Вопрос
ООО производство торгует на маркетплейсе, и иногда оптом - нужно ли регистрироваться в Роскомнадзоре как оператор персональных данных?
Ответ
Да, нужно. Кроме того, в организации должны быть работники. Работодатели являются операторами персональных данных и обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников.
Таким образом, соблюдать требования Законодательства о персональных данных необходимо всем организациям, т.к. они как минимум являются работодателями.
Обоснование
На основании п. 1 ст. 3, ФЗ N 152-ФЗ, персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Судебная практика также относит к персональным данным любую информацию, не в ее совокупности, а по отдельности, например, Кассационное определение Третьего кассационного суда общей юрисдикции от 23.03.2022 N 88а-4692/2022, к таким сведениям относятся: фамилия, имя, отчество, дата и место рождения, пол, адрес места жительства, сведения из документа, удостоверяющего личность, идентификационный (регистрационный, учетный) номер налогоплательщика (при наличии), семейное положение, социальное положение, образование, национальность, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.
При этом Роскомнадзор не ставит статус оператора персональных данных в зависимость от того, включены ли о нем сведения в реестр или нет (Информация Роскомнадзора "Ответы на вопросы в сфере защиты прав субъектов персональных данных"), в соответствии с пунктом 2 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обязанности оператора установлены гл. 4 Федерального закона "О персональных данных", которые операторы исполняют независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Извлечение из Готового решения: Каковы обязанности оператора персональных данных: Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Закона о персональных данных). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.
Если вы не включены в реестр Роскомнадзора, вы не перестаете быть оператором персональных данных и не освобождаетесь от связанных с этим статусом обязанностей (Информация Роскомнадзора).
…
Извлечение из Типовой ситуации: Персональные данные работников: понятие, обработка, защита и передача: Персональные данные работника - любая информация о человеке, имеющаяся у работодателя. Это Ф.И.О. и другие паспортные данные, ИНН, СНИЛС, номер телефона, сведения об образовании, зарплате и других доходах, и т.д. (ст. 3 Закона N 152-ФЗ, Письмо Минкомсвязи от 28.08.2020 N ЛБ-С-074-24059).
Фотографии, аудио- и видеозаписи, отпечатки пальцев являются биометрическими персональными данными (Письмо Роскомнадзора от 10.02.2020 N 08АП-6782).
Работодатели являются операторами персональных данных и обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников. Сформировать и направить уведомление можно на сайте Роскомнадзора (ст. 22 Закона N 152-ФЗ).
…
Извлечение из Готового решения: Кто и какую ответственность несет за нарушение законодательства о персональных данных:
Административная ответственность установлена:
- за нарушение правил обработки персональных данных;
- неисполнение обязанностей при взаимодействии с гражданином - субъектом персональных данных;
- невыполнение требований по защите персональных данных;
- неисполнение обязанностей при взаимодействии с Роскомнадзором;
- нарушение установленных требований при размещении или обновлении в ЕБС биометрических персональных данных. Предусмотрена для банков, МФЦ, иных организаций в определенных законодательством случаях.
Основной вид административного наказания за нарушение законодательства о персональных данных - штраф. Его размер зависит от конкретного нарушения. Например, максимальный штраф для организации за обработку персональных данных без письменного согласия гражданина, когда согласие требуется, или за отсутствие в нем всех необходимых сведений составляет 700 000 руб., за повторное правонарушение - 1 500 000 руб. (ч. 2, 2.1 ст. 13.11 КоАП РФ).
С 30 мая 2025 г. увеличен размер штрафа за обработку персональных данных в не предусмотренных законом случаях, а также в целях, несовместимых с целями сбора, по ч. 1 ст. 13.11 КоАП РФ. Максимальный штраф для должностных лиц - 100 000 руб., для организации - 300 000 руб.; при повторном нарушении для должностных лиц - 200 000 руб., для организации, ИП - 500 000 руб. (ч. 1, 1.1 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 N 420-ФЗ).
