Какие сведения о самозанятых относятся к персональным данным
Любая информация, которая относится к определенному физлицу — персональные данные. Они бывают четырех видов:
Общие — ФИО, паспортные данные, адрес, номер банковской карты, электронная почта, образование, предыдущие места работы и т. д.
Специальные — национальность, религия, политические и философские убеждения, данные медкарты, сведения о судимости и т. д.
Биометрические — отпечатки пальцев, ДНК, слепок голоса, фото, видеозапись и т. д.
Иные — это информация, которая не входит в названные выше виды персональных данных: например, наличие автомобиля, IP-адрес, членство в клубе и т. д. По сути, это дополнительные сведения о конкретном человеке, которые со временем могут измениться.
Для заключения договора с самозанятым нужны общие персональные данные. В некоторых случаях заказчики могут запрашивать биометрические и иные сведения.
Например онлайн-школа в рекламных целях может публиковать аудио- и видеоуроки, которые вел преподаватель-самозанятый. В этом случае обязательно получить согласие от самозанятого на размещение его данных в общем доступе.
Когда нужно получать согласие на обработку ПДн от самозанятого
Заказчиками услуг самозанятых часто являются компании и ИП. Они собирают информацию об исполнителях, ведут базы данных, в некоторых случаях передают ПДн третьим лицам, а значит они — операторы персональных данных.
Основной документ для операторов персональных данных — закон «О персональных данных» от 27.07.2006 № 152-ФЗ. Согласно п. 1 ч. 1 ст. 6 и ст. 9 этого закона операторы могут обрабатывать персональные данные только с согласия их владельцев.
Для включения в договор и дальнейшей обработки персональных данных согласие от самозанятого не требуется. В данном случае оператор обрабатывает ПДн на основании договора. Но согласие понадобится в других случаях:
Заказчик запрашивает специальные, биометрические или иные персональные данные. Например, руководитель онлайн-СМИ узнает о наличии автомобиля у журналиста-самозанятого, чтобы тот мог лично посещать экспертов и брать у них интервью для написания статей.
Заказчик поручает обработку данных третьей стороне. Например, передают информацию сервису Jump.Finance для осуществления выплат исполнителям.
Заказчик размещает ПДн в открытом доступе. Например, публикует фото, видеоуроки, подкасты преподавателя-самозанятого на сайте онлайн-школы.
С 1 сентября 2025 года получать согласие нужно в виде отдельного документа — то есть его нельзя включать в текст договора, анкет и других документов. Кроме того, согласие на распространение персональных данных и согласие на получение рекламных (информационных) рассылок тоже нужно оформлять отдельно (ст. 9 и 10.1 закона № 152-ФЗ).
Форму согласия можно выбирать: на бумаге или в электронном виде. В первом случае исполнитель подписывает документ собственноручно, во втором — с помощью электронной подписью.
Самозанятый может в любой момент отозвать согласие. Тогда заказчик обязан прекратить обработку и уничтожить ПДн. В отдельных случаях заказчик может продолжить обработку ПДн после отзыва согласия, если такие случаи определены закон о персональных данных (ч. 2 ст. 9 закона 152-ФЗ). Например, при обработке ПДн в рамках судебного разбирательства.
Как начать работать с персональными данными
Все операторы персональных данных должны быть включены в реестр операторов ПДн (реестр Роскомнадзора) и иметь полный пакет документов.
Шаг 1. Назначьте ответственного
Закрепите отдельного специалиста, ответственного за организацию работы с персональными данными — для этого издайте соответствующий приказ. В документе можете указать сотрудника, который будет замещать ответственного во время его отпуска или в случае болезни.
Обязанности ответственного — организовать работу с обращениями владельцев данных, проводить инструктажи с сотрудниками и информировать их об изменениях в законодательстве, обеспечивать защиту ПДн, принимать меры по устранению утечек и прочих инцидентов (п. 1 ч. 1 ст. 18.1 и ст. 22.1 закона № 152-ФЗ).
Шаг 2. Составьте Политику обработки
Полное название документа — Политика оператора в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Это главный внутренний норматив, определяющий деятельность компании или ИП.
Основные пункты Политики — цели обработки, типы обрабатываемых данных, категории субъектов, ПДн, принципы обработки, порядок обезличивания и уничтожения данных, правовые основания обработки.
Шаг 3. Подготовьте локально нормативные акты
Перечень основных документов включает:
Положение о защите персональных данных.
Приказ о назначении ответственного за организацию работы с ПДн.
Приказ об утверждении форм документов (согласий, заявлений, журналов).
Приказ об утверждении мест хранения материальных носителей ПДн.
Приказ об утверждении перечня лиц, допущенных к обработке.
Журнал учета паролей для доступа к информационным системам (ИСПДн).
Регламент реагирования на запросы и обращения субъектов ПДн.
Положение о порядке уничтожения персональных данных.
Поручение на обработку персональных данных (если сведения передаются третьему лицу).
Другие регламенты, акты, инструкции, журналы.
Количество документов операторов персональных данных варьируется от 30 до 120. Какие документы собирать оператору — зависит от специфики деятельности компании или ИП.
Шаг 4. Определите способ и место хранения
На этом этапе нужно обеспечить безопасное хранение персональных данных исполнителей. По закону оператор может использовать автоматизированные и неавтоматизированные средства для обработки. При необходимости их можно комбинировать.
Иными словами, хранить данные исполнителей можно:
На бумажных носителях — в специально оборудованных помещениях с сигнализацией, видеокамерами, сейфами.
На электронных серверах — обязательно использовать отечественные разработки: ПО и облачные хранилища.
Определите круг сотрудников, которые будут иметь доступ к этим базам данных и документам. Пропишите их в соответствующем положении и проведите инструктаж под подпись об ответственности за нарушения в области обработки ПДн.
Шаг 5. Направьте уведомление в Роскомнадзор
Уведомить Роскомнадзор нужно до начала работы с персональными данными. Подать заявку на включение в реестр РКН можно одним из способов:
Распечатать бумажный бланк, заполнить и лично принести в местное отделение РКН.
На «Госуслугах» с подтвержденного профиля.
Роскомнадзор выносит решение о внесении оператора в реестр в течение 30 дней.
Какие штрафы установлены для операторов ПДн
С 30 мая 2025 года штрафы стали существенно выше. Основная ответственность для операторов собрана в ст. 13.11 КоАП:
Нарушение
Штраф, руб.
Обработка ПДн без уведомления Роскомнадзора (ч. 10 ст. 13.11 КоАП)
Обработка ПДн без согласия субъекта, несовместимая с целями оператора (ч. 1 ст. 13.11 КоАП)
Повторное нарушение по ч. 1 ст. 13.11 КоАП (ч. 1.1)
Обработка ПДн без согласия владельца данных (ч. 2 ст. 13.11 КоАП)
Повторное нарушение по ч. 2 ст. 13.11 КоАП (ч. 2.1)
Отсутствие Политики обработки в общем доступе (ч. 3 ст. 13.11 КоАП)
Утечка персональных данных (ч. 12–14 ст. 13.11 КоАП)
Повторная передача третьим лицам персональных данных без законного основания (ч. 15 ст. 13.11 КоАП)
Неуведомление Роскомнадзора о незаконной передаче персональных данных третьим лицам (ч. 11 ст. 13.11 КоАП)
Штрафы налагаются за каждый факт нарушения закона 152-ФЗ.
Незаконный сбор и распространение персональных данных самозанятых может привести к аресту на срок до 2 лет или лишению права занимать должность или заниматься определенной деятельностью до 3 лет (ст. 272.1 Уголовного кодекса).
Как законно избежать штрафов
Обеспечьте законный сбор и обработку персональных данных исполнителей: подготовьте Политику обработки и ЛНА, подайте уведомление в Роскомнадзор до начала обработки.
Назначьте ответственного за организацию обработки и работу с обращениями субъектов ПДн.
Закрепите в специальном положении перечень сотрудников, которым предоставляете доступ к данным исполнителей.
Разместите Политику в общем доступе: на сайте или уголке потребителя.
Запрашивайте от самозанятых только те данные, которые нужны для сотрудничества.
Пропишите в договоре, какие данные и с какой целью собираете.
Соберите согласия с исполнителей, если планируете использовать и передавать третьим лицам их биометрические, специальные, иные данные. Помните: для обработки общих ПДн согласия не нужны, но если передаете эти данные третьей стороне, то нужно получить согласие.
