Алексей Ветров
Эксперт по защите данных IC-TECH
Да, ИНН (идентификационный номер налогоплательщика) относится к персональным данным. Этот номер присваивается каждому физическому лицу индивидуально и позволяет однозначно его идентифицировать. А значит, он подпадает под определение персональных данных в соответствии с Федеральным законом № 152-ФЗ.
Если организация обрабатывает ИНН сотрудников, учредителей, клиентов или подрядчиков, она обязана соблюдать все требования закона о персональных данных: фиксировать основания обработки, ограничивать доступ и обеспечивать защиту этих данных.
Если организация обрабатывает ИНН сотрудников, учредителей, клиентов или подрядчиков, она обязана соблюдать все требования закона о персональных данных: фиксировать основания обработки, ограничивать доступ и обеспечивать защиту этих данных.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.
- Письмо Роскомнадзора № 08-49863 от 14.10.2013 — прямо указывает, что ИНН физического лица является персональными данными.
- Постановление Конституционного Суда РФ № 17-П от 09.07.2013 — уточняет, что любые уникальные идентификаторы, привязанные к человеку, относятся к персональным данным.
Практика проверок Роскомнадзора
- В одной компании хранили ИНН сотрудников без оформления порядка обработки. Роскомнадзор признал это нарушением, так как ИНН — персональные данные, требующие защиты.
- В образовательной организации обрабатывали ИНН родителей для договоров об обучении детей. Проверка подтвердила обязанность включить ИНН в перечень обрабатываемых ПДн и получить согласие при использовании сверх договорных целей.
Важный нюанс
ИНН — это персональные данные, но его обработка во многих случаях допустима без отдельного согласия субъекта, если она необходима для исполнения закона или договора:
- для ведения налогового учёта (обязанность работодателя по НК РФ);
- для заключения договора с физическим лицом;
- для бухгалтерской отчётности.
Однако если организация хочет использовать ИНН в иных целях (например, для публикации или передачи третьим лицам, не связанным с обязательствами по закону), потребуется согласие субъекта.
Рекомендации и выводы
ИНН физического лица является персональными данными. Организации необходимо:
- Включить ИНН в перечень обрабатываемых ПДн.
- Определить правовые основания обработки (закон, договор или согласие).
- Обеспечить меры защиты — ограничить доступ, прописать порядок хранения и уничтожения.
- Включить работу с ИНН в комплект документов по 152-ФЗ (политику, положение о ПДн, инструкции).
Компания ICTech поможет вашей организации подготовить полный пакет документов по защите ПДн, включая порядок работы с ИНН и другими уникальными идентификаторами. Это позволит избежать штрафов и претензий при проверках Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
