Top.Mail.Ru
...
Коммерческий отдел
Работаем 09:00 - 18:00
Техническая поддержка

Нужно ли уведомление, если нет сотрудников?

Алексей Ветров
Алексей Ветров
Эксперт по защите данных IC-TECH
Задать вопрос
Отсутствие сотрудников не освобождает организацию или ИП от обязанности подавать уведомление в Роскомнадзор. Ключевым критерием здесь является не наличие работников, а сам факт обработки персональных данных физических лиц.

Обязанность подачи уведомления возникает всякий раз, когда лицо признаётся оператором персональных данных, то есть самостоятельно или совместно с другими определяет цели и способы обработки ПДн. Если компания или ИП работает с клиентами, принимает заявки, обрабатывает данные через сайт, мессенджеры, сервисы оплаты или доставки — она уже является оператором ПДн, даже если в штате нет ни одного сотрудника.

На практике именно отсутствие сотрудников часто вводит бизнес в заблуждение и приводит к неверному выводу о ненужности уведомления. Однако Роскомнадзор оценивает не численность персонала, а реальные процессы обработки персональных данных.

От чего зависит обязанность подачи уведомления

Обязанность подачи уведомления в Роскомнадзор зависит не от наличия сотрудников, а от характера обработки персональных данных.

Что такое уведомление оператора ПДн

Уведомление — это официальное сообщение в Роскомнадзор о том, что лицо является оператором персональных данных и осуществляет их обработку.
Оно подаётся для включения в реестр операторов ПДн.

Подать уведомление обязан каждый оператор, если на него не распространяются исключения, прямо предусмотренные 152-ФЗ.

Кто обязан подавать уведомление

Уведомление подают:

  • юридические лица;

  • индивидуальные предприниматели;

  • иные лица,

если они:

  • самостоятельно определяют цели обработки ПДн;

  • обрабатывают персональные данные физических лиц;

  • не подпадают под установленные законом исключения.

Форма организации бизнеса и наличие сотрудников не имеют значения.

Нормативное основание

Обязанность подачи уведомления установлена ст. 22 Федерального закона № 152-ФЗ «О персональных данных». Исключения из этой обязанности являются ограниченными и подлежат строгому толкованию.

Когда уведомление требуется даже без сотрудников

Отсутствие сотрудников не означает отсутствие обработки персональных данных. На практике именно в таких ситуациях уведомление требуется чаще всего.

Обработка данных клиентов и заказчиков

Если компания или ИП:

  • оказывает услуги физическим лицам;

  • продаёт товары гражданам;

  • заключает договоры с физическими лицами,

то она обрабатывает персональные данные клиентов и обязана оценить необходимость подачи уведомления.

Работа с сайтом и онлайн-формами

Уведомление требуется, если используется:

  • сайт с формами обратной связи;

  • приём заявок и регистраций;

  • онлайн-чаты и мессенджеры;

  • сбор email и телефонных номеров.

Даже простая форма «Оставьте телефон» означает обработку персональных данных.

Онлайн-оплаты, доставка, платёжные сервисы

Если бизнес принимает оплату и осуществляет доставку:

  • обрабатываются ФИО, адреса, контакты;

  • данные передаются платёжным и логистическим сервисам.

Это также является обработкой ПДн и требует оценки обязанности уведомления.

Работа с физическими лицами как подрядчиками

Даже если нет штатных сотрудников, но есть:

  • самозанятые;

  • подрядчики-физлица;

  • авторы, исполнители по договорам ГПХ,

их данные также относятся к персональным и подлежат учёту в рамках 152-ФЗ.

Считаете, что без сотрудников уведомление не нужно?
Укажем, какие действия необходимы именно в вашем случае.

Когда уведомление может не требоваться

Исключения из обязанности подачи уведомления строго ограничены и подлежат узкому толкованию. Неправильное применение этих исключений — частая причина штрафов.

Обработка данных исключительно для исполнения договора

Уведомление может не требоваться, если персональные данные обрабатываются:

  • только для заключения и исполнения договора с субъектом ПДн;

  • без дальнейшего использования данных для иных целей;

  • без передачи третьим лицам, не участвующим в исполнении договора.

Как только данные используются, например, для маркетинга, аналитики или повторных продаж, исключение перестаёт действовать.

Неавтоматизированная обработка в отдельных случаях

В редких случаях уведомление может не требоваться, если:

  • данные обрабатываются исключительно на бумаге;

  • отсутствуют автоматизированные системы;

  • данные не передаются третьим лицам;

  • объём обработки минимален.

Однако на практике даже минимальная цифровизация (Excel, почта, мессенджеры) делает обработку автоматизированной.

Иные исключения, прямо указанные в 152-ФЗ

К исключениям также относятся случаи, когда обработка:

  • осуществляется в рамках законодательства о СМИ;

  • связана с государственной тайной;

  • осуществляется исключительно для личных и семейных нужд.

Предпринимательская деятельность почти никогда не подпадает под эти исключения.

Типовые ошибки при оценке обязанности уведомления

Большинство штрафов за отсутствие уведомления связано не с умышленным нарушением, а с неверной интерпретацией требований 152-ФЗ.

«Нет сотрудников — значит, уведомление не нужно»

Одна из самых распространённых ошибок. Как уже отмечалось, наличие сотрудников не является критерием для подачи уведомления. Обрабатываются данные клиентов — значит, есть обязанность оценить необходимость уведомления.

Путаница между ОРД и уведомлением

Работодатели и ИП часто считают, что:

  • либо достаточно разработать документы по ПДн,

  • либо достаточно подать уведомление.

На самом деле это разные, самостоятельные обязанности оператора ПДн.

Неверная интерпретация исключений

Часто ошибочно применяется исключение:

  • «данные только по договору»;

  • «обработка минимальна»;

  • «нет сайта».

Любые отклонения от условий исключения делают обязанность уведомления актуальной.

Ориентация на чужую практику

Распространённая ошибка — ориентироваться на коллег или конкурентов, не анализируя собственные процессы обработки данных.

Следующий логичный блок — разобрать, чем грозит отсутствие уведомления и почему это самостоятельное нарушение, даже если документы по ПДн оформлены корректно.

Неверная оценка обязанности уведомления — частая причина штрафов.
Поможем избежать лишних рисков и исправить нарушения.
Подготовим корректное уведомление в Роскомнадзор.

Чем грозит отсутствие уведомления

Отсутствие уведомления в Роскомнадзор при наличии обязанности его подачи рассматривается как самостоятельное нарушение законодательства о персональных данных, независимо от наличия иных документов по ПДн.

Основание для привлечения к ответственности

Роскомнадзор рассматривает отсутствие уведомления как нарушение требований ст. 22 152-ФЗ, поскольку оператор персональных данных обязан:

  • либо подать уведомление,

  • либо документально подтвердить наличие оснований для исключения.

Если ни то ни другое не сделано — это фиксируется как нарушение.

Штрафы применяются независимо от наличия документов

Даже если у компании или ИП:

  • есть политика обработки ПДн;

  • оформлены согласия;

  • внедрены меры защиты,

но уведомление не подано при наличии такой обязанности, это не освобождает от ответственности.

Наличие ОРД не заменяет уведомление в Роскомнадзор.

Реальные основания проверок

Отсутствие уведомления выявляется:

  • при плановых проверках Роскомнадзора;

  • при проверках по жалобам клиентов;

  • при межведомственном взаимодействии;

  • при анализе сайта и онлайн-активности.

Усиление ответственности при комплексных нарушениях

Отсутствие уведомления часто выявляется вместе с другими нарушениями:

  • отсутствием политики ПДн;

  • незаконной обработкой данных;

  • отсутствием согласий;

  • нарушением правил хранения.

Это увеличивает общий объём ответственности и размер возможных штрафов.

Как правильно определить необходимость уведомления

Решение о необходимости подачи уведомления должно основываться не на предположениях, а на анализе фактической обработки персональных данных.

Провести аудит процессов обработки ПДн

Первый шаг — определить:

  • какие персональные данные обрабатываются;

  • у каких субъектов (клиенты, подрядчики, пользователи сайта);

  • для каких целей используются;

  • в каких системах хранятся;

  • кому передаются.

Без этого невозможно корректно оценить наличие обязанности уведомления.

Сопоставить процессы с исключениями 152-ФЗ

Необходимо проверить:

  • подпадает ли обработка под исключения ст. 22 152-ФЗ;

  • выполняются ли все условия этих исключений;

  • не используются ли данные для иных целей.

Если хотя бы одно условие исключения нарушено — уведомление требуется.

Оценить автоматизацию обработки

Следует учитывать:

  • используются ли электронные базы;

  • ведётся ли переписка с клиентами по email и мессенджерам;

  • хранятся ли данные в CRM, Excel, облаках.

Практически любая цифровизация делает обработку автоматизированной.

Корректно оформить уведомление

Если уведомление требуется, важно:

  • правильно указать цели обработки;

  • перечислить категории данных;

  • указать меры защиты;

  • своевременно актуализировать сведения.

На практике

На практике большинство нарушений связано не с отсутствием документов по ПДн, а с неверной оценкой обязанности подачи уведомления.

Формальный подход «у нас нет сотрудников — значит, уведомление не нужно» почти всегда приводит к нарушениям.

Профессиональный анализ процессов и корректная регистрация в Роскомнадзоре позволяют:

  • избежать штрафов;

  • пройти проверки без претензий;

  • подтвердить добросовестность оператора персональных данных.

Не хотите рисковать штрафами из-за уведомления в Роскомнадзор?
Доверьте защиту персональных данных профессионалам.
Создадим индивидуальный пакет документов и выстроим систему защиты ПДн под ваш бизнес под ключ.
Оставить заявку
Оставьте свои контакты.
Перезвоним Вам через несколько минут.
Оставить заявку
Оставьте свои контакты.
Перезвоним Вам через несколько минут.
Консультация по услугам и условиям
Телефон технической поддержки