Ответ:
Если Ваша организация осуществляет автоматизированную обработку персональных данных (например, своих работников и/или клиентов-физлиц) с использованием средств вычислительной техники, то она обязана подать в Роскомнадзор уведомление об обработке персональных данных. Организационно-правовая форма организации, налоговый режим или количество работников, значения не имеют.
Обоснование:
Организация или ИП вправе осуществлять обработку персональных данных физического лица с его письменного согласия, либо без согласия в установленных законом случаях. Исчерпывающий перечень таких случаев содержится в п. 2–11 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). При этом, в общем случае, до начала обработки персональных данных оператор обязан сообщить об этом в Роскомнадзор (ст. 22 Закона № 152- ФЗ).
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных ( Закона № 152-ФЗ). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Согласно разъяснений Роскомнадзора операторами являются лица, обрабатывающие персональные данные, независимо от их включения в реестр операторов. Роскомнадзор ведет реестр операторов персональных данных. Сведения вносятся в реестр и исключаются из него на основании уведомлений, подаваемых операторами (, , Закона № 152-ФЗ). Проверить нахождение организации в реестре можно на портале персональных данных, который ведет Роскомнадзор: http://pd.rkn.gov.ru/.
Если организация не включена в реестр, то она не перестает быть оператором персональных данных и не освобождается от связанных с этим статусом обязанностей.
Вместе с тем законом предусмотрено три исключения, когда такое уведомление подавать не нужно. Так, в соответствии с п. 2. ст. 22 Закона № 152 ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- Включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
- В случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации ( Закона № 152-ФЗ). Например, данные о посетителях организации записываются в бумажный журнал при выдаче им разовых пропусков. Если же организация обрабатывает персональные данные с использованием компьютера, например, персональные данные работников, то это будет считаться автоматизированной обработкой.
- Обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности.
Подавать уведомление необходимо в территориальное управление Роскомнадзора по месту нахождения организации в соответствии с учредительными документами:
- в бумажном виде;
- в электронной форме на сайте Роскомнадзора. Подписать уведомление можно усиленной квалифицированной электронной подписью или с помощью авторизации через портал госуслуг.
Уведомление подается по утвержденной Роскомнадзором форме. Формы уведомлений утверждены Приказом Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
Уведомление должно содержать следующие обязательные сведения (ч. 3 ст. 22 Закона № 152-ФЗ):
- наименование (фамилия, имя, отчество), адрес оператора;
- цель обработки персональных данных;
- описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- Ф.И.О. физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
- дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
- Ф.И.О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Срок рассмотрения уведомления исчисляется со дня его регистрации в территориальном органе Роскомнадзора. Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (п. 3.2 Рекомендаций).
Уведомить Роскомнадзор нужно и в случае прекращения обработки персональных данных в течение 10 рабочих дней с даты прекращения ( Закона № 152-ФЗ).
Если планируется осуществлять трансграничную передачу персональных данных ( Закона № 152-ФЗ), следует направить в Роскомнадзор соответствующее уведомление. Оно подается отдельно от уведомления о намерении осуществлять обработку персональных данных (ч. 3 ст. 12 Закона № 152-ФЗ).
Обращаем внимание! До 30 мая 2025 года нет административной ответственности именно за непредставление (несвоевременное представление) уведомления об обработке персональных данных в Роскомнадзор. В этот период штраф может быть назначен по общей норме за непредставление сведений (информации) в госорган по ст. 19.7 КоАП РФ. Для самозанятых и ИП максимальный штраф — 300 рублей, для организаций — до 5 000 рублей ( КоАП РФ).
С 30 мая 2025 года вступают в силу изменения в КоАП РФ — отсутствие уведомления Роскомнадзора при обработке данных станет основанием для штрафа до 3 млн рублей для юридических лиц.
30 мая 2025 года вступят в силу новые требования к операторам персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ). Теперь за нарушение правил обработки персональных данных общей категории можно получить штраф до 500 млн руб.
Новый закон ужесточает ответственность за незаконную обработку данных:
- увеличили штрафы за неправомерную обработку данных;
- установили штрафы за не уведомление Роскомнадзора об обработке или утечке данных;
- поставили размер штрафов за первичную утечку в зависимость от объема утечки;
- ввели оборотные штрафы за утечку персональных данных.
Так, с 30 мая 2025 года установлены штрафы для юридических лиц, в частности:
- не уведомление (несвоевременное уведомление) Роскомнадзора о начале обработки персональных данных — до 300 тыс. руб. ( КоАП РФ);
- не уведомление (несвоевременное уведомление) Роскомнадзора о начале обработки персональных данных в случае установления факта их утечки — до 3 млн руб. ( КоАП РФ).
Значительные размеры штрафов установлены за неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные, в зависимости от объема утечки персональных данных:
| Объем утечки | Размер штрафа для юр.лица | Основание |
|---|---|---|
| От 1000 до 10 000 субъектов, и/или от 10 000 до 100 000 идентификаторов | от 3 млн. до 5 млн руб. | ч. 12 ст. 13.11 КоАП РФ |
| От 10 000 до 100 000 субъектов, и/или от 100 000 до 1 000 000 идентификаторов | от 5 млн. до 10 млн руб. | ч. 13 ст. 13.11 КоАП РФ |
| Более 100 000 субъектов, и/или более 1 000 000 идентификаторов | от 10 млн. до 15 млн руб. | ч. 14 ст.13.11 КоАП РФ |
С 11 декабря 2024 года установлена уголовная ответственность за использование, передачу, сбор и хранения компьютерной информации, содержащей персональные данные, доступ к которой получили незаконным путем. Наказание — штраф от 300 тыс. руб. до 400 тыс. руб. или принудительные работы на срок до четырех лет, либо лишение свободы на срок до 4-х лет ( от 30.11.2024 № 421-ФЗ, УК РФ).
Если нарушение произошло в отношении компьютерной информации, содержащей специальные или биометрические данные, штраф составит до 700 тыс. руб. или принудительные работы на срок до 5 лет, либо лишение свободы на срок до 5 лет.
Если нарушение повлекло тяжкие последствия либо его совершила организованная группа, нарушитель получит наказание сроком до 10 лет со штрафом до 3 млн. руб.
Действие статьи не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд.
Хотите получить ответ на свой вопрос с полным правовым обоснованием? Закажите индивидуальную консультацию по абонементу . А для блиц-ответов — подписка .
ПРОСТО АУДИТ!
