Обязанность уведомления о персональных данных для ИП на НПД при торговле через интернет-площадку

Нужно ли ИП на НПД уведомлять Роскомнадзор об обработке персональных данных покупателей?

Анализ ситуации

Вы являетесь индивидуальным предпринимателем, применяющим налог на профессиональный доход, и обрабатываете персональные данные покупателей (ФИО, адреса доставки, номера телефонов) при торговле через интернет-площадку. Ключевой вопрос — подпадает ли эта деятельность под обязанность уведомления Роскомнадзора.

Применимые нормы законодательства

Согласно Федеральному закону "О персональных данных", оператор персональных данных (к которым относится и ИП) обязан уведомлять Роскомнадзор о начале обработки данных, за исключением отдельных случаев.

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22)

Исключения, когда уведомление не требуется, перечислены в части 2 статьи 22. Из контекста актуальны следующие:

"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22)

Важно:

• Обработка данных через интернет-площадку «ТоргСити» предполагает использование автоматизированных средств (сайт, электронные заказы, базы данных).
• Режим налогообложения (НПД) не влияет на обязанность уведомления — закон распространяется на всех операторов, включая ИП.
• Цель обработки (исполнение договора с покупателем) также не отменяет обязанность уведомления, если не соблюдены исключения.

Ответственность за нарушение

Если обязанность уведомления существует, но оператор её не выполнил, предусмотрена административная ответственность:

"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей." (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11, часть 10)

Выводы и рекомендации

1. Уведомление Роскомнадзора обязательно, так как вы обрабатываете персональные данные с использованием автоматизированных средств (интернет-площадка «ТоргСити»). Исключение для обработки без средств автоматизации (п. 8 ч. 2 ст. 22) к вашей ситуации не применяется.
2. Порядок действий:
   • До начала обработки данных направьте уведомление в Роскомнадзор через официальный сайт (в электронной форме) или на бумажном носителе.
   • В уведомлении укажите цели обработки, перечень данных, меры защиты и иные сведения, требуемые статьей 22.
   • При изменении условий обработки (например, расширении перечня данных) уведомляйте Роскомнадзор в течение 15 дней.
3. Риски: Без уведомления вы можете быть привлечены к административной ответственности с штрафом до 10 000 рублей (для ИП как для физического лица).

Если у вас остались сомнения относительно применения исключений или подготовки уведомления, рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных.