Алексей Ветров
Эксперт по защите данных IC-TECH
Да, данные директора организации относятся к персональным данным. По закону персональными данными признаётся любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Директор — это такое же физическое лицо, как сотрудник или клиент, поэтому его ФИО, паспортные данные, ИНН, СНИЛС, адрес проживания, телефон и e-mail подпадают под действие ФЗ-152.
Даже если директор выступает от имени юридического лица, его личные сведения не перестают быть персональными данными. Исключение составляют только те сведения, которые относятся к публичной информации о руководителе — например, данные, размещённые в ЕГРЮЛ (ФИО, должность), поскольку они становятся общедоступными. Но это не отменяет факта, что внутри организации такие данные обрабатываются как персональные.
Даже если директор выступает от имени юридического лица, его личные сведения не перестают быть персональными данными. Исключение составляют только те сведения, которые относятся к публичной информации о руководителе — например, данные, размещённые в ЕГРЮЛ (ФИО, должность), поскольку они становятся общедоступными. Но это не отменяет факта, что внутри организации такие данные обрабатываются как персональные.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — субъект персональных данных — это любое физическое лицо, к которому относятся данные.
- Ст. 6 ФЗ-152 — допускает обработку ПДн без согласия, если это необходимо для исполнения договора или закона (в т. ч. регистрация юрлица, налоговый учёт).
- Ст. 5 ФЗ-152 — закрепляет принципы обработки (законность, минимизация, ограничение цели).
- ГК РФ, ст. 152.2 — признаёт защиту частной жизни, в том числе персональных данных, для любого физического лица.
Практика проверок Роскомнадзора
- При проверке ООО Роскомнадзор выявил, что приказ о назначении директора хранился без оформления локальных актов по ПДн. Было указано, что директор — это субъект персональных данных, и его данные должны быть защищены наравне с данными других сотрудников.
- В другом случае организация не учла директора в перечне субъектов ПДн, что стало нарушением требований к полноте политики по обработке ПДн.
Важный нюанс
Да, сведения о директоре в ЕГРЮЛ являются публичными, и любой может их получить. Но это не означает, что внутри компании или в иных базах эти данные можно обрабатывать без правил. Для внутреннего кадрового учёта (личное дело, копия паспорта, трудовой договор, сведения о налогах) требуется выполнение всех норм ФЗ-152.
Рекомендации и выводы
Данные директора являются персональными и должны обрабатываться в соответствии с ФЗ-152. Организации необходимо:
- Включить директора в перечень категорий субъектов ПДн.
- Обеспечить хранение его кадровых документов (паспорт, СНИЛС, ИНН, договор, приказы) по правилам защиты ПДн.
- Учитывать, что общедоступные данные (ФИО и должность из ЕГРЮЛ) не освобождают от обязанностей по защите других личных сведений.
- Включить эту категорию в политику и комплект документов по 152-ФЗ.
Компания ICTech поможет подготовить полный пакет документов по защите ПДн, включая учёт данных директора и других сотрудников. Это позволит вашей организации быть полностью готовой к проверкам Роскомнадзора и избежать штрафов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
