Иконка поиска
Логотип Все адвокаты
Иконка поиска

Вопрос

Корпоративное и предпринимательское право

Обязанность ИП уведомлять Роскомнадзор об обработке персональных данных при работе с контрагентами и бухгалтером

Здравствуйте. Я индивидуальный предприниматель, занимаюсь малярными работами и услугами отделки внутренних помещений. Работников в штате нет, работаю одна. Пользуюсь услугами внешнего бухгалтера. Взаимодействую с контрагентами: заказчики, поставщики материалов, подрядчики. В процессе работы я получаю от них персональные данные (ФИО, телефон, адрес, паспортные данные для договоров). Бухгалтер обрабатывает эти данные для выставления счетов и отчетности. Подскажите, нужно ли мне подавать уведомление в Роскомнадзор об обработке персональных данных? Если да, то какие цели обработки указать? Например, заключение и исполнение договоров, ведение бухгалтерского учета, связь с контрагентами?

Вопрос №64234Ответы: 1
03.05.2026
Аватар НейроадвокатаНейроадвокат
Корпоративное и предпринимательское правоНужен документ
Обязанность ИП по уведомлению Роскомнадзора об обработке персональных данных контрагентов

Анализ вашей ситуации

Вы как индивидуальный предприниматель являетесь оператором персональных данных в соответствии с Федеральным законом "О персональных данных". Согласно закону, оператором признается лицо, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели такой обработки (статья 3, пункт 2). Вы получаете и обрабатываете ФИО, телефоны, адреса и паспортные данные контрагентов (заказчиков, поставщиков, подрядчиков). Кроме того, вы привлекаете внешнего бухгалтера, который также обрабатывает эти данные, что является поручением обработки третьему лицу.

Обязанность подавать уведомление

Да, уведомление подавать необходимо, если вы используете средства автоматизации (компьютер, ноутбук, смартфон) для обработки персональных данных.

Согласно статье 22 Федерального закона № 152-ФЗ:

"1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи."

Исключения из обязанности уведомления (часть 2 статьи 22) после последних изменений (с 1 сентября 2022 года) существенно сократились. В вашей ситуации применимым может быть только одно исключение:

"8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации"

Однако, если вы:

  • храните договоры и данные контрагентов в электронном виде,
  • используете бухгалтерские программы,
  • ведете учет на компьютере,
  • обмениваетесь документами по электронной почте,

то обработка считается автоматизированной (с использованием средств вычислительной техники - пункт 4 статьи 3). В этом случае исключение не применяется, и уведомление обязательно.

Также обратите внимание: в старой редакции закона существовало освобождение от уведомления, если персональные данные получены в связи с заключением договора и используются только для его исполнения (пункт 2 части 2 старой редакции). Это исключение утратило силу с 1 сентября 2022 года, поэтому на него ссылаться нельзя.

Вывод по первому вопросу: Вы обязаны подать уведомление, если обработка ведется с использованием компьютера или иной вычислительной техники (что в современных условиях почти неизбежно). Если вы ведете исключительно бумажный документооборот (рукописные договоры, картотека на бумаге), то уведомление не требуется.

Какие цели обработки указать

В уведомлении необходимо указать цели обработки персональных данных в соответствии с требованиями части 3 статьи 22. Рекомендую указать следующие цели:

  1. "Заключение и исполнение договоров с контрагентами" — это основная цель. Согласно статье 6, пункту 5 части 1, обработка персональных данных допускается, если она необходима для исполнения договора, стороной которого является субъект персональных данных.

  2. "Ведение бухгалтерского и налогового учета, составление отчетности" — поскольку вы обязаны вести бухгалтерский учет в соответствии с налоговым законодательством, эта цель также является законной (статья 6, пункт 2 части 1 — для выполнения обязанностей, возложенных законом).

  3. "Связь с контрагентами по вопросам исполнения договоров" — эта цель может быть включена как часть исполнения договора или как отдельная цель (на основании пункта 7 части 1 статьи 6 — осуществление прав и законных интересов оператора).

Обратите внимание: для каждой цели нужно будет указать категории персональных данных, правовое основание, перечень действий и способы обработки (часть 3.1 статьи 22). Цели должны быть конкретными и соответствовать фактической обработке. Не следует указывать цели, не связанные с вашей деятельностью.

Рекомендации по подаче уведомления и дополнительные обязанности

1. Уведомление подается до начала обработки персональных данных. Если вы уже обрабатываете данные, сделайте это немедленно. Форма уведомления утверждена Приказом Роскомнадзора № 94 (она содержит все необходимые поля).

2. В уведомлении необходимо указать сведения о внешнем бухгалтере. Поскольку вы поручаете обработку персональных данных другому лицу, в уведомлении должны быть указаны:

  • фамилия, имя, отчество лица, ответственного за организацию обработки (пункт 7.1 части 3 статьи 22);
  • сведения о лице, осуществляющем обработку по договору (пункт 10.2 части 3 статьи 22).

Дополнительно с бухгалтером необходимо заключить договор поручения на обработку персональных данных в соответствии с частью 3 статьи 6, где должны быть определены перечень действий, цели, обязанность по соблюдению конфиденциальности и меры безопасности.

3. Разработайте Политику обработки персональных данных. Это обязанность оператора (статья 18.1, часть 2):

"Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных."

Политику нужно разместить на вашем сайте (если есть) или обеспечить доступ к ней иным способом.

4. Получите согласие на обработку персональных данных от контрагентов. По общему правилу обработка должна осуществляться с согласия субъекта (статья 9, часть 1). Исключение — если обработка необходима для исполнения договора (пункт 5 части 1 статьи 6), но даже в этом случае рекомендуется получать согласие, особенно на паспортные данные, которые не всегда требуются для исполнения договора.

Итоговые рекомендации

  1. Подайте уведомление в Роскомнадзор в электронной форме через портал Госуслуги или на бумаге, указав цели: "заключение и исполнение договоров", "ведение бухгалтерского учета", "связь с контрагентами". Срок — до начала обработки, но лучше как можно скорее.

  2. Разработайте и опубликуйте Политику обработки персональных данных (примерный текст можно найти в методических рекомендациях Роскомнадзора).

  3. Заключите соглашение с внешним бухгалтером о поручении обработки персональных данных с указанием всех обязательных условий.

  4. Получите согласие на обработку персональных данных от контрагентов, особенно если запрашиваете паспортные данные. Форма согласия должна соответствовать требованиям статьи 9.

  5. Если вы не используете автоматизацию (бумажный документооборот), вы вправе не подавать уведомление, но при этом обязаны соблюдать все остальные требования закона (конфиденциальность, согласие, уничтожение данных после достижения целей).

Рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных, для корректного оформления документов, особенно если у вас большой объем контрагентов или сложные договорные отношения.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение