Практика Линии Консультаций: уведомление в Роскомнадзор для нескольких ИП

Вопрос: у нас несколько ИП, организаций. По всем ли надо подавать уведомление в Роскомнадзор?

 

В ответ на Ваш вопрос сообщаем:

Да, все организации и ИП должны подать уведомление в Роскомнадзор об обработке персональных данных.

 

Обоснование:

Конкретный срок подачи уведомления законодательством РФ не предусмотрен. Начиная с 1 сентября 2022 г. у работодателя (за исключением отдельных случаев, указанных ниже) появилась обязанность направлять такое уведомление в Роскомнадзор. Сделать это необходимо до того, как работодатель начнет обработку персональных данных своих работников (ч. 1 ст. 22 Закона о персональных данных).

Если вы начали обработку персональных данных своих работников до 1 сентября 2022 г., когда такой обязанности еще не было, уведомить Роскомнадзор необходимо сейчас. Предельный срок направления такого уведомления не установлен (Письмо Роскомнадзора от 06.09.2022 N 08-80975). Однако, если вы еще не уведомили Роскомнадзор, рекомендуем сделать это как можно скорее, иначе существует риск привлечения вас к административной ответственности по ст. 19.7 КоАП РФ.

Уведомление не требуется, если (п. п. 7 — 9 ч. 2 ст. 22 Закона о персональных данных):

• вы обрабатываете данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обработка проводится исключительно без использования средств автоматизации;
• сведения обрабатываются в соответствии с законодательством о транспортной безопасности.

В остальных случаях вы должны подать уведомление в Роскомнадзор (ч. 1 ст. 22 Закона о персональных данных).

Составьте уведомление по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем укажите, в частности (ч. 3, 3.1 ст. 22 Закона о персональных данных):

• свое наименование (фамилию, имя, отчество), адрес;
• цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
• дату начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.

Что указывать в качестве средств обеспечения безопасности персональных данных при заполнении уведомления об обработке персональных данных

Оператор при обработке персональных данных обязан принимать или обеспечивать принятие необходимых мер для защиты персональных данных. В том числе безопасность персональных данных достигается путем применения соответствующих организационных и технических мер при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (ч. 1, п. 2 ч. 2 ст. 19 Закона о персональных данных).

Требования к защите персональных данных при их обработке в информационных системах персональных данных утверждены Постановлением Правительства РФ от 01.11.2012 N 1119. Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах госорганов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств утверждены Приказом ФСБ России от 18.03.2025 N 117.

Выбор средств защиты информации для системы защиты персональных данных осуществляет оператор в соответствии с нормативными правовыми актами, принятыми во исполнение ч. 4 ст. 19 Закона о персональных данных, в том числе (п. 4 Требований, утвержденных Постановлением Правительства РФ от 01.11.2012 N 1119):

• Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными Приказом ФСТЭК России от 18.02.2013 N 21;
• Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденными Приказом ФСБ России от 10.07.2014 N 378.

Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, предусмотрены п. п. 13 — 15 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687.

Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона о персональных данных).

Роскомнадзор на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов (ч. 4 ст. 22 Закона о персональных данных).

Если сведения, содержавшиеся в ранее поданном уведомлении, изменились, то нужно уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, обо всех произошедших за указанный период изменениях. Если вы прекратили обработку персональных данных, нужно уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона о персональных данных). Данные уведомления необходимо составлять по формам, приведенным соответственно в Приложениях N N 2 и 3 к Приказу Роскомнадзора от 28.10.2022 N 180.

Если вы намерены осуществлять трансграничную передачу персональных данных, следует направить в Роскомнадзор соответствующее уведомление. Оно подается отдельно от уведомления о намерении осуществлять обработку персональных данных (ч. 3 ст. 12 Закона о персональных данных).

Обязан ли индивидуальный предприниматель уведомлять Роскомнадзор об обработке персональных данных

Если индивидуальный предприниматель осуществляет обработку персональных данных (например, своих работников и (или) клиентов-физлиц), он признается оператором персональных данных и по общему правилу должен уведомить Роскомнадзор о своем намерении осуществлять обработку таких данных (п. 2 ст. 3, ч. 1 ст. 22 Закона о персональных данных, п. 1 Положения о Роскомнадзоре).

Вести обработку персональных данных без уведомления Роскомнадзора можно лишь в исключительных случаях, перечисленных в ч. 2 ст. 22 Закона о персональных данных (ч. 1 ст. 22 указанного Закона), например если вы осуществляете обработку таких данных исключительно без использования средств автоматизации (п. 8 ч. 2 ст. 22 Закона о персональных данных).

Если ИП обработку персональных данных не осуществляет (в частности, у него нет работников, чьи данные он получает, и обработку персональных данных клиентов-физлиц он не ведет), то оператором персональных данных он не является и уведомлять Роскомнадзор он не должен. Это следует из п. 2 ст. 3, ч. 1 ст. 22 Закона о персональных данных.