ИП выступает в роли оператора персданных: риски и рекомендации

Работа с персональными данными требует от предпринимателя больших усилий: нужно разработать пакет документов, общаться с Роскомнадзором, защитить сведения от утечек. За каждый промах бизнесу грозят большие штрафы. Рассказываем, что такое персональные данные и как предпринимателю организовать их обработку, чтобы не нарушить закон.

Контур.Маркет помогает рознице не нарушать законы

Попробовать бесплатно

Что относится к персональным данным

Закон определяет персональные данные как любую информацию, которая относится к физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Другими словами, это сведения, позволяющие идентифицировать определенного человека.

Какая конкретно информация о человеке относится к персональным данным — вопрос непростой. В практике судов и Роспотребнадзора встречаются разные точки зрения. В письме Минцифры от 28.08.2020 № ЛБ-С-074-24059 к персданным относят:

• ФИО,
• дату и место рождения,
• адрес,
• номер телефона,
• семейное и социальное положение,
• образование и профессию,
• должность и стаж работы,
• доходы.

Адрес электронной почты, платежная информация, данные о местоположении, сетевой активности, идентификаторе устройства, файлы cookie тоже могут считаться ПДн (постановление Второго кассационного суда общей юрисдикции от 26.12.2022 по делу № 16-9987/2022).

Обычно один вид данных не позволяет точно идентифицировать определенного человека. Даже фамилия, имя и отчество могут повторяться у сотен людей. Но если к ним добавить email или номер телефона, в совокупности сведения указывают на конкретного человека.

Еще есть специальные категории персональных данных: раса, национальность, политические, религиозные, философские взгляды, состояние здоровья, интимная жизнь.

Отдельно выделяют биометрические персональные данные — физиологические и биологические особенности человека, с помощью которых можно установить личность человека: отпечатки пальцев, ДНК, радужная оболочка глаз. К обработке специальных и биометрических персданных более строгие требования обработки.

Кто такой оператор обработки персональных данных

Обработка персональных данных — это действия по их сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению. Оператор персональных данных — тот, кто обрабатывает персданные: государственный орган, компания, ИП, самозанятый или физлицо без статуса.

Индивидуальные предприниматели собирают персданные клиентов для разных целей: доставлять товары, предоставлять доступ к личному кабинету, отправлять смс-рассылки, давать скидку на день рождения, регистрировать в системе лояльности, сегментировать клиентскую базу. Если у ИП есть сотрудники, их данные нужны для заключения трудового договора, использования во внутренних системах. Сложно представить предпринимателя, который бы не был оператором ПДн: практически все ИП работают с данными клиентов или сотрудников.

На тех, кто является оператором персональных данных, закон налагает множество обязанностей (ст. 18.1, 19, 20 закона № 152-ФЗ):

• назначить ответственного за обработку ПДн,
• разработать документы по ПДн,
• познакомить сотрудников, работающих с ПДн, со внутренними документами,
• проводить внутренний аудит обработки ПДн,
• оценить возможный вред из-за нарушения правил работы с ПДн,
• обеспечивать безопасность обработки ПДн,
• установить правила доступа к ПДн, которые обрабатываются в информационных системах,
• вести учет машинных носителей персданных.

Оператор локализует персональные данные в России — их нельзя систематизировать, хранить или извлекать с использованием зарубежных баз данных. Это значит, что нельзя использовать иностранные сервисы при работе ПДн, например Google Analytics для сбора информации на сайте.

Кто и зачем должен подавать уведомление в Роскомнадзор

Еще одна обязанность оператора — уведомить Роскомнадзор о намерении обрабатывать персданные (ст. 22 закона № 152-ФЗ). ИП подает уведомление еще до того, как начал работать с ПДн клиентов или сотрудников. Предупреждать Роскомнадзор должны почти все операторы за редким исключением — о них расскажем ниже. Основная причина подачи уведомления об обработке персональных данных в Роскомнадзор в 2025 году — соблюдение требований закона и избежание крупных штрафов.

Некоторые предприниматели думают, что если не подали уведомление в Роскомнадзор, значит, не считаются операторами. Но это не так: как только начали работать с персданными, автоматически стали оператором. После начала обработки ПДн отмотать все назад не получится: не предупредили Роскомнадзор до — нарушили закон.

Как заполнить и подать уведомление об обработке персональных данных

Уведомление заполняется по утвержденной форме (приложение № 1 к приказу Роскомнадзора от 28.10.2022 № 180). ИП указывает в документе:

• свои ФИО и адрес,
• цель обработки персональных данных для ИП,
• описание мер по обеспечению безопасности ПДн,
• данные о физлице или юрлице, ответственных за организацию обработки ПДн, их номера, email, почтовые адреса,
• дата начала обработки персональных данных,
• сведения о трансграничной передаче ПДн,
• место нахождения базы данных, где хранятся данные россиян,
• данные о физлице или юрлице, которые обрабатывают ПДн в государственных и муниципальных информационных системах.

Если целей обработки несколько, к каждой придется указать категории и субъектов ПДн, правовое основание и способы обработки.

Подать уведомление можно тремя способами:

Почтой. Распечатайте форму уведомления, заполните, подпишите и отправьте в территориальный орган Роскомнадзора «Почтой России».

На сайте Роскомнадзора. На странице ведомства есть электронная форма уведомления — достаточно заполнить все пустые поля. Чтобы подписать документ, понадобится квалифицированная электронная подпись.

Через «Госуслуги». Заполнение и отправка уведомления тоже происходят на сайте Роскомнадзора. Отличие в том, что КЭП не нужна — достаточно подтвержденного аккаунта на портале «Госуслуги».

В течение 30 дней ИП появится в реестре операторов персональных данных РКН. Проверить себя можно на сайте реестра по ИНН.

Уведомление подают только один раз. Но если что-то изменится, например стали передавать данные за границу или добавились новые цели обработки, об этом надо предупредить регулятор. Подают уведомление уже по другой форме (приложение № 2 к приказу № 180) не позднее 15 числа следующего месяца.

Если ИП перестает обрабатывать данные, например из-за закрытия бизнеса, об этом тоже сообщают Роскомнадзору. Срок — 10 рабочих дней с даты прекращения обработки. Форму возьмите из приложения № 3 к приказу № 180.

Кто может не подавать уведомление в Роскомнадзор

От подачи уведомления освободили только три категории операторов — до изменений в 152-ФЗ в 2022 году их было в три раза больше. Обрабатывать ПДн без уведомления Роскомнадзора разрешено предпринимателям, которые:

• работают с персданными только на бумаге без автоматизации,
• обрабатывают ПДн из государственных информационных систем, созданных для защиты безопасности государства и общественного порядка,
• работают с персданными для обеспечения безопасности в сфере транспорта.

Какие документы нужны для обработки персональных данных

Закон не определяет список необходимых документов. Предприниматели и организации сами решают, как оформить положения и приказы. Вот пять стандартных документов, которые обычно готовят компании, когда хотят собирать персональные данные.

Политика в отношении обработки ПДн. Это официальное название документа, но можно использовать другое, например политика конфиденциальности или политика защиты персональных данных. У Роскомнадзора есть рекомендации по разработке политики. Разместите документ в открытом доступе, где все желающие смогут его прочитать. Добавьте политику на сайт компании или прямо в форму регистрации, когда запрашиваете данные для регистрации.

Положение об обработке и защите ПДн. Отдельно готовят два положения: о работе с персданными сотрудников и клиентов. В документе прописываются цели обработки, обязанности ИП по обработке ПДн, права сотрудников или клиентов, порядок уничтожения данных, требования к помещениям, где обрабатываются данные.

Положение о внутреннем контроле. Опишите, как будете проводить аудит на соответствие обработки персональных данных требованиям закона.

Правила рассмотрения запросов субъектов ПДн. Утвердить порядок работы с запросами клиентов по поводу персданных, какие сведения они вправе получать, сроки предоставления информации.

Форма согласия на обработку ПДн. Согласие на обработку — документ, в котором человек разрешает обрабатывать его персональные данные. Подробнее о нем расскажем ниже.

В список документов о защите персональных данных также входят:

• приказ о назначении лиц, ответственных за обработку и защиту персональных данных;
• перечень работников, допущенных к обработке персональных данных;
• правила работы с обезличенными ПДн;
• перечень информационных систем персональных данных;
• соглашения о неразглашении персональных данных;
• перечень применяемых средств защиты информации;
• модель угроз безопасности данных при их обработке в информационных системах;
• положение о порядке хранения и уничтожения материальных носителей персональных данных и другие.

Как собирать согласия на обработку

Обрабатывать персональные без согласия можно в редких случаях. Например, когда сведения нужны для исполнения договора с клиентом. В остальных случаях необходимо получить согласие. В любой форме, главное, чтобы можно было подтвердить факт дачи согласия конкретным человеком. Вот несколько возможных способов.

Распечатайте анкету. Клиент заполнит ее от руки и поставит галочку напротив пункта «Я даю согласие на обработку персональных данных».

Сделайте чекбокс на сайте. Чекбокс в интерфейсе сайта — это квадратик, нажав на который пользователь может поставить галочку. Подойдет, если продаете товары в интернете. После заполнения заявки клиент ставит галочку в чекбоксе — этим дает согласие на обработку.

Отправляйте код по смс. Допустим, в салоне красоты клиента рассчитывают на кассе и предлагают зарегистрироваться в бонусной программе. Администратор просит назвать личные данные, вписывает их в форму заявки на рабочем компьютере. Затем говорит посетителю, что нужно ознакомиться с политикой персданных и подтвердить согласие на их передачу. Система отправляет смс на телефон, который назвал клиент. Администратор просит назвать цифры кода и отмечает в системе, что клиент согласен.

Запрашивайте согласие через e-mail. На сайте клиент заполняет форму заявки и указывает электронную почту. Система просит подтвердить согласие в письме, клиент переходит в него и кликает на нужную ссылку.

Храните согласия всё время, пока используете персональные данные. Если собирали бумажные анкеты, держите их в архиве. Если запрашивали в электронном виде, выгрузите действия клиента на сайте. Согласия понадобятся, если Роскомнадзор придет с проверкой или возникнет спорная ситуация с клиентом.

Что должно быть в согласии

В некоторых случаях предпринимателю необходимо оформить письменное согласие на обработку персональных данных, то есть получить от человека документ, заверенный его подписью. Письменное согласие понадобится, когда бизнес собирает биометрические ПДн, специальные категории персданных, загружает сведения в общедоступные источники, передает данные третьим лицам или за границу. Документ можно оформить на бумаге или в электронном виде.

Требования к тексту согласия прописаны в ст. 9 закона № 152-ФЗ. Согласие на обработку ПДн включает:

• ФИО ИП, адрес и ИНН.
• Цель обработки персональных данных. Например, участие в программе лояльности, ведение кадрового учета.
• Перечень персональных данных, на обработку которых человек дает согласие. Например, имя, телефон, дата рождения, адрес электронной почты.
• Перечень действий с персональными данными, на совершение которых клиент дает согласие: сбор, систематизация, накопление, хранение, использование, блокирование, уничтожение и так далее.
• Срок, в течение которого действует согласие. Не обязательно прописывать конкретную дату, можно указать событие, например до отзыва согласия или в течение действия трудового договора.
• Перечень лиц или компаний, которым будут передавать данные.
• Подпись субъекта ПДн.

Можно подготовить форму согласия самому или обратиться за помощью в Роскомнадзор. Авторизуйтесь на сайте ведомства через «Госуслуги», отправьте запрос и получите доступ к шаблону, который можно адаптировать под свой бизнес.

С 1 сентября 2025 года вступят в силу изменения в законодательстве о персональных данных. Согласие на обработку нужно будет оформлять отдельно от других документов, которые подписывает клиент или сотрудник.

Как составить положение о системе лояльности

Часто бизнес собирает персональные данные клиентов, чтобы они смогли участвовать в системе лояльности. Но для этого недостаточно просто вбить персональные данные в систему. Магазин, предприятие услуг или заведение общепита должны ознакомить клиента с условиями программы, и сделать это надо не на словах.

Читайте также Как подобрать и внедрить реферальную программу

Нужно составить положение о системе лояльности, с помощью которого клиент может ознакомиться с условиями предоставления бонусов и понять, как работает ваша система лояльности. Например, какую сумму заказов нужно накопить на карте, чтобы скидка стала не 5 %, а 10 %.

Документ нужно предъявить посетителю, если он потребует. Ваши правила игры должны знать и клиенты, и сотрудники контролирующих органов. Положение нужно составить и для налоговой, чтобы обосновать, почему ваши продукты или услуги можно оплачивать не деньгами, а бонусами. Документ могут потребовать при проверках.

Что указать в положении о программе лояльности

Не существует утвержденной формы по составлению положения. Даже название можно выбрать на свой вкус, главное, чтобы оно отражало суть документа: «Положение о системе лояльности», «Условия предоставления накопительной скидки», «Правила накопления и использования бонусов».

В документе пропишите все условия: как копить баллы или скидки, как оплачивать покупку баллами, какие товары или блюда не участвуют в акции и так далее.

Есть исключение. Составлять положение не нужно, если применяете только фиксированные скидки. В этом случае налоговой и клиентам всё понятно из чека: в нем прописана сумма оплаты без скидки и с учетом процентов скидки.

Пропишите в положении те условия и детали, которые соответствуют вашей программе скидок и бонусов.

Эксперты Контур.Маркета на примере продуктового магазина показывали шаблоны для скачивания в этой статье. Переходите, чтобы посмотреть, как можно заполнить информацию.

Где разместить положение о системе лояльности

Офлайн. Разместите документ в уголке потребителя. Это стенд, на котором обычно размещают контакты компании, режим работы, копию свидетельства о госрегистрации, книгу жалоб и предложений.

Онлайн. Опубликуйте документ на сайте своего ресторана, магазина или салона. Если у вас нет сайта, разместите правила в аккаунтах компании в соцсетях или в телеграм-канале.

Подключите карты лояльности от Контур.Маркета

Отправить заявку

Как Роскомнадзор проверяет компании

Роскомнадзор проводит как плановые проверки операторов персональных данных, так и внеплановые. Например, по жалобе от клиента или от другой компании. Также специалисты РКН могут найти нарушения закона о персональных данных при мониторинге сайта. До 2030 года на плановые проверки действует мораторий — специалисты РКН придут только к высокорисковым компаниям.

Проверки проходят примерно так: РКН запрашивает набор документов, связанных с обработкой и хранением персональных данных. Специалисты смотрят полноту документов, соответствие прописанного в документах с реальностью. При этом проверки могут быть выездными и удаленными.

Когда можно получить предписание или штраф по 152-ФЗ

Говоря о необходимости соблюдать законодательство, нельзя забывать, какие штрафы ждут за нарушения в области персональных данных в 2025 году.

Не подали уведомление в Роскомнадзор или не успели до начала обработки. Для ИП-оператора персональных данных административный штраф составит от 100 тыс. рублей до 300 тыс. рублей (ч. 10 ст. 13.11 КоАП РФ).

Нет политики обработки ПДн или с ней не знакомят клиентов. Штраф для ИП такой же, как для должностных лиц организации — от 10 тыс. рублей до 20 тыс. рублей (ч. 3 ст. 13.11 КоАП РФ).

Обрабатываете данные не с теми целями, которые указали при сборе. Например, клиент оставил номер телефона для регистрации карты лояльности, но не соглашался получать рекламу, а ему начали приходить рассылки. Штраф за первое нарушение — от 50 тыс. рублей до 100 тыс. рублей. За повторное нарушение накажут штрафом от 300 тыс. рублей до 500 тыс. рублей (ч. 1 и 1.11 ст. 13.11 КоАП РФ).

Не взяли у клиента письменное согласие на обработку данных. Если по закону необходимо взять у субъекта ПДн письменное согласие, но его нет, грозит штраф от 100 тыс. рублей до 300 тыс. рублей. За повторное нарушение штраф еще строже: от 500 тыс. рублей до 1 млн рублей (ч. 2 и 2.1 ст. 13.11 КоАП РФ).

Все нарушения перечислены в ст. 13.11 КоАП. В 2025 произошло ужесточение ответственности, самые серьезные санкции предусмотрены за утечки — штрафы достигают нескольких миллионов рублей.

Чтобы не попасть штрафы, собирайте персональные данные законно: оформите документы, получите согласие клиентов, уведомьте Роскомнадзор. Простое правило — меньше данных, больше прозрачности. Это нужно для защиты бизнеса и как знак уважения к своим покупателям и сотрудникам.