Персональные данные самозанятых исполнителей: как обрабатывать, чтобы избежать штрафа

Обработка персональных данных самозанятых — тема неоднозначная. Не всегда понятно, какие данные собирать, можно ли размещать их в открытом доступе, когда нужно отдельное согласие на обработку и т. д. Рассказываем, как обрабатывать данные самозанятых и не нарушать закон. 

Какие сведения о самозанятых относятся к персональным данным

Любая информация, которая относится к определенному физлицу — персональные данные. Они бывают четырех видов:

  1. Общие — ФИО, паспортные данные, адрес, номер банковской карты, электронная почта, образование, предыдущие места работы и т. д.

  2. Специальные — национальность, религия, политические и философские убеждения, данные медкарты, сведения о судимости и т. д.

  3. Биометрические — отпечатки пальцев, ДНК, слепок голоса, фото, видеозапись и т. д.

  4. Иные — это информация, которая не входит в названные выше виды персональных данных: например, наличие автомобиля, IP-адрес, членство в клубе и т. д. По сути, это дополнительные сведения о конкретном человеке, которые со временем могут измениться. 

Для заключения договора с самозанятым нужны общие персональные данные. В некоторых случаях заказчики могут запрашивать биометрические и иные сведения. 

Например онлайн-школа в рекламных целях может публиковать аудио- и видеоуроки, которые вел преподаватель-самозанятый. В этом случае обязательно получить согласие от самозанятого на размещение его данных в общем доступе.

Когда нужно получать согласие на обработку ПДн от самозанятого

Заказчиками услуг самозанятых часто являются компании и ИП. Они собирают информацию об исполнителях, ведут базы данных, в некоторых случаях передают ПДн третьим лицам, а значит они — операторы персональных данных.

Основной документ для операторов персональных данных закон «О персональных данных» от 27.07.2006 № 152-ФЗ. Согласно п. 1 ч. 1 ст. 6 и ст. 9 этого закона операторы могут обрабатывать персональные данные только с согласия их владельцев.

Для включения в договор и дальнейшей обработки персональных данных согласие от самозанятого не требуется. В данном случае оператор обрабатывает ПДн на основании договора. Но согласие понадобится в других случаях:

  • Заказчик запрашивает специальные, биометрические или иные персональные данные. Например, руководитель онлайн-СМИ узнает о наличии автомобиля у журналиста-самозанятого, чтобы тот мог лично посещать экспертов и брать у них интервью для написания статей.

  • Заказчик поручает обработку данных третьей стороне. Например, передают информацию сервису Jump.Finance для осуществления выплат исполнителям.

  • Заказчик размещает ПДн в открытом доступе. Например, публикует фото, видеоуроки, подкасты преподавателя-самозанятого на сайте онлайн-школы.

С 1 сентября 2025 года получать согласие нужно в виде отдельного документа — то есть его нельзя включать в текст договора, анкет и других документов. Кроме того, согласие на распространение персональных данных и согласие на получение рекламных (информационных) рассылок тоже нужно оформлять отдельно (ст. 9 и 10.1 закона № 152-ФЗ).

Форму согласия можно выбирать: на бумаге или в электронном виде. В первом случае исполнитель подписывает документ собственноручно, во втором — с помощью электронной подписью.

Самозанятый может в любой момент отозвать согласие. Тогда заказчик обязан прекратить обработку и уничтожить ПДн. В отдельных случаях заказчик может продолжить обработку ПДн после отзыва согласия, если такие случаи определены закон о персональных данных (ч. 2 ст. 9 закона 152-ФЗ). Например, при обработке ПДн в рамках судебного разбирательства.

Как начать работать с персональными данными

Все операторы персональных данных должны быть включены в реестр операторов ПДн (реестр Роскомнадзора) и иметь полный пакет документов. 

Шаг 1. Назначьте ответственного 

Закрепите отдельного специалиста, ответственного за организацию работы с персональными данными — для этого издайте соответствующий приказ. В документе можете указать сотрудника, который будет замещать ответственного во время его отпуска или в случае болезни.

Обязанности ответственного — организовать работу с обращениями владельцев данных, проводить инструктажи с сотрудниками и информировать их об изменениях в законодательстве, обеспечивать защиту ПДн, принимать меры по устранению утечек и прочих инцидентов (п. 1 ч. 1 ст. 18.1 и ст. 22.1 закона № 152-ФЗ).

Шаг 2. Составьте Политику обработки

Полное название документа — Политика оператора в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Это главный внутренний норматив, определяющий деятельность компании или ИП.

Основные пункты Политики — цели обработки, типы обрабатываемых данных, категории субъектов, ПДн, принципы обработки, порядок обезличивания и уничтожения данных, правовые основания обработки.

Шаг 3. Подготовьте локально нормативные акты

Перечень основных документов включает:

  • Положение о защите персональных данных.

  • Приказ о назначении ответственного за организацию работы с ПДн.

  • Приказ об утверждении форм документов (согласий, заявлений, журналов).

  • Приказ об утверждении мест хранения материальных носителей ПДн.

  • Приказ об утверждении перечня лиц, допущенных к обработке.

  • Журнал учета паролей для доступа к информационным системам (ИСПДн).

  • Регламент реагирования на запросы и обращения субъектов ПДн.

  • Положение о порядке уничтожения персональных данных. 

  • Поручение на обработку персональных данных (если сведения передаются третьему лицу).

  • Другие регламенты, акты, инструкции, журналы.

Количество документов операторов персональных данных варьируется от 30 до 120. Какие документы собирать оператору — зависит от специфики деятельности компании или ИП. 

Шаг 4. Определите способ и место хранения 

На этом этапе нужно обеспечить безопасное хранение персональных данных исполнителей. По закону оператор может использовать автоматизированные и неавтоматизированные средства для обработки. При необходимости их можно комбинировать.

Иными словами, хранить данные исполнителей можно:

  • На бумажных носителях — в специально оборудованных помещениях с сигнализацией, видеокамерами, сейфами.

  • На электронных серверах — обязательно использовать отечественные разработки: ПО и облачные хранилища.

Определите круг сотрудников, которые будут иметь доступ к этим базам данных и документам. Пропишите их в соответствующем положении и проведите инструктаж под подпись об ответственности за нарушения в области обработки ПДн.

Шаг 5. Направьте уведомление в Роскомнадзор

Уведомить Роскомнадзор нужно до начала работы с персональными данными. Подать заявку на включение в реестр РКН можно одним из способов:

  1. Заполнить онлайн-форму на сайте Роскомнадозра

  2. Распечатать бумажный бланк, заполнить и лично принести в местное отделение РКН. 

  3. На «Госуслугах» с подтвержденного профиля.

Роскомнадзор выносит решение о внесении оператора в реестр в течение 30 дней. 

Какие штрафы установлены для операторов ПДн

С 30 мая 2025 года штрафы стали существенно выше. Основная ответственность для операторов собрана в ст. 13.11 КоАП:

Нарушение

Штраф, руб.

Обработка ПДн без уведомления Роскомнадзора (ч. 10 ст. 13.11 КоАП)

  • от 100 до 300 тыс. на организации и ИП;

  • от 30 до 50 тыс. на должностных лиц

Обработка ПДн без согласия субъекта, несовместимая с целями оператора (ч. 1 ст. 13.11 КоАП)

  • от 150 до 300 тыс. на организации;

  • от 50 до 100 тыс. на должностных лиц и ИП

Повторное нарушение по ч. 1 ст. 13.11 КоАП (ч. 1.1)

  • от 300 до 500 тыс. на организации;

  • от 100 до 200 тыс. на должностных лиц и ИП

Обработка ПДн без согласия владельца данных (ч. 2 ст. 13.11 КоАП)

  • от 300 до 700 тыс. на организации;

  • от 100 до 300 тыс. на должностных лиц и ИП

Повторное нарушение по ч. 2 ст. 13.11 КоАП (ч. 2.1)

  • от 500 тыс. до 1 млн на ИП

  • от 1 млн до 1,5 млн на организации;

  • от 300 до 500 тыс. на должностных лиц и ИП

Отсутствие Политики обработки в общем доступе (ч. 3 ст. 13.11 КоАП)

  • от 10 до 20 тыс. на ИП

  • от 30 до 60 тыс. на организации;

  • от 6 до 12 тыс. на должностных лиц

Утечка персональных данных (ч. 12–14 ст. 13.11 КоАП)

  • до 15 млн на организации и ИП;

  • до 600 тыс. на должностных лиц

Повторная передача третьим лицам персональных данных без законного основания (ч. 15 ст. 13.11 КоАП)

  • от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение — на организации и ИП;

  • от 800 тыс. до 1,2 млн на должностных лиц

Неуведомление Роскомнадзора о незаконной передаче персональных данных третьим лицам (ч. 11 ст. 13.11 КоАП)

  • от 1 до 3 млн на организации и ИП;

  • от 400 до 800 тыс. на должностных лиц

Штрафы налагаются за каждый факт нарушения закона 152-ФЗ

Незаконный сбор и распространение персональных данных самозанятых может привести к аресту на срок до 2 лет или лишению права занимать должность или заниматься определенной деятельностью до 3 лет (ст. 272.1 Уголовного кодекса).

Как законно избежать штрафов

  1. Обеспечьте законный сбор и обработку персональных данных исполнителей: подготовьте Политику обработки и ЛНА, подайте уведомление в Роскомнадзор до начала обработки.

  2. Назначьте ответственного за организацию обработки и работу с обращениями субъектов ПДн.

  3. Закрепите в специальном положении перечень сотрудников, которым предоставляете доступ к данным исполнителей. 

  4. Разместите Политику в общем доступе: на сайте или уголке потребителя.

  5. Запрашивайте от самозанятых только те данные, которые нужны для сотрудничества. 

  6. Пропишите в договоре, какие данные и с какой целью собираете.

  7. Соберите согласия с исполнителей, если планируете использовать и передавать третьим лицам их биометрические, специальные, иные данные. Помните: для обработки общих ПДн согласия не нужны, но если передаете эти данные третьей стороне, то нужно получить согласие.

