В 2023 году вступил в силу пакет законопроектов, ужесточающих ответственность за нарушения в сфере обработки персональных данных (ОПД). В частности, были введены «оборотные штрафы» и дополнены имеющиеся статьи КоАП РФ с новыми составами, например за «неуведомление Роскомнадзора (РКН) о начале обработки персональных данных», за «нарушения при трансграничной передаче персональных данных», за допущение утечки при ОПД[1]. Новеллы вводились поэтапно, плавно и «незаметно».
Возможно, потому на прошлой неделе Роскомнадзор столкнулся с «невиданной активностью» желающих подать уведомление о начале обработки персональных данных, из-за чего сайт работал со сбоями или не работал...
Согласно данным сайта РКН, в период времени с 27.05.2025 по 04.06.2025 (шесть рабочих дней) реестр пополнился 225 749 операторами, осуществляющими обработку персональных данных. По самым скромным подсчетам, это более 4000 уведомлений в час. Приведенные данные – это, скорее всего, только о поданных в электронной форме уведомлениях, сколько документов поступило в РКН на бумажном носителе, уточнить сложно.
30 мая 2025 года – дата, когда РКН получил право применять увеличенные и дополненные штрафы, что позволяет понять случившийся ажиотаж. Говоря проще, с этого дня РКН вправе привлечь к ответственности в размере около 300 тыс. руб. (ч. 10 ст. 13.11 КоАП РФ) практически любое юрлицо, например то, которое является оператором ОПД (формально), но не подало о себе сведения в РКН и не включено в соответствующий реестр.
Вероятно, юристам не следует морализировать насчет того, что работу с персональными данными бизнесменам различных уровней следовало вести с 2006 года или с даты учреждения юридического лица (регистрации в качестве индивидуального предпринимателя, а в некоторых случаях и самозанятого), мы тоже не станем. Хотя уведомление о начале обработки персональных данных, согласно ч. 1 ст. 22 ФЗ № 152-ФЗ ОПД[2], подается в РКН до начала обработки персональных данных, а эта норма действует с 2006 года.
Юридическое лицо (ИП, самозанятый), согласно закону, становится оператором персональных данных с даты, когда персональные данные субъекта персональных данных (физического лица) впервые попали в обработку в связи с осуществлением юридическим лицом (ИП, самозанятым) своей основной экономической деятельности.
Вероятно, юристам не следует морализировать насчет того, что работу с персональными данными бизнесменам различных уровней следовало вести с 2006 года или с даты учреждения юридического лица (регистрации в качестве индивидуального предпринимателя, а в некоторых случаях и самозанятого), мы тоже не станем. Хотя уведомление о начале обработки персональных данных, согласно ч. 1 ст. 22 ФЗ № 152-ФЗ ОПД[2], подается в РКН до начала обработки персональных данных, а эта норма действует с 2006 года.
Юридическое лицо (ИП, самозанятый), согласно закону, становится оператором персональных данных с даты, когда персональные данные субъекта персональных данных (физического лица) впервые попали в обработку в связи с осуществлением юридическим лицом (ИП, самозанятым) своей основной экономической деятельности.
Юридическое лицо (ИП, самозанятый), для простоты изложения ОПЕРАТОР, может осуществлять ОПД для следующих целей (список примерный и самый минимальный из возможных):
- осуществление основной деятельности, заключение/исполнение договоров, оказание услуг (персональные данные привлеченных специалистов – физических лиц, персональные данные представителей контрагентов или клиентов – физических лиц);
- исполнение законодательства о труде (персональные данные действующих/уволенных работников и их представителей);
- исполнение законодательства о бухгалтерском/налоговом учете, законодательства о страховании;
- использование собственного сайта в сети Интернет и/или переписка с помощью электронной почты, использование любых мессенджеров, в том числе для обмена сообщениями с лицами, находящимися за пределами РФ.
ПРИМЕЧАНИЕ: использование собственного сайта в сети Интернет, а также передача персональных данных с помощью любых мессенджеров или электронной почты, как правило, сопряжены с трансграничной передачей персональных данных, о чем ОПЕРАТОР, согласно ч. 3 ст. 12 ФЗ № 152-ФЗ ОПД, обязан уведомить РКН до начала осуществления трансграничной передачи.
На наш взгляд, исключительно с правовой точки зрения ОПЕРАТОР обязан уведомить[3] РКН о начале обработки персональных данных до начала ОПД, а также о намерении начать осуществлять трансграничную передачу[4], предварительно отключив счетчики статистики или действующий сайт, – также до начала трансграничной передачи.
В момент подачи уведомлений ОПЕРАТОРОМ должны быть разработаны и введены в действие (минимальный перечень):
- положение об ОПД – «общее», это обязательный для всех ЛНА; возможно, положение об ОПД, которое публикуется на сайте (при наличии сайта публикация обязательна);
- распорядительные документы о назначении ответственного за ОПД;
- специальные настройки сайта, особенно в том случае, если есть т. н. обратная связь;
- специальные положения договоров, в которых упоминается или регламентируется работа с персональными данными, разграничивается ответственность за их обработку.
ВАЖНО! ОПЕРАТОР должен ответственно относиться к ОПД, хранить и обрабатывать персональные данные, согласия на ОПД субъектов персональных данных, то есть ОПД должна осуществляться в соответствии с законом.
А вот подавать уведомление в РКН или не подавать – это персональное решение каждого ОПЕРАТОРА, хотя и установленное законом с 2006 года, административно-распорядительное решение, учитывающее риски и предпочтения ОПЕРАТОРА.
Наши специалисты оказывают правовую помощь клиентам в организации работы с персональными данными по широкому спектру вопросов – от правовых консультаций и разрешения нюансов взаимодействия с контролирующими органами (включая РКН), оказания комплексной услуги в виде разработки персонального пакета локальных нормативных актов, регламентирующих обработку персональных данных конкретного оператора до предоставления методических рекомендаций и услуг судебного представительства, в том числе при оспаривании постановлений о привлечении к административной ответственности.
[1] Полная версия ст. 13.11 Кодекса Российской Федерации об административных правонарушениях доступна в сети Интернет.
[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
[3] С 30.05.2025 за неуведомление РКН возможна административная ответственность, предусмотренная ст. 13.11 КоАП РФ.
[4] При наличии у ОПЕРАТОРА официального сайта и/или при необходимости взаимодействия с работниками, контрагентами и иными субъектами персональных данных, находящимися за пределами России (переписка по электронной почте, в мессенджерах, обмен документами с персональными данными).
[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
[3] С 30.05.2025 за неуведомление РКН возможна административная ответственность, предусмотренная ст. 13.11 КоАП РФ.
[4] При наличии у ОПЕРАТОРА официального сайта и/или при необходимости взаимодействия с работниками, контрагентами и иными субъектами персональных данных, находящимися за пределами России (переписка по электронной почте, в мессенджерах, обмен документами с персональными данными).