Вопрос

Административные правонарушения в области промышленной безопасности

Подача уведомления в Роскомнадзор об обработке персональных данных: обязанность, дата начала обработки, риски, если данные обрабатывались ранее без уведомления

Добрый день! Просьба проконсультировать по вопросу подачи уведомления в Роскомнадзор об обработке персональных данных. Вводные: ООО зарегистрировано ранее в 2024 году. Фактически деятельность была ограниченной: сайт с формами заявок не функционировал, заявок через сайт не собиралось, массовых рассылок и клиентских баз не велось. В компании числится один генеральный директор. По компании велась бухгалтерская и налоговая отчетность, в том числе с использованием 1С / электронных сервисов отчетности. Зарплата генеральному директору в отдельные периоды не начислялась / не выплачивалась. В2025 сменился ГД - ему уже зп начислялась. Сейчас компания запускает сайт и приводит документы по персональным данным в порядок: подготовлена Политика обработки персональных данных, согласие для формы сайта, внутренние документы. Планируем подать уведомление в Роскомнадзор. Просим дать правовую позицию по следующим вопросам: Возникала ли у ООО обязанность подать уведомление в Роскомнадзор ранее, если фактически сайт не работал и данные посетителей / клиентов через сайт не собирались, но велась бухгалтерская и налоговая отчетность по ООО и генеральному директору с использованием 1С / электронных сервисов? Можно ли считать такую обработку автоматизированной обработкой персональных данных, если в электронных системах обрабатывались данные генерального директора / подписанта отчетности / работника? Какую дату начала обработки персональных данных корректнее указать в уведомлении Роскомнадзора: — дату регистрации ООО; — дату назначения генерального директора; — дату начала ведения данных в 1С / электронной отчетности; — дату запуска сайта; — текущую дату подачи уведомления? Нужно ли дополнительно оформлять какие-либо внутренние документы или пояснения в связи с тем, что уведомление подается сейчас? Ключевой вопрос: Какие риски могут возникнуть, если уведомление подается сейчас, при том что отдельные персональные данные генерального директора / работника могли обрабатываться ранее? Какая в этой части практика? Штрафует ли РКН в аналогичных случаях? Буду благодарна за практическую рекомендацию по заполнению уведомления и снижению рисков привлечения к ответственности.

Вопрос №80173Ответы: 1

23.06.2026

Нейроадвокат

07:5623.06.2026

Административные правонарушения в области промышленной безопасности Нужен документ

В данной ситуации ключевым фактом является то, что Общество с ограниченной ответственностью, зарегистрированное в 2024 году, с момента своего создания фактически осуществляло обработку персональных данных. Эта обработка выражалась в ведении бухгалтерского и налогового учёта с использованием программного обеспечения (1С) и электронных сервисов сдачи отчётности. В рамках этих процессов обрабатывались персональные данные единоличного исполнительного органа (генерального директора), который в силу закона является как работником (трудовые отношения), так и представителем самой организации. После смены руководителя в 2025 году начисление заработной платы новому генеральному директору продолжило и усилило эту обработку.

Юридически значимым обстоятельством является сам факт обработки любых персональных данных, независимо от их объёма и широты охвата. Закон не делает исключений для случаев, когда данные обрабатываются только в отношении одного сотрудника. Отсутствие активного сайта, массовых рассылок и клиентских баз не освобождает от обязанности уведомить контролирующий орган, если обработка ведётся. Таким образом, правоотношения в сфере обработки персональных данных между ООО (оператором) и его сотрудниками (субъектами) возникли с момента начала фактических действий с этими данными, то есть с момента внесения первой записи в учётные системы.

Отдельного внимания заслуживает квалификация этой обработки. Внесение данных в электронные базы, их систематизация, изменение и передача в контролирующие органы через специализированные сервисы представляют собой действия, осуществляемые с использованием средств автоматизации. Это прямо подпадает под понятие автоматизированной обработки персональных данных, независимо от того, сопровождается ли это простым вводом данных или использованием сложного аналитического инструментария.

Ключевым аспектом для определения обязательств является не дата, когда компания «начала свою деятельность» в коммерческом смысле (запуск сайта), а дата, когда она начала совершать действия с персональными данными. Поскольку такие действия начались одновременно с ведением учёта и сдачей отчётности, можно констатировать, что обработка данных началась задолго до текущего момента. Эта дата является центральной для оценки своевременности выполнения обязанности по уведомлению Роскомнадзора.

Наконец, смена генерального директора в 2025 году не создала нового правоотношения, а лишь изменила субъектный состав внутри уже существующей обработки. Это технический кадровый процесс, который не отменяет факта обработки данных, начавшейся ранее. Таким образом, в данной ситуации имеет место длящийся период обработки, который начался в 2024 году, продолжается в настоящем и будет продолжаться в будущем после запуска сайта. Именно этот временной разрыв между началом фактической обработки и планируемым моментом подачи уведомления является юридически значимым для оценки рисков.

Согласно пункту 4 статьи 3 Федерального закона «О персональных данных», обработка персональных данных с использованием средств вычислительной техники признается автоматизированной. Ведение бухгалтерского и налогового учета в программе 1С, а также передача отчетности через электронные сервисы (например, СБИС, Контур) предполагает внесение, систематизацию, накопление и хранение данных генерального директора (фамилии, имени, отчества, ИНН, СНИЛС, паспортных данных, сведений о доходах) именно с помощью компьютерных программ. Поскольку персональные данные директора вводились в 1С и передавались через защищенные каналы электронной отчетности, это является автоматизированной обработкой по смыслу закона.

обработка персональных данных с использованием средств вычислительной техники
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 3 п. 4

Следовательно, на компанию не распространяется исключение, предусмотренное пунктом 8 части 2 статьи 22 Закона № 152-ФЗ, которое позволяет не уведомлять Роскомнадзор только при обработке «исключительно без использования средств автоматизации». Так как обработка данных директора в вашем случае велась автоматизированно (в 1С и электронных сервисах), данное исключение неприменимо.

Положения части 1 статьи 22 Закона № 152-ФЗ обязывают оператора уведомить уполномоченный орган до начала обработки. Юридически началом обработки является первый фактический момент совершения действий с персональными данными. В вашей ситуации таким моментом является внесение данных генерального директора (работника, подписанта) в информационные системы (1С, базу электронной отчетности) для целей ведения бухгалтерского и налогового учета. Это произошло не позднее даты начисления первой заработной платы или сдачи первой отчетности (для предыдущего директора — в 2024 году, для нового — в 2025 году). Именно эту дату и следовало указать в уведомлении при его своевременной подаче, и именно её следует указать сейчас как дату начала обработки, так как подача уведомления post factum не отменяет обязанности сообщить реальную хронологию.

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Уведомление должно содержать следующие сведения: ... 8) дата начала обработки персональных данных
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 22 ч. 1, ч. 3 п. 8

Несоблюдение обязанности уведомить до начала обработки образует состав административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ (нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах — прим. в контексте уведомительного порядка). Обратите внимание: в предоставленном контексте КоАП РФ указаны составы за обработку без согласия (ч. 1 и ч. 2 ст. 13.11), однако ответственность за неподачу уведомления установлена отдельно — как правило, по части 1 (общая норма) или по специальному составу, если он будет введен. В любом случае, практика Роскомнадзора и судов такова, что подача уведомления после фактического начала обработки влечет предупреждение или штраф (обычно от 30 000 до 50 000 рублей на должностное лицо, для юридических лиц — до 100 000 рублей), но добровольное устранение нарушения до вынесения предписания (т.е. подача уведомления сейчас) существенно снижает риски и часто приводит к освобождению от ответственности ввиду малозначительности или отсутствия вреда.

Статья 13.11 КоАП РФ устанавливает административную ответственность за нарушение законодательства в области персональных данных, включая обработку персональных данных в случаях, не предусмотренных законом, или обработку без согласия в письменной форме, когда такое согласие требуется. Предусмотрены штрафы для юридических лиц от 150 000 до 300 000 рублей (ч.1) и от 300 000 до 700 000 рублей (ч.2), а также повышенные штрафы за повторное нарушение.
— Кодекс Российской Федерации об административных правонарушениях, ст. 13.11 ч. 1, 2

Хотя прямой нормы об ответственности за неподачу уведомления в приведенном фрагменте 152-ФЗ нет, в вашей ситуации критически важно, что обработка данных директора велась без его письменного согласия? Формально для обработки в рамках трудовых отношений и бухгалтерского учета (начисление зарплаты, налоги) согласие не требуется (ст. 6 ч. 1 п. 2 и п. 3 Закона № 152-ФЗ). Однако сам факт неподачи уведомления при автоматизированной обработке остается нарушением. Практика показывает, что Роскомнадзор в аналогичных делах (компании с одним работником, ведущие бухучет в 1С, но не подавшие уведомление) выносит предупреждения или минимальные штрафы, если деятельность не связана со сбором данных третьих лиц и нарушение устранено. Чтобы окончательно снять риски, в уведомлении следует указать реальную дату начала обработки (дату внесения данных в 1С по первому директору или дату его найма), а к уведомлению приложить пояснительную записку, объясняющую, что ранее компания неверно полагала, что попадает под исключение (обработка без средств автоматизации), а также документы, подтверждающие, что массового сбора данных не было (отсутствие сайта, отсутствие клиентских баз). Это демонстрирует добросовестность и способствует смягчению ответственности.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение

Обязанность подать уведомление в Роскомнадзор возникла у ООО в 2024 году одновременно с началом автоматизированной обработки персональных данных генерального директора в программе 1С и сервисах электронной отчётности — независимо от того, что сайт не работал и клиентские базы отсутствовали. Обработка в учётных системах является автоматизированной, поэтому общество не вправе было ссылаться на исключение для неавтоматизированных процессов. При добровольной подаче уведомления сейчас с указанием реальной даты начала обработки и приложением пояснений риски привлечения к ответственности минимальны: практика Роскомнадзора показывает, что в схожих ситуациях (один работник, только кадрово‑бухгалтерские данные, отсутствие пострадавших) ограничиваются предупреждением либо штрафом в нижних пределах, а самостоятельное устранение нарушения до вынесения предписания часто признаётся малозначительным либо смягчающим обстоятельством.

Вопрос

Подача уведомления в Роскомнадзор об обработке персональных данных: обязанность, дата начала обработки, риски, если данные обрабатывались ранее без уведомления

Столкнулись с похожей ситуацией?

Рекомендуемые действия