Алексей Ветров
Эксперт по защите данных IC-TECH
Индивидуальный предприниматель (ИП) без сотрудников также может являться оператором персональных данных, если в процессе своей деятельности он получает, хранит или иным образом обрабатывает сведения о клиентах, контрагентах или иных лицах. Сам факт отсутствия наёмных работников не освобождает ИП от обязанностей по ФЗ-152.
Если же ИП ведёт деятельность без ведения базы клиентов (например, не собирает телефоны, электронные адреса, не оформляет договоры на физических лиц), тогда фактической обработки персональных данных может не быть — и обязанностей оператора у него не возникает. Но на практике почти любой бизнес, работающий с физическими лицами, использует персональные данные.
Если же ИП ведёт деятельность без ведения базы клиентов (например, не собирает телефоны, электронные адреса, не оформляет договоры на физических лиц), тогда фактической обработки персональных данных может не быть — и обязанностей оператора у него не возникает. Но на практике почти любой бизнес, работающий с физическими лицами, использует персональные данные.
Обоснование по законодательству
- Ст. 3 ФЗ-152 – оператором персональных данных является любое лицо, самостоятельно организующее и/или осуществляющее обработку ПДн, независимо от организационно-правовой формы.
- Ст. 6 ФЗ-152 – устанавливает основания обработки персональных данных (согласие субъекта, заключение договора).
- Ст. 22 ФЗ-152 – обязывает операторов уведомлять Роскомнадзор о начале обработки персональных данных (есть исключения).
- Ст. 18.1 ФЗ-152 – закрепляет обязанность оператора обеспечивать организационные и технические меры защиты.
ИП и персональные данные клиентов
На практике ИП без сотрудников всё равно ведёт обработку персональных данных, например:
- при заключении договоров с физическими лицами;
- при приёме заказов через сайт или мессенджеры (ФИО, телефон, email, адрес доставки);
- при предоставлении услуг (например, образовательных или медицинских), где данные клиента обрабатываются по закону.
В этих случаях ИП обязан соблюдать все требования ФЗ-152 как оператор.
Пример из практики
ИП в сфере онлайн-торговли продаёт товары через интернет-магазин. Для выполнения заказа он получает ФИО, телефон и адрес доставки покупателя. Даже при отсутствии сотрудников он становится оператором персональных данных и должен:
- разработать и опубликовать политику конфиденциальности на сайте;
- получить согласия клиентов на обработку их данных;
- уведомить Роскомнадзор о начале обработки.
Рекомендации и выводы
- ИП без сотрудников не освобождается от требований ФЗ-152, если он работает с данными клиентов или иных физических лиц.
- В обязательный минимум для ИП обычно входит:
- уведомление Роскомнадзора (если деятельность не подпадает под исключения ст. 22 ФЗ-152);
- разработка и размещение политики обработки ПДн (особенно при работе через сайт);
- оформление согласий на обработку данных;
- принятие мер по защите данных (пароли, антивирус, безопасное хранение документов).
- За несоблюдение требований действуют административные штрафы (ст. 13.11 КоАП РФ), которые распространяются и на ИП.
Мы рекомендуем предпринимателям заранее оформить полный комплект документов по ФЗ-152. Это поможет избежать штрафов и спокойно развивать бизнес. В ICTech мы разрабатываем такие комплекты для ИП и подбираем решения под конкретный вид деятельности.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
