В ООО работает 1 сотрудник - генеральный директор, на текущий момент больше сотрудников нет. В связи с изменениями по персональным данным с 1 сентября 2022 года,  нужно ли уведомлять в Роскомнадзор об обработке персональных данных в этом случае (единственный сотрудник, он же  генеральный директор)?  Если нужно, то каков порядок действий?   Какая будет ответственность, если ранее не уведомляли? Если вдруг когда-то уведомляли, то  как посмотреть, было ли оно подано на оставшегося сотрудника?  Нужно ли что-то дополнительно направлять/обновлять, если вдруг выяснится, что ранее направляли уведомление?

Главное

1) Да нужно. Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ (ч. 1 ст. 22 Закона N 152-ФЗ). Единственный сотрудник - генеральный директор не входит в исключения.

2) Уведомление, предусмотренное ч. 1 ст. 22 Закона N 152-ФЗ, направляется в виде документа на бумажном носителе или в форме электронного документа, подписывается уполномоченным лицом и должно содержать утвержденный перечень сведений (ч. 3 ст. 22 Закона N 152-ФЗ).

Сформировать и направить уведомление можно на сайте Роскомнадзора (ст. 22 Закона N 152-ФЗ).

Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит соответствующие сведения, указанные в уведомлении, а также сведения о дате направления указанного уведомления в реестр операторов (ч. 4 ст. 22 Закона N 152-ФЗ).

3) Сведения об операторах, включенных в реестр операторов, осуществляющих обработку персональных данных, размещены на официальном сайте Роскомнадзора. (https://pd.rkn.gov.ru/operatorsregistry/operators-list/.

Дополнительно обновлять ничего не требуется.

Обоснование

Оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона N 152-ФЗ).

При этом персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработкой - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. п. 1, 3 ст. 3 Закона N 152-ФЗ).

Соответственно, организация, собирая, записывая, систематизируя, накапливая, храня, уточняя (обновляя, изменяя), извлекая, используя, передавая (распространяя, предоставляя, обеспечивая доступ), обезличивая, блокируя, удаляя или уничтожая данные, относящиеся к любому физическому лицу, будет являться оператором.

Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ (ч. 1 ст. 22 Закона N 152-ФЗ).

Цели обработки могут быть различны:обработка персональных данных клиентов, работников, исполнение обязательств по разным договорам и .тд.

Так, оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных (ч. 2 ст. 22 Закона N 152-ФЗ):

• включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
• обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Уведомление, предусмотренное ч. 1 ст. 22 Закона N 152-ФЗ, направляется в виде документа на бумажном носителе или в форме электронного документа, подписывается уполномоченным лицом и должно содержать утвержденный перечень сведений (ч. 3 ст. 22 Закона N 152-ФЗ).

Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит соответствующие сведения, указанные в уведомлении, а также сведения о дате направления указанного уведомления в реестр операторов (ч. 4 ст. 22 Закона N 152-ФЗ).

В течение 30 дней с даты поступления от оператора уведомления о прекращении обработки персональных данных Роскомнадзор исключает сведения, указанные в ч. 3 ст. 22 Закона N 152-ФЗ, из реестра операторов (ч. 4.1 ст. 22 Закона N 152-ФЗ).

Таким образом, если организация-работодатель обрабатывает персональные данные своих работников, то она обязана уведомить об этом Роскомнадзор.

Составьте уведомление по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем укажите, в частности (ч. 3, 3.1 ст. 22 Закона о персональных данных):

• свое наименование (фамилию, имя, отчество), адрес;
• цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
• дату начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.

Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона о персональных данных).

Роскомнадзор на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов (ч. 4 ст. 22 Закона о персональных данных). Информация об этом размещается на официальном сайте Роскомнадзора, а также на Портале персональных данных (п. 3.5 Методических рекомендаций).

Если сведения, содержавшиеся в ранее поданном уведомлении, изменились, то нужно уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, обо всех произошедших за указанный период изменениях. Если вы прекратили обработку персональных данных, нужно уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона о персональных данных). Данные уведомления необходимо составлять по формам, приведенным соответственно в Приложениях N N 2 и 3 к Приказу Роскомнадзора от 28.10.2022 N 180.

Риски

За непредставление или несвоевременное представление уведомления предусмотрена административная ответственность: предупреждение или штраф для должностных лиц - от 300 до 500 руб.; для юридических лиц - от 3 000 до 5 000 руб. (ст. 19.7 КоАП РФ).

• Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2023) {КонсультантПлюс}
• <Письмо> Роскомнадзора от 06.09.2022 N 08-80975 "О рассмотрении письма" {КонсультантПлюс}
• Вопрос: Обязана ли организация-работодатель, обрабатывая персональные данные работников, уведомлять об этом Роскомнадзор? (Консультация эксперта, 2023) {КонсультантПлюс}
• Вопрос: Обязана ли организация-работодатель, обрабатывая персональные данные работников, уведомлять об этом Роскомнадзор? (Консультация эксперта, 2023) {КонсультантПлюс}