Вопрос обработки персональных данных (ПД) является одним из самых острых для любого владельца бизнеса или технического специалиста, работающего с программными продуктами 1С. Зачастую возникает иллюзия, что если данные «просто лежат в базе» или «взяты из открытых источников», то закон 152-ФЗ на компанию не распространяется. Разберем ситуацию подробно, опираясь на законодательство и практический опыт использования учетных систем.
Для начала проанализируем ситуацию: что именно мы вносим в информационную базу? В сообщениях форума часто встречается мнение, что ФИО директора или контактного лица — это не персональные данные, так как они есть в открытом доступе (например, в ЕГРЮЛ или сервисах проверки контрагентов). Однако, согласно актуальной позиции Роскомнадзора, это заблуждение.
Персональными данными считается любая информация, которая прямо или косвенно позволяет идентифицировать физическое лицо. Рассмотрим конкретные примеры сочетаний данных в 1С:
i.ivanov@company.ru), она позволяет идентифицировать конкретного человека.Даже если информация является публичной, сам факт её сбора, записи, систематизации и хранения в вашей базе 1С является обработкой персональных данных. Как только вы нажали кнопку «Записать и закрыть» в карточке контрагента или физического лица — вы стали оператором персональных данных.
В обсуждении часто упоминается, что «если обрабатываешь руками — подавать не нужно». Выясним причину этого заблуждения. Действительно, закон делает исключение для неавтоматизированной обработки (например, если вы записываете ФИО клиентов в бумажную тетрадь и никак иначе их не используете).
Однако использование любой программы (1С, Excel, облачные CRM) автоматически переводит обработку в разряд автоматизированной. Программа 1С позволяет осуществлять поиск, фильтрацию, формирование отчетов и выгрузку данных. Следовательно, при использовании 1С аргумент про «ручную обработку» юридически несостоятелен.
Проанализируем ключевые изменения, которые произошли в 152-ФЗ. До сентября 2022 года существовал ряд исключений, позволявших не уведомлять Роскомнадзор (например, при обработке данных только своих сотрудников в рамках трудового договора или при обработке данных для исполнения договора с контрагентом).
Теперь эти исключения практически полностью отменены. Уведомление обязаны подавать почти все компании и ИП, если они:
Подача уведомления — это только первый шаг. Разберем по шагам, что должен сделать оператор ПД, использующий 1С, чтобы избежать огромных штрафов, которые значительно выросли в последнее время:
Разберем ситуацию с удалением данных. Раньше было достаточно просто пометить объект на удаление и очистить базу. С марта 2023 года требования ужесточились. Если субъект требует удалить его данные (или истек срок их хранения по договору), вы обязаны зафиксировать факт уничтожения специальным актом.
Для пользователей 1С это означает необходимость выгрузки лога (журнала регистрации), который подтверждает, что запись в базе была физически удалена. Этот лог вместе с бумажным актом должен храниться 3 года.
Рассмотрим риски. Штрафы за отсутствие уведомления сами по себе невелики (по статье 19.7 КоАП), но отсутствие уведомления является триггером для полноценной проверки Роскомнадзора. А вот штрафы за нарушение правил обработки (отсутствие согласий, неправильное хранение, отсутствие политики) могут достигать сотен тысяч рублей.
Посмотрим на ситуацию глазами регулятора: если вы ведете легальный бизнес, платите налоги и имеете штат сотрудников, вы априори обрабатываете ПД. Попытка скрыться («неуловимый Джо») в цифровую эпоху работает плохо.
Выполним следующие действия для легализации работы в 1С:
Подведем итог: если вы используете 1С для учета — вы являетесь оператором персональных данных в 99,9% случаев. В современных реалиях безопаснее и правильнее подать уведомление и привести внутренние документы в порядок, чем надеяться на то, что «проверка не придет». Помните, что защита ПД — это не только бюрократия, но и информационная безопасность вашего бизнеса.