У Организации есть сотрудники, которые работают очень давно. Является ли организация оператором персональных данных? Нужно ли подавать уведомление в Роскомнадзор о начале обработки персональных данных? Что делать если не подавали? Грозит ли организации штраф если подать сейчас?

Да, организация является оператором персональных данных в силу п. 2 ст. 3 Закона о персональных данных.  

Необходимо подать уведомление об обработке персональных данных в Роскомнадзор, чтобы не получить большие штрафы – до 30.05.2025.

Однако, штраф также будет и сейчас по  ст. 19.7 КоАП РФ.

Если организация существует и обрабатывает персональные данные, а уведомление о намерении осуществлять их обработку подаётся сейчас, в уведомлении необходимо указывать фактическую дату начала обработки персональных данных. Как правило, такая дата совпадает с датой создания организации или с началом деятельности, в рамках которой осуществлялась обработка данных (ч. 1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ  "О персональных данных") , в уведомлении необходимо указать конкретную дату начала любых действий по обработке персональных данных, автоматизированной или нет, т.е. дату фактического старта обработки.

Уведомление подаётся один раз в территориальный орган Роскомнадзора по месту регистрации.

 

Обоснование

Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Закона о персональных данных). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.

Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс}

 

1.4. Последствия обработки персональных данных без подачи уведомления, а также в случаях его несвоевременной подачи либо подачи уведомления, содержащего неполные или недостоверные сведения

Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (т.е. уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ. Данная статья предусматривает ответственность за непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.

Ответственность установлена в виде предупреждения или штрафа в размере:

- для граждан - от 100 до 300 руб.;

- для должностных лиц (в том числе индивидуальных предпринимателей - примечание к ст. 2.4 КоАП РФ) - от 300 до 500 руб. При этом согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции;

- для юридических лиц - от 3000 до 5000 руб.
Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных  
 

 

Новые части в ст. 13.11 КоАП РФ  с 30.05.2025 года:

10. Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных -

влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.

(часть 10 введена Федеральным законом от 30.11.2024 N 420-ФЗ)

11. Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, -

влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от четырехсот тысяч до восьмисот тысяч рублей; на юридических лиц - от одного миллиона до трех миллионов рублей.

(часть 11 введена Федеральным законом от 30.11.2024 N 420-ФЗ)

12. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, -

влекут наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц - от двухсот тысяч до четырехсот тысяч рублей; на юридических лиц - от трех миллионов до пяти миллионов рублей.

(часть 12 введена Федеральным законом от 30.11.2024 N 420-ФЗ)

13. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, -

влекут наложение административного штрафа на граждан в размере от двухсот тысяч до трехсот тысяч рублей; на должностных лиц - от трехсот тысяч до пятисот тысяч рублей; на юридических лиц - от пяти миллионов до десяти миллионов рублей.

(часть 13 введена Федеральным законом от 30.11.2024 N 420-ФЗ)

14. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, -

влекут наложение административного штрафа на граждан в размере от трехсот тысяч до четырехсот тысяч рублей; на должностных лиц - от четырехсот тысяч до шестисот тысяч рублей; на юридических лиц - от десяти миллионов до пятнадцати миллионов рублей.

(часть 14 введена Федеральным законом от 30.11.2024 N 420-ФЗ)

15. Совершение административного правонарушения, предусмотренного частями 12 - 14 настоящей статьи, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12 - 14, 16 - 18 настоящей статьи и настоящей частью, -

влечет наложение административного штрафа на граждан в размере от четырехсот тысяч до шестисот тысяч рублей; на должностных лиц - от восьмисот тысяч до одного миллиона двухсот тысяч рублей; на юридических лиц - от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее двадцати миллионов рублей и не более пятисот миллионов рублей.

(часть 15 введена Федеральным законом от 30.11.2024 N 420-ФЗ)

16. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных, -

влекут наложение административного штрафа на граждан в размере от трехсот тысяч до четырехсот тысяч рублей; на должностных лиц - от одного миллиона до одного миллиона трехсот тысяч рублей; на юридических лиц - от десяти миллионов до пятнадцати миллионов рублей.

(часть 16 введена Федеральным законом от 30.11.2024 N 420-ФЗ)

17. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, за исключением случаев, предусмотренных статьей 13.11.3 настоящего Кодекса, -

влекут наложение административного штрафа на граждан в размере от четырехсот тысяч до пятисот тысяч рублей; на должностных лиц - от одного миллиона трехсот тысяч до одного миллиона пятисот тысяч рублей; на юридических лиц - от пятнадцати миллионов до двадцати миллионов рублей.

(часть 17 введена Федеральным законом от 30.11.2024 N 420-ФЗ)

18. Совершение административного правонарушения, предусмотренного частью 16 или 17 настоящей статьи, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12 - 17 настоящей статьи и настоящей частью, -

влечет наложение административного штрафа на граждан в размере от пятисот тысяч до восьмисот тысяч рублей; на должностных лиц - от одного миллиона пятисот тысяч до двух миллионов рублей; на юридических лиц - от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее двадцати пяти миллионов рублей и не более пятисот миллионов рублей.

(часть 18 введена Федеральным законом от 30.11.2024 N 420-ФЗ)

Примечания:

1. За административные правонарушения, предусмотренные частями 1.1, 8 - 18 настоящей статьи, статьями 13.31, 13.35 - 13.37, 13.39, 13.40 и 13.46 настоящего Кодекса, индивидуальные предприниматели несут административную ответственность как юридические лица.

2. В частях 10 - 18 настоящей статьи под должностным лицом понимается должностное лицо государственного или муниципального органа либо некоммерческой организации.

3. В частях 10 - 18 настоящей статьи под юридическим лицом понимается оператор - юридическое лицо, не являющееся государственным или муниципальным органом либо некоммерческой организацией.

4. В целях настоящей статьи под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.

5. При назначении административного наказания за совершение административных правонарушений, предусмотренных частями 15 и 18 настоящей статьи, учитывается обстоятельство, отягчающее административную ответственность, предусмотренное пунктом 1 части 1 статьи 4.3 настоящего Кодекса, а также следующее обстоятельство, отягчающее административную ответственность: лицо, совершившее административное правонарушение, на момент его совершения (на момент вынесения постановления по делу об административном правонарушении) считалось (считается) подвергнутым административному наказанию за совершение административных правонарушений, предусмотренных частями 1 - 11 настоящей статьи и (или) статьями 13.6, 13.12 настоящего Кодекса.

(примечания в ред. Федерального закона от 30.11.2024 N 420-ФЗ)

 

Клиентский опыт

В дополнение к основному ответу мы хотели бы поделиться с Вами Клиентским опытом решения похожих задач. Вы можете ознакомиться с эффективной последовательностью действий в КонсультантПлюс по теме Вашего запроса в документе: «Безопасная работа с персональными данными в 2025 году».