Иконка поиска

Вопрос

Обязанности индивидуального предпринимателя как оператора персональных данных при работе с контрагентами-юридическими лицами

Добрый день! Подскажите, пожалуйста, считается ли индивидуальный предприниматель, который работает один, без сотрудников, сайта у него нет, и он взаимодействует только с юридическими лицами – другими ИП и организациями, – оператором персональных данных? И нужно ли в таком случае подавать какое-то уведомление в надзорный орган по защите данных, типа департамента по контролю за информацией? А еще вот что: в договорах, которые заключаю с контрагентами-ИП, есть их данные, например, полные имена, паспортные сведения, ИНН, адреса регистрации – это всё персональные данные или нет? Как быть с обработкой этой информации, особенно если нет четких правил в законе?

Вопрос №29075Ответы: 1
08.12.2025
Аватар НейроадвокатаНейроадвокат

Правовой статус ИП при обработке данных контрагентов-ИП и возникающие обязанности

На основании вашего запроса проведем анализ ситуации индивидуального предпринимателя (ИП), который работает без сотрудников и сайта, взаимодействуя исключительно с контрагентами — другими ИП и организациями, в части обработки информации, получаемой из договоров.

1. Является ли ИП оператором персональных данных?

Да, является.

Индивидуальный предприниматель, обрабатывающий данные контрагентов-ИП, признается оператором персональных данных. Это следует из определений, данных в законе.

"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон "О персональных данных", статья 3, п.1).

Контрагенты-ИП, несмотря на свой предпринимательский статус, являются физическими лицами. Их полное имя, паспортные данные, ИНН и адрес регистрации позволяют прямо их идентифицировать, следовательно, это персональные данные.

"оператор - ... юридическое или физическое лицо, самостоятельно ... организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 3, п.2).

ИП самостоятельно собирает, хранит и использует эти данные для целей заключения и исполнения договоров, определяя состав данных и цели их обработки. Таким образом, он подпадает под понятие оператора.

Вывод: Ваш ИП является оператором персональных данных в отношении данных контрагентов-ИП.

2. Нужно ли уведомлять Роскомнадзор об обработке персональных данных?

В вашем случае, вероятно, не нужно, но при строгом соблюдении определенного условия.

Закон устанавливает обязанность оператора уведомлять Роскомнадзор (уполномоченный орган) до начала обработки, но предусматривает ряд исключений. Одно из них напрямую может относиться к вашей ситуации.

"Оператор вправе осуществлять без уведомления ... обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;" (Источник: Федеральный закон "О персональных данных", статья 22, часть 2, п.8).

Ключевое условие — обработка исключительно без использования средств автоматизации. Это означает, что все действия с персональными данными (сбор, запись, систематизация, хранение, использование) производятся вручную, на бумажных носителях, без применения компьютеров, информационных систем, баз данных и любых других средств, позволяющих обрабатывать информацию автоматически по заданному алгоритму.

  • Если вы ведете договоры и реестры контрагентов исключительно в бумажном виде (в папках, журналах), то уведомление Роскомнадзора не требуется.
  • Если вы используете для хранения и обработки этих данных компьютер (например, файлы Word/Excel), бухгалтерскую программу, облачные сервисы или любые иные средства автоматизации, то исключение не применяется. В этом случае уведомление в Роскомнадзор подать необходимо в установленной форме.

Вывод: От обязанности уведомлять Роскомнадзор вас освобождает только полностью «ручная», бумажная обработка данных. Использование любых электронных средств влечет обязанность по уведомлению.

3. На каком правовом основании осуществляется обработка данных контрагентов-ИП?

Основным правовым основанием для обработки персональных данных контрагентов является необходимость исполнения договора, стороной которого является субъект данных.

"Обработка персональных данных допускается в следующих случаях: ... 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 6, часть 1, п.5).

Получение паспортных данных, ИНН, адреса регистрации необходимо для:

  • Идентификации контрагента при заключении договора.
  • Надлежащего исполнения обязательств (например, перечисления платежей, направления корреспонденции).
  • Ведения налогового и бухгалтерского учета, предусмотренного законом.

Таким образом, отдельного согласия на обработку данных для целей договора не требуется, так как обработка основана на законе.

4. Какие основные обязанности возникают у ИП как оператора?

Статус оператора накладывает на ИП ряд обязанностей, даже если он работает один и не уведомляет Роскомнадзор.

  1. Соблюдение принципов обработки данных. Обработка должна быть законной, целенаправленной, соразмерной. Нельзя собирать избыточные данные, не соответствующие цели договора.

    "Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. ... Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки." (Источник: Федеральный закон "О персональных данных", статья 5).

  2. Обеспечение конфиденциальности. Запрещено разглашать данные контрагентов третьим лицам без их согласия, если иное не предусмотрено законом.

    "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 7).

  3. Обеспечение безопасности данных. Оператор обязан принимать меры для защиты данных от неправомерного доступа, утери и т.д.

    "Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон "О персональных данных", статья 19).

    Даже при бумажной обработке это включает в себя обеспечение сохранности документов (шкафы с замками), контроль доступа к ним.

  4. Соблюдение прав субъектов данных. Контрагент-ИП (субъект данных) имеет право запросить информацию об обработке его данных, потребовать их уточнения или уничтожения после прекращения договорных отношений, если хранение более не требуется. Оператор обязан реагировать на такие запросы.

    "Оператор обязан сообщить ... субъекту персональных данных ... информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными..." (Источник: Федеральный закон "О персональных данных", статья 20).

  5. Уничтожение данных по достижении целей. После исполнения договора и истечения сроков хранения, установленных законом (например, для налоговых документов — 5 лет), персональные данные подлежат уничтожению.

    "Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей..." (Источник: Федеральный закон "О персональных данных", статья 5).

5. Применяются ли требования о локализации баз данных на территории РФ?

Да, применяются, но с оговорками.

Закон содержит прямой запрет на запись и хранение персональных данных граждан РФ в базах данных, находящихся за пределами России. Однако из этого правила есть исключения.

"При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона." (Источник: Федеральный закон "О персональных данных", статья 18, часть 5).

Одно из упомянутых исключений — как раз пункт 5 статьи 6 (обработка для исполнения договора). Это означает, что если обработка для целей договора требует использования зарубежных баз данных (например, определенного иностранного облачного сервиса по требованию контрагента), то такая обработка может быть допустима. Однако правоприменительная практика в этой области сложна.

Вывод: В общем случае рекомендуется использовать для хранения и обработки персональных данных российские сервисы и носители информации. Использование иностранных сервисов требует отдельного анализа на соответствие исключениям и может нести риски.

Выводы и конкретные рекомендации

  1. Вы — оператор персональных данных. Обрабатывая ФИО, паспортные данные, ИНН и адреса контрагентов-ИП, вы осуществляете обработку персональных данных и несете соответствующие обязанности.

  2. Уведомление в Роскомнадзор подавать не нужно только если вы обрабатываете все данные исключительно вручную, на бумаге. Использование компьютера, электронной почты, мессенджеров для передачи/получения данных или программ для их хранения означает использование средств автоматизации и обязывает вас подать уведомление.

  3. Правовое основание для обработки — исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ). Отдельное согласие на обработку для этих целей не требуется. Однако, если вы планируете использовать данные для иных целей (например, рассылка рекламы), потребуется отдельное, ясно выраженное согласие.

  4. Обязательные меры для ИП:

    • Конфиденциальность: Не разглашайте данные контрагентов.
    • Безопасность: Обеспечьте физическую сохранность бумажных документов. При использовании компьютера установите пароль, используйте антивирусное ПО. Определите перечень обрабатываемых данных и цели обработки для себя (это можно сделать внутренним документом).
    • Соблюдение прав: Будьте готовы ответить на запрос контрагента о его данных.
    • Уничтожение: После истечения сроков хранения договоров и сопутствующих документов (согласно налоговому и гражданскому законодательству) обеспечьте безопасное уничтожение документов, содержащих персональные данные (шредер, акт об уничтожении).
  5. Локализация: Для минимизации рисков храните все базы данных и документы с персональными данными на физических носителях или в информационных системах, расположенных на территории РФ.

  6. Рекомендация: Учитывая потенциальные риски административной (по КоАП РФ) и даже уголовной ответственности (в случае умышленного разглашения), рекомендуется формализовать ваш подход к обработке данных. Даже в минимальном виде это может быть журнал учета обработки ПДн и документ, описывающий принятые меры безопасности. В сложных случаях, особенно при использовании иностранных IT-сервисов, целесообразно обратиться к адвокату, специализирующемуся на информационном праве.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение