Важно
ИП могут сдавать декларацию 3-НДФЛ через Личный кабинет 
Добрый день, с вами снова мы, авторы колонки «Катавасия, или Будни ИП», — Наталья Зорина и кот Арсений Бонифаций.
Кратко, о чем выпуск («Спойлерр — это...» — муркнул кот.):
с 30 мая 2025 года штрафы за нарушения в области обработки персональных данных значительно повышаются. Так, за отсутствие уведомления о намерении обрабатывать персданные в Роскомнадзор можно схлопотать штраф в 300 000 рублей. При заполнении уведомления сложности возникают с вопросами, что такое ЦОД и какой у него адрес, какую дату считать началом работы с персданными. Очень долго искала информацию, как оформить уведомление, если целей обработки будет несколько. Форму заполняла на сайте Роскомнадзора. Уведомление удалось подать, хотя и не сразу.
Время чтения: 3 минуты
Навигация
30 мая 2025 года существенно повышают штрафы за нарушения в области обработки персональных данных (далее — персданные, ПД). Новые изменения в КоАП вводятся законом от 30.11.2024 № 420-ФЗ. Мы писали об этом в статье «Новости, которые обратили на себя внимание в феврале».
Времени осталось совсем немного, чтобы уведомление об обработке персональных данных в Роскомнадзор подать и не получить новый штраф в размере 100 000–300 000 руб. (ч. 10 ст. 13.11 КоАП в ред. от 30.05.2025).
Заполнение уведомления о персональных данных не показалось мне простым процессом: было много вопросов, ответы на некоторые нашлись не сразу.
Где и как заполнить уведомление о намерении осуществлять обработку персональных данных?
Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180. В Роскомнадзор уведомление об обработке подается предпринимателями, выступающими в роли операторов, либо в бумажном виде, либо в электронном формате (части 1 и 3 статьи 22 Федерального закона «О персональных данных», далее — закон). Бумажный вариант отправляем по почте или несем прямиком в канцелярию территориального органа Роскомнадзора по месту регистрации ИП. Адреса находим на сайте.
С электронной формой удобно работать на сайте РКН. Для отправки я использовала способ, где заполнить форму разрешено после верификации ИП на портале Госуслуг (ЕСИА), но можете уведомление подписать ЭЦП.
Пример заполнения уведомления об обработке ПД предоставляет сам орган по защите прав субъектов персданных. Роскомнадзор публикует образец заполнения формы при обработке персональных данных сотрудников. Поскольку много ИП и организаций ведет обработку именно с целью ведения кадрового, бухгалтерского учетов — образец существенно облегчает задачу по заполнению уведомления.
Обязан ли ИП подавать уведомление в Роскомнадзор об обработке персональных данных, если у него нет сотрудников?
Заявление необходимо подать, если предприниматель работает с ПД физических лиц. И это окажутся необязательно сотрудники. Например, большинство ИП заключает гражданско-правовые договоры с контрагентами (договоры поставки, услуги, перевозки и т.п.). Они заключаются от имени уполномоченных лиц: руководителей, директоров, других ИП. В договоре всегда пишутся ФИО этих лиц. Это указываются персональные данные, обработка которых требует уведомления.
ИП реализует программы повышения лояльности клиентов, предоставляет скидки и собирает для этих целей ПД покупателей: телефоны, даты рождения, ФИО. Это автоматически возлагает на ИП ответственность за обработку персональных данных.
Исключения, позволяющие предпринимателю или организации обрабатывать персональные данные без уведомления контролирующего органа, предусмотрены ч. 2 ст. 22 закона. Ранее, до внесения изменений, список таких случаев оставался обширным. Разрешалось не подавать уведомление при обработке ПД сотрудников в рамках трудовых отношений или если оператором собираются только ФИО, а также при выписке разового пропуска для прохождения на территорию оператора. Сейчас во всех этих случаях подавать уведомление приходится. И только если предприниматель всё по старинке оформляет на бумаге, без использования автоматизированных систем, то он освобождается от подачи уведомления (п. 8 ч. 2 ст. 22 закона).
Сколько подавать уведомлений об обработке персональных данных в Роскомнадзор, если у ИП несколько целей обработки?
Если, например, предприниматель обрабатывает данные сотрудников и собирает ПД у своих клиентов, то цели обработки считаются разными. Первая — «Ведение кадрового и бухгалтерского учета», вторая — «Продвижение товаров, работ и услуг на рынке». Но уведомление подается одно, а в нем сразу указываются все цели работы с персданными. При заполнении заявления на сайте Роскомнадзора обратите внимание, что в разделе «Цели обработки персональных данных» сначала указывается одна цель обработки данных и вся информация по ней, а затем внизу раздела выбирается новая цель.
Добавить цель можно по кнопке внизу раздела «Цели обработки персональных данных»
На что обратить внимание при заполнении реквизитов ИП в уведомлении об обработке персональных данных в Роскомнадзор?
При заполнении первого раздела уведомления, предпринимателю-оператору необходимо указать свои реквизиты. Но, в случае ведения деятельности не по месту регистрации, дополнительно ставится фактический адрес. Отдельно указывается и регион, в котором ИП-оператор непосредственно работает с персданными.
Регион регистрации ИП и регион обработки персональных данных могут отличаться
Как заполнить информацию о ЦОД в уведомлении об обработке персональных?
При заполнении раздела «Сведения о местонахождении базы данных» возникает вопрос, что такое ЦОД и что писать в уведомлении. Аббревиатура ЦОД расшифровывается как центр обработки данных. Им является та организация, на чьих серверах размещена база с обрабатываемыми персональными данными. Это могут быть собственные серверы или серверы, где размещены используемые ИП программные продукты (1С, «Мой склад», «Парус» и т.п.). Как найти адрес ЦОД? Только путем обращения в те организации, где ИП приобретал софт. Звоните на горячую линию поставщика, просите предоставить не только адрес ЦОД, но и реквизиты организации, которая следит за сохранностью данных на серверах.
Примером служит информация от 1С.
Что считать датой начала обработки данных?
По закону уведомлять Роскомнадзор надо еще до начала обработки персональных данных (п. 1 ст. 22 закона № 152-ФЗ). В уведомлении чаще всего ставят дату регистрации предпринимательской деятельности. Но не станет ошибкой указать дату, в которую впервые приняли на работу сотрудника или вручили первую карту лояльности клиенту, взяв предварительно его ПД. Если до начала деятельности в качестве ИП уведомление не было подано, то при подаче на данный момент указываем всё равно дату, с которой начала совершаться обработка персданных. Например, подавая уведомление сейчас, я указала дату своей регистрации в качестве ИП, а это 2018 год.
Когда информация о новом операторе появится в реестре Роскомнадзора?
Роскомнадзор на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов (ч. 4 ст. 22 закона).
В заключение стоит упомянуть иные установленные сроки. Любые изменения в предоставленных ранее данных требуют уведомления Роскомнадзора до 15-го числа следующего месяца. Если обработка персональных данных прекращается, то необходимо в течение 10 рабочих дней с момента её окончания подать соответствующее уведомление в Роскомнадзор (ч. 7 ст. 22 закона).
Будни ИП: как управлять бизнесом без суеты - Колонка Натальи Зориной на PPT.RU:
- Отчетность за 1-й квартал 2025 года: ЕФС-1 приняли, а персонифицированные сведения — нет
- Новости, которые обратили на себя внимание: мобильное приложение «Инспектор» и новые разъяснения ФНС о работе с кассовыми чеками
- Что делать ИП, если покупатель при оформлении заявления на возврат товара отказывается указывать паспортные данные
- Новости, которые удивили: обязательная маркировка звонков для предпринимателей
- Все статьи колонки "Катавасия, или Будни ИП – авторская колонка Натальи Зориной"
Пусть РКН с спбя начнет.