На практике именно малый бизнес и ИП часто становятся объектом камерального контроля, внеплановых проверок и инспекционных визитов. Это связано с тем, что персональные данные у таких операторов обрабатываются повсеместно — при работе с клиентами, через сайты и онлайн-сервисы, а также при ведении кадрового учета, — при этом требования законодательства зачастую выполняются формально либо не выполняются вовсе.
Распространяется ли 152-ФЗ на малый бизнес и ИП
Федеральный закон № 152-ФЗ распространяется на всех операторов персональных данных, независимо от их организационно-правовой формы, численности сотрудников и оборотов. Малый бизнес и индивидуальные предприниматели не выделены в законе в отдельную категорию и не имеют специальных исключений.
Индивидуальный предприниматель признаётся оператором персональных данных, если он:
-
собирает персональные данные клиентов или заказчиков;
-
ведёт базу контрагентов;
-
использует сайт, формы обратной связи или онлайн-записи;
-
имеет работников и ведёт кадровый учет;
-
обрабатывает персональные данные в электронном или бумажном виде.
Даже обработка минимального объёма персональных данных — например, ФИО и телефона клиента — влечёт возникновение обязанностей оператора.
Размер бизнеса, форма налогообложения и отсутствие штата сотрудников не освобождают ИП и малый бизнес от соблюдения требований 152-ФЗ.
Проверяет ли Роскомнадзор малый бизнес и ИП на практике
На практике Роскомнадзор осуществляет контроль за малым бизнесом и индивидуальными предпринимателями на постоянной основе, хотя чаще всего это происходит не в форме классических выездных проверок, а в рамках иных контрольных мероприятий.
Чаще всего малый бизнес и ИП сталкиваются с:
-
камеральными проверками, проводимыми без выезда и без уведомления;
-
анализом сайтов и онлайн-сервисов;
-
рассмотрением жалоб клиентов и работников;
-
инспекционными визитами;
-
внеплановыми проверками по обращениям субъектов персональных данных.
Малый бизнес и ИП нередко попадают в поле зрения Роскомнадзора из-за типовых нарушений: отсутствия уведомления, некорректных форм согласий на сайте, отсутствия организационно-распорядительной документации и ошибок в обработке кадровых данных.
Плановые проверки малого бизнеса и ИП
В отношении малого бизнеса и индивидуальных предпринимателей действует мораторий на плановые проверки Роскомнадзора до 2030 года. Это означает, что включение ИП и субъектов малого бизнеса в ежегодные планы плановых проверок в сфере персональных данных, как правило, не осуществляется.
Однако важно учитывать следующие моменты:
-
мораторий распространяется только на плановые проверки;
-
он не отменяет применение риск-ориентированного подхода;
-
категория риска оператора продолжает учитываться Роскомнадзором;
-
по окончании моратория периодичность проверок будет зависеть от присвоенной категории риска.
Мораторий не отменяет обязанность соблюдать 152-ФЗ.
Даже при действии моратория малый бизнес и ИП не исключены из сферы контроля, поскольку основная нагрузка смещена на камеральные проверки, инспекционные визиты и внеплановые контрольные мероприятия.
Внеплановые проверки и инспекционные визиты
Малый бизнес и индивидуальные предприниматели могут быть объектом внеплановых проверок и инспекционных визитов наравне с крупными компаниями. Эти формы контроля не подпадают под действие моратория и применяются Роскомнадзором достаточно активно.
Основания для таких мероприятий включают:
-
жалобы клиентов или иных субъектов персональных данных;
-
обращения работников или бывших сотрудников;
-
выявление нарушений при мониторинге сайтов и онлайн-сервисов;
-
отсутствие уведомления об обработке персональных данных;
-
неисполнение ранее выданных предписаний.
Инспекционные визиты могут проводиться без предварительного уведомления и, как правило, занимают один рабочий день. В их рамках проверяющие вправе запрашивать документы, задавать вопросы и фиксировать нарушения, даже если оператор относится к малому бизнесу или является ИП.
Чтобы быть готовым к такому визиту, необходимо заранее подать уведомление в Роскомнадзор, поддерживать сайт в полном порядке с размещением всех обязательных документов, а также иметь на руках полноценный комплект организационно-распорядительной документации по 152-ФЗ, регламентирующий внутренние процессы.
Что чаще всего проверяют у малого бизнеса и ИП
При проверках малого бизнеса и индивидуальных предпринимателей Роскомнадзор, как правило, сосредотачивается на базовых обязанностях оператора персональных данных. Именно в этих элементах чаще всего выявляются нарушения.
В первую очередь проверяются:
-
наличие и корректность уведомления об обработке персональных данных;
-
наличие организационно-распорядительной документации по защите персональных данных;
-
обработка персональных данных через сайт и онлайн-сервисы;
-
законность обработки персональных данных работников (при их наличии);
-
соответствие фактической деятельности сведениям, указанным в уведомлении.
Даже при небольшом объёме обрабатываемых данных отсутствие этих элементов рассматривается как нарушение требований 152-ФЗ.
Типичные нарушения малого бизнеса и ИП
Практика проверок показывает, что нарушения у малого бизнеса и ИП во многом носят типовой характер и повторяются из раза в раз.
Наиболее распространённые нарушения:
-
уведомление об обработке персональных данных не подано;
-
отсутствует организационно-распорядительная документация;
-
на сайте отсутствует политика конфиденциальности или корректные согласия;
-
персональные данные собираются без законных оснований;
-
кадровые персональные данные обрабатываются с нарушениями;
-
документы существуют формально и не применяются на практике.
Именно совокупность этих нарушений чаще всего становится основанием для предписаний и повторных контрольных мероприятий.
Для надежной защиты бизнеса критически важны не просто формальные действия, а создание комплексной системы соответствия, включающей актуальную запись в реестре операторов Роскомнадзора, разработку работающей организационно-распорядительной документации, актуализацию сайта и регулярный аудит всех процессов.
Можно ли избежать проверок малому бизнесу и ИП
Полностью исключить контроль со стороны Роскомнадзора невозможно, однако малый бизнес и ИП могут существенно снизить вероятность проверок и их негативные последствия.
На практике эффективно работают:
-
корректная и своевременная подача уведомления;
-
наличие актуальной и адаптированной под деятельность документации;
-
приведение сайта и онлайн-сервисов в соответствие требованиям законодательства;
-
работа с обращениями субъектов персональных данных;
-
постоянное соблюдение требований 152-ФЗ, а не разовая подготовка.
Статус малого бизнеса или ИП сам по себе не снижает риски.
Снижение рисков достигается только за счёт системного соблюдения требований законодательства.
На практике
На практике Роскомнадзор регулярно проверяет малый бизнес и индивидуальных предпринимателей, прежде всего в форме камерального контроля, внеплановых проверок и инспекционных визитов. Именно малый бизнес чаще всего становится объектом таких мероприятий из-за отсутствия базовой документации и ошибок в обработке персональных данных.
Выстроенная система обработки персональных данных, корректное уведомление и актуальные документы позволяют малому бизнесу и ИП проходить проверки без серьёзных последствий и существенно снижать риски привлечения к ответственности.
