Обработка персональных данных контрагентов индивидуальным предпринимателем
Анализ ситуации
Вы являетесь индивидуальным предпринимателем (ИП) и обрабатываете информацию о ваших контрагентах — других ИП, такую как их ФИО, ИНН, паспортные данные и адрес проживания. Отсутствие веб-сайта и наемных работников не отменяет необходимость соблюдения законодательства о персональных данных, если такая обработка имеет место.
Применимые нормы закона и ответы на вопросы
1. Является ли ИП оператором персональных данных?
Да, является. Федеральный закон № 152-ФЗ определяет оператора следующим образом:
"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3, пункт 2).
Индивидуальный предприниматель — это физическое лицо, зарегистрированное в установленном порядке. Поскольку вы самостоятельно организуете и осуществляете обработку данных ваших контрагентов, вы подпадаете под это определение.
2. Являются ли данные контрагентов-ИП персональными?
Да, являются. Закон дает широкое определение:
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3, пункт 1).
Индивидуальный предприниматель — это прежде всего физическое лицо. Его ФИО, паспортные данные и адрес проживания однозначно позволяют его идентифицировать. ИНН физического лица также относится к персональным данным. Следовательно, обработка этих сведений регулируется законом № 152-ФЗ.
3. Нужно ли подавать уведомление в Роскомнадзор?
Возможно, нет, но при строгом соблюдении условия. Закон предусматривает исключение из обязанности по уведомлению:
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 2, пункт 8).
Ключевой момент: Обработка данных исключительно без использования средств автоматизации. Это означает, что все действия с персональными данными (их запись, систематизация, накопление, хранение, изменение, извлечение) осуществляются вручную, на бумажных носителях, без применения компьютеров, серверов, баз данных, облачных сервисов и любой иной автоматики.
- Если вы ведете договоры и учет только в бумажном виде (например, папки с договорами и картотекой), то уведомление подавать не нужно.
- Если вы храните сканы паспортов, реквизиты в файле на компьютере, ведете таблицу Excel с данными контрагентов или используете бухгалтерские программы, то вы используете средства автоматизации. В этом случае уведомление в Роскомнадзор подать необходимо до начала обработки.
4. Основные меры, которые должен предпринять ИП
Даже если уведомление не подается, ИП как оператор обязан выполнить ряд требований закона. Ключевые обязанности включают:
-
Определить правовое основание обработки. В вашем случае им является исполнение договора:
"обработка персональных данных допускается в следующих случаях: ... 5) обработка персональных данных необходима для исполнения договора, стороной которого ... является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, часть 1, пункт 5).
-
Обеспечить конфиденциальность данных.
"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 7).
-
Принять необходимые и достаточные организационно-правовые меры. Оператор обязан:
"принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом... самостоятельно определяет состав и перечень таких мер" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1, часть 1).
- Для ИП без работников это может быть, например:
- Составление документа (политики), определяющего порядок обработки персональных данных в вашей деятельности.
- Обеспечение физической сохранности носителей (договоров, копий паспортов) в закрывающемся шкафу.
- Если данные хранятся на компьютере — использование паролей, антивирусного ПО.
- Уничтожение данных (например, шредером) после истечения сроков хранения.
-
Соблюдать требования безопасности. Оператор обязан принимать меры для защиты данных от неправомерного доступа:
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19, часть 1).
5. Риски и ответственность
Административная ответственность за нарушения в области персональных данных установлена статьей 13.11 КоАП РФ. Важно, что:
В примечании 1 к статье 13.11 КоАП РФ указано: "За административные правонарушения, предусмотренные частями 1.1, 8 - 18 настоящей статьи, ... индивидуальные предприниматели несут административную ответственность как юридические лица" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11, примечание 1).
Это означает, что за серьезные нарушения (например, связанные с утечкой данных) штрафы для ИП могут исчисляться сотнями тысяч и даже миллионами рублей. Например, за непредставление уведомления (ч. 10 ст. 13.11 КоАП) штраф для ИП как для должностного лица составляет от 30 000 до 50 000 рублей.
Кроме того, "лица, осуществляющие предпринимательскую деятельность без образования юридического лица, совершившие административные правонарушения, несут административную ответственность как должностные лица, если настоящим Кодексом не установлено иное" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 2.4, примечание).
Проверки. Контроль осуществляет Роскомнадзор.
"Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется федеральным органом исполнительной власти, осуществляющим функции по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 23.1, часть 1).
Поводом для внеплановой проверки может послужить жалоба контрагента или выявление факта утечки данных.
Выводы и рекомендации
- Вы являетесь оператором персональных данных, так как обрабатываете идентифицирующую информацию о физических лицах — ваших контрагентах-ИП.
- Обязанность по уведомлению Роскомнадзора у вас отсутствует ТОЛЬКО в том случае, если вы обрабатываете данные полностью вручную, без использования компьютера (например, все договоры и их реквизиты — только на бумаге).
- Если вы используете компьютер для хранения или обработки данных контрагентов, вы обязаны подать уведомление в территориальное управление Роскомнадзора.
- Вне зависимости от необходимости уведомления вы обязаны:
- Иметь правовое основание для обработки (исполнение договора).
- Обеспечить конфиденциальность данных.
- Разработать и применять минимальные организационные меры (определить порядок обработки, обеспечить сохранность носителей).
- Принять меры по защите данных (физическая сохранность бумаг, защита компьютера паролем).
Конкретные рекомендации:
- Проанализируйте, используете ли вы средства автоматизации для работы с данными контрагентов.
- Если да — подготовьте и подайте уведомление в Роскомнадзор через портал госуслуг или на бумажном носителе.
- Составьте простой документ (Политика обработки персональных данных), где пропишите, какие данные, с какой целью, на каком основании и как вы обрабатываете.
- Организуйте безопасное хранение документов и файлов с персональными данными.
- Учитывая сложность и высокие штрафы, для детального анализа вашей ситуации и подготовки документов рекомендуется обратиться к адвокату или специалисту в области защиты персональных данных.