Должна ли организация без работников подавать уведомление в Роскомнадзор?

Если в организации есть руководитель, который подписывает отчетность, у него есть электронная подпись и его данные используются организацией, то, по нашему мнению, организация является оператором персональных данных и должна подать уведомление в Роскомнадзор о намерении обрабатывать персональные данные.

В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ) персональные данные – это любая информация, относящаяся к прямо или косвенно определенному либо определяемому физическому лицу (субъекту персональных данных). К персональным данным относятся Ф. И. О., номер телефона, паспортные данные.

При этом оператором персональных данных в соответствии с п. 2 ст. 3 Закона № 152-ФЗ признаются организации или физические лица, осуществляющие обработку персональных данных. Под обработкой персональных данных понимаются любые действия (операции), совершаемые с использованием средств автоматизации (или без таких средств) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).

Таким образом, если руководитель организации подписывает отчетность, которую организация сдает электронно (в том числе через сайт ФНС России или через операторов электронного документооборота) с использованием или без использования электронной подписи, по нашему мнению, организация является оператором персональных данных, даже если деятельность не ведется.

Отметим также, что с руководителем организации, который является ее единственным учредителем, трудовые отношения оформляются путем заключения трудового договора либо решением единственного участника об исполнении функций руководителя.

Если с руководителем организации заключен трудовой договор, то организация-работодатель в любом случае признается оператором персональных данных (п. 2 ст. 3 Закона № 152-ФЗ).

Кроме того, как правило, в процессе своей деятельности организация взаимодействует с заказчиками (клиентами, контрагентами), получает от них различные документы (в т. ч. доверенности), в которых есть фамилии, имена, отчества, паспортные данные физических лиц, номера их телефонов, адреса электронной почты, и хранит эти данные. Указанные сведения относятся к персональным данным (п. 1 ст. 3 Закона № 152-ФЗ).

В такой ситуации организация осуществляет обработку персональных данных физлиц (сбор и хранение). По нашему мнению, она является оператором персональных данных. Операторы персональных данных должны подать уведомление о намерении обрабатывать персональные данные.

В настоящее время уведомление направляется по  форме, утвержденной приказом Роскомнадзора России от 28.10.2022 № 180. Сделать это можно тремя способами:

1) заполнить форму уведомления на  сайте Роскомнадзора (нужна усиленная электронная квалифицированная подпись);

2) направить в бумажном виде в адрес территориального органа Роскомнадзора (по месту регистрации организации);

3) направить через личный кабинет на портале Госуслуг.

Напоминаем, уведомление подается однократно для того, чтобы Роскомнадзор включил ИП в реестр операторов персональных данных. Если уведомление ранее уже подавалось, никаких действий предпринимать не нужно.

Если ранее уведомление не подавалось, рекомендуем сделать это сейчас, поскольку с 30 мая 2025 года вырастут штрафы за нарушения в сфере обработки персональных данных. Так, за невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных для ИП установлен штраф от 100 000 до 300 000 руб. (ч. 10 ст. 13.11 КоАП РФ в ред. Федерального закона  от 30.11.2024 № 420-ФЗ).

До вступления в силу указанных норм не было специальной ответственности за неуведомление Роскомнадзора, поэтому применялись положения ст. 19.7 КоАП РФ, по которой штраф для ИП составлял от 300 до 500 руб. (ст. 2.4 КоАП РФ).