Обязанность ИП уведомлять Роскомнадзор об обработке персональных данных
Порядок работы с персональными данными регулируется Законом от 27.07.2006 №152-ФЗ «О персональных данных», Приказом Роскомнадзора от 30.05.2017 №94.
Персональные данные – личные сведения о физических лицах, в частности: ФИО человека, дата и место рождения, адрес жительства, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация.
Обработкой персональных данных являются любые действия с этими данными, включая сбор, запись, систематизацию, хранение, обновление, использование, распространение, блокирование, уничтожение.
Если ИП осуществляет обработку персональных данных (например, своих работников и (или) клиентов-физлиц), он признается оператором персональных данных и должен уведомить Роскомнадзор о своем намерении осуществлять обработку таких данных.
Это уведомление нужно подать в Роскомнадзор до начала обработки персональных данных.
Роскомнадзор в течение 30 дней после получения уведомления вносит сведения в реестр операторов.
Если сведения, содержавшиеся в ранее поданном уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа следующего месяца.
При прекращении обработки персональных данных (например, при закрытии ИП) нужно уведомить Роскомнадзор в течение 10 рабочих дней.
Если вы собираетесь передать персональные данные за границу, сначала вы должны внести их в базу данных на территории РФ и направить в Роскомнадзор соответствующее уведомление (ч. 3 ст. 12 Закона №152-ФЗ).
При обработке персональных данных физлиц вы должны принять меры, чтобы не допустить любые противоправные действия в отношении этих данных, в частности их копирование, распространение.
Для этого вам нужно создать определенный пакет документов, включая положение об обработке персональных данных и приказы о назначении ответственных, а также принять ряд организационных и технических мер.
Если вам понадобится помощь в составлении данных документов, вы можете обратиться к нам за консультацией.
За несоблюдение требований в сфере персональных данных и за невыполнение обязанностей, которые предусмотрены при взаимодействии с Роскомнадзором, вам могут назначить штраф или иное административное наказание. Чаще всего за нарушения в этой сфере привлекают по ст. ст. 13.11, 19.5, 19.7 КоАП РФ, в частности:
- при обработке персональных данных в случаях, не предусмотренных законом (например, вы обрабатываете данные, полученные из соцсетей), штраф для ИП составляет от 10 000 до 20 000 руб. При повторном нарушении - от 50 000 до 100 000 руб. (ч. 1.1 ст. 13.11 КоАП РФ);
— при обработке персональных данных без письменного согласия физлица (например, если вы принимаете заказ в интернет-магазине, не оформляя согласие на обработку персональных данных клиента) или на основании согласия, которое не соответствует установленным требованиям, штраф для ИП составляет от 20 000 до 40 000 руб. При повторном нарушении - от 100 000 до 300 000 руб. (ч. 2, ч. 2.1 ст. 13.11 КоАП РФ);
— если не был опубликован (например, на сайте) документ, которым определяется ваша политика в отношении обработки персональных данных, штраф для ИП составляет от 10 000 до 20 000 руб. (ч. 3 ст. 13.11 КоАП РФ).
Вести обработку персональных данных без уведомления Роскомнадзора можно лишь в исключительных случаях, перечисленных в ч. 2 ст. 22 Закона №152-ФЗ, например, если вы осуществляете обработку таких данных без использования средств автоматизации (т.е. без помощи средств вычислительной техники).
Если ИП обработку персональных данных не осуществляет (в частности, у него нет работников, чьи данные он получает, и обработку персональных данных клиентов-физлиц он не ведет), то оператором персональных данных он не является и уведомлять Роскомнадзор не должен.
