- ИП — полноценный оператор ПД, обязанности почти те же, что у юрлица
- Минимальный пакет включает политику конфиденциальности, согласия и уведомление РКН
- Даже небольшой бизнес обязан фиксировать процессы обработки персональных данных
- Штрафы для ИП ниже, чем для организаций, но нарушения всё равно обходятся дорого
- Большинство обязательных документов можно подготовить за 1–2 рабочих дня
Почему ИП обязан соблюдать ФЗ-152
Многие предприниматели ошибочно считают, что требования закона касаются только крупных компаний. На практике любой ИП, который получает контакты клиентов, заявки с сайта, email или телефон — уже оператор персональных данных.
Интернет-магазин, мастер, репетитор, салон красоты, онлайн-школа, стоматология или маркетолог — все они обрабатывают персональные данные клиентов и обязаны соблюдать закон.
Минимальный пакет документов для ИП
Обязательные документы
| Документ | Для чего нужен | |---|---| | Политика конфиденциальности | Информирует пользователей о правилах обработки ПД | | Согласие на обработку ПД | Подтверждает законность сбора данных | | Уведомление в РКН | Сообщает о начале обработки ПД | | Журнал обращений субъектов | Фиксирует запросы клиентов | | Приказ о назначении ответственного | Подтверждает организацию процессов |
Дополнительно рекомендуется
- Инструкция по обработке ПД
- Регламент удаления данных
- Журнал инцидентов
- Договоры поручения с подрядчиками
- NDA с сотрудниками или помощниками
Что можно упростить ИП
ИП вправе не создавать избыточный документооборот как у крупных компаний.
Например:
- не обязательно делать сложное положение на 50 страниц;
- допускается вести журналы в электронном виде;
- часть инструкций можно объединить в один регламент.
Главное — чтобы процессы реально существовали и могли быть подтверждены при проверке.
Предприниматель скачивает шаблон политики, но фактически не ведёт учёт согласий, не отвечает на запросы клиентов и не контролирует удаление данных. При жалобе это считается полноценным нарушением.
Уведомление Роскомнадзора для ИП
В большинстве случаев ИП обязан подать уведомление в Роскомнадзор до начала обработки персональных данных.
Обычно уведомление требуется, если ИП:
- принимает заявки через сайт;
- использует CRM;
- ведёт email-рассылки;
- хранит клиентскую базу;
- использует аналитику и cookie;
- нанимает сотрудников.
Исключения ограничены
Например, отдельное уведомление может не потребоваться при обработке исключительно кадровых данных сотрудников в рамках трудового законодательства.
Документы для сайта ИП
Если у предпринимателя есть сайт, обычно необходимы:
- Политика конфиденциальности
- Согласие на обработку ПД
- Cookie-уведомление
- Чекбоксы согласия в формах
- Контакты для обращений субъектов
Предустановленные галочки или автоматическое согласие без действия пользователя не соответствуют требованиям ФЗ-152.
Что проверяют чаще всего
При жалобах и дистанционных проверках обычно смотрят:
- наличие политики;
- корректность чекбоксов;
- наличие уведомления РКН;
- сроки ответа на обращения;
- локализацию данных;
- работу подрядчиков и CRM.
Ответственность ИП
Штрафы для ИП ниже, чем для организаций, но всё равно существенны.
| Нарушение | Штраф для ИП | |---|---| | Нет политики конфиденциальности | До 10 000 ₽ | | Нет согласия на обработку | До 20 000 ₽ | | Неуведомление РКН | До 10 000 ₽ | | Утечка ПД | До 50 000 ₽ и выше | | Повторные нарушения | Увеличенные штрафы |
- Политика конфиденциальности опубликованаобязательно
- Настроены корректные согласия на сайтеобязательно
- Подано уведомление в Роскомнадзоробязательно
- Ведётся журнал обращений субъектов
- Подрядчики оформлены договорами поручения
- Есть порядок удаления персональных данных
- Доступ к клиентской базе ограничен