Нужно ли соблюдать ФЗ-152 при работе только с юридическими лицами?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Если компания работает исключительно с юридическими лицами и не обрабатывает данные физических лиц, то обязанности по соблюдению Федерального закона № 152-ФЗ в части защиты персональных данных на неё не распространяются.

Однако на практике полностью исключить персональные данные крайне сложно. Даже при работе только с юрлицами в документообороте почти всегда присутствуют сведения о физических лицах — директорах, главных бухгалтерах, менеджерах, представителях контрагентов. Это могут быть:

- ФИО руководителя или представителя в договоре;
- паспортные данные при доверенности;
- рабочие e-mail и телефоны, если они персонифицированы.

В таком случае организация уже является оператором персональных данных и обязана соблюдать требования ФЗ-152.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.
• Ст. 6 ФЗ-152 — допускает обработку ПДн, если это необходимо для исполнения договора (в т. ч. с юрлицом, но через его представителей).
• Ст. 22 ФЗ-152 — оператор обязан уведомить Роскомнадзор о начале обработки ПДн, если не подпадает под исключения.

Таким образом, если компания хоть раз работает с данными физических лиц (представителей юрлиц), она становится оператором ПДн.

Практика проверок Роскомнадзора

• При проверке одной организации установлено, что она заключала договоры только с юрлицами. Однако в договорах указывались ФИО директоров и главных бухгалтеров. Роскомнадзор признал это обработкой персональных данных и обязал компанию подать уведомление и разработать документы по 152-ФЗ.
• Другой пример: бухгалтерская фирма работала только с юрлицами, но получала от них сведения о сотрудниках для расчёта зарплаты. В итоге — полный объём обязанностей по ФЗ-152.

Важный нюанс

Компании, которые уверены, что работают исключительно с юрлицами, часто упускают момент: персональные данные могут «просачиваться» через договора, доверенности, контакты сотрудников контрагентов. Даже наличие в договоре фамилии директора — это уже персональные данные.

Рекомендации и выводы

ФЗ-152 не нужно соблюдать только в случае, если деятельность компании вообще не связана с обработкой персональных данных физических лиц. На практике это встречается редко. Чтобы исключить риски:

1. Проанализируйте свои договоры, доверенности и переписку с контрагентами.
2. Если там есть данные физлиц (ФИО, контакты, паспортные данные) — это уже обработка ПДн.
3. Включите представителей юрлиц в перечень субъектов ПДн.
4. Разработайте и внедрите комплект документов по 152-ФЗ.

Компания ICTech поможет вашей организации провести аудит документооборота и определить, действительно ли вы работаете только с юрлицами или всё же обрабатываете персональные данные физических лиц. Мы подготовим полный пакет документов по 152-ФЗ, чтобы закрыть все возможные риски при проверках.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге