Этот вопрос волнует многих предпринимателей. В предыдущих статьях мы подробно рассказывали, как составить Положение о защите ПД работников. И у Вас, наверное, сложилось впечатление, что такой локальный акт необходим только работодателям.
Но это не совсем так. Давайте поближе познакомимся со статьями закона 152-ФЗ «О персональных данных».
Является ли ИП без работников оператором?
Оператором по закону (статья 3, часть 1 пункт 2) является:
«юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
Если Вы, даже не имея наемных работников, обрабатываете ПД своих клиентов, то Вы тоже являетесь оператором.
А как узнать, обрабатываете Вы персональные данные или нет? Читаем в следующем пункте:
Обработка ПД — любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Если Вы запрашиваете ПД своих клиентов для выдачи дисконтной карточки или для обработки заказа, храните анкетки клиентов в бумажном или электронном виде, используете какие-либо персональные данные для выполнения бизнес-задач — Вы обрабатываете ПД.
А значит, и являетесь оператором по смыслу закона.
Нужен ли локальный акт ИП без работников?
В статье 18.1. в части 1 сказано, что оператор сам вправе определить, какие меры ему достаточно принять для того, чтобы в должной мере защитить доверенные ему персональные данные.
Юридическим лицам предписывается в качестве одной из мер издавать локальные акты, в которых описать всю процедуру обработки ПД, включая действия по выявлению и предотвращению нарушений в этой сфере.
Физические лица в этой норме не упоминаются, поэтому некоторыми юристами делается вывод, что предпринимателю, который фактически является физическим лицом, такие акты составлять не обязательно.
Но в четвертой части 3 статьи читаем:
«Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных».
Т.е. при проверке нужно будет документально доказать, какие меры и почему Вы выбрали для защиты ПД, как организовали выполнение этих мер. Если нет локального акта по этому вопросу, предлагается доказывать иным способом. Каким? В законе нет четкого указания на способ, поэтому толковать эту норму закона можно по-разному. И, не сомневайтесь, что взгляды на иной способ у Вас и инспектора будут различными.
Да, наверное, не будет ошибкой, если все вопросы, которые включаются в Положение о защите ПД, регламентировать, например, в приказах по основной деятельности или сделать раздел в ПВТР.
Но привычнее для всех и менее трудоемко все же издать отдельный локальный акт по этому вопросу. Поэтому мой совет: Положение о защите ПД сделать даже тем предпринимателям, у кого нет наемных работников, но они обрабатывают какие-либо персональные данные. Если же работники есть – то такой ЛА обязателен!
___________________________________________________________________
По просьбе Николая, владельца этого замечательного сайта, для читателей действует Новогоднее спец.предложение на разработку всех локальных актов. Предложение действительно по 31.12.2013 г.
