Обязательно ли предпринимателю регистрироваться в качестве оператора персональных данных, если у него нет сотрудников?

27 сентября 2022

Каковы последствия несоблюдения требования по регистрации в качестве оператора персональных данных? Что значит «уведомительный характер»? Читателей «ВОмске» консультирует юрист компании «Лексфорт» Шола Керимли.

Любой предприниматель заведомо является оператором персональных данных (далее — ПД), если он получает доступ к ПД не для семейных нужд и работает с ними: собирает, систематизирует, использует, передает, хранит и т.п.

То есть по факту закон не связывает признание лица оператором с фактом включения (регистрации) такого лица в реестр операторов, осуществляющих обработку ПД. Однако уклонение от подачи соответствующего уведомления в Роскомнадзор влечет определенные санкции для предпринимателей. Отсюда приходим к следующим выводам.

1. Да, предпринимателю обязательно необходимо регистрироваться в качестве оператора ПД, за исключением следующих ситуаций:

— ПД включены в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;

— в случае, если оператор осуществляет деятельность по обработке ПД исключительно без использования средств автоматизации, т.е. на бумаге без использования ПК;

— ПД, обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.

2. Важно. Ни закон о ПД ни трудовое законодательство не связывает наличие штата сотрудников у предпринимателя со статусом оператора ПД. То есть независимо от количества штатных единиц или вообще их отсутствия предприниматель является оператором в случаях, указанных выше.

Подробнее рассмотрим ситуацию, когда предприниматель не имеет сотрудников.

Осуществление предпринимательской деятельности всегда сопровождается заключением тех или иных сделок (закупка сырья, аренда помещения и т.п.).

ПД, полученные предпринимателем в связи с заключением договора, стороной которого является субъект ПД, также обрабатываются предпринимателем. Закон о ПД не раскрывает перечень информации, которая относится к ПД, это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:

— Ф.И.О.;

— дата рождения;

— адрес регистрации и адрес проживания;

— паспортные данные, СНИЛС, ИНН;

— номер телефона;

— e-mail;

— адрес страницы в соцсетях;

— контакт в мессенджере.

То есть к персональным данным относится любая информация, которая позволяет определить конкретного человека — субъекта ПД.

Соответственно, предприниматель даже в настоящем случае является оператором ПД, поскольку договор заключается только с лицом, которое можно идентифицировать.

Ответственность за неуведомление об обработке ПД

За отсутствие уведомления/несвоевременное уведомление Роскомнадзора предусмотрена административная ответственность в виде предупреждения либо штрафа (ст. 19.7 КоАП РФ). В настоящее время размер штрафа не превышает 5 000 рублей для юридических лиц и 300 рублей для физических лиц (в т.ч. ИП). Однако учитывая, участившиеся случаи утечек ПД, предполагаем, что размер штрафа будет только расти.

Порядок и способы подачи уведомления в Роскомнадзор.

Уведомление составляется по форме, приведенной в Приложении N 1 к Методическим рекомендациям, утвержденным Приказом Роскомнадзора от 30.05.2017 N 94. В нем указывается, в частности (ч. 3 ст. 22 Закона о персональных данных, п. 3.1 Методических рекомендаций):

— наименование (фамилию, имя, отчество), адрес;

— цель обработки персональных данных;

— категории персональных данных;

— правовое основание обработки персональных данных.

Электронная форма уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора (п. 3.2 Методических рекомендаций).

Подать уведомление можно несколькими способами:

— в бумажном виде по почте;
— в электронной форме.

Для подачи уведомления об обработке (о намерении осуществлять обработку) в электронном виде ПД необходимо заполнить форму, расположенную на Портале ПД Роскомнадзора. Если вы подаете заявление в электронном виде, то у вас должна быть настроена электронная подпись, установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним. Еще одним вариантом подписания заявления в электронном виде может стать прохождение аутентификации на портале Госуслуг.

Для подачи уведомления в бумажном виде можно предварительно заполнить форму на сайте.

Включение в реестр операторов ПД носит уведомительный характер, поскольку Роскомнадзор только на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов (ч. 4 ст. 22 Закона о персональных данных). Информация об этом размещается на официальном сайте Роскомнадзора, а также на портале персональных данных (п. 3.5 Методических рекомендаций).

Полностью статью можно прочитать по ссылке.

Пресс-центр