

Реестр операторов персональных данных

В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона о персональных данных).

Вместе с тем, на основании ч. 1 ст. 22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона о персональных данных.

Согласно п.п. 7-9 ч. 2 ст. 22 Закона о персональных данных оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

  • включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
  • обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Таким образом, образовательная организация как оператор персональных данных обязана уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением случая обработки персональных данных исключительно без использования средств автоматизации.

В силу ч. 3 ст. 22 Закона о персональных данных названное уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

  • наименование (фамилия, имя, отчество), адрес оператора; 
  • цель обработки персональных данных; 
  • описание мер, предусмотренных статьями 18.1 и 19 Закона о персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 
  • фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 
  • дата начала обработки персональных данных; 
  • срок или условие прекращения обработки персональных данных; 
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 
  • сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации; 
  • фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах; 
  • сведения об обеспечении безопасности персональных данных в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 № 1119.

При предоставлении указанных сведений оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных (ч. 3.1 ст. 22 Закона о персональных данных). 

Следует отметить, что данная государственная функция Роскомнадзора является бесплатной и государственной пошлиной не облагается (ч. 5 ст. 22 Закона о персональных данных).

В соответствии с ч. 7 ст. 22 Закона о персональных данных в случае изменения сведений, указанных в ч. 3 ст. 22 Закона о персональных, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить Роскомнадзор обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом в течение десяти рабочих дней с даты прекращения обработки персональных данных. 

Представленные сведения вносятся Роскомнадзором в реестр операторов в течение тридцати дней с даты поступления соответствующего уведомления (ч.ч. 4, 4.1 ст. 22 Закона о персональных данных).

При этом, в силу ч. 6 ст. 22 Закона о персональных данных в случае предоставления неполных или недостоверных сведений Роскомнадзор вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

В тоже время, на основании ч. 8 ст. 22 Закона о персональных данных формы уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 180.

Таким образом, образовательная организация как оператор персональных обязана подавать уведомления о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных в Роскомнадзор на бумажном носителе или в форме электронного документа в соответствии с утвержденными формами и в установленные сроки. 

В заключении, необходимо отметить, что непредставление в Роскомнадзор указанных уведомлений, их несвоевременное представление либо представление уведомлений, содержащих неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 Кодекса Российской Федерации об административных правонарушениях.