Реестр операторов персональных данных: проверка сведений и обновление

Реестр операторов персональных данных: проверка сведений и обновление

Что такое реестр операторов персональных данных 152-ФЗ

Реестр операторов персональных данных 152‑ФЗ — это публичная база, которую ведёт Роскомнадзор. В реестр попадают сведения об организациях и ИП, обрабатывающих персональные данные, на основании уведомлений и последующих обновлений. Он нужен для прозрачности обработки ПДн, облегчает «проверку 152‑ФЗ» при взаимодействии с контрагентами и помогает самим операторам поддерживать актуальность данных.

Чтобы понять контекст и основные обязанности оператора, рекомендуем материалы: О законе 152‑ФЗ, Структура и статьи 152‑ФЗ, Принципы и цели обработки.

Правовая основа: статья 22.1 152-ФЗ и связь с уведомлением

Ключевые нормы о реестре закрепляет статья 22.1 152‑ФЗ. Ознакомьтесь с текстом: Статья 22.1 152‑ФЗ. Она устанавливает, что Роскомнадзор формирует и ведёт реестр, а операторы обязаны поддерживать сведения в актуальном состоянии. Источником данных служат уведомления, направляемые по статье 22: Статья 22 152‑ФЗ.

Важно: в статье 22 предусмотрены случаи, когда оператор освобождается от подачи уведомления. Тогда запись в реестре, как правило, отсутствует. Однако освобождение от уведомления не освобождает от соблюдения требований закона и обеспечения безопасности ПДн. Проверяйте детали по последней редакции закона: 152‑ФЗ — текст, последняя редакция и следите за изменениями 2025.

Для практических действий см. также: Уведомление Роскомнадзора и Обязанности оператора.

Какие сведения содержит реестр и как их читать

В реестре публикуются ключевые параметры вашей обработки ПДн. Ниже — ориентировочный перечень и комментарии:

Сведения в реестре	Комментарий для оператора
Наименование/ФИО, ОГРН/ИНН, адрес	Проверьте юридическую точность реквизитов.
Цели обработки	Должны соответствовать вашей политике и внутренним регламентам.
Категории ПДн и субъектов	Например: работники, клиенты, посетители сайта, кандидаты.
Правовые основания	Закон, договор, согласие, иные основания — без дублирования лишнего.
Действия с ПДн и способы обработки	Сбор, запись, систематизация, хранение, передача, уничтожение и т. д.
Трансграничная передача	Отразите факт и страны, если применимо. Подробнее: Трансграничная передача ПДн.
Меры безопасности	Соотносите с фактическими мерами: Меры безопасности ПДн, Уровни защищённости ИСПДн.
Лица, осуществляющие обработку по поручению	Договоры с процессорами, см.: Поручение обработки ПДн.
Ответственный за обработку ПДн	Контакты и должность, см.: Ответственный за обработку ПДн.
Дата и статус уведомления	Помогает отслеживать актуальность.

Как сверять реестр со своими документами

• Политика: сверяйте цели, категории ПДн, перечень операций (см. Политика обработки ПДн).
• Реестр ИСПДн и модель угроз: проверьте меры и уровни (см. ИСПДн: определение и требования, Модель угроз ИСПДн).
• Согласия и уведомления: соответствие правовым основаниям (см. Согласие на обработку ПДн, Согласие на распространение ПДн).

Зачем и кому нужна проверка по реестру

Реестр операторов 152‑ФЗ полезен:

• Бизнесу — для due diligence контрагентов и подтверждения статуса оператора.
• Господрядчикам — для прохождения комплаенс‑проверок.
• Внутреннему контролю — как часть регулярной «проверки 152‑ФЗ» соответствия.
• Специалистам по ИБ/юристам — чтобы быстро выявлять расхождения между фактами и опубликованными данными.

Сочетайте проверку реестра с аудитом сайта (Требования к сайту, SSL/HTTPS, Cookie и баннеры, Яндекс.Метрика) и общим аудитом соответствия (Аудит сайта 152‑ФЗ, Аудит соответствия 152‑ФЗ).

Как проверить себя и контрагента: пошаговая инструкция

1. Подготовьте реквизиты: ИНН/ОГРН — это надёжнее, чем искать по названию.
2. Откройте официальный сервис реестра Роскомнадзора и выполните поиск.
3. Сверьте запись с вашими документами и фактическими процессами.
4. Особое внимание: цели и основания, трансграничная передача, перечень порученных обработчиков, контакт ответственного.
5. Сохраните результат проверки (скриншот, выписку) во внутренний отчёт по комплаенсу.

![Скриншот поиска по реестру операторов ПДн — пример запроса]

Совет: если вы не нашли компанию, это не всегда нарушение. Возможно, оператор освобождён от уведомления по основаниям статьи 22. Уточните статус и пересмотрите свои процессы на соответствие требованиям 152‑ФЗ.

Когда и как обновлять сведения оператора

Обновление в реестре происходит через подачу уточнённого уведомления в Роскомнадзор. Сроки и состав сведений зависят от характера изменений. Ориентируйтесь на последнюю редакцию нормы (см. Статья 22 152‑ФЗ и 152‑ФЗ — последняя редакция).

Событие	Срок, ориентир	Что сделать	Связанные материалы
Смена целей/оснований обработки	В кратчайший срок после утверждения изменений	Подать обновлённое уведомление	Уведомление Роскомнадзора, Политика обработки ПДн
Новые категории ПДн/субъектов	Немедленно после запуска процесса	Обновить реестр и локальные акты	Пакет документов 152‑ФЗ
Подключение нового процессора	До передачи данных исполнителю	Обновить сведения и договор поручения	Поручение обработки ПДн
Трансграничная передача/новые страны	До начала передачи	Добавить страны и основания	Трансграничная передача ПДн
Смена ответственного/контактов	Сразу после кадрового решения	Уточнить контакт в реестре	Ответственный за обработку ПДн
Смена адреса/реквизитов	После регистрации изменений	Обновить регистрационные данные	—
Изменение мер защиты/уровня защищённости	После утверждения новых мер	Синхронизировать реестр и ИСПДн	Меры безопасности ПДн, Уровни защищённости ИСПДн

Практика: не откладывайте обновление. Чем больше разрыв между фактом и записью, тем выше риски на проверке.

Типичные ошибки и как их избежать

• Размытые цели: дублирование «обработка ПДн в целях осуществления деятельности» без конкретики. Используйте формулировки из ваших процессов и политики.
• Недекларированная трансграничная передача: забывают про облака, мессенджеры, аналитики. Проверьте: Облака и Яндекс Cloud, Серверы, хостинг, ЦОД, Мессенджеры.
• Отсутствие или общий характер мер безопасности: синхронизируйте с ИСПДн, ФСТЭК/ФСБ‑требованиями (Требования ФСТЭК и ФСБ).
• Конвейерное указание «согласия» как единственного основания там, где есть закон или договор. См. Обработка без согласия и Заявления и отзыв согласия.
• Несогласованность с сайтом: формы без корректных согласий, нет политики конфиденциальности. Проверьте: Формы на сайте и согласие, Политика конфиденциальности — шаблон, Онлайн‑проверка сайта.

Ответственность и проверки Роскомнадзора

Несвоевременное или искажённое обновление сведений влечёт риски по КоАП 13.11 и иным нормам о защите ПДн. Ознакомьтесь с общими санкциями: Ответственность и штрафы. Роскомнадзор оценивает как наличие записи, так и её актуальность, сопоставляя данные с фактами обработки. Подробнее о контроле: Проверки Роскомнадзора и порядок действий при инцидентах: Инциденты и утечки ПДн.

Чек‑лист самопроверки

• Есть ли у вас обязанность уведомления по статье 22? Если да — подано ли оно и отражено ли в реестре.
• Совпадают ли цели, категории ПДн и субъектов с политикой и фактическими процессами.
• Указаны ли процессоры, трансграничные передачи и контакт ответственного.
• Актуальны ли меры защиты и уровень защищённости ИСПДн.
• Синхронизированы ли сайт и публичные документы с реестром.
• Обновлялись ли сведения после последних изменений в процессах или инфраструктуре.

Для системной работы используйте: Внутренний контроль и обучение, Чек‑лист 152‑ФЗ, Подготовка к проверке.

Частые вопросы

— Нужно ли всем быть в реестре? Как правило, в реестр включаются те, кто обязан подавать уведомление по статье 22. Есть исключения из этой обязанности. Решение принимается после анализа ваших процессов, оснований и категорий ПДн.

— Как удалить запись из реестра при прекращении обработки? Прекращаете обработку и направляете сведения об этом в Роскомнадзор. Подтвердите уничтожение/блокировку данных и завершение договоров с процессорами. Подробнее: Прекращение обработки ПДн, Уничтожение и блокировка, Сроки хранения.

— Что делать, если используем зарубежные сервисы? Оценить трансграничную передачу, правовые основания, безопасность и юрисдикции. Настроить договоры, меры защиты и обновить сведения в реестре. См.: Трансграничная передача ПДн, Криптография и шифрование.

— Как согласовать реестр и маркетинг? Проверьте источники контактов, согласия на рассылки и аналитику. См.: Реклама и ПДн, Яндекс формы, Cookie и баннеры.

Итоги и что делать дальше

Реестр операторов персональных данных 152‑ФЗ — публичный маркер вашей зрелости в области ПДн. Статья 22.1 152‑ФЗ требует поддерживать сведения актуальными и согласованными с реальными процессами, инфраструктурой и документами. Регулярно сопоставляйте запись в реестре с политиками, договорами, сайтом и ИСПДн, а при изменениях своевременно подавайте обновления.

Нужна помощь с подготовкой уведомления, корректировкой записей или построением полного комплаенса? Воспользуйтесь нашими решениями:

• Консалтинг и документы под ключ
• Пакет документов 152‑ФЗ и Генератор политики и согласий
• Аудит соответствия 152‑ФЗ и Онлайн‑проверка сайта

Сделайте следующий шаг: проведите экспресс‑проверку своей записи в реестре и обновите сведения до полной актуальности — это снизит риски на проверке и укрепит доверие клиентов.