С 1 июля 2025 года вступили в силу поправки, которые усилили требования к прозрачности и безопасности обработки персональных данных (ПД).
Корпорация МСП совместно с Роскомнадзором провела в телеграм-канале открытую приемную «Защита персональных данных: что нужно знать малому бизнесу». В ходе встречи начальник отдела организации контрольно-надзорной деятельности Роскомнадзора Анна Кононенко в режиме реального времени отвечала на актуальные вопросы предпринимателей.
Многие участники встречи просили разъяснить, являются ли ИП без сотрудников и самозанятые операторами персональных данных и нужно ли им подавать соответствующие уведомления в Роскомнадзор. Например, должен ли такой ИП разрабатывать пакет документов по работе с ПД, если он освобожден от делопроизводства.
Анна Кононенко подчеркнула, что «при осуществлении обработки персональных данных на ИП в полной мере распространяются требования Закона о ПД, в том числе, в части документов. Например, ч. 2 ст. 18.1 Закона о ПД».
В продолжение темы был вопрос о хранении персональных данных на личном ПК. В частности, были приведены примеры, когда самозанятый или ИП ведет реестр клиентов в офисном приложении (без каких-либо СРМ-систем). Вопрос заключался в том, считается ли такой вариант обработкой ПД без средств автоматизации.
Эксперт разъяснила, что «если действия (операции) по обработке персональных данных, в том числе сбор, использование, передача персональных данных, осуществляются с помощью средств вычислительной техники вне зависимости от участия в данном процессе человека, указанная деятельность признается автоматизированной обработкой персональных данных».
Анна Кононенко уточнила, что по необходимым документам ИП нужно руководствоваться требованиями ст. 18.1 Закона о персональных данных. Она предусматривает, «что перечень мер, необходимых для соблюдения законодательных требований, определяется самим оператором. Такой подход применяется и к документам, касающимся обработки персональных данных, за исключением документов, издание / размещение / опубликование которых является прямой обязанностью оператора. Например, наличие документов, предусмотренных ч. 2 ст. 18.1 Закона о ПД, и обеспечение доступа к ним субъектам персональных данных распространяется на операторов-ИП в полном объеме. Относительно необходимости подачи уведомления о намерении осуществлять обработку персональных данных - подача уведомления при осуществлении описанной деятельности требуется. Сформировать и подать указанное уведомление можно с помощью Портала персональных данных https://pd.rkn.gov.ru/operators-registry/notification/form/».
Вопросы и ответы Роскомнадзора по теме работы с персональными данными доступны в телеграм-канале Корпорации МСП.
Напомним, № 152-ФЗ «О персональных данных» устанавливает правила сбора, хранения, обработки и защиты информации, позволяющей идентифицировать человека. Он обязывает компании и ИП получать согласие на обработку данных, обеспечивать их безопасность и информировать пользователей о целях использования. Закон распространяется на всех, кто работает с персональными данными — от интернет-магазинов до офлайн-сервисов. За несоблюдение закона предусмотрены штрафы и иные меры ответственности.
