Все это — онлайн, с заботой о вас и по отличным ценам.
Работаем как ИП, товар покупаем у ООО организаций, сотрудников у компании нет, данные персональные клиентов
Здравствуйте, продаём товар на маркетплейсах (озон и вб). Работаем как ИП, товар покупаем у ООО организаций, сотрудников у компании нет, данные персональные клиентов от маркетплейса не запрашиваем, скажите пожалуйста в таком случаем нам нужно подавать уведомление в РКН или нет?
Здравствуйте, Олег.
Ситуация, которую вы описали, — типичная для малого бизнеса, работающего через маркетплейсы. Вопрос, касающийся необходимости подачи уведомления о начале обработки персональных данных в Роскомнадзор (РКН), действительно стал особенно актуален после 2023 года, когда усилилось внимание к защите персональных данных и ответственности операторов.
Краткий ответ:
В вашем случае уведомление в РКН подавать НЕ нужно, при соблюдении определённых условий. Но важно понимать нюансы, чтобы избежать рисков штрафов.
Обоснование:
Согласно ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», подавать уведомление в РКН должен оператор персональных данных, за исключением случаев, когда применяется п. 2 ч. 2 ст. 22 — перечень освобождений.
Вы попадаете под освобождение от уведомления, если одновременно выполняются следующие условия:
Вы не обрабатываете персональные данные сотрудников (у вас их нет — это +).
Вы не собираете персональные данные у клиентов напрямую, а работаете через маркетплейсы (OZON, Wildberries) — это ключевой момент.
Вы не используете данные для прямого маркетинга, рекламных рассылок и т.п. (через e-mail, СМС и т.п.).
Вы не передаёте эти данные третьим лицам, и не осуществляете трансграничную передачу данных (например, в другие страны).
Обработка осуществляется исключительно в целях исполнения договора, стороной по которому является субъект персональных данных — но в вашем случае сам договор (купли-продажи) с клиентом заключает маркетплейс, а не вы напрямую.
️ Судебная и регуляторная практика:
Роскомнадзор и суды в подобных кейсах (например, когда ИП или небольшая компания работает только через маркетплейс и не запрашивает/не хранит персональные данные клиентов) считают, что такие субъекты НЕ являются операторами персональных данных в смысле закона — потому что фактически не осуществляют обработку.
Пример: В одном из разъяснений Роскомнадзор прямо указывает, что если ИП получает обезличенные заказы через маркетплейсы и не имеет доступа к ФИО, телефону и т.п., — обязанности оператора не возникает.
️Риски и на что обратить внимание:
Если маркетплейс в какой-то момент начнет передавать вам данные клиентов (например, ФИО, телефон для доставки, e-mail) — вы станете оператором ПДн и будете обязаны:
Подать уведомление в РКН (форма онлайн через pd.rkn.gov.ru).
Назначить ответственного за ПДн.
Разработать локальные акты по защите ПДн.
Соблюдать требования по обеспечению безопасности данных (антивирус, доступ, хранение и т.п.).
Если вы решите внедрять систему лояльности или рассылок, где потребуется обрабатывать контакты покупателей, — снова возникает обязанность подавать уведомление.
Что делать сейчас:
Если всё именно так, как вы описали — ничего подавать не нужно.
Но зафиксируйте для себя (или в пояснительной записке), что:
Вы не получаете персональные данные напрямую.
Не передаёте их и не храните.
Все заказы обрабатываются исключительно через интерфейс маркетплейсов.
Это пригодится, если вдруг будет проверка.
Если планируете расширяться, собирать данные или открыть интернет-магазин с заказами напрямую — тогда ситуация изменится, и нужно будет подать уведомление.