Нужно ли регистрироваться в контролирующих органах, если я веду учет клиентов в обычном блокноте как ИП?

Обработка контактов клиентов в бумажном блокноте ИП: нужно ли регистрироваться в Роскомнадзоре?

Краткий вывод: На основании предоставленной информации вам не требуется направлять уведомление в Роскомнадзор (Роскомнадзор) об обработке персональных данных. Однако вы являетесь оператором персональных данных и обязаны соблюдать ряд других требований закона.

Давайте разберем ситуацию подробно.

1. Являетесь ли вы оператором персональных данных?

Да, являетесь. Согласно закону, оператор — это физическое или юридическое лицо, самостоятельно организующее и осуществляющее обработку персональных данных.

"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).

Вы собираете и записываете в блокнот контакты (ФИО, телефоны) руководителей детских центров. Эта информация относится к прямо определенному физическому лицу, а значит, является персональными данными.

"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).

Запись, хранение и использование этих данных для связи и выставления счетов — это их обработка.

"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение... использование" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).

Таким образом, вы как ИП, обрабатывающая персональные данные клиентов, являетесь оператором.

2. Нужно ли вам уведомлять Роскомнадзор?

Нет, в вашем случае такая обязанность отсутствует. Закон предусматривает исключения. Ключевое для вас исключение сформулировано следующим образом:
Оператор вправе осуществлять без уведомления уполномоченного органа обработку персональных данных:

"8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 2).

Вы четко указываете, что ведете все записи в бумажном блокноте, не используете электронные базы данных, CRM-системы, сайт для сбора данных и даже Excel-таблицы для учета контактов. Ваша обработка осуществляется исключительно без использования средств автоматизации. Следовательно, вы освобождены от обязанности направлять уведомление в Роскомнадзор.

Важное уточнение: Это исключение касается только обязанности по уведомлению. Все остальные требования закона (о конфиденциальности, безопасности, законности целей) продолжают действовать в полном объеме.

3. На каком законном основании вы обрабатываете данные?

Ваша обработка персональных данных (контактов руководителей) является правомерной, так как она необходима для исполнения договора с вашим клиентом (руководителем центра).

"обработка персональных данных допускается в следующих случаях: 5) обработка персональных данных необходима для исполнения договора, стороной которого... является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, часть 1).

Вы собираете контакты именно для заключения и исполнения договора на оказание услуг. Это одно из главных оснований, которое освобождает вас и от необходимости получать отдельное письменное согласие на обработку данных в данном конкретном случае.

4. Какие обязанности у вас как у оператора сохраняются?

Несмотря на отсутствие обязанности по уведомлению, вы должны:

1. Соблюдать принципы обработки: Обрабатывать данные законно и справедливо, только в целях исполнения договора, не хранить их дольше необходимого.

   "Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5).
   "Хранение персональных данных... не дольше, чем этого требуют цели обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5).

2. Обеспечивать конфиденциальность: Не разглашать и не распространять данные клиентов без их согласия.

   "Операторы... обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 7).

3. Обеспечивать безопасность: Принимать меры для защиты бумажного носителя (блокнота) от несанкционированного доступа, утери, порчи. Блокнот должен храниться в месте, исключающем свободный доступ посторонних.

   "Оператор... обязан принимать необходимые правовые, организационные и технические меры... для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19).

4. Уничтожать данные по истечении необходимости: После окончания сотрудничества и истечения сроков хранения документов по договору (согласно гражданскому и налоговому законодательству) персональные данные в блокноте следует надежно уничтожить (например, шредировать или сжечь страницы).

5. Каковы риски?

Если вы не соблюдаете перечисленные выше обязанности (например, блокнот потерялся или данные стали доступны посторонним), вас могут привлечь к ответственности по статье 24 Закона о персональных данных и КоАП РФ (штрафы для ИП). Также клиент вправе потребовать возмещения убытков или морального вреда.

"Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 24).

Рекомендации и выводы

1. Регистрация в Роскомнадзоре не требуется. Продолжайте вести учет контактов в бумажном блокноте. Менять его на специальную книгу или электронную систему не нужно, если вам так удобно.
2. Повысьте уровень защиты блокнота. Храните его в сейфе или запирающемся ящике. Не оставляйте на видном месте.
3. Ведите себя прозрачно. При обмене контактами с руководителем центра можете устно пояснить, что его телефон и ФИО будут записаны в вашу рабочую тетрадь исключительно для связи по вопросам договора и расчетов.
4. Введите правило уничтожения данных. Определите для себя срок (например, через 5 лет после окончания работ по договору), после которого старые записи будут уничтожаться.
5. Будьте осторожны при переходе на электронный учет. Если в будущем вы решите перенести контакты в компьютер (даже в файл Word или Excel), это будет считаться обработкой с использованием средств автоматизации. В этом случае обязанность по уведомлению Роскомнадзора возникнет, и вам придется выполнять более сложные требования по защите данных. Пока вы работаете только с бумагой — этого можно избежать.

В вашей текущей ситуации оснований для беспокойства о "регистрации" нет. Ваша задача — обеспечить надлежащее и безопасное хранение вашего бумажного блокнота с контактами. Если ситуация изменится (появятся наемные сотрудники, которые будут иметь доступ к данным, или вы перейдете на электронный учет), вопрос нужно будет пересмотреть. В случае сложностей рекомендуем обратиться к адвокату, специализирующемуся на защите персональных данных.