Персональные данные: уведомлять или нет, обработка или нет?

В соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее 152-ФЗ) персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Все общества с ограниченной ответственностью (ООО) имеют участников. В подавляющем большинстве участниками являются физические лица. Является ли для Общества обработкой персональных данных работа с данными своих участников? Ведь в соответствии с законодательством Общество должно вести списки своих участников, в которые включаются и паспортные данные.

Таким образом, позиция о том, что Общество обрабатывает только ФИО участников, что не требует подачи уведомления, заведомо несостоятельна.

В соответствии со ст. 22 вышеуказанного закона, лицо, являющееся оператором персональных данных до начала обработки этих данных обязано уведомить уполномоченный орган, которым является Роскомнадзор, о своем намерении осуществлять обработку персональных данных и о защите прав субъекта персональных данных.

В отношении малого и среднего бизнеса, слабо проработанным остается порядок уведомления Роскомнадзора об обработке персональных данных физических лиц, и если 152-ФЗ в отношении клиентов физических лиц и работников может быть не применим вообще, в зависимости от обстоятельств, с учетом положений ч. 2 ст. 22, то в отношении участников ООО, 152-ФЗ исключений не делает, а не обрабатываться их персональные данные Обществом не могут – как минимум речь идет о паспортных данных, а так же банковских реквизитах для выплаты дивидендов.

Очевидно, что риски, да и сама ответственность минимальны, так как наличие состава административного правонарушения должно быть доказано, в соответствии со ст. 1.5 КоАП РФ, а определить это уполномоченный орган может только при проверке, но даже в этом случае Обществу грозит только штраф от трех до пяти тысяч рублей.

Учитывая, что в отечественных ООО далеко не редкость, когда участник и директор одно и то же лицо, есть возможность вообще избежать штрафа, так как п. 1 ч. 2 ст. 22 152-ФЗ предусмотрено исключение из правила уведомления уполномоченного органа в случае, если персональные данные обрабатываются в соответствии с трудовым законодательством. То же правило применяется в случае, если другие участники также оформлены в Обществе как работники по трудовому договору. 

Ольга Проскурина, руководитель налоговой практики, управляющий партнёр Юридической фирмы JBI Эксперт
Вячеслав Лынченко, юрист JBI Эксперт
Источник: jbi-group.ru