Является ли организация, в которой работает один сотрудник, оператором персональных данных?

Вопрос: Является ли организация, в которой работает один сотрудник (он же учредитель и директор) оператором персональных данных?

Операторами персональных данных признаются организации и физические лица (в т. ч. ИП), которые самостоятельно или совместно с другими лицами обрабатывают персональные данные физических лиц (работников, клиентов и др.) (п. 2 ст. 3 Закона № 152-ФЗ). Под обработкой персональных данных понимаются любые действия (операции), совершаемые с использованием средств автоматизации (или без таких средств) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).

С директором организации, который является ее единственным учредителем, можно оформлять трудовые отношения так: заключить трудовой договор или составить решение единственного участника об исполнении функций руководителя. Работодатель (организация), который обрабатывает персональные данные своих работников, является оператором персональных данных (п. 2 ст. 3 Закона № 152-ФЗ). Если директор организации является ее единственным учредителем, то он состоит в трудовых отношениях с организацией (независимо от способа оформления этих отношений), что подразумевает обработку его персональных данных работодателем. Таким образом, организация является оператором персональных данных, даже если в ней работает только один сотрудник (директор, генеральный директор), персональные сведения которого обрабатываются.

В процессе деятельности организация, как правило, взаимодействует с заказчиками (клиентами, контрагентами), получает от них различные документы (в т. ч. доверенности), в которых есть фамилии, имена, отчества, паспортные данные физических лиц, а также номера их телефонов, адреса электронной почты, и хранит эти данные. Указанные сведения относятся к персональным данным (п. 1 ст. 3 Закона № 152-ФЗ).

В такой ситуации организация осуществляет обработку персональных данных физлиц (сбор и хранение). В этом случае организация, по нашему мнению, является оператором персональных данных.

Если организация обрабатывает персональные данные работника (директора) и других физических лиц, она должна быть включена в реестр операторов персональных данных. Для этого необходимо представить соответствующее уведомление в Роскомнадзор (ч. 1 ст. 22 Закона № 152-ФЗ). Направить уведомление необходимо до начала обработки персональных данных.

Исключение установлено только для трех случаев (ст. 22 Закона № 152-ФЗ в ред. Федерального закона от 14.07.2022 № 266-ФЗ):

• данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона № 152-ФЗ);
• оператор обрабатывает данные вручную без использования средств автоматизации (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ);
• данные обрабатываются в случаях, предусмотренных законодательством о транспортной безопасности.

Форма уведомления о намерении обрабатывать персональные данные утверждена приказом Роскомнадзора от 28.10.2022 № 180.

Направить уведомление в Роскомнадзор можно следующими способами:

• заполнить форму уведомления на сайте Роскомнадзора (нужна усиленная электронная квалифицированная подпись);
• направить в бумажном виде в адрес территориального органа Роскомнадзора (по месту регистрации организации);
• направить через личный кабинет на портале Госуслуг.

Напомним, что с 30 мая 2025 года выросли штрафы за нарушения в сфере обработки персональных данных. Так, за невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных для организации установлен штраф от 100 000 до 300 000 руб. (ч. 10 ст. 13.11 КоАП РФ в ред. Федерального закона от 30.11.2024 № 420-ФЗ).