Должна ли наша организация подавать уведомление в Роскомнадзор об обработке персональных данных если эти данные используются только в рамках трудовых отношений? Если наша организация до сих пор не подала в Роскомнадзор уведомление об обработке персональных данных, то когда его нужно подать?
Должна, поскольку это обязанность организации как оператора персональных данных.
Конкретный срок подачи уведомления Роскомнадзора об обработке персональных данных не установлен. Однако, если вы еще не уведомили Роскомнадзор, рекомендуем сделать это как можно скорее можно скорее, иначе существует риск привлечения вас к административной ответственности по ст. 19.7 КоАП РФ.
Кроме того, с 30 мая 2025 года ужесточается ответственность за неподачу уведомлений.
Обоснование:Персональные данные работника - любая информация о человеке, имеющаяся у работодателя. Это Ф.И.О. и другие паспортные данные, номер телефона, сведения об образовании, зарплате и других доходах, и т.д. (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – Закон N 152-ФЗ, Письмо Минкомсвязи от 28.08.2020 N ЛБ-С-074-24059).
Оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона N 152-ФЗ).
Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ (ч. 1 ст. 22 Закона N 152-ФЗ).
Работодатели являются операторами персональных данных и обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников (ст. 22 Закона N 152-ФЗ).
Уведомление составляется по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем указывается, в частности (ч. 3, 3.1 ст. 22 Закона N 152-ФЗ): наименование организации, адрес; цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных; дату начала обработки персональных данных; срок или условие прекращения обработки персональных данных; сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.
Никакие персональные данные конкретных работников в уведомлении не указываются. Для подачи уведомления не требуется согласие работников. Подача уведомления – это обязанность оператора персональных данных, которым являются организации, которые обрабатывают данные работников.
Следует учесть, Роскомнадзор ведет реестр операторов персональных данных. Сведения вносятся в реестр и исключаются из него на основании уведомлений, подаваемых операторами (ч. 4, 4.1 ст. 22, п. 3 ч. 5 ст. 23 Закона N 152-ФЗ, п. п. 1, 5.2.4 Положения о Роскомнадзоре). Проверить, включены ли вы в этот реестр, можно на портале персональных данных, который ведет Роскомнадзор: http://pd.rkn.gov.ru/.
Если вы не включены в реестр Роскомнадзора, вы не перестаете быть оператором персональных данных и не освобождаетесь от связанных с этим статусом обязанностей (Информация Роскомнадзора).
Конкретный срок подачи уведомления Роскомнадзора об обработке персональных данных не установлен. 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных (Информация Роскомнадзора "Об изменениях в законодательстве о персональных данных").
Однако, если вы еще не уведомили Роскомнадзор, рекомендуем сделать это как можно скорее, иначе существует риск привлечения вас к административной ответственности по ст. 19.7 КоАП РФ.
Обратите внимание! С 30 мая 2025 г. предусмотрен специальный состав и размеры штрафов для ситуации, когда оператор не уведомил (несвоевременно уведомил) Роскомнадзор о намерении осуществлять обработку персональных данных. Максимальный штраф для должностных лиц - 50 000 руб., для ИП, организаций - 300 000 руб. (ч. 10 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 N 420-ФЗ).
Дополнительно рекомендуем ознакомиться с материалами: Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс}).
Настоящая консультация имеет информационно-разъяснительный характер по вопросам применения законодательства Российской Федерации и не препятствует руководствоваться нормами законодательства в понимании, отличающемся от трактовки, изложенной в настоящей консультации.
Услуга оказывается в соответствии с Регламентом Линии консультаций КАДИС.
