Обязанность по представлению уведомлений в Роскомнадзор вводится с 30 мая 2025 года или мы должны успеть подать уведомление до 30 мая?
С 30 мая 2025 года будут введены только повышенные штрафы за непредставление уведомлений о начале обработки персональных данных в Роскомнадзор (Федеральный закон от 30.11.2024 №420-ФЗ). Обязанность по направлению в Роскомнадзор уведомлений о намерении начать обработку персональных данных введена и действует уже почти что 20 лет - с момента принятия и вступления в силу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Если ваша компания осуществляет обработку персональных данных физлиц, вы в любом случае обязаны направить в Роскомнадзор такое уведомление либо до, либо после 30 мая 2025 года.
В какие сроки нужно подавать уведомление об обработке персональных данных и что будет за неподачу уведомления в Роскомнадзор до 30 мая 2025 года?
Конкретных сроков для представления уведомлений о намерении начать обработку персональных данных действующее законодательство не устанавливает. В законе есть лишь одно ограничение – представить уведомление необходимо до начала обработки персональных данных (ч.1 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ).
С 30 мая 2025 года вступит в действие новая ч.10 ст.13.11 КоАП РФ, в соответствии с которой непредставление уведомления будет наказываться штрафом в размере от 30 000 до 50 000 рублей – для должностных лиц организаций, и от 100 000 до 300 000 рублей – для ИП и организаций. До 30 мая за то же самое нарушение организации и ИП штрафуют на сумму от 3 000 до 5 000 рублей по ст.19.7 КоАП РФ.
- Какие компании могут получить штрафы за нарушения правил обработки персональных данных в 2025 году
- Как работать с персональными данными в 2025 году, чтобы не получить штраф Роскомнадзора
- Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН
- Какие компании могут получить штрафы за нарушения правил обработки персональных данных в 2025 году
Обработку персональных данных организация начала в 2021 году, но уведомление об обработке не представляла. Оштрафуют ли ее за неподачу уведомления, если направить его до 30 мая 2025 года?
Нет, в этом случае штрафа не будет. Непредставление уведомления о начале обработки персональных данных квалифицируется в качестве административного правонарушения по ст.19.7 КоАП РФ, а с 30 мая 2025 года станет квалифицироваться в качестве такового уже по ч.10 ст.13.11 КоАП РФ. В то же самое время в соответствии с ч.1 ст.4.1.1 КоАП РФ штрафы за впервые совершенное административное правонарушение, в том числе в сфере персональных данных, подлежат обязательной замене на предупреждение. Таким образом, если компания представит уведомление уже после начала обработки персональных данных, то штрафовать ее не будут, а вынесут в ее адрес предупреждение.
Зачем с 30 мая вводятся повышенные штрафы за неподачу уведомлений в Роскомнадзор, если штрафовать за это нарушение все равно не будут?
Замена штрафа на предупреждение на основании ч.1 ст.4.1.1 КоАП РФ применяется только в отношении впервые совершенного административного правонарушения в виде несвоевременного представления уведомления о начале обработки персональных данных.
Установив, что компания своевременно не представила уведомление, Роскомнадзор вынесет в ее адрес предупреждение о недопустимости совершения данного правонарушения. Если, получив предупреждение, компания все равно не направит в Роскомнадзор уведомление о начале обработки персональных данных, то ее оштрафуют по ч.10 ст.13.11 КоАП РФ на сумму от 100 000 до 300 000 рублей.
- Уведомление в Роскомнадзор: кто и зачем обязан подавать, как правильно оформить и какие ошибки можно допустить
- «1С:Бухгалтерия 8»: как сформировать уведомление об обработке персональных данных
- Пример заполнения уведомления об обработке персональных данных в Роскомнадзор
- Как исправить уведомление об обработке персональных данных в Роскомнадзор
ИП на УСН подал уведомление об обработке персональных данных в начале 2025 года, сразу же после регистрации и постановки на налоговый учет. Из Роскомнадзора никакого сообщения о принятии уведомления не поступало. Как ИП узнать, считается ли его обязанность по сдаче уведомления исполненной?
На основании получаемых от организаций и ИП уведомлений Роскомнадзор регистрирует их в реестре операторов персональных данных. Поэтому, если ведомство приняло к учету поступившее уведомления, ИП официально приобрел статус оператора, осуществляющего обработку персональных данных, и сведения о нем должны появиться в данном реестре.
Проверить, присутствует ли информация о том или ином операторе в реестре РКН, можно на главной странице реестра, где представлены поисковые строки для указания сведений об организациях и ИП. Найти оператора в реестре можно по его ИНН, регистрационному номеру или наименованию (ФИО предпринимателя). Если в ответ на поисковый запрос реестр выдаст сведения об ИП, то его обязанность по представлению уведомления считается исполненной, и повторно подавать уведомление не требуется.
Как в уведомлении правильно заполнить поле «Правовое основание обработки персональных данных»?
В данном поле компания должна перечислить правовые акты и прочие документы, в соответствии с которыми ей приходится собирать и обрабатывать данные физлиц. Указанные акты не включают в свой состав нормы Федерального закона от 27.07.2006 № 152-ФЗ, поскольку он не обязывает компании обрабатывать персональные данные, а всего лишь устанавливает правила такой обработки.
В данном поле нужно указать ТК РФ (требует работников предоставлять информацию о себе при трудоустройстве), НК РФ (требует указывать сведения о работниках при сдаче отчетности), другие законы, касающиеся персонифицированной отчетности работников, устав организации и ее локальные акты (например, политику обработки персональных данных). Также в этом поле нужно указать договоры, заключаемые с контрагентами (не каждый в отдельности, а просто – сослаться на заключаемые договоры).
ИП формирует на компьютере в адрес клиентов только платежные требования. Всю остальную информацию (заказы) с указанием персональных данных он учитывает на бумажных носителях вручную, без средств автоматизации. В такой ситуации нужно подавать уведомление в Роскомнадзор?
Нужно. Без подачи уведомления обработка персональных данных может осуществляться только в тех случаях, когда сбор, хранение и использование всех личных сведений ИП осуществляет исключительно без использования средств автоматизации (п.8 ч.2 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ). Если какая-либо часть персональных данных, пусть самая незначительная, обрабатывается на компьютере (в вашем случае – формирование платежных требований), то подача уведомления в Роскомнадзор является обязательной.
На каких работников подавать уведомление о начале обработки персональных данных – на уже действующих или только на вновь трудоустраиваемых? Надо ли подавать уведомление, если ИП больше не планирует принимать на работу новых работников?
При трудоустройстве любых наемных работников осуществляется обработка их персональных данных, поскольку для заключения договора они должны предоставить работодателю паспорт, СНИЛС, трудовую книжку и иные сведения, указанные в ст.65 ТК РФ. Соответственно, перед трудоустройством работников любой работодатель обязан направить в Роскомнадзор уведомление о начале обработки персональных данных. Это уведомление подается однократно – перед трудоустройством первого работника. При трудоустройстве новых работников повторно подавать уведомление не требуется.
Наша организация подавала в Роскомнадзор уведомление о начале обработки персональных данных в 2022 году. Должны ли мы направить еще одно уведомление до 30 мая 2025 года?
Нет, вы не должны представлять такое уведомление. Уведомление о намерении начать обработку персональных данных организации и ИП представляют только для того, чтобы их внесли в реестр операторов персональных данных. Ни для чего другого данное уведомление не нужно. Если организация ранее уже направляла в Роскомнадзор уведомление о намерении начать обработку персональных данных, это значит, что ее уже внесли в реестр операторов. Поэтому смысл в подаче повторного уведомления отсутствует, и подавать его не требуется.
Должны ли самозанятые без зарегистрированного статуса ИП подавать уведомления о начале обработке персональных данных, или это требование распространяется только на организации и предпринимателей?
Да, должны. Требование о представлении в Роскомнадзор уведомления о начале обработки персональных данных распространяется не только на организации, ИП, но также и на самозанятых. По закону операторами персональных данных наряду с организациями и ИП признаются также физлица без статуса ИП, в том числе и самозанятые (п.2 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ). Поэтому, если самозанятый планирует осуществлять обработку персональных данных, то он должен уведомить об этом Роскомнадзор.
В организации нет работников, и деятельность она не ведет. Нужно ли подавать уведомление об обработке персональных данных?
В любой зарегистрированной в ЕГРЮЛ организации имеется как минимум ее единоличный исполнительный орган – директор, назначаемый на должность при ее создании. При этом директор является точно таким же наемным работником организации, как и все другие сотрудники. Поэтому организация выступает в данном случае оператором персональных данных в отношении ее директора и должна подать соответствующее уведомление в Роскомнадзор.
Какие цели обработки персональных данных нужно указать в уведомлении Роскомнадзора? Можно ли указать в одном уведомлении сразу несколько целей обработки данных?
Цели обработки персональных данных, указываемые в уведомлении, зависят, как правило, от вида осуществляемой оператором деятельности. Если у оператора персональных данных имеются работники, то в уведомлении как минимум нужно указать такие цели, как ведение кадрового и налогового учета и сдачу обязательной отчетности в государственные органы.
Если организация при этом занимается, например, оказанием бытовых услуг населению, то в уведомлении нужно указать в качестве цели – заключение и исполнение договоров на оказание соответствующих услуг. Если компания занимается сразу несколькими видами деятельности, то в уведомлении нужно указать в качестве цели – заключение и исполнение договоров по всем видам деятельности, указанным в ее учредительных документах. При этом в одном уведомлении можно указать сразу все цели обработки персональных данных.
ИП без работников работает только с юрлицами. Никаких договоров с ИП и физлицами он не заключает и дел не ведет. Должен ли он уведомлять Роскомнадзор об обработке персональных данных?
Да, должен. В договорах и прочих первичных документах, получаемых от контрагентов – организаций, также фигурируют персональные данные руководителей данных контрагентов и прочих их должностных лиц. Например, ФИО директора контрагента, является персональными данными на основании п.1 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ. Поэтому, получая и обрабатывая документацию, поступающую от контрагентов, ИП в любом случае должен быть зарегистрирован в реестре операторов персональных данных, а для этого ему необходимо направить уведомление в Роскомнадзор.
В материале использованы фото: Jasen Wright / Shutterstock / Fotodom.
Самозанятый занимается сдачей квартиры в найм. Договор (с указанием ФИО, данных паспорта и т.д.) печатается с помощью компьютера. Он должен подавать уведомление о работе с персональными данными?
Все знаю в 1С, Разумеется, должен. Самозанятые - это точно такие же операторы персональных данных, как и все прочие. Заключая договорные отношения организациями и физлицами, самозанятые осуществляют сбор и обработку персональных данных.
Персональные данные - это практически любая информация о человеке. Не только та, которая неизвестна третьим лицам. ФИО человека - тоже персональные сведения. Поэтому самозанятый обязательно должен уведомить Роскомнадзор о начале обработки персональных данных.
chitatel, Если договор с самозанятым распечатало юрлицо и передало его в бумажной форме, никаким оператором самозанятый не является, если не будет этот договор сканировать. Так как не обрабатывает данные с помощью систем автоматизации. А при формировании чека самозанятый вводит ИНН и наименование организации которые НЕ являются персональными данными, так как принадлежат юрлицу.
chitatel, А если самозанятый заключает договор на найм квартиры с физлицом в печатном виде? Нужно подавать уведомление? А если напишет договор от руки?
Душка из бухгалтерии, Если никаких других услуг самозанятый не оказывает и договоры от имени организаций и ИП на подписание не принимает, то подавать уведомление об обработке персональных данных не нужно. Но не подавать уведомление разрешается только если вся хозяйственная деятельность самозанятого ограничивается именно заключением и исполнением подобного рода договоров.
В этом случае обработка персональных данных производится неавтоматизированным способом, без применения компьютеров и другой техники. Поэтому уведомление можно не подавать.
Самозанятый занимается репетиторством, единственное что использует ФИО и номера телефонов. Нужно ли подавать уведомление в РКН?
А, Если использует при сборе, хранении и использовани персональных данных компьютер, то должен.
А, Да, уведомление в Роскомнадзор следует обязательно представить. Данная обязанность распространяется не только на организации и ИП, но также на самозанятых и обычных физлиц, которые обрабатывают персональные данные в коммерческих целях.
В силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» такими данными считается абсолютно любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Отсюда следует, что ФИО и номера телефонов - это и есть персональные данные, о сборе которых нужно уведомить РКН.
chitatel, Я не понимаю, почему вы упорно игнорируете то, что обязанность регистрации есть только при "автоматизированной" обработке перс. данных. Если вы написали договор от руки - вы не оператор перс. данных. Если вы записали ФИО и телефон в блокнот - вы не оператор перс. данных. Самозанятый выписывая чек физлицу не вводит никаких персональных данных о нем, только наименование и сумму. Следовательно если у вас всё на бумаге - нигде вам не надо регистрироваться.
Прогрессивный бухгалтер, Не совсем верно выразился, оператором персональных данных вы в этом случае может и будете, но обязанности регистрироваться без автоматизированной обработки у вас не возникает. И даже более того, вы можете пользоваться номерами телефонов из бумажного блокнота, главное не заносите их в контакты вместе с ФИО. РКН пояснил, что сам по себе телефонный номер без дополнительных идентификаторов не является персональными данными, так как не позволяет сам по себе идентифицировать человека.