Кто и зачем должен подавать уведомление в Роскомнадзор по обработке персональных данных?

Согласно ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», представлять уведомление в Роскомнадзор должны организации, предприниматели и самозанятые, собирающие и обрабатывающие персональные данные:

• сотрудников и кандидатов на работу;
• контрагентов;
• членов общественных объединений и религиозных организаций;
• посетителей для однократного пропуска на территорию компании;
• ФИО любого лица, полученное организацией.

Подача уведомления является основанием для внесения компании в реестр операторов персональных данных (ОПД) и легализует всю ее дальнейшую работу по сбору и обработке таких данных. Поэтому подавать уведомление должны даже те компании, которые непосредственно не работают с Роскомнадзором. Если компания собирает такие данные, как ФИО, электронная почта или место работы, то она является оператором персональных данных, а следовательно, должна взаимодействовать с РКН. 

То же самое касается ситуаций, когда у компании есть хотя бы один клиент или сотрудник, чьи личные сведения обрабатываются. Кроме того, если компания сдает в аренду программы, облачные хранилища и прочие места хранения персональных данных, она также является оператором персональных данных и должна подавать в РКН соответствующее уведомление.

Подавая уведомление в Роскомнадзор, компания не только исполняет законное требование, но и поддерживает свою репутацию как ответственного контрагента в деловом сообществе. Сейчас любой желающий может посмотреть в реестре операторов, как конкретная организация обеспечивает защиту персональных данных. 

Также в настоящее время появилась новая практика, когда юристы одной компании не пропускают договоры другой компании по причине ее отсутствия в реестре Роскомнадзора. Считается, что компания, не исполняющая требования законодательства, не обеспечит своим партнерам адекватную защиту персональных данных. Повышенные требования также стали предъявлять к участникам торгов. Теперь часть контрактов доступны только для исполнителей, состоящих в реестре операторов персональных данных. Кроме того, если компания планирует трансграничную передачу данных, то без поданного уведомления заявить о трансграничной передаче сведений будет невозможно.

Уведомление в общем случае подают однократно и в дальнейшем от компании требуется только актуализировать сведения, содержащиеся в нем. Каждый раз, оформляя на работу нового сотрудника или внося в базу данных сведения о новом физлице, подавать уведомление не требуется.

Подача уведомления не приводит к возникновению в компании каких-либо дополнительных обязанностей. Компания в любом случае должна выполнять требования Федерального закона №152-ФЗ. Отсутствие в реестре Роскомнадзора сведений об операторе не освобождает организацию от обязанности разработать локальные акты, принять организационные и технические меры по защите персональных данных, а также не снимает ответственность за нарушение законодательства о защите персональных данных. Не приводит подача уведомления и к повышенному вниманию и проверкам со стороны Роскомнадзора.

Роскомнадзор может проверить любую организацию, предпринимателя или самозанятого – даже тех, кто забыл о себе заявить. Избежать исполнения требований Федерального закона №152-ФЗ, не регистрируясь в реестре операторов персональных данных, не удастся. Основанием для назначения проверки не всегда является наличие организации в реестре. Существуют и другие критерии, которые служат поводом для дальнейшей проверки. 

Штрафы за неподачу уведомления в РКН

За неподачу уведомления в Роскомнадзор сейчас предусмотрен штраф по ст.19.7 КоАП РФ, который не превышает 5 000 рублей для организаций и 500 рублей для предпринимателей. 

С 30 мая 2025 года вступит в силу Федеральный закон от 30.11.2024 №420-ФЗ, который значительно повысит штрафы за непредставление уведомления в РКН. Новые штрафы для граждан составят от 5 000 до 10 000 рублей, для должностных лиц – от 30 000 до 50 000 рублей, а для организаций – от 100 000 до 300 000 рублей.

Кто может не подавать уведомление в Роскомнадзор

В ч. 2 ст.22 Федерального закона №152-ФЗ установлено лишь три случая, когда компаниям не требуется подавать в Роскомнадзор уведомление о намерении обрабатывать персональные данные. Уведомление не требуется, если:

• весь учет персональных данных ведется на бумаге (если хотя бы часть информации хранится и обрабатывается на компьютерах или других устройствах – планшетах, смартфонах, то уведомление необходимо подать);
• организация включена в государственные информационные системы и работает с персональными данными, размещенными в этих государственных информационных системах;
• компания работает с персональными данными в сфере транспортной безопасности (если помимо перечисленных видов деятельности есть другие – ведение кадрового учета, работа с клиентами, заключение договоров или оказание услуг, то организация должна подать уведомление в Роскомнадзор).