Вопрос: ИП занимается грузоперевозками. Нужно ли проходить регистрацию в Роскомнадзоре. И если нужно, какова процедура.
В ответ на Ваш вопрос сообщаем:
Да.
Если индивидуальный предприниматель осуществляет обработку персональных данных (например, своих работников и (или) клиентов-физлиц), он признается оператором персональных данных и по общему правилу должен уведомить Роскомнадзор о своем намерении осуществлять обработку таких данных (п. 2 ст. 3, ч. 1 ст. 22 Закона о персональных данных, п. 1 Положения о Роскомнадзоре).
Вести обработку персональных данных без уведомления Роскомнадзора можно лишь в исключительных случаях, перечисленных в ч. 2 ст. 22 Закона о персональных данных (ч. 1 ст. 22 указанного Закона), например если вы осуществляете обработку таких данных исключительно без использования средств автоматизации (п. 8 ч. 2 ст. 22 Закона о персональных данных).
Если ИП обработку персональных данных не осуществляет (в частности, у него нет работников, чьи данные он получает, и обработку персональных данных клиентов-физлиц он не ведет), то оператором персональных данных он не является и уведомлять Роскомнадзор он не должен. Это следует из п. 2 ст. 3, ч. 1 ст. 22 Закона о персональных данных.
Подробнее:
В настоящее время все работодатели должны подать уведомление в Роскомнадзор об обработке персональных данных.
Конкретный срок подачи уведомления законодательством РФ не предусмотрен. Начиная с 1 сентября 2022 г. у работодателя (за исключением отдельных случаев, указанных ниже) появилась обязанность направлять такое уведомление в Роскомнадзор. Сделать это необходимо до того, как работодатель начнет обработку персональных данных своих работников (ч. 1 ст. 22 Закона о персональных данных).
Если вы начали обработку персональных данных своих работников до 1 сентября 2022 г., когда такой обязанности еще не было, уведомить Роскомнадзор необходимо сейчас. Предельный срок направления такого уведомления не установлен (Письмо Роскомнадзора от 06.09.2022 N 08-80975). Однако, если вы еще не уведомили Роскомнадзор, рекомендуем сделать это как можно скорее, иначе существует риск привлечения вас к административной ответственности по ст. 19.7 КоАП РФ.
Уведомление не требуется, если (п. п. 7 — 9 ч. 2 ст. 22 Закона о персональных данных):
- вы обрабатываете данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обработка проводится исключительно без использования средств автоматизации;
- сведения обрабатываются в соответствии с законодательством о транспортной безопасности.
В остальных случаях вы должны подать уведомление в Роскомнадзор (ч. 1 ст. 22 Закона о персональных данных).
Составьте уведомление по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем укажите, в частности (ч. 3, 3.1 ст. 22 Закона о персональных данных):
- свое наименование (фамилию, имя, отчество), адрес;
- цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
- дату начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.
Что указывать в качестве средств обеспечения безопасности персональных данных при заполнении уведомления об обработке персональных данных
Оператор при обработке персональных данных обязан принимать или обеспечивать принятие необходимых мер для защиты персональных данных. В том числе безопасность персональных данных достигается путем применения соответствующих организационных и технических мер при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (ч. 1, п. 2 ч. 2 ст. 19 Закона о персональных данных). Требования к защите персональных данных при их обработке в информационных системах персональных данных утверждены Постановлением Правительства РФ от 01.11.2012 N 1119. Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах госорганов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств утверждены Приказом ФСБ России от 18.03.2025 N 117. Выбор средств защиты информации для системы защиты персональных данных осуществляет оператор в соответствии с нормативными правовыми актами, принятыми во исполнение ч. 4 ст. 19 Закона о персональных данных, в том числе (п. 4 Требований, утвержденных Постановлением Правительства РФ от 01.11.2012 N 1119): · Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными Приказом ФСТЭК России от 18.02.2013 N 21; · Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденными Приказом ФСБ России от 10.07.2014 N 378. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, предусмотрены п. п. 13 — 15 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687. |
Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона о персональных данных).
Роскомнадзор на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов (ч. 4 ст. 22 Закона о персональных данных).
Если сведения, содержавшиеся в ранее поданном уведомлении, изменились, то нужно уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, обо всех произошедших за указанный период изменениях. Если вы прекратили обработку персональных данных, нужно уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона о персональных данных). Данные уведомления необходимо составлять по формам, приведенным соответственно в Приложениях N N 2 и 3 к Приказу Роскомнадзора от 28.10.2022 N 180.
Если вы намерены осуществлять трансграничную передачу персональных данных, следует направить в Роскомнадзор соответствующее уведомление. Оно подается отдельно от уведомления о намерении осуществлять обработку персональных данных (ч. 3 ст. 12 Закона о персональных данных).
Таким образом, наиболее срочные меры, которые целесообразно принять оператору, это:
— уведомление Роскомнадзора об обработке персональных данных;
— опубликование политики обработки персональных данных;
— размещение всплывающего окна на сайте, информирующего о сборе «куки-файлов», и предупреждающего, что оставаясь на сайте, пользователь соглашается на такую обработку персональных данных (если есть сайт).
Политику обработки персональных данных можно разместить на вашем официальном сайте или на информационном стенде в офисе, если сайта у вас нет. Если же вы осуществляете сбор персональных данных с использованием информационно-телекоммуникационных сетей, то обязаны (ч. 2 ст. 18.1 Закона о персональных данных, Письмо Роскомнадзора от 19.10.2021 N 08-71063):
- опубликовать политику обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных в соответствующей сети, в том числе на страницах принадлежащего вам сайта, с помощью которых собираются данные;
- обеспечить возможность доступа к этому документу с использованием средств такой сети.