Нужно ли соблюдать ФЗ-152, если сотрудников всего 5 человек?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, соблюдать требования Федерального закона № 152-ФЗ «О персональных данных» необходимо независимо от количества сотрудников. Закон не делает исключений для малых предприятий или организаций с минимальным штатом.

Если у компании есть даже 5 сотрудников, то она уже обрабатывает их ФИО, паспортные данные, СНИЛС, ИНН, сведения о зарплате, банковские реквизиты и другую персональную информацию. В этом случае организация признаётся оператором персональных данных и обязана:

уведомить Роскомнадзор о начале обработки ПДн (если нет оснований для исключений, предусмотренных ст. 22 ФЗ-152);
разработать и внедрить пакет внутренних документов (политика в отношении ПДн, согласия, положения, приказы, журналы учёта и др.);
назначить ответственного за организацию обработки ПДн;
обеспечить безопасность хранения и использования этих данных;
готовиться к проверкам надзорных органов.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — определяет, кто является оператором персональных данных.
• Ст. 22 ФЗ-152 — обязанность уведомления Роскомнадзора.
• Ст. 18.1 ФЗ-152 — обязанности оператора (ответственный, публикация политики, локальные акты).
• Ст. 19 ФЗ-152 — обеспечение безопасности персональных данных.

Ни одна статья закона не устанавливает минимального количества сотрудников, при котором он применяется.

Практика проверок Роскомнадзора

На практике под проверки попадают даже ИП и маленькие организации с 2–3 сотрудниками. Например, микропредприятие в сфере услуг получило предписание от Роскомнадзора за отсутствие уведомления об обработке персональных данных и пакета документов, хотя фактически обрабатывало только данные работников.

Не только сотрудники: кого ещё затрагивает закон

Важно учитывать, что обработка ПДн — это не только сведения о персонале. Сюда входят и данные клиентов (ФИО, телефоны, e-mail), представителей контрагентов, а также посетителей сайта (например, IP-адреса или сведения из форм обратной связи). Таким образом, даже у небольшой компании объём обрабатываемых персональных данных может быть значительным.

Рекомендации и выводы

Организация обязана соблюдать ФЗ-152 независимо от размера и количества сотрудников. Даже несколько работников или один клиент означают обработку персональных данных.

Чтобы исключить риски штрафов предписаний Роскомнадзора, необходимо:

1. Уведомить Роскомнадзор о начале обработки персональных данных (если нет оснований для освобождения).
2. Разработать и внедрить полный пакет документов по защите персональных данных, включающий политику, приказы, согласия, инструкции и журналы учёта.
3. Назначить ответственного и закрепить его обязанности документально.
4. Организовать порядок работы с персональными данными внутри компании.

Компания ICTech предлагает услугу разработки комплекта документов по 152-ФЗ «под ключ». Это решение позволяет:

• соответствовать требованиям законодательства без лишних усилий;
• избежать штрафов и проблем при проверках Роскомнадзора;
• снизить риск утечки данных и претензий со стороны сотрудников или клиентов;
• сэкономить время руководителя и сотрудников на подготовку к проверкам.

Таким образом, услуга закрывает сразу три потребности бизнеса: безопасность, юридическое соответствие и экономия ресурсов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге