Если индивидуальный предприниматель (ИП) работает исключительно с юридическими лицами и не собирает, не хранит и не использует персональные данные физических лиц, регистрироваться оператором ПДн в Роскомнадзоре не требуется.
Персональные данные по закону — это только сведения о физических лицах. Соответственно, данные об организациях (название, ИНН, юридический адрес и т. д.) не являются ПДн.
Когда регистрация не нужна:
- если ИП работает только по безналичным расчётам с юрлицами;
- если в договоре фигурируют только реквизиты организаций без указания персональных данных представителей.
Когда регистрация обязательна:
- если в документах фигурируют данные уполномоченных лиц юрлиц (ФИО, паспортные данные, телефон, e-mail, подпись);
- если ИП собирает данные физических лиц в любых целях (например, резюме кандидатов, заказы от клиентов-физлиц, анкеты).
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к определённому или определяемому физическому лицу. Данные юрлиц к ПДн не относятся.
- Ст. 22 ФЗ-152 — оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн, за исключением отдельных случаев, прямо перечисленных в законе.
- Письмо Роскомнадзора от 30.06.2017 № 08-10257 — сведения о юридических лицах не являются персональными данными.
Практика и позиция Роскомнадзора
Роскомнадзор подтверждает: если ИП работает только с организациями и не обрабатывает данные физических лиц, регистрироваться оператором ПДн не нужно.
Однако на практике почти всегда в договорах и первичных документах указываются ФИО и контакты представителей контрагентов. В такой ситуации это уже ПДн, и формально предприниматель становится оператором. В проверках РКН такие случаи квалифицируются как обработка ПДн, даже если бизнес ориентирован исключительно на B2B.
Важный момент для ИП
Даже если работа идёт только с юрлицами, почти невозможно полностью исключить обработку ПДн: подписи в договорах, визитки, служебные e-mail и телефоны сотрудников контрагентов формально относятся к персональным данным.
Рекомендации и выводы
Регистрация оператором ПДн ИП не нужна только в теории, если бизнес работает исключительно с реквизитами юрлиц. На практике, как правило, фигурируют данные физических лиц, а значит — требуется регистрация и выполнение требований ФЗ-152.
Чтобы избежать рисков, ИП стоит:
- Проверить, фигурируют ли в документах данные представителей контрагентов.
- Если да — уведомить Роскомнадзор о начале обработки ПДн.
- Подготовить комплект документов по 152-ФЗ (политика, положение, регламенты).
- Назначить ответственного за ПДн и определить меры защиты.
Компания ICTech поможет индивидуальным предпринимателям оценить, действительно ли есть обработка ПДн, и при необходимости зарегистрироваться в Роскомнадзоре, а также подготовить полный пакет документов. Это позволит исключить риски штрафов и претензий регулятора.
