Обязательная ли регистрация в Роскомнадзоре для ИП при внедрении электронного документооборота при сдаче помещений в аренду

Переход индивидуального предпринимателя на электронный документооборот при сдаче офисных площадей в аренду: обязанности по персональным данным и электронной подписи

Анализ ситуации

Вы, как индивидуальный предприниматель (ИП), оказывающий услуги по аренде офисных помещений, планируете перейти на электронный документооборот (ЭДО) при заключении договоров аренды с использованием электронной подписи (ЭП). Ключевой вопрос — подпадает ли эта деятельность под регулирование законодательства о персональных данных и требует ли специальных уведомлений контролирующих органов.

1. Статус оператора персональных данных

При заключении договоров аренды вы, как ИП, собираете и обрабатываете информацию об арендаторах. Согласно закону, такая информация является персональными данными.

"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон "О персональных данных", статья 3).

Лицо, которое организует и осуществляет обработку таких данных, признается оператором:

"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон "О персональных данных", статья 3).

Вывод: Вы являетесь оператором персональных данных, так как собираете и обрабатываете данные арендаторов (физических лиц или представителей юридических лиц) для заключения и исполнения договоров аренды.

2. Необходимость уведомления Роскомнадзора

Закон обязывает оператора уведомлять Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных) о начале обработки персональных данных. Однако из этого правила есть исключения.

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон "О персональных данных", статья 22, часть 1).

В предоставленном контексте не содержится полного перечня исключений из части 2 статьи 22. Однако, поскольку вы планируете использовать ЭДО (средства автоматизации), наиболее вероятное исключение для операций, связанных исключительно с исполнением договора с субъектом данных, в контексте отсутствует. Следовательно, скорее всего, уведомление Роскомнадзора требуется.

Важно: Если обработка персональных данных будет осуществляться исключительно для исполнения договора, стороной которого является субъект данных, это может быть основанием для обработки без согласия субъекта (п. 5 ч. 1 ст. 6), но не освобождает от обязанности уведомления, если иное прямо не указано в исключениях ст. 22, которых в контексте нет.

Рекомендация: Для окончательного решения по вопросу уведомления необходимо ознакомиться с полным текстом части 2 статьи 22 Федерального закона "О персональных данных" и проконсультироваться со специалистом.

3. Влияние типа арендатора и суммы договора

• Тип арендатора: Если арендатором является физическое лицо, вы обрабатываете его персональные данные напрямую. Если арендатор — юридическое лицо, вы, как правило, обрабатываете персональные данные его представителя (директора, сотрудника), которые также подпадают под действие закона. Статус оператора и обязанности в обоих случаях возникают.
• Сумма договора: Величина платежей по договору аренды не влияет на обязанности оператора персональных данных. Закон применяется ко всем операторам независимо от масштаба деятельности или суммы контрактов.

4. Шаги для организации легального ЭДО

А. Электронная подпись

Для придания договорам аренды юридической силы в электронной форме необходимо использовать электронную подпись. Наиболее универсальной и надежной является квалифицированная электронная подпись (КЭП).

"Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации" (Источник: Федеральный закон "Об электронной подписи", статья 6, часть 1).

Действие: Получите квалифицированный сертификат электронной подписи для ИП в аккредитованном удостоверяющем центре.

Б. Организация обработки персональных данных

Как оператор вы обязаны обеспечить законность и безопасность обработки персональных данных.

1. Определите цели и правовые основания обработки. В вашем случае целью является заключение и исполнение договора аренды. Правовым основанием может быть пункт 5 части 1 статьи 6 ФЗ "О персональных данных".
2. Разработайте документ, определяющий политику в отношении обработки персональных данных. Этот документ должен быть общедоступен.

   "Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18.1, часть 2).

3. Обеспечьте защиту персональных данных. Вы обязаны принять необходимые организационные и технические меры для защиты данных от неправомерного доступа.

   "Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон "О персональных данных", статья 19, часть 1).

4. Получите согласие субъектов на обработку их персональных данных, если обработка не основана на иных разрешенных законом основаниях (например, для исполнения договора). Согласие должно быть конкретным, информированным и может быть получено в электронной форме.

   "Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом." (Источник: Федеральный закон "О персональных данных", статья 9, часть 1).

В. Уведомление в Роскомнадзор

Если после изучения исключений выяснится, что уведомление обязательно, подготовьте и направьте его в Роскомнадзор до начала обработки данных через ЭДО.

5. Риски санкций и проверок

• Административная ответственность: Нарушение требований законодательства о персональных данных влечет административную ответственность по статье 13.11 КоАП РФ (штрафы для ИП могут достигать значительных сумм).
• Гражданско-правовая ответственность: Субъект персональных данных вправе требовать возмещения убытков и компенсации морального вреда.

  "Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав... подлежит возмещению... Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков." (Источник: Федеральный закон "О персональных данных", статья 24, часть 2).

• Проверки Роскомнадзора: Уполномоченный орган осуществляет федеральный государственный контроль (надзор) за обработкой персональных данных и может проводить плановые и внеплановые проверки.

  "Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется федеральным органом исполнительной власти, осуществляющим функции по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных." (Источник: Федеральный закон "О персональных данных", статья 23.1, часть 1).

Игнорирование требований законодательства создает высокие риски привлечения к ответственности в результате как обращений арендаторов, так и в ходе проверок Роскомнадзора.

Выводы и рекомендации

1. Вы являетесь оператором персональных данных. Переход на ЭДО не отменяет, а лишь меняет форму обработки этих данных.
2. Уведомление Роскомнадзора, скорее всего, необходимо. Требуется изучить полный текст части 2 статьи 22 ФЗ "О персональных данных", чтобы убедиться в отсутствии применимых к вашей ситуации исключений.
3. Тип арендатора (физлицо/юрлицо) и сумма договора не влияют на возникновение обязанностей оператора.
4. Для легализации ЭДО необходимо:
   • Получить квалифицированную электронную подпись для ИП.
   • Разработать и опубликовать политику в отношении обработки персональных данных.
   • Обеспечить получение согласия арендаторов на обработку их персональных данных (если иное основание не применимо) и организовать безопасное хранение этих данных.
   • Направить уведомление в Роскомнадзор, если это требуется по закону.
5. Риски игнорирования требований высоки и включают в себя значительные штрафы, обязанность компенсировать вред, а также внеплановые проверки.

Рекомендация: Учитывая сложность и важность соблюдения законодательства о персональных данных, для разработки всех необходимых документов и процедур, а также для окончательного решения вопроса об уведомлении Роскомнадзора, рекомендуется обратиться за консультацией к адвокату или специализированной организации, имеющей опыт в данной сфере.