Ключевым является не форма бизнеса, а сам факт обработки персональных данных. Если ИП принимает на работу сотрудников, обслуживает клиентов, собирает заявки через сайт или иным образом получает данные, относящиеся к конкретным физическим лицам, у него возникает обязанность выстроить систему обработки и защиты персональных данных.
На практике Роскомнадзор регулярно привлекает к ответственности именно ИП, поскольку распространённое заблуждение о том, что «для ИП требования мягче», приводит к отсутствию документов и, как следствие, к нарушениям.
Является ли ИП оператором персональных данных
Индивидуальный предприниматель становится оператором персональных данных автоматически, как только начинает обрабатывать данные, относящиеся к конкретным физическим лицам.
Что считается обработкой персональных данных у ИП
Под обработкой понимаются любые действия с персональными данными, включая:
-
сбор;
-
хранение;
-
использование;
-
передачу;
-
уничтожение.
Если ИП выполняет хотя бы одно из этих действий в отношении данных физических лиц, он признаётся оператором ПДн.
Какие данные обрабатывает ИП
На практике ИП обрабатывает персональные данные, когда:
-
принимает на работу сотрудников;
-
обслуживает клиентов-физлиц;
-
принимает заявки, обращения, заказы;
-
ведёт базу контактов;
-
оформляет договоры с физическими лицами.
Это могут быть:
-
ФИО;
-
контактные данные;
-
паспортные сведения;
-
ИНН, СНИЛС;
-
банковские реквизиты.
Все эти сведения прямо подпадают под понятие персональных данных.
Когда ИП становится оператором
ИП становится оператором не по факту регистрации в налоговой, а по факту начала обработки персональных данных.
Даже если:
-
нет сайта;
-
нет сотрудников;
-
нет офиса,
но ИП, например, принимает заказы от физических лиц и хранит их контакты — он уже является оператором ПДн.
В каких случаях ИП обязан иметь ОРД
Обязанность ИП разрабатывать организационно-распорядительную документацию по персональным данным зависит не от масштаба бизнеса, а от факта и характера обработки ПДн.
ИП с работниками
Если у ИП есть хотя бы один сотрудник, он обрабатывает:
-
паспортные данные;
-
сведения о стаже, образовании;
-
данные для расчёта заработной платы;
-
данные для налоговых и страховых органов.
Кадровые персональные данные требуют наличия ОРД в обязательном порядке.
ИП, работающий с клиентами-физлицами
ОРД необходимы, если ИП:
-
оказывает услуги физическим лицам;
-
продаёт товары гражданам;
-
заключает договоры с физическими лицами.
Даже при отсутствии сайта и офиса обработка данных клиентов требует документального регулирования.
ИП с сайтом и онлайн-сервисами
Если ИП:
-
принимает заявки через сайт;
-
использует формы обратной связи;
-
собирает контакты через мессенджеры и соцсети,
он обрабатывает персональные данные в электронной форме, что требует не только ОРД, но и соблюдения требований по защите информации.
ИП, передающий данные третьим лицам
Если ИП:
-
передает данные в бухгалтерию на аутсорсе;
-
использует CRM;
-
работает с курьерскими и платёжными сервисами,
это также требует наличия ОРД и корректного документального оформления передачи данных.
Когда ИП может обойтись без ОРД
Ситуации, при которых ИП может не разрабатывать ОРД по персональным данным, крайне ограничены и на практике встречаются редко.
Обработка данных исключительно для личных целей
ОРД не требуется, если ИП обрабатывает данные:
-
не в предпринимательской деятельности;
-
исключительно для личных, бытовых нужд;
-
без связи с оказанием услуг, продажей товаров или наймом работников.
Пример: хранение контактов родственников и друзей в личном телефоне, не используемом для бизнеса.
Отсутствие идентифицируемых персональных данных
Если ИП использует информацию, которая:
-
не позволяет идентифицировать конкретное лицо;
-
полностью обезличена;
-
не может быть соотнесена с физическим лицом даже косвенно,
такая информация не признаётся персональными данными.
Как только появляется возможность установить личность субъекта — данные подпадают под 152-ФЗ.
Отсутствие обработки ПДн как таковой
ИП может не иметь ОРД, если он:
-
не работает с физическими лицами;
-
не имеет сотрудников;
-
не собирает контакты, заявки, обращения;
-
не хранит договоры с физлицами.
Однако на практике такие случаи встречаются крайне редко.
Почему такие ситуации почти не встречаются
Даже минимальная предпринимательская деятельность, связанная с людьми, практически всегда предполагает обработку персональных данных — клиентов, подрядчиков, сотрудников.
Какие ОРД необходимы ИП
Комплект документов по персональным данным для ИП может быть проще, чем для крупной компании, но он не может быть формальным или отсутствовать вовсе.
Политика обработки персональных данных (как единый базовый документ)
Для ИП допустимо и рационально объединить требования к политике обработки и положению о защите ПДн в одном документе — Политике обработки персональных данных, если он действительно раскрывает все обязательные аспекты.
В таком документе должны быть зафиксированы:
-
цели обработки персональных данных;
-
категории обрабатываемых данных и субъектов;
-
права субъектов персональных данных;
-
порядок обработки, хранения и передачи данных третьим лицам;
-
правила доступа к персональным данным;
-
меры по защите информации и ответственность.
Формально наличие отдельного «Положения» не обязательно, если Политика обработки ПДн полноценно регламентирует все эти вопросы.
Однако отсутствие такого документа в любой форме означает отсутствие системы обработки персональных данных.
Даже для небольшого бизнеса ИП этот документ является базовым и обязательным при обработке персональных данных.
Приказы и регламенты
Даже если ИП работает один, при наличии сотрудников или аутсорсинга должны быть оформлены:
-
приказы о назначении ответственных за обработку ПДн;
-
регламент доступа к данным;
-
порядок хранения и уничтожения персональных данных.
Согласия субъектов ПДн (при необходимости)
Согласия оформляются, если данные используются:
-
вне рамок договора;
-
для маркетинга и рекламы;
-
для публикации информации на сайте;
-
при обработке биометрических данных.
Документы по передаче данных третьим лицам
Если ИП передает данные:
-
в бухгалтерию на аутсорсе;
-
в CRM;
-
платёжным и курьерским сервисам,
должны быть оформлены договоры с условиями обработки ПДн и соглашения о конфиденциальности.
Для формирования корректного комплекта документов разрабатывается организационно-распорядительная документация по защите персональных данных.
Чем грозит ИП отсутствие ОРД
Индивидуальные предприниматели несут ответственность за нарушения в сфере персональных данных наравне с юридическими лицами. Отсутствие организационно-распорядительной документации рассматривается как самостоятельное нарушение требований 152-ФЗ.
Основания для привлечения ИП к ответственности
При проверках Роскомнадзор оценивает не только факт обработки персональных данных, но и наличие системы управления этой обработкой.
Если у ИП отсутствуют ОРД, это означает, что:
-
не определены цели и основания обработки ПДн;
-
не установлены правила доступа и передачи данных;
-
не обеспечены меры защиты информации;
-
не распределена ответственность.
Все это квалифицируется как нарушение законодательства о персональных данных.
Штрафы применяются к ИП на общих основаниях
К ИП применяются административные санкции, предусмотренные КоАП РФ, независимо от того, является ли бизнес малым или ведётся в одиночку.
Размер штрафов зависит от характера нарушения, но сам факт отсутствия ОРД уже может стать основанием для привлечения к ответственности.
Реальные основания для проверок ИП
Поводами для проверки могут стать:
-
обращения клиентов или сотрудников;
-
плановые мероприятия Роскомнадзора;
-
информация из налоговых органов и инспекции труда;
-
проверки по смежным вопросам (онлайн-кассы, реклама, сайт).
Именно отсутствие документов по ПДн зачастую выявляется в первую очередь.
Усиление ответственности при комплексных нарушениях
Отсутствие ОРД почти всегда выявляется вместе с другими нарушениями:
-
отсутствие согласий там, где они обязательны;
-
незаконная передача данных третьим лицам;
-
отсутствие порядка хранения и уничтожения данных.
Это приводит к увеличению объёма ответственности и рисков для ИП.
Как ИП выстроить ОРД без лишней бюрократии
Задача ИП — не создать максимальное количество документов, а выстроить работающую и адекватную масштабу бизнеса систему обработки персональных данных.
Проанализировать реальные процессы
Первый шаг — определить:
-
какие персональные данные фактически обрабатываются;
-
у каких субъектов (клиенты, сотрудники, подрядчики);
-
для каких целей;
-
куда и кому передаются.
Это позволяет исключить лишние документы и оставить только действительно необходимые.
Сформировать минимально достаточный комплект документов
Для большинства ИП достаточно:
-
Политики обработки персональных данных, включающей правила обработки, защиты и передачи данных;
-
согласий (только там, где они действительно обязательны);
-
договоров с условиями обработки ПДн (если есть аутсорсинг или сервисы);
-
порядка хранения и уничтожения данных.
Отсутствие «толстой папки» не является нарушением, если система работает и соответствует закону.
Адаптировать документы под бизнес, а не наоборот
Документы должны отражать:
-
реальную модель работы ИП;
-
фактические способы обработки данных;
-
используемые каналы коммуникации и сервисы.
Шаблонные тексты без привязки к деятельности ИП не защищают от ответственности.
Обеспечить исполнение документов
Даже минимальный комплект документов должен реально применяться:
-
соблюдаться порядок доступа;
-
выполняться правила хранения и уничтожения;
-
фиксироваться передача данных третьим лицам.
Регулярно актуализировать систему
Любые изменения в деятельности ИП:
-
появление сайта;
-
найм сотрудников;
-
подключение сервисов
должны сопровождаться пересмотром документов по ПДн.
На практике
ИП чаще всего штрафуют не за отсутствие сложных технических систем, а за отсутствие элементарной системы управления персональными данными.
Даже простой, но грамотно выстроенный комплект ОРД позволяет ИП:
-
пройти проверки без штрафов;
-
снизить риски жалоб со стороны клиентов и работников;
-
доказать добросовестность при проверках.
