Нужно ли ИП вести специальную книгу учета контактов клиентов и регистрироваться в Роскомнадзоре?

<h2 id="_1">Нужно ли регистрироваться в Роскомнадзоре при ведении клиентских контактов в бумажном блокноте?</h2> <p>На основе предоставленной информации разберем вашу ситуацию по пунктам.</p> <h3 id="_2">Анализ ситуации</h3> <p>Вы являетесь индивидуальным предпринимателем, который в процессе своей деятельности записывает в бумажный блокнот контактные данные (предположительно ФИО, телефоны) представителей своих клиентов — юридических лиц. Вы не используете для этого компьютеры, сайты или автоматизированные системы.</p> <h3 id="_3">Применимые правовые нормы и их анализ</h3> <h4 id="1">1. Являетесь ли вы оператором персональных данных?</h4> <p>Да, являетесь. Согласно закону, оператор — это "юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных". При этом "обработка персональных данных" включает любые действия, совершаемые <strong>как с использованием средств автоматизации, так и без использования таких средств</strong>, в том числе сбор, запись и хранение.</p> <blockquote> <p>"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных" (Источник: Федеральный закон "О персональных данных", статья 3, п.2)<br /> "обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение..." (Источник: Федеральный закон "О персональных данных", статья 3, п.3)</p> </blockquote> <p>Записывая ФИО и телефоны физических лиц (представителей центров) в блокнот, вы осуществляете их обработку, а значит, выступаете в роли оператора.</p> <h4 id="2">2. Нужно ли вам уведомлять Роскомнадзор (уполномоченный орган)?</h4> <p><strong>Нет, в вашем случае уведомление не требуется.</strong> Закон прямо предусматривает исключение для операторов, которые обрабатывают данные <strong>исключительно без использования средств автоматизации</strong>.</p> <blockquote> <p>"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон "О персональных данных", статья 22, ч.2, п.8)</p> </blockquote> <p>Поскольку вы ведете учет только в бумажном блокноте и не используете для этого информационные системы, компьютеры или иные средства автоматизации, вы подпадаете под это исключение. Вам <strong>не нужно</strong> направлять уведомление в Роскомнадзор и вноситься в реестр операторов.</p> <h4 id="3">3. Какие обязанности у вас остаются как у оператора?</h4> <p>Несмотря на освобождение от уведомления, вы обязаны соблюдать все остальные требования закона:</p> <ul> <li> <p><strong>Конфиденциальность:</strong> Вы обязаны не раскрывать и не распространять эти данные без согласия человека.</p> <blockquote> <p>"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных" (Источник: Федеральный закон "О персональных данных", статья 7)</p> </blockquote> </li> <li> <p><strong>Законность обработки:</strong> Обработка должна иметь правовое основание. В вашем случае таким основанием, скорее всего, является исполнение договора.</p> <blockquote> <p>"обработка персональных данных допускается в следующих случаях: ... 5) обработка персональных данных необходима для исполнения договора, стороной которого ... является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных" (Источник: Федеральный закон "О персональных данных", статья 6, ч.1, п.5)</p> </blockquote> </li> <li> <p><strong>Безопасность данных:</strong> Вы обязаны принимать меры для защиты данных от неправомерного доступа, даже если они хранятся на бумаге.</p> <blockquote> <p>"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры ... для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения" (Источник: Федеральный закон "О персональных данных", статья 19, ч.1)</p> </blockquote> </li> <li> <p><strong>Меры по обеспечению выполнения обязанностей:</strong> Закон предписывает оператору принимать необходимые и достаточные меры. Для ИП это может выражаться в простейших организационных мерах: например, иметь четкое понимание, какие данные, для каких целей и как долго вы храните, и обеспечивать физическую сохранность блокнота.</p> <blockquote> <p>"Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом... Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных..." (Источник: Федеральный закон "О персональных данных", статья 18.1, ч.1)</p> </blockquote> </li> </ul> <h4 id="4">4. Нужно ли получать согласие на обработку данных?</h4> <p>В контексте предоставленных норм прямое требование о получении отдельного письменного согласия в вашем случае может не применяться, если обработка объективно необходима для исполнения договора с клиентом (юридическим лицом), представителем которого является субъект данных. Однако, чтобы избежать споров, <strong>рекомендуется</strong> все же получать согласие. Поскольку данные получены от самого субъекта (представителя), при их сборе вы должны предоставить ему информацию об обработке.</p> <blockquote> <p>"Если персональные данные получены не от субъекта персональных данных, оператор ... до начала обработки ... обязан предоставить субъекту ... информацию" (Источник: Федеральный закон "О персональных данных", статья 18, ч.3)<br /> Однако есть исключение: "Оператор освобождается от обязанности предоставить субъекту ... сведения ... в случаях, если: ... 2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого ... является субъект персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18, ч.4, п.2)</p> </blockquote> <p>Это означает, что если сбор контактов представителя напрямую связан с заключением или исполнением договора с его организацией, то отдельное уведомление и согласие могут не требоваться, так как сама передача контактов для связи в рамках договорных отношений подразумевает согласие на их обработку для этих целей.</p> <h4 id="5">5. Какие санкции предусмотрены за нарушения?</h4> <blockquote> <p>"Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность" (Источник: Федеральный закон "О персональных данных", статья 24, ч.1)</p> </blockquote> <p>Ответственность за нарушения (например, утечку данных, их распространение без оснований) установлена Кодексом об административных правонарушениях РФ и может выражаться в значительных штрафах.</p> <h3 id="_4">Выводы и конкретные рекомендации</h3> <ol> <li> <p><strong>Регистрация не нужна:</strong> Вам <strong>не требуется</strong> регистрироваться в Роскомнадзоре как оператору, поскольку вы обрабатываете данные исключительно в неавтоматизированном виде (бумажный блокнот). Это прямое исключение из закона.</p> </li> <li> <p><strong>Сохраняйте бумажный учет:</strong> Вы можете продолжать вести учет в блокноте, это не обязывает вас переходить на электронные системы или "официальную книгу". Закон не делает различий между блокнотом и иными бумажными носителями.</p> </li> <li> <p><strong>Примите минимальные организационные меры:</strong></p> <ul> <li><strong>Определите порядок:</strong> Четко для себя определите, какие именно данные вы записываете (например, ФИО, должность, рабочий телефон), для какой цели (исполнение договора, коммуникация) и как долго будете их хранить (рекомендуется – не дольше, чем это необходимо для целей договора и требований налогового законодательства).</li> <li><strong>Обеспечьте безопасность:</strong> Храните блокнот в недоступном для посторонних месте (например, в запираемом ящике стола или сейфе). Уничтожайте устаревшие записи безопасным способом (шредирование, разрывание).</li> <li><strong>Подготовьте документ:</strong> Хотя для ИП без сайта не требуется публикация политики, рекомендуется составить для себя внутренний документ (например, "Политика ИП в отношении обработки персональных данных"), где будут отражены указанные выше моменты. Это продемонстрирует вашу добросовестность в случае каких-либо вопросов.</li> </ul> </li> <li> <p><strong>Учитывайте изменения:</strong> Вы упомянули "новый закон". В контексте присутствуют редакции 2024-2025 годов. Ключевое исключение для неавтоматизированной обработки (ст. 22 ч.2 п.8) сохранено. Следите за изменениями, но на данный момент для вашего способа работы радикальных нововведений нет.</p> </li> </ol> <p><strong>Рекомендация:</strong> Для полной уверенности и грамотного оформления минимального пакета документов (политика обработки, формы согласий/уведомлений, если решите их использовать) целесообразно обратиться к <strong>адвокату</strong>, специализирующемуся на защите персональных данных и сопровождении малого бизнеса.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>