Вопрос
Если оператор - ИП без сотрудников, ведет деятельность по торговле на маркетплейсах (нигде свои контакты не указывает), сдается только отчетность в налоговую через сервис банка. Нужно ли такому ИП подавать уведомление в Роскомнадзор? Т.е. максимальная работа с персональными данными - это сдача отчетов через банк.
Уточнение относительно информации о покупателях, которую обрабатываем: ИП видит только имя, без фамилии и отчества. Площадка запрещает обмен прямыми контактами, вся возможная коммуникация ведется через чат.
Ответ
Полагаю, что подавать уведомление необходимо. Связано это с тем, что любая информация о человеке (даже имя) - это персональные данные человека. Например, если ИП при покупке и/или продаже товаров собирает и хранит (в телефоне, на компьютере и т.д.) персональные данные контактных (ответственных) лиц контрагентов (продавцов товаров, службы доставки до склада маркетплейса, самого маркетплейса), а также данные покупателей, то ИП признается оператором персональных данных. Соответственно, необходимо подавать уведомление.
Обратите внимание, что с 30.05.2025 штрафы за не уведомление повышаются многократно.
Обоснование
На основании п. 1 ст. 3, ФЗ N 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Судебная практика также относит к персональным данным любую информацию, не в ее совокупности, а по отдельности, например, Кассационное определение Третьего кассационного суда общей юрисдикции от 23.03.2022 N 88а-4692/2022. К таким сведениям относятся: фамилия, имя, отчество, дата и место рождения, пол, адрес места жительства, сведения из документа, удостоверяющего личность, идентификационный (регистрационный, учетный) номер налогоплательщика (при наличии), семейное положение, социальное положение, образование, национальность, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных.
При этом Роскомнадзор не ставит статус оператора персональных данных в зависимость от того, включены ли о нем сведения в реестр или нет Информация Роскомнадзора "Ответы на вопросы в сфере защиты прав субъектов персональных данных", в соответствии с пунктом 2 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обязанности оператора установлены гл. 4 Федерального закона "О персональных данных", которые операторы исполняют независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Извлечение из Готового решения: Каковы обязанности оператора персональных данных: оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Закона о персональных данных). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.
Если вы не включены в реестр Роскомнадзора, вы не перестаете быть оператором персональных данных и не освобождаетесь от связанных с этим статусом обязанностей (Информация Роскомнадзора).
…
Извлечение из Готового решения: Кто и какую ответственность несет за нарушение законодательства о персональных данных:
Административная ответственность установлена:
- за нарушение правил обработки персональных данных;
- неисполнение обязанностей при взаимодействии с гражданином - субъектом персональных данных;
- невыполнение требований по защите персональных данных;
- неисполнение обязанностей при взаимодействии с Роскомнадзором;
- нарушение установленных требований при размещении или обновлении в ЕБС биометрических персональных данных. Предусмотрена для банков, МФЦ, иных организаций в определенных законодательством случаях.
Основной вид административного наказания за нарушение законодательства о персональных данных - штраф. Его размер зависит от конкретного нарушения. Например, максимальный штраф для организации за обработку персональных данных без письменного согласия гражданина, когда согласие требуется, или за отсутствие в нем всех необходимых сведений составляет 700 000 руб., за повторное правонарушение - 1 500 000 руб. (ч. 2, 2.1 ст. 13.11 КоАП РФ).
С 30 мая 2025 г. увеличен размер штрафа за обработку персональных данных в непредусмотренных законом случаях, а также в целях, несовместимых с целями сбора, по ч. 1 ст. 13.11 КоАП РФ. Максимальный штраф для должностных лиц - 100 000 руб., для организации - 300 000 руб.; при повторном нарушении для должностных лиц - 200 000 руб., для организации, ИП - 500 000 руб. (ч. 1, 1.1 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 N 420-ФЗ).
