Персональные данные для ИП: полный гайд по 152-ФЗ

**Да, индивидуальный предприниматель является оператором персональных данных**, если он обрабатывает ПДн физических лиц. Это прямо следует из определения в пункте 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ: оператор — это лицо, которое организует и (или) осуществляет обработку персональных данных.

ИП обрабатывает персональные данные в следующих случаях:

- **Есть работники** — ФИО, паспортные данные, адрес, ИНН, СНИЛС для кадрового учёта и начисления зарплаты; - **Есть клиенты** — контактные данные при заключении договоров, оказании услуг, продаже товаров; - **Есть сайт** — формы обратной связи, запись на приём, онлайн-заказы, cookie-файлы; - **Работает с контрагентами** — данные представителей юридических лиц в договорах.

Даже ИП без наёмных работников, который оказывает услуги физическим лицам по договору, является оператором ПДн и обязан соблюдать требования 152-ФЗ.

Перечень обязательных документов для ИП зависит от масштаба обработки данных. Минимальный пакет для ИП с работниками и клиентами включает **от 8 до 12 документов**.

### Обязательные документы для всех ИП

1. **Политика обработки персональных данных** — основной документ, определяющий принципы и порядок обработки ПДн. Обязательна по статье 18.1 закона 152-ФЗ. 2. **Уведомление в Роскомнадзор** — подаётся до начала обработки ПДн через портал pd.rkn.gov.ru. 3. **Согласие на обработку ПДн** — для клиентов и иных субъектов, чьи данные обрабатываются не на основании договора.

### Дополнительные документы для ИП с работниками

4. **Положение об обработке ПДн** — внутренний локальный акт, утверждаемый приказом ИП. 5. **Приказ о назначении ответственного за обработку ПДн** — ИП может назначить себя или конкретного сотрудника. 6. **Обязательство о неразглашении** — подписывается каждым сотрудником, имеющим доступ к ПДн. 7. **Перечень обрабатываемых ПДн** — категории данных с указанием целей и сроков хранения. 8. **Инструкция по обработке ПДн** — для сотрудников, работающих с данными.

### Для ИП с сайтом

9. **Политика конфиденциальности для сайта** — публикуется в открытом доступе. 10. **Пользовательское соглашение** — если на сайте есть регистрация или личный кабинет. 11. **Согласие для формы на сайте** — текст чекбокса под формой обратной связи.

Индивидуальный предприниматель **обязан подать уведомление** об обработке персональных данных в территориальный орган Роскомнадзора. Это требование части 1 статьи 22 закона 152-ФЗ.

### Когда ИП обязан подать уведомление

Уведомление подаётся **до начала обработки** персональных данных. Если ИП уже обрабатывает данные, но не подавал уведомление — необходимо подать его незамедлительно.

### Исключения из обязанности

ИП освобождён от подачи уведомления только в случаях, перечисленных в части 2 статьи 22 закона 152-ФЗ: - обработка данных исключительно работников для исполнения трудового договора (без передачи третьим лицам); - обработка данных без использования средств автоматизации.

**Важно:** большинство ИП не подпадают под исключения, поскольку используют компьютеры, программы учёта (1С, МойСклад) или CRM-системы, что является автоматизированной обработкой.

### Как подать уведомление

1. Зайти на портал pd.rkn.gov.ru 2. Заполнить форму уведомления (ФИО ИП, ОГРНИП, адрес, категории обрабатываемых данных, цели, меры защиты) 3. Подписать усиленной квалифицированной электронной подписью или направить бумажный экземпляр 4. Дождаться включения в реестр операторов ПДн (обычно 30 дней)

### Штраф за неподачу уведомления

Отсутствие уведомления в Роскомнадзор — нарушение по статье 19.7 КоАП РФ. Штраф для ИП (как должностного лица) — от 300 до 500 рублей. Однако при проверке отсутствие уведомления повлечёт выявление и других нарушений с более крупными штрафами.

Индивидуальный предприниматель обязан получить согласие на обработку персональных данных во всех случаях, когда нет иного правового основания. Статья 6 закона 152-ФЗ определяет случаи, когда обработка допускается без согласия.

### Когда ИП НЕ нужно согласие

- **Исполнение договора** — если данные обрабатываются для выполнения договора с клиентом (пункт 5 части 1 статьи 6); - **Трудовые отношения** — обработка данных работников для кадрового учёта (статья 86 ТК РФ); - **Исполнение требований закона** — передача данных в ФНС, ПФР, ФСС.

### Когда ИП НУЖНО согласие

- Обработка ПДн клиентов для маркетинга и рассылок; - Передача данных работников в банк для зарплатной карты; - Сбор данных через формы на сайте; - Обработка биометрических данных (фото сотрудника на пропуск); - Передача данных контрагентам (курьерской службе, облачной бухгалтерии).

### Особенности согласия для ИП

В согласии указывается: ФИО индивидуального предпринимателя (а не название юрлица), ОГРНИП, адрес регистрации ИП. Согласие подписывается субъектом ПДн или его законным представителем.

Политика обработки персональных данных — обязательный документ для любого ИП, обрабатывающего ПДн. Статья 18.1 закона 152-ФЗ обязывает оператора принимать меры по обеспечению выполнения закона, включая издание документов, определяющих политику обработки.

### Отличия политики ИП от политики ООО

| Элемент | ИП | ООО | |---|---|---| | Кто утверждает | ИП лично | Генеральный директор приказом | | Наименование оператора | ФИО ИП, ОГРНИП | Полное наименование ООО, ОГРН | | Ответственный за обработку | Сам ИП или назначенный работник | Назначается приказом руководителя | | Организационная структура | Может отсутствовать | Описывается в документе | | Приказ об утверждении | Не обязателен, если нет работников | Обязателен |

Если ИП работает без наёмных сотрудников — он сам является ответственным за обработку ПДн. Приказ о назначении ответственного в этом случае не требуется.

### Что включить в политику ИП

Политика должна содержать: цели обработки, категории субъектов и данных, правовые основания, порядок обработки и защиты, сроки хранения и уничтожения данных, права субъектов, контактные данные ИП.

Даже если у ИП нет наёмных работников, обязанность по соблюдению 152-ФЗ **не отменяется**, если предприниматель обрабатывает персональные данные клиентов или посетителей сайта.

### Минимальный пакет для ИП без работников

1. **Политика обработки ПДн** — если работаете с клиентами; 2. **Уведомление в Роскомнадзор** — если обработка автоматизирована; 3. **Согласие на обработку ПДн** — для клиентов, если нет договора; 4. **Политика конфиденциальности для сайта** — если есть сайт.

Итого: **от 3 до 4 документов** вместо 8–12 для ИП с работниками.

### Когда ИП без работников НЕ нужны документы

Единственный случай — когда ИП не обрабатывает ПДн физических лиц вообще (например, оказывает услуги только юридическим лицам без получения данных их сотрудников). На практике такие ситуации крайне редки.

Индивидуальные предприниматели несут ответственность по статье 13.11 КоАП РФ. **ИП штрафуется как должностное лицо**, а не как юридическое, поэтому суммы штрафов ниже, чем для организаций.

### Размеры штрафов для ИП в 2026 году

| Нарушение | Штраф для ИП | Штраф для ООО | |---|---|---| | Обработка ПДн без согласия | 20 000 – 40 000 руб. | 30 000 – 150 000 руб. | | Обработка без уведомления РКН | 300 – 500 руб. | 3 000 – 5 000 руб. | | Отсутствие политики на сайте | 10 000 – 20 000 руб. | 30 000 – 60 000 руб. | | Непредоставление данных субъекту | 20 000 – 40 000 руб. | 40 000 – 80 000 руб. | | Утечка персональных данных | до 300 000 руб. | до 18 000 000 руб. (оборотные) |

**Важно:** штрафы суммируются по каждому субъекту ПДн. Если ИП обрабатывает данные 100 клиентов без согласий — штраф может составить 20 000 × 100 = 2 000 000 рублей.

### Как избежать штрафов

Оформите документы до проверки Роскомнадзора. Минимальный пакет для ИП создаётся за 15 минут в конструкторе и стоит значительно дешевле любого штрафа.

При заключении договора между ИП и физическим лицом или другим ИП возникает вопрос об обработке персональных данных сторон.

### Является ли адрес ИП персональными данными

Адрес регистрации ИП совпадает с адресом регистрации физического лица и является персональными данными. ОГРНИП, ИНН и банковские реквизиты также могут относиться к ПДн, если позволяют идентифицировать конкретного человека.

### Нужно ли согласие контрагента

Если данные контрагента-физлица обрабатываются **для исполнения договора** — отдельное согласие не требуется (пункт 5 части 1 статьи 6 закона 152-ФЗ). Однако если ИП передаёт данные контрагента третьим лицам (бухгалтеру на аутсорсе, облачному сервису) — согласие или договор поручения обработки обязательны.

### Рекомендация

Включите в типовой договор пункт об обработке персональных данных. Это закроет правовое основание обработки и упростит ответ на запрос Роскомнадзора.