Иконка поиска
Логотип Все адвокаты
Иконка поиска

Вопрос

Корпоративное и предпринимательское право

Являюсь ли я оператором персональных данных как ИП при сдаче в аренду нежилых помещений, нужна ли регистрация в Роскомнадзоре и какие документы оформлять

Добрый день. Я индивидуальный предприниматель, работаю один без наемных работников, сдаю в аренду собственные нежилые помещения разным клиентам: другим ИП, небольшим фирмам и самозанятым. Договоры аренды я готовлю самостоятельно, используя обычную программу на компьютере. Для заключения договоров арендаторы предоставляют мне копии своих документов, например, паспорта, где видны фамилия, имя, отчество, дата рождения и адрес регистрации, а также свидетельства ИНН, выписки из госреестров или уставные бумаги для организаций. Эти данные я храню в бумажном виде и иногда в электронном, использую их только для оформления и сопровождения договоров аренды. Подскажите, пожалуйста, в этой ситуации я считаюсь оператором персональных данных или нет? Если да, то обязательно ли мне регистрироваться как оператор в Роскомнадзоре? Какие документы нужно подписывать с арендаторами насчет обработки их персональных данных, может, согласие или что-то еще? Если я все-таки оператор, то какие внутренние бумаги у меня должны быть, типа политики обработки или инструкций? И нужно ли сдавать какие-то регулярные отчеты или уведомления в РКН, и если да, то какие? Большое спасибо за помощь.

Вопрос №57216Ответы: 1
09.04.2026
Аватар НейроадвокатаНейроадвокат
Корпоративное и предпринимательское правоНужен документ
Обработка персональных данных индивидуальным предпринимателем при сдаче нежилых помещений в аренду

Анализ ситуации

Вы являетесь индивидуальным предпринимателем (ИП) и в рамках своей деятельности заключаете договоры аренды. Для этого вы получаете, храните и используете документы контрагентов (физических лиц, ИП, представителей организаций), содержащие персональные данные. Это включает паспортные данные, ИНН, адреса.

1. Являетесь ли вы оператором персональных данных?

Да, вы являетесь оператором персональных данных.

Согласно закону, оператор — это "государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).

Обработка персональных данных определяется как "любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).

Вы самостоятельно организуете и осуществляете сбор, хранение и использование персональных данных арендаторов для цели заключения и исполнения договоров аренды, следовательно, подпадаете под определение оператора.

2. Нужно ли регистрироваться (уведомлять Роскомнадзор)?

В вашем случае, скорее всего, нет, но с важной оговоркой.

Закон обязывает оператора до начала обработки уведомить уполномоченный орган (Роскомнадзор), за исключением случаев, перечисленных в статье 22. Одно из ключевых исключений, которое может к вам относиться:

"8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 2).

Важный момент: в вашем описании указано, что вы храните данные "иногда в электронном виде" и используете "обычную программу на компьютере" для подготовки договоров. Обработка с использованием средств автоматизации (компьютера) лишает вас возможности воспользоваться этим исключением. Однако, если вы храните данные только на бумажных носителях, а компьютер используете исключительно как печатную машинку для формирования документа, не создавая и не храня в нем электронные базы данных арендаторов, есть шанс подпасть под это исключение. Судебная практика и разъяснения Роскомнадзора по этому вопросу неоднозначны.

Вывод: Если вы обрабатываете данные (храните, систематизируете) в электронном виде (например, в файлах Excel, в почте, в программе учета), вы обязаны направить уведомление в Роскомнадзор. Если обработка полностью на бумаге — уведомлять не нужно.

3. Какие документы подписывать с арендаторами (согласие)?

Для физических лиц-арендаторов (включая ИП и самозанятых):
В большинстве случаев отдельное письменное согласие не требуется. Обработка их персональных данных будет законна на основании п. 5 ч. 1 ст. 6 закона:

"5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6).

Аргументация: физическое лицо (ИП) инициирует заключение договора аренды и предоставляет свои данные именно для этой цели. Обработка (хранение паспортных данных, адреса) необходима для исполнения этого договора (идентификация сторон, направление корреспонденции, разрешение споров).

Для представителей юридических лиц:
Представитель организации действует на основании устава или доверенности. Его персональные данные (ФИО, должность) обрабатываются в связи с исполнением договора с организацией. Правовое основание то же — п. 5 ч. 1 ст. 6, так как представитель действует в интересах стороны договора (юридического лица).

Что рекомендуется сделать на практике:
Включить в текст самого договора аренды раздел о согласии на обработку персональных данных. В нем указать:

  • Перечень данных, которые будут обрабатываться (паспорт, ИНН, адрес и т.д.).
  • Цели обработки (заключение, исполнение, изменение, расторжение договора аренды, направление уведомлений, разрешение споров).
  • Способы обработки (сбор, запись, хранение, уточнение, использование).
  • Срок действия согласия (как правило, на весь срок договора и срок исковой давности после его окончания).
  • Подтверждение, что субъект данных ознакомлен с политикой оператора (см. ниже).

Это не является обязательным требованием закона при наличии основания по ст. 6, но является хорошей практикой, информирует контрагента и снижает риски споров.

4. Какие внутренние документы должны быть?

Как оператор вы обязаны принять меры, необходимые и достаточные для обеспечения выполнения своих обязанностей. К таким мерам, в частности, относится:

"2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1).

Хотя норма прямо говорит о юридических лицах, она устанавливает общий принцип. ИП, как оператор, также должен определить правила обработки. Вам рекомендуется разработать и утвердить (проставить дату и подпись) следующие документы:

  1. Политика в отношении обработки персональных данных — основной документ. В нем описываются цели, принципы, состав данных, права субъектов, меры безопасности, порядок обработки запросов от субъектов данных.
  2. Приказ (распоряжение) об утверждении Политики и назначении ответственного за организацию обработки ПДн. Поскольку вы работаете один, ответственным будете вы сами.
  3. Перечень лиц, имеющих доступ к персональным данным. Опять же, это будете только вы.
  4. Инструкция по обеспечению безопасности персональных данных (если обработка ведется в информационной системе). Описывает, как защищены бумажные и электронные носители: пароли на компьютер, антивирус, шкаф с замком для бумаг.
  5. Журнал учета обращений субъектов персональных данных (для фиксации запросов, если они поступят).

"Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1, часть 2).

Достаточно иметь этот документ в бумажном виде и предоставлять его по первому требованию арендатора или проверяющего органа.

5. Регулярная отчетность и уведомления в РКН

  • Регулярной отчетности (ежемесячной, ежеквартальной) закон не устанавливает.
  • Обязанность по уведомлению возникает в следующих случаях:
    • При начале обработки (если вы не подпадаете под исключение) — уведомление по форме.
    • При изменении сведений, указанных в уведомлении (например, сменили адрес, добавили новую цель обработки). Уведомлять нужно не позднее 15-го числа месяца, следующего за месяцем изменений. (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 7).
    • При прекращении обработки данных — в течение 10 рабочих дней. (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 7).
  • Обязанность по реагированию на запросы:
    • Вы обязаны отвечать на запросы самих субъектов данных (арендаторов) о предоставлении информации об обработке их данных, их уточнении или уничтожении в сроки, установленные статьями 14 и 20 закона (как правило, 10-30 дней). (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статьи 14, 20).
    • Вы обязаны предоставлять информацию по запросу Роскомнадзора в установленные сроки. (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 20).

Выводы и конкретные рекомендации

  1. Вы — оператор персональных данных. Игнорировать этот статус нельзя.
  2. По уведомлению в Роскомнадзор:
    • Если вы храните данные арендаторов в электронном виде (в файлах, базах данных на компьютере) — обязательно подайте уведомление через сайт Роскомнадзора.
    • Если все данные строго на бумаге, а компьютер используется только для печати, теоретически можно не уведомлять. Однако риски признания ваших действий автоматизированной обработкой высоки. Наиболее безопасный путь — подать уведомление.
  3. С арендаторами:
    • Включайте в договор аренды блок о согласии на обработку персональных данных. Это застрахует вас и проинформирует контрагента.
    • Отдельный документ-согласие готовить не обязательно, но можно иметь его как шаблон на случай, если арендатор по каким-то причинам откажется включать такой пункт в договор (что маловероятно).
  4. Внутренний документооборот:
    • Обязательно разработайте и утвердите Политику обработки персональных данных.
    • Издайте приказ о ее введении и назначении себя ответственным.
    • Составьте перечень обрабатываемых данных и субъектов.
    • Обеспечьте минимальные меры безопасности: пароль на компьютер, антивирус, locked шкаф для бумажных документов.
  5. Отчетность:
    • Регулярных отчетов нет.
    • Будьте готовы в срок отвечать на запросы арендаторов о их данных.
    • При изменении данных в ранее поданном уведомлении (если вы его подавали) — направляйте обновления в Роскомнадзор.

Рекомендация: Учитывая, что объем обрабатываемых данных невелик, а риски штрафов за нарушения в области персональных данных существенны (статья 24 закона), рекомендуем подойти к вопросу формально: разработать Политику, обеспечить базовую защиту и, для исключения любых сомнений, подать уведомление в Роскомнадзор. Это избавит вас от потенциальных претензий контролирующего органа. Для окончательного решения по вопросу уведомления или для разработки полного пакета документов целесообразно обратиться к адвокату, специализирующемуся на защите персональных данных.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение