Алексей Ветров
Эксперт по защите данных IC-TECH
Да, нужно. Данные учредителей (ФИО, паспортные данные, ИНН, адрес регистрации) — это персональные данные, и их обработка подпадает под действие Федерального закона № 152-ФЗ. Исключений для учредителей в ст. 22 закона не предусмотрено.
Соответственно, если организация собирает, хранит и использует сведения только о своих учредителях, она всё равно признаётся оператором персональных данных. А значит — обязана уведомить Роскомнадзор о начале обработки (если не подпадает под исключения, например, когда данные обрабатываются только в целях исполнения трудового договора, что к учредителям напрямую не относится).
Соответственно, если организация собирает, хранит и использует сведения только о своих учредителях, она всё равно признаётся оператором персональных данных. А значит — обязана уведомить Роскомнадзор о начале обработки (если не подпадает под исключения, например, когда данные обрабатываются только в целях исполнения трудового договора, что к учредителям напрямую не относится).
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация о физическом лице, включая ФИО, паспортные данные, адреса.
- Ст. 22 ФЗ-152 — оператор обязан уведомить Роскомнадзор о начале обработки персональных данных. Исключений для данных учредителей не установлено.
- Ст. 23 ФЗ-152 — Роскомнадзор ведёт реестр операторов ПДн.
Практика проверок Роскомнадзора
- При проверке небольшого ООО Роскомнадзор установил, что организация не вела кадрового учёта (не было сотрудников), но хранила и обрабатывала сведения об учредителях. За отсутствие уведомления компания была привлечена к административной ответственности.
- Другой случай: ИП, который обрабатывал только данные самого себя как учредителя и предпринимателя, освобождён от подачи уведомления, так как он действует в собственных интересах. Но если учредителей несколько — обработка данных других лиц требует уведомления.
Важный нюанс
Даже если данные учредителей отражены в ЕГРЮЛ (ФИО, доля в уставном капитале), и часть сведений является общедоступной, внутри организации хранятся расширенные данные (паспорта, ИНН, адреса, контактные сведения). Эти данные тоже подлежат защите и учёту по ФЗ-152.
Рекомендации и выводы
Если организация обрабатывает персональные данные только учредителей, она обязана:
- Подать уведомление в Роскомнадзор о начале обработки ПДн.
- Включить учредителей в перечень субъектов ПДн.
- Разработать и внедрить комплект документов по 152-ФЗ (политику, приказы, положения, журналы учёта).
- Обеспечить хранение данных учредителей с соблюдением требований закона.
Компания ICTech поможет вашей организации зарегистрироваться в реестре операторов ПДн, подготовить уведомление и разработать полный пакет документов по 152-ФЗ. Это позволит исключить риски штрафов и быть готовыми к проверкам Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
