С 30.05.2025 вводится административная ответственность за невыполнение или несвоевременное выполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных (ч. 10 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 N 420-ФЗ).

В организации нужно иметь следующие документы в связи с защитой персональных данных:

• перечень работников, допущенных к обработке персональных данных (ст. 86 ТК РФ, подп. "б" п. 1 постановления N 211);
• политика организации в отношении защиты персональных данных (смотрите Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом N 152-ФЗ) (п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ, п. 6 Постановления N 687);
• положение об обработке и защите персональных данных работников (ст. 86 ТК РФ);
• положение об обработке и защите персональных данных иных физических лиц, с которыми оператор взаимодействует (клиентов, посетителей, обучающихся, пациентов, абонентов и др.), и их законных представителей (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ);
• положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (пп. 3, 8, 15 постановления N 687);
• положение об обработке персональных данных в информационных системах (п. 2 ч. 2 ст. 19 Закона N 152-ФЗ).

С 30.05.2025 вводится административная ответственность за невыполнение или несвоевременное выполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных (ч. 10 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 N 420-ФЗ).

Срок давности привлечения к административной ответственности по ст. 13.11 КоАП РФ составляет один год, то есть постановление по делу об административном правонарушении не может быть вынесено по истечении указанного срока со дня совершения административного правонарушения (ч. 1 ст. 4.5 КоАП РФ).

По общему правилу срок давности привлечения к административной ответственности исчисляется со дня совершения административного правонарушения, а при длящемся административном правонарушении - со дня его обнаружения (чч. 1.1, 2 ст. 4.5 КоАП РФ).

Понятие "длящееся административное правонарушение" раскрывается в п. 14 постановления Пленума Верховного Суда РФ от 24.03.2005 N 5, согласно которому длящимся является такое административное правонарушение (действие или бездействие), которое выражается в длительном непрекращающемся невыполнении или ненадлежащем выполнении предусмотренных законом обязанностей. Такие обязанности могут быть возложены и иным нормативным правовым актом, а также правовым актом ненормативного характера, например, представлением прокурора, предписанием органа (должностного лица), осуществляющего государственный надзор (контроль). То есть виновное лицо может быть привлечено к административной ответственности за длящееся правонарушение в течение всего периода, пока деятельность не прекращена или нарушение не устранено. Специфика длящегося правонарушения, таким образом, проявляется в его объективной стороне, которая, будучи полностью оформленной, продолжает существовать еще длительный период времени вплоть до окончания правонарушения - фактического (прекращение противоправного поведения) или юридического (определение периода времени совершения правонарушения в постановлении о привлечении к административной ответственности). Днем обнаружения длящегося административного правонарушения считается день, когда должностное лицо, уполномоченное составлять протокол об административном правонарушении, выявило факт его совершения.

Признаком длящегося административного правонарушения является, по сути, отсутствие установленного законом срока исполнения определенной нормативным (или ненормативным) актом обязанности (предписания, представления и т.п.).

Невыполнение предусмотренной правовыми актами обязанности к установленному сроку свидетельствует о том, что административное правонарушение не является длящимся и срок давности привлечения к административной ответственности начинает течь с момента наступления указанного срока.

Аналогичный подход следует и из п. 19 постановления Пленума Высшего Арбитражного Суда РФ от 27.01.2003 N 2, согласно которому административные правонарушения, выражающиеся в невыполнении обязанности к конкретному сроку, не могут быть рассмотрены в качестве длящихся.

Таким образом, признаками длящегося административного правонарушения является непрекращающееся невыполнение или ненадлежащее выполнение предусмотренных законом, иным нормативным или ненормативным актом обязанностей, а также отсутствие установленного срока выполнения обязанности.

Из положений ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) следует, что оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением прямо предусмотренных случаев, допускающих обработку персональных данных без уведомления.

То есть обязанность по направлению уведомления о намерении осуществлять обработку персональных данных, как следует из буквального содержания ч. 1 ст. 22 Закона N 152-ФЗ, связана с намерением оператора осуществлять такую обработку.

Аналогичный подход к уведомлению уполномоченного органа по защите прав субъектов персональных данных предусмотрен и для трансграничной передачи персональных данных, которой должно предшествовать направление соответствующего уведомления о намерении осуществлять такого рода обработку (ч. 3 ст. 12 Закона N 152-ФЗ).

Из положений ч. 1 ст. 22, ч. 3 ст. 12 Закона N 152-ФЗ, таким образом, следует, что срок подачи уведомлений определяется с учетом указания на событие, которое должно наступить (фактическое начало обработки персональных данных или деятельности по трансграничной передаче персональных данных соответственно).

В настоящее время административная ответственность за не направление уведомления о намерении осуществлять обработку персональных данных может наступить по ст. 19.7 КоАП РФ. Суды, оценивая сроки давности привлечения к административной ответственности, исходят из того, что обязанность уведомить уполномоченный орган по защите прав субъектов персональных данных определена конкретным сроком - до начала обработки персональных данных (смотрите, например, постановления Новгородского областного суда от 07.11.2017 по делу N 4А-261/2017 и по делу N 4А-259/2017, постановление Мирового судьи судебного участка N 6 Центрального судебного района г. Кемерово Кемеровской области от 13.04.2022 N 5-160/22 и др.), что влечет прекращение производства по делу об административном правонарушении на основании п. 6 ч. 1 ст. 24.5 КоАП РФ в связи с истечении срока давности привлечения к административной ответственности, если обязанность по уведомлению возникла за пределами установленного ч. 1 ст. 4.5 КоАП РФ срока.

Объективную сторону административного правонарушения, ответственность за совершение которого будет предусмотрена ч. 10 ст. 13.11 КоАП РФ (в редакции Федерального закона от 30.11.2024 N 420-ФЗ), будет образовывать как невыполнение обязанности по уведомлению о намерении осуществлять обработку персональных данных как таковой, так и несвоевременное выполнение обязанности по уведомлению.

 В части события административного правонарушения, выражающегося в невыполнении обязанности по уведомлению о намерении осуществлять обработку персональных данных, подход органов Роскомнадзора и судов сохранится и при вступлении в силу ч. 10 ст. 13.11 КоАП РФ (в редакции Федерального закона от 30.11.2024 N 420-ФЗ), что обусловлено формулировкой ч. 1 ст. 22 Закона N 152-ФЗ.

Что касается такого события административного правонарушения как несвоевременное выполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных, то, на наш взгляд, до появления официальных комментариев и формирования судебной практики полностью исключить риски привлечения к административной ответственности мы не можем.

Кроме того, вопрос о привлечении к административной ответственности по ч. 10 ст. 13.11 КоАП РФ (в редакции Федерального закона от 30.11.2024 N 420-ФЗ) может быть рассмотрен исходя из фактических обстоятельств, связанных с обработкой персональных данных конкретным оператором, например, исходя из появления в его деятельности новых правовых оснований и целей обработки персональных данных, либо категорий обрабатываемых персональных данных и категорий субъектов, чьи персональные данные обрабатываются, и т.д

Необходимо также учитывать практику территориальных органов Роскомнадзора по направлению в рамках исполнения возложенных полномочий, в том числе по результатам проведения мероприятия без взаимодействия в сети Интернет, либо в ходе рассмотрения обращений граждан, в адрес операторов писем (требований) о необходимости обеспечения исполнения предусмотренной ч. 1 ст. 22 Закона N 152-ФЗ обязанности. При поступлении такого письма (требования) оператор согласно ч. 4 ст. 20 Закона N 152-ФЗ обязан предоставить в уполномоченный орган по защите прав субъектов персональных данных необходимую информацию (направить уведомление) в течение десяти рабочих дней с даты получения такого запроса (срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации). Неисполнение обязанности по направлению уведомления в указанном случае или его направление за пределами установленного срока,  может повлечь административную ответственность по ч. 10 ст. 13.11 КоАП РФ (в редакции Федерального закона от 30.11.2024 N 420-ФЗ) как специальной норме, а не по ст. 19.7 КоАП РФ, как это было ранее (смотрите, например: решение Вологодского городского суда Вологодской области от 15.06.2021 по делу N 12-1019/2021, решение Зареченского районного суда г. Тулы Тульской области от 12.05.2020 по делу N 12-27/2020, решение Ленинского районного суда г. Владивостока Приморского края от 14.05.2019 по делу N 12-584/2019).

Учитывая изложенные обстоятельства, а также отсутствие в настоящее время каких-либо официальных комментариев по рассматриваемому вопросу, полагаем целесообразным направить уведомление о намерении осуществлять обработку персональных данных (фактической обработке) в случае, если деятельность оператора не подпадает под предусмотренные исключения, до вступления в силу ч. 10 ст. 13.11 КоАП РФ (в редакции Федерального закона от 30.11.2024 N 420-ФЗ), поскольку закон, устанавливающий или отягчающий административную ответственность за административное правонарушение либо иным образом ухудшающий положение лица, обратной силы не имеет (ч. 2 ст. 1.7 КоАП РФ).

Какой комплект документов по обработке персональных данных должен быть с 30.05.2025 в организации, обрабатывающей персональные данные работников и клиентов?

Законодательство (в том числе с 30 мая 2025 г.) не содержит исчерпывающего перечня документов, которые должны быть у оператора персональных данных во исполнение законодательства в сфере защиты персональных данных. Каждый оператор самостоятельно с учетом специфики своей деятельности, способов обработки (в информационных системах, без использования средств автоматизации) разрабатывает и утверждает пакет документов. Причем не имеет значения, оформлены они разрозненными документами или включены в единое положение о защите персональных данных.

В организации нужно иметь следующие документы в связи с защитой персональных данных:

• перечень работников, допущенных к обработке персональных данных (ст. 86 ТК РФ, подп. "б" п. 1 постановления N 211);
• политика организации в отношении защиты персональных данных (смотрите Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом N 152-ФЗ) (п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ, п. 6 Постановления N 687);
• положение об обработке и защите персональных данных работников (ст. 86 ТК РФ);
• положение об обработке и защите персональных данных иных физических лиц, с которыми оператор взаимодействует (клиентов, посетителей, обучающихся, пациентов, абонентов и др.), и их законных представителей (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ);
• положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (пп. 3, 8, 15 постановления N 687);
• положение об обработке персональных данных в информационных системах (п. 2 ч. 2 ст. 19 Закона N 152-ФЗ).

Автор: Бударагин Александр - руководитель группы юристов Бударагин А.А. и партнеры.