Эта статья родилась из живого обсуждения на форуме Клерка, где бухгалтер-самозанятый задал практический вопрос о своей ответственности при работе через удаленный доступ в аккаунт ИП. Ответ эксперта вызвал дополнительные сомнения, особенно по части роли ЦОДов и необходимости регистрации в Роскомнадзоре.
Мы разобрали ситуацию подробнее, чтобы прояснить юридические и технические аспекты такой работы.
Бухгалтерские услуги все чаще оказываются онлайн — особенно в сегменте самозанятых. Один из типичных сценариев: бухгалтер-самозанятый подключается к личному кабинету ИП, формирует и отправляет отчетность от его имени. Никаких документов у себя не хранит — работает в интерфейсе самого предпринимателя.
И вот тут начинаются вопросы: кто в этой схеме оператор персональных данных? Надо ли самозанятому регистрироваться в Роскомнадзоре? Какие дата-центры (ЦОДы) должны быть у исполнителя?
Разберемся.
Кто в этом случае оператор ПДн
По закону № 152-ФЗ оператором персональных данных считается тот, кто определяет цели и средства обработки ПДн. В нашей ситуации это — индивидуальный предприниматель, поскольку:
он является владельцем данных (это его отчетность, его контрагенты, его сотрудники);
он дает доступ к данным;
он решает, что с ними делать и как.
А самозанятый бухгалтер — это лицо, которое действует по поручению оператора. То есть не определяет цели и средства — а лишь помогает реализовать задачи.
📌 Вывод: оператор — ИП, а не бухгалтер.
Нужно ли самозанятому регистрироваться в Роскомнадзоре
Нет, не нужно.
В реестр Роскомнадзора включаются только операторы. Если вы работаете по поручению оператора, то регистрироваться не обязаны. Это касается всех ситуаций, когда вы:
не определяете, какие именно ПДн обрабатывать;
не храните данные у себя;
не используете данные для своих целей.
Что с категориями ПДн и типами данных
На всякий случай: если бы самозанятый был признан оператором, то речь шла бы о обычных персональных данных — ФИО, ИНН, телефоны и т.п. Специальные категории или биометрия — не обрабатываются.
А как быть с ЦОДами
И тут часто возникает путаница. Вопрос: если бухгалтер — самозанятый, нужен ли ему свой дата-центр или надо соблюдать требования по размещению данных?
Если у самозанятого нет собственной инфраструктуры хранения данных, то он не обязан обеспечивать соответствие ЦОДов закону.
Поясним на примере:
Где происходят действия? | Кто контролирует? | Кто отвечает? | Нужно ли регистрироваться/иметь ЦОД? |
---|---|---|---|
На компьютере ИП | ИП | ИП | ✅ Да, если обрабатывает ПДн |
В облаке оператора ЭДО (например, Тензор) | Оператор ЭДО | Оператор ЭДО | ✅ Да, если хранит данные |
У самозанятого ничего не хранится | Только временное подключение | — | ❌ Нет |
Таким образом, если самозанятый не хранит ничего у себя и подключается только удаленно — он не ЦОД, не оператор и не субъект регистрации.
Итог
Если вы — самозанятый бухгалтер, который:
работает удаленно, не копируя документы к себе;
не хранит данные у себя;
подключается к аккаунту ИП для работы на его стороне,
то:
вы не оператор ПДн;
вы не обязаны регистрироваться в Роскомнадзоре;
у вас нет обязанности обеспечивать собственные дата-центры.
Работайте спокойно — но в договоре с ИП обязательно пропишите, что обрабатываете ПДн по поручению и обязуетесь соблюдать требования закона.
Комментарии
4Товарищи, ну кто еще так ностальгически скучает по временам, когда бухгалтер был бухгалтером, а не цирковым артистом на арене IT-цирка без сетей и Роскомнадзора в придачу?
зато теперь стало легче! Учёт стал проще. И количество отчётности снизили аж в несколько раз! Уплата налогов - так вообще теперь одной только платёжкой делается! И в один день! И даже КБК наизусть учить не надо! А их, кстати, КБКов этих, было больше миллиарда штук!
))))))))))))))))))))))))))))
Огромное спасибо за такую подробную статью! Какие же ВЫ молодцы! Смело-понятно-просто!!!
Не совсем точно, если бухглатер видит персональные дланные