Все это — онлайн, с заботой о вас и по отличным ценам.
Вопрос: если у индивидуального предпринимателя, ведущего образовательную деятельность, нет работников, но
Здравствуйте! Вопрос: если у индивидуального предпринимателя, ведущего образовательную деятельность, нет работников, но он обрабатывает персональные данные (клиентов и других физ лиц), то нужны ли локальные нормативные акты? В 152 ФЗ не нашел ответа.
Заранее благодарю за ответ
Здравствуйте, Александр
Вопрос достаточно объемный, попыталась ответить коротко.
Персональные данные (ПДн) — это любые сведения, которые прямо или косвенно относятся к конкретному физическому лицу.
Пункт 2 части 1 статьи 18.1 Закона о персональных данных сформулирован так, что политику оператора в отношении обработки персональных данных разрабатывают лишь юридические лица, т.е. ИП этого могут не делать. Тем не менее, это касается и ИП, и юридических лиц. Штрафные санкции за отсутствие политики предусмотрены как для юридических лиц, так и для ИП.
Все юридические лица и индивидуальные предприниматели обязаны соблюдать требования закона «О персональных данных» № 152-ФЗ от 27.07., как только они становятся операторами таких данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо (то есть ИП тоже), которые самостоятельно или совместно с другими лицами организовывают и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав обрабатываемых данных, действия или операции с персональными данными.;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Таким образом, требования закона о персональных данных вы, как ИП, даже не имеющий наемных сотрудников обязаны исполнять и соответственно иметь локальные нормативные акты, тем более если ваа деятельность связана с образованием.
Конкретного полного перечня документов по обработке ПД закон не содержит, поэтому сначала определяем, с какими данными работаете и кто их субъект, а также, какие действия, операции и процессы входят в обработку персональных данных.
Политика в отношении обработки персональных данных — документ, обязательный в любом случае. Обязательно потребуется подготовить и форму согласия на обработку ПДн, и, возможно, не одну — в зависимости от категорий субъектов персональных данных. Кроме того, комплект документов должен включать положение о неавтоматизированной (или автоматизированной) обработке ПДн, не исключено, что потребуется разработка инструкций для описания процессов и операций, необходим регламент ответа на запросы субъектов.
Необходимо разместить политику в отношении обработки персональных данных на информационном стенде, на официальном сайте ИП, в интернет-магазине или других ресурсах, на которых ведётся сбор данных. Это основной документ, он должен быть общедоступным.
Что касается подачи уведомление в Роскомнадзор, то вопрос неоднозначный. На сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у вас уже закончились договорные отношения, то в любом случае с точки зрения закона вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор.