Работа с персональными данными: кто должен подавать уведомления в Роскомнадзор и какие штрафы за нарушения
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyNS81L2xvcmktMDAzMzQwNDA5MS1iaWd3d3cuanBn.webp)
Фото - © Николай Винокуров / Фотобанк Лори
В материале РИАМО читайте о том, как подавать уведомление о начале обработки персональных данных в Роскомнадзор, кто должен это сделать и какие предусмотрены штрафы за несоблюдение закона.
Кто должен подавать уведомления в Роскомнадзор
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyNS81L2xvcmktMDAzNzU3OTMyMC1iaWd3d3cuanBn.webp)
Фото - © Nikolay Pestov / Фотобанк Лори
Обязанность подавать в Роскомнадзор уведомления о начале обработки персональных данных существует с момента принятия и вступления в силу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Любая организация, где есть нанятые сотрудники, уже обязана предоставлять уведомление. Если ранее компания подавала такое уведомление, повторно делать этого не нужно. Документ предоставляется для того, чтобы компанию или ИП внесли в реестр операторов персональных данных, и только. Это будет сделано, как только Роскомнадзор получит уведомление.
Должны подавать такие уведомления и самозанятые. По закону операторами персональных данных наряду с организациями и ИП признаются также физлица без статуса ИП, в том числе и самозанятые (п.2 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ). Поэтому, если самозанятый планирует осуществлять обработку персональных данных, то он должен уведомить об этом Роскомнадзор.
Без подачи уведомления обработка персональных данных может осуществляться только в тех случаях, когда сбор, хранение и использование всех личных сведений ИП происходит исключительно без использования средств автоматизации. Это предусмотрено п.8 ч.2 ст.22 «Закона о персональных данных». Даже если самая незначительная часть данных обрабатывается на компьютере, то уже нужно подавать уведомление. Даже если, например, компания только формирует платежные документы.
Подавать уведомление нужно и в том случае, если компания работает только с юридическими лицами. Так как в договорах и прочих первичных документах, получаемых от контрагентов-организаций, также фигурируют персональные данные руководителей данных контрагентов и прочих их должностных лиц – все это уже персональные данные. Значит, компания становится оператором персональных данных и должна подавать уведомление.
Когда подавать уведомление о начале обработки персональных данных
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyNS81L2xvcmktMDA0NDU2NTY4NS1iaWd3d3cuanBn.webp)
Фото - © Павел Муравьев / Фотобанк Лори
Конкретных сроков для представления уведомлений о намерении начать обработку персональных данных нет, но его нужно предоставить до начала обработки персональных данных.
Подавать уведомление нужно при найме первых сотрудников, при трудоустройстве последующих подавать уведомление не нужно. Подавать уведомление необходимо, так как при трудоустройстве осуществляется обработка их персональных данных, поскольку для заключения договора они должны предоставить работодателю паспорт, СНИЛС, трудовую книжку и иные сведения, указанные в ст.65 ТК РФ.
Как заполнить уведомление о начале обработки персональных данных
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyNS81L2xvcmktMDAyMjUxNTM3NS1iaWd3d3cuanBn.webp)
Фото - © Людмила Дутко / Фотобанк Лори
В поле «Правовое основание обработки персональных данных» нужно перечислить все правовые акты, на основании которых компания собирает и обрабатывает данные физических лиц. Как минимум для любого работодателя основаниями будут Трудовой кодекс РФ, который требует работников предоставлять информацию о себе при трудоустройстве, Налоговый кодекс РФ, требующий указывать сведения о работниках при сдаче отчетности, и другие законы и акты, касающиеся персонифицированной отчетности работников, в том числе устав организации и ее локальные акты.
Если организация работает с контрагентами, то в поле нужно указать заключаемые договоры, но не каждый в отдельности, а просто сослаться на заключение договоров или на политику обработки персональных данных.
В целях обработки также нужно указать, для чего это нужно компании, ИП или самозанятому. Например, вести кадровый и налоговый учет или заключать и исполнять договоры оказания услуг по видам деятельности. Нужно указывать все цели в одном уведомлении.
Как проверить, получено ли уведомление Роскомнадзором
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyNS81L2xvcmktMDAyMzAyOTkzMS1iaWd3d3dfaHZIT3BCNC5qcGc.webp)
Фото - © Фотобанк Лори
Проверить, получил ли Роскомнадзор уведомление и исполнила ли компания свои обязательства, можно в реестре операторов персональных данных. Если уведомление было отправлено, компания будет в списке.
На главной странице нужно ввести ИНН, регистрационный номер или наименование ИП (ФИО предпринимателя или самозанятого). Если сведения о компании или ИП появятся на экране, значит, обязанность по представлению уведомления считается исполненной.
Повышение штрафов за непредставление уведомлений в Роскомнадзор с 30 мая 2025 года
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyNS81L2xvcmktMDAyMzQ0NDA2NS1iaWd3d3dfVnNYdFhGZy5qcGc.webp)
Фото - © Фотобанк Лори
Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» предусматривает повышение штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных. Штрафы для организаций и ИП вырастут с пяти тысяч рублей до 300 тысяч рублей. Закон начнет действовать с 30 мая.
Штраф от 30 до 50 тысяч рублей предусмотрен для должностных лиц организаций, и от 100 до 300 тысяч – для ИП и организаций.
При этом, если успеть направить уведомление до 30 мая, то штрафа не будет. Более того, если организация, ИП или самозанятый впервые нарушили закон, то штрафные санкции заменяются на предупреждение, и тогда есть шанс подать уведомление и избежать крупного штрафа. Это предусмотрено частью 1 статьи 4.1.1 КоАП РФ.
Если, получив предупреждение, компания продолжает игнорировать необходимость предоставления уведомления, то она будет оштрафована.