Алексей Ветров
Эксперт по защите данных IC-TECH
Если у индивидуального предпринимателя нет сотрудников, но он собирает данные клиентов или контрагентов-физлиц (например: заявки на сайте, имена и телефоны для заказов, адреса доставки, e-mail для обратной связи), он обязан подать уведомление в Роскомнадзор.
Обоснование по законодательству
- ФЗ-152, ст. 22, ч. 1: уведомление в Роскомнадзор подаётся до начала обработки ПДн.
- ФЗ-152, ст. 22, ч. 2: исключение есть только для обработки данных в рамках трудовых отношений. У ИП без сотрудников этого исключения нет, так как персональные данные клиентов подпадают под регистрацию.
Как заполнять основные разделы
- Сведения об операторе:
Указываете свои данные как ИП (ФИО, ОГРНИП, ИНН, адрес регистрации). - Категории субъектов ПДн:
Пишите «клиенты», «пользователи сайта», «контрагенты», «выгодоприобретатели» и т.д. - Перечень персональных данных:
ФИО, телефон, e-mail, адрес доставки, реквизиты договора (если есть). - Цели обработки:
Заключение и исполнение договоров на оказание услуг / продажу товаров, информирование клиентов, обработка заявок, ведение учёта заказов. - Правовые основания обработки:
Гражданский кодекс РФ, Федеральный закон № 152-ФЗ «О персональных данных». - Местонахождение базы данных:
Указываете российский адрес, где фактически храните данные: сервер дата-центра или адрес своего компьютера (регистрации ИП). - Сведения об обеспечении безопасности:
«Назначен ответственный за организацию обработки ПДн (сам ИП), применяются организационные и технические меры защиты: парольная защита, антивирусное ПО, ограничение доступа». - Описание мер по ст. 18.1 и 19 ФЗ:
«Принята политика в отношении обработки ПДн, назначен ответственный (ИП), базы данных локализованы в РФ, реализованы организационные и технические меры по защите ПДн в соответствии с Постановлением Правительства № 1119».
Пример формулировок для ИП без сотрудников
- Категории субъектов: «Физические лица — клиенты ИП».
- Цели: «Заключение и исполнение договоров на оказание услуг, приём и обработка заявок, информирование клиентов».
- Ответственный: «ИП Иванов И.И.».
- Меры безопасности: «Ограничение доступа к данным, использование антивирусного ПО, контроль обработки ПДн самим ИП».
Рекомендации и выводы
- Даже без сотрудников уведомление часто требуется, если работа ведётся с клиентами.
- Лучше описывать реальную деятельность и не копировать шаблонные фразы «для всего на свете» — Роскомнадзор может запросить пояснения.
- У ИП ответственность за обработку всегда лежит лично на нём, поэтому он сам и будет ответственным лицом.
- Сохраняйте подтверждение подачи уведомления — оно может пригодиться при проверке.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
