Нужно ли ООО подавать уведомление в Роскомнадзор если в штате только один генеральный директор?
Организация, в которой есть хоть один наемный сотрудник, является оператором персональных данных и обязана подать уведомление в Роскомнадзор.
Исключений для организации, где в штате только генеральный директор также не предусмотрено, поскольку организация обрабатывает персональные данные работника – генерального директора.
Обоснование: Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Закона о персональных данных).
При этом персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработкой - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. п. 1, 3 ст. 3 Закона о персональных данных).
Соответственно, организация, собирая, записывая, систематизируя, накапливая, храня, уточняя (обновляя, изменяя), извлекая, используя, передавая (распространяя, предоставляя, обеспечивая доступ), обезличивая, блокируя, удаляя или уничтожая данные, относящиеся к любому физическому лицу, будет являться оператором.
Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает и обрабатывает.
Роскомнадзор ведет реестр операторов персональных данных. Сведения вносятся в реестр и исключаются из него на основании уведомлений, подаваемых операторами (ч. 4, 4.1 ст. 22, п. 3 ч. 5 ст. 23 Закона о персональных данных, п. п. 1, 5.2.4 Положения о Роскомнадзоре). Проверить, включены ли вы в этот реестр, можно на портале персональных данных, который ведет Роскомнадзор: http://pd.rkn.gov.ru/.
Если организация не включена в реестр Роскомнадзора, она не перестает быть оператором персональных данных и не освобождается от связанных с этим статусом обязанностей (Информация Роскомнадзора).
Оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (за исключением отдельных случаев) (ч. 1 ст. 22 Закона о персональных данных).
С 1 сентября 2022 года вступили в силу изменения в закон "О персональных данных". Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением трех случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации.
Уведомление о намерении осуществлять обработку персональных данных нужно подать в Роскомнадзор до начала их обработки (ч. 1 ст. 22 Закона о персональных данных). Уведомление составляется по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180.
Уведомление Роскомнадзора о намерении осуществлять обработку персональных данных представляет собой форму контроля за деятельностью операторов.
Таким образом, организация, в которой есть хоть один наемный сотрудник, является оператором персональных данных и обязана подать уведомление в Роскомнадзор. Исключений для организации, где в штате только генеральный директор также не предусмотрено, поскольку организация обрабатывает персональные данные работника – генерального директора.
Следует обратить внимание, что с 30 мая 2025 года вводится специальный состав и размеры штрафов для ситуации, когда оператор не уведомил (несвоевременно уведомил) Роскомнадзор о намерении осуществлять обработку персональных данных. Максимальный штраф для должностных лиц - 50 000 руб., для ИП, организаций - 300 000 руб. (ч. 10 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 N 420-ФЗ).
Настоящая консультация имеет информационно-разъяснительный характер по вопросам применения законодательства Российской Федерации и не препятствует руководствоваться нормами законодательства в понимании, отличающемся от трактовки, изложенной в настоящей консультации.
Услуга оказывается в соответствии с Регламентом Линии консультаций КАДИС.
