Подача уведомлений в Роскомнадзор: как заполнить, должны ли подавать самозанятые и будут ли штрафовать за нарушение сроков сдачи | БУХ.1С

30 мая 2025 года вступает в силу закон, многократно повышающий штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных. Штрафы для организаций и ИП вырастут с 5 000 рублей до 300 000 рублей. Отвечаем на наиболее частые вопросы по представлению уведомлений о начале обработки персональных данных.

Обязанность по представлению уведомлений в Роскомнадзор вводится с 30 мая 2025 года или мы должны успеть подать уведомление до 30 мая?

С 30 мая 2025 года будут введены только повышенные штрафы за непредставление уведомлений о начале обработки персональных данных в Роскомнадзор (Федеральный закон от 30.11.2024 №420-ФЗ). Обязанность по направлению в Роскомнадзор уведомлений о намерении начать обработку персональных данных введена и действует уже почти что 20 лет – с момента принятия и вступления в силу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». 

Если ваша компания осуществляет обработку персональных данных физлиц, вы в любом случае обязаны направить в Роскомнадзор такое уведомление либо до, либо после 30 мая 2025 года.

В какие сроки нужно подавать уведомление об обработке персональных данных и что будет за неподачу уведомления в Роскомнадзор до 30 мая 2025 года?

Конкретных сроков для представления уведомлений  о намерении начать обработку персональных данных действующее законодательство не устанавливает. В законе есть лишь одно ограничение – представить уведомление необходимо до начала обработки персональных данных (ч.1 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ). 

С 30 мая 2025 года вступит в действие новая ч.10 ст.13.11 КоАП РФ, в соответствии с которой непредставление уведомления будет наказываться штрафом в размере от 30 000 до 50 000 рублей – для должностных лиц организаций, и от 100 000 до 300 000 рублей – для ИП и организаций. До 30 мая за то же самое нарушение организации и ИП штрафуют на сумму от 3 000 до 5 000 рублей по ст.19.7 КоАП РФ.

Обработку персональных данных организация начала в 2021 году, но уведомление об обработке не представляла. Оштрафуют ли ее за неподачу уведомления, если направить его до 30 мая 2025 года?

Нет, в этом случае штрафа не будет. Непредставление уведомления о начале обработки персональных данных квалифицируется в качестве административного правонарушения по ст.19.7 КоАП РФ, а с 30 мая 2025 года станет квалифицироваться в качестве такового уже по ч.10 ст.13.11 КоАП РФ. В то же самое время в соответствии с ч.1 ст.4.1.1 КоАП РФ штрафы за впервые совершенное административное правонарушение, в том числе в сфере персональных данных, подлежат обязательной замене на предупреждение. Таким образом, если компания представит уведомление уже после начала обработки персональных данных, то штрафовать ее не будут, а вынесут в ее адрес предупреждение.

Зачем с 30 мая вводятся повышенные штрафы за неподачу уведомлений в Роскомнадзор, если штрафовать за это нарушение все равно не будут?

Замена штрафа на предупреждение на основании ч.1 ст.4.1.1 КоАП РФ применяется только в отношении впервые совершенного административного правонарушения в виде несвоевременного представления уведомления о начале обработки персональных данных.

Установив, что компания своевременно не представила уведомление, Роскомнадзор вынесет в ее адрес предупреждение о недопустимости совершения данного правонарушения. Если, получив предупреждение, компания все равно не направит в Роскомнадзор уведомление о начале обработки персональных данных, то ее оштрафуют по ч.10 ст.13.11 КоАП РФ на сумму от 100 000 до 300 000 рублей. 

ИП на УСН подал уведомление об обработке персональных данных в начале 2025 года, сразу же после регистрации и постановки на налоговый учет. Из Роскомнадзора никакого сообщения о принятии уведомления не поступало. Как ИП узнать, считается ли его обязанность по сдаче уведомления исполненной?

На основании получаемых от организаций и ИП уведомлений Роскомнадзор регистрирует их в реестре операторов персональных данных. Поэтому, если ведомство приняло к учету поступившее уведомления, ИП официально приобрел статус оператора, осуществляющего обработку персональных данных, и сведения о нем должны появиться в данном реестре.

Проверить, присутствует ли информация о том или ином операторе в реестре РКН, можно на главной странице реестра, где представлены поисковые строки для указания сведений об организациях и ИП. Найти оператора в реестре можно по его ИНН, регистрационному номеру или наименованию (ФИО предпринимателя). Если в ответ на поисковый запрос реестр выдаст сведения об ИП, то его обязанность по представлению уведомления считается исполненной, и повторно подавать уведомление не требуется.

Как в уведомлении правильно заполнить поле «Правовое основание обработки персональных данных»?

В данном поле компания должна перечислить правовые акты и прочие документы, в соответствии с которыми ей приходится собирать и обрабатывать данные физлиц. Указанные акты не включают в свой состав нормы Федерального закона от 27.07.2006 № 152-ФЗ, поскольку он не обязывает компании обрабатывать персональные данные, а всего лишь устанавливает правила такой обработки.

В данном поле нужно указать ТК РФ (требует работников предоставлять информацию о себе при трудоустройстве), НК РФ (требует указывать сведения о работниках при сдаче отчетности), другие законы, касающиеся персонифицированной отчетности работников, устав организации и ее локальные акты (например, политику обработки персональных данных). Также в этом поле нужно указать договоры, заключаемые с контрагентами (не каждый в отдельности, а просто – сослаться на заключаемые договоры).

ИП формирует на компьютере в адрес клиентов только платежные требования. Всю остальную информацию (заказы) с указанием персональных данных он учитывает на бумажных носителях вручную, без средств автоматизации. В такой ситуации нужно подавать уведомление в Роскомнадзор?

Нужно. Без подачи уведомления обработка персональных данных может осуществляться только в тех случаях, когда сбор, хранение и использование всех личных сведений ИП осуществляет исключительно без использования средств автоматизации (п.8 ч.2 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ). Если какая-либо часть персональных данных, пусть самая незначительная, обрабатывается на компьютере (в вашем случае – формирование платежных требований), то подача уведомления в Роскомнадзор является обязательной.

На каких работников подавать уведомление о начале обработки персональных данных – на уже действующих или только на вновь трудоустраиваемых? Надо ли подавать уведомление, если ИП больше не планирует принимать на работу новых работников?

При трудоустройстве любых наемных работников осуществляется обработка их персональных данных, поскольку для заключения договора они должны предоставить работодателю паспорт, СНИЛС, трудовую книжку и иные сведения, указанные в ст.65 ТК РФ. Соответственно, перед трудоустройством работников любой работодатель обязан направить в Роскомнадзор уведомление о начале обработки персональных данных. Это уведомление подается однократно – перед трудоустройством первого работника. При трудоустройстве новых работников повторно подавать уведомление не требуется.

Наша организация подавала в Роскомнадзор уведомление о начале обработки персональных данных в 2022 году. Должны ли мы направить еще одно уведомление до 30 мая 2025 года?

Нет, вы не должны представлять такое уведомление. Уведомление о намерении начать обработку персональных данных организации и ИП представляют только для того, чтобы их внесли в реестр операторов персональных данных. Ни для чего другого данное уведомление не нужно. Если организация ранее уже направляла в Роскомнадзор уведомление о намерении начать обработку персональных данных, это значит, что ее уже внесли в реестр операторов. Поэтому смысл в подаче повторного уведомления отсутствует, и подавать его не требуется.

Должны ли самозанятые без зарегистрированного статуса ИП подавать уведомления о начале обработке персональных данных, или это требование распространяется только на организации и предпринимателей?

Да, должны. Требование о представлении в Роскомнадзор уведомления о начале обработки персональных данных распространяется не только на организации, ИП, но также и на самозанятых. По закону операторами персональных данных наряду с организациями и ИП признаются также физлица без статуса ИП, в том числе и самозанятые (п.2 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ). Поэтому, если самозанятый планирует осуществлять обработку персональных данных, то он должен уведомить об этом Роскомнадзор.

В организации нет работников, и деятельность она не ведет. Нужно ли подавать уведомление об обработке персональных данных?

В любой зарегистрированной в ЕГРЮЛ организации имеется как минимум ее единоличный исполнительный орган – директор, назначаемый на должность при ее создании. При этом директор является точно таким же наемным работником организации, как и все другие сотрудники. Поэтому организация выступает в данном случае оператором персональных данных в отношении ее директора и должна подать соответствующее уведомление в Роскомнадзор.

Какие цели обработки персональных данных нужно указать в уведомлении Роскомнадзора? Можно ли указать в одном уведомлении сразу несколько целей обработки данных?

Цели обработки персональных данных, указываемые в уведомлении, зависят, как правило, от вида осуществляемой оператором деятельности. Если у оператора персональных данных имеются работники, то в уведомлении как минимум нужно указать такие цели, как ведение кадрового и налогового учета и сдачу обязательной отчетности в государственные органы.

Если организация при этом занимается, например, оказанием бытовых услуг населению, то в уведомлении нужно указать в качестве цели – заключение и исполнение договоров на оказание соответствующих услуг. Если компания занимается сразу несколькими видами деятельности, то в уведомлении нужно указать в качестве цели – заключение и исполнение договоров по всем видам деятельности, указанным в ее учредительных документах. При этом в одном уведомлении можно указать сразу все цели обработки персональных данных.

ИП без работников работает только с юрлицами. Никаких договоров с ИП и физлицами он не заключает и дел не ведет. Должен ли он уведомлять Роскомнадзор об обработке персональных данных?

Да, должен. В договорах и прочих первичных документах, получаемых от контрагентов – организаций, также фигурируют персональные данные руководителей данных контрагентов и прочих их должностных лиц. Например, ФИО директора контрагента, является персональными данными на основании п.1 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ. Поэтому, получая и обрабатывая документацию, поступающую от контрагентов, ИП в любом случае должен быть зарегистрирован в реестре операторов персональных данных, а для этого ему необходимо направить уведомление в Роскомнадзор. 

В материале использованы фото: Jasen Wright / Shutterstock / Fotodom.