Алексей Ветров
Эксперт по защите данных IC-TECH
Федеральный закон № 152-ФЗ «О персональных данных» распространяется на все организации и индивидуальных предпринимателей, включая микробизнес. Закон не делает исключений по масштабу компании, числу сотрудников или величине оборота.
Если микропредприятие обрабатывает персональные данные сотрудников, клиентов или контрагентов (например, фамилию и имя, телефон, e-mail, паспортные данные, сведения о зарплате), оно автоматически признаётся оператором персональных данных и обязано соблюдать все установленные требования:
уведомить Роскомнадзор о начале обработки (если нет оснований для освобождения, предусмотренных ст. 22 ФЗ-152);
разработать и внедрить локальные нормативные документы (политику ПДн, согласия, положения, приказы, инструкции);
назначить ответственного за организацию обработки ПДн;
обеспечить техническую и организационную защиту данных;
быть готовым к проверке Роскомнадзора.
Таким образом, статус «микробизнес» не освобождает от требований ФЗ-152.
Если микропредприятие обрабатывает персональные данные сотрудников, клиентов или контрагентов (например, фамилию и имя, телефон, e-mail, паспортные данные, сведения о зарплате), оно автоматически признаётся оператором персональных данных и обязано соблюдать все установленные требования:
уведомить Роскомнадзор о начале обработки (если нет оснований для освобождения, предусмотренных ст. 22 ФЗ-152);
разработать и внедрить локальные нормативные документы (политику ПДн, согласия, положения, приказы, инструкции);
назначить ответственного за организацию обработки ПДн;
обеспечить техническую и организационную защиту данных;
быть готовым к проверке Роскомнадзора.
Таким образом, статус «микробизнес» не освобождает от требований ФЗ-152.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — даёт определение «оператор персональных данных» (любая организация или ИП, которые обрабатывают ПДн).
- Ст. 22 ФЗ-152 — устанавливает обязанность уведомления Роскомнадзора.
- Ст. 18.1 ФЗ-152 — обязанности оператора: назначение ответственного, публикация политики, принятие локальных актов.
- Ст. 19 ФЗ-152 — требования к обеспечению безопасности ПДн.
Закон не содержит оговорок для микробизнеса.
Практика проверок Роскомнадзора
В последние годы Роскомнадзор регулярно проверяет небольшие компании и даже индивидуальных предпринимателей.
Например:
- ИП с двумя наёмными сотрудниками получил штраф за отсутствие уведомления об обработке персональных данных и политики в отношении ПДн.
- Микропредприятие в сфере услуг было привлечено к ответственности за отсутствие согласий на обработку персональных данных клиентов, собранных через сайт.
Почему микробизнес тоже под ударом
Даже самая маленькая компания обрабатывает персональные данные:
- сотрудников (трудовые договоры, паспортные данные, СНИЛС, ИНН);
- клиентов (ФИО, телефон, e-mail, адрес доставки);
- посетителей сайта (IP-адреса, куки, данные форм).
Именно поэтому закон одинаково обязателен для микробизнеса и крупных корпораций.
Рекомендации и выводы
Микробизнес, как и любая другая организация, обязан соблюдать ФЗ-152. Чтобы исключить риски:
- Подайте уведомление в Роскомнадзор о начале обработки ПДн (если нет оснований для освобождения).
- Разработайте полный пакет документов по защите персональных данных: политика, положения, приказы, согласия, инструкции.
- Назначьте ответственного и закрепите его обязанности документально.
- Организуйте хранение и доступ к персональным данным.
Компания ICTech предлагает услугу разработки комплекта документов по 152-ФЗ для микробизнеса «под ключ».
Это позволит вам:
- соответствовать требованиям законодательства;
- избежать штрафов;
- спокойно проходить проверки Роскомнадзора;
- сосредоточиться на развитии бизнеса, а не на бюрократии.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
