Самозанятые часто используют персональные данные заказчиков для общения, сохраняют их контакты в телефоне или мессенджере. Фотографы, копирайтеры или маркетологи публикуют кейсы и примеры работ со ссылкой на аккаунт клиентов, а телефоны и имена хранят в записной книжке или в таблицах. Но в большинстве случаев для использования персональных данных (далее — ПДн) нужно согласие клиента, а с 2025 года выросли штрафы в области ПДн.
С юристом Ольгой Ткач разобрались, когда нужно брать согласие об обработке и распространении данных и как писать уведомление в Роскомнадзор.
Что такое персональные данные и кто такой оператор ПДн
Персональные данные — вся информация, по которой можно идентифицировать человека. Конкретно, что это, в законе не описано, но обычно к персональным данным относят такую информацию:
Данные | Что это может быть |
Общие |
|
Специальные |
|
Биометрические |
|
Иные |
|
Самозанятый становится оператором ПДн, если работает с любыми из персональных данных: если собирает, систематизирует, хранит, передаёт и использует их в своих целях.
В одном из дел Верховный суд установил: чтобы признать информацию персональными данными, она должна позволять доподлинно и однозначно определить конкретное физическое лицо. По мнению суда, связка «email + телефон» без ФИО, паспорта или ИНН однозначной идентификации не даëт. Телефон и email могут принадлежать не тому, кто заполняет форму, быть корпоративными, или их владелец вообще может поменяться. Но лучше придерживаться позиции Роскомнадзора, по которой любая информация, позволяющая связаться с человеком, — это персональные данные.
Например, когда самозанятый берëт номер телефона клиента, он привязывает его к заказу конкретного человека. Не имеет значения, хранится этот номер в Excel-таблице, в записной книжке телефона или на бумажке. Когда он звонит клиенту — это обработка данных.
Что такое согласие на обработку персональных данных и как правильно его оформить
Согласие на обработку персональных данных — это документ, который подписывает человек и так даёт право обрабатывать свои данные. В нëм должны быть такие пункты:
Цель обработки. Например, рекламные рассылки о новых товарах, акциях и скидках.
Перечень ПДн. ФИО, номер телефона, история заказов для персонализации предложений.
Действия с данными. Хранение, запись в базу рассылки, отправка сообщений через email.
Место и способ обработки ПДн. Ручной и автоматизированный ввод через CRM-системы и сервисы рассылок.
Срок действия согласия. Например, согласие действует со дня его предоставления и до момента достижения целей обработки, но не дольше 1 года.
Условия отзыва. Например: согласие может быть отозвано в любое время путём направления заявления на адрес электронной почты оператора. Оператор обязан прекратить обработку персональных данных и уничтожить их в течение 30 дней с даты получения отзыва.
Подпись клиента или галочка в чек-боксе.Так клиент выражает своё согласие на то, что его данные будут использовать.
Когда нужно обязательно получать согласие клиента
Есть несколько случаев, когда нужно брать согласие на обработку персональных данных.
Используете Telegram-бот для общения с клиентами и сбора их контактов. Например, у автора онлайн-курсов есть бот, который запрашивает личные данные клиентов и отправляет напоминания о вебинарах и прямых эфирах.
Собираете данные через формы. Предположим, у маркетолога есть сайт с описанием услуг и заявкой на сотрудничество: для этого нужно оставить ФИО, номер телефона и электронную почту.
Ведëте базу клиентов. Так, организатор нетворкинга собрал таблицу с данными всех, кто был на встрече, и рассылает её другим участникам.
Хранить ПДн на Google Диске нельзя (ч. 5 ст. 18 закона №152-ФЗ) — можно использовать только базы данных, которые находятся на территории России. Серверы Google не находятся в России, и если самозанятый загружает файл с данными клиента на Google Диск, он нарушает это требование, потому что использует иностранную базу данных как первичную. Любой человек, который в курсе о том, что ведётся база с персональными данными физических лиц, может пожаловаться в РКН, а тот запустит проверку.
Если сохранить данные в РФ, а потом скопировать на Google Диск, возникает вторая проблема: самозанятый передаёт ПДн на территорию иностранного государства и обязан до начала такой передачи уведомить Роскомнадзор, а также убедиться, что иностранное государство обеспечивает адекватную защиту прав субъектов ПДн (ст. 12 закона №152-ФЗ). По мнению Роскомнадзора, США не входят в перечень таких стран. Кроме того, для передачи данных в другую страну требуется отдельное письменное согласие клиента, в котором он прямо разрешает передачу его данных за границу.
Собираете контакты для обратной связи или рассылок. Например, самозанятый флорист после доставки букета просит подписаться на рассылку, чтобы клиент получал новости о скидках, и добавляет его номер в рассылочный чат. А чтобы законно рассказывать клиентам об акциях, требуется ещё и согласие на рассылку рекламы.
Публикуете отзывы с ФИО или фото клиента. Это считается распространением персональных данных и требует отдельного согласия. Допустим, самозанятый редактор просит клиентов написать отзыв о работе, а затем выкладывает отзывы на сайт в виде скриншота с именем, фамилией и должностью.
Закон не обязывает оформлять согласие на размещение отзыва только в виде документа. Другие допустимые формы:
Переписка в мессенджере, где клиент прямо пишет: «Да, публикуйте мой отзыв с фото и ФИО».
Электронная форма согласия на сайте.
Голосовое или видеоподтверждение, в котором зафиксированы суть и дата.
Если клиент сам публикует в соцсетях отзыв с ФИО, а самозанятый хочет сделать репост, нужно получить на это отдельное явное согласие. То, что клиент опубликовал отзыв на своей странице, ещё не значит, что он согласен на то, чтобы его распространяли, а репост — это распространение неопределëнному кругу лиц. В статье 10.1 № 519-ФЗ указано, что «молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешëнных для распространения». В согласии клиент должен чëтко указать, какие именно данные и на каких информационных ресурсах оператора он разрешает публиковать.
Когда согласие клиента не требуется
Есть несколько ситуаций, когда согласие на обработку персональных данных не нужно.
Клиент подписал договор, в котором оставил свои данные. Например, самозанятый мастер ремонтирует квартиру и заказывает нужные материалы. Ему нужно отправить по адресу заказчика плитку для кухни. Он передаëт курьерской службе телефон и имя заказчика — это входит в условия договора, и согласие не требуется. Но если мастер решит разослать клиентам рекламные сообщения «Закажи установку кухни, кран в подарок», — согласие нужно.
Самозанятый выкладывает в соцсетях обезличенный отзыв. Допустим, самозанятый маркетолог просит клиентов написать отзыв о работе после открытого мероприятия. Он выкладывает его на сайт и в соцсети, но замазывает ФИО и фотографию.
Нужно ли уведомлять Роскомнадзор, что вы собираете персональные данные
Уведомлять ведомство не нужно, если самозанятый обрабатывает ПДн вручную, то есть записывает на бумагу. В остальных случаях, прежде чем собирать данные, самозанятый должен уведомить об этом Роскомнадзор. Вот как это сделать.
Шаг 1. Провести инвентаризацию данных. Для этого можно составить таблицу:
Чьи данные | Какие данные | Где хранятся | Для чего | Срок хранения |
Клиенты | Имя, фамилия, телефон | «Яндекс Таблица» | Для связи | 1 год |
Подписчики | Имя, фамилия, телефон | Сайт | Для рассылок | Бессрочно |
Шаг 2. Подготовить документы. для работы с персональными данными: политику конфиденциальности и согласие на обработку персональных данных. В качестве примера можете использовать политику конфиденциальности «Моей удалёнки».
Шаг 3. Заполнить уведомление в Роскомнадзор. Это можно сделать на сайте Роскомнадзора или лично в отделении ведомства. Рассмотрим, как это сделать онлайн.
Сначала нужно ввести информацию о себе и цели обработки данных. Для каждой цели выберите категории данных и субъектов.
Затем укажите, на каком основании обрабатываются данные.
Далее выберите, какие действия с персональными данными планируются.
Затем выберите из выпадающих списков, как будете обрабатывать данные. Если вы общаетесь с клиентами через интернет — укажите автоматизированный способ.
Далее требуется вписать, какие меры защиты будете использовать: пароли, хранение на защищëнных серверах, использование антивирусников или обновление ПО.
В конце добавьте даты начала и окончания обработки персональных данных, впишите адрес, где хранятся данные и сведения о том, как обеспечивается безопасность ПДн. Например, организован специальный режим в помещении, документы и носители на электронных устройствах хранят в сейфах и назначено должностное лицо, ответственное за безопасность.
Шаг 4. Дождаться внесения в реестр. Это занимает до 30 календарных дней.
Шаг 5. Регулярно проверять и обновлять сведения. Нужно подавать новые уведомления в Роскомнадзор, если изменятся ваши персональные данные, цели обработки данных, категории данных или способы обработки. Это нужно делать не позднее 15 числа следующего месяца.
Нужно ли уничтожать персональные данные
После прекращения сотрудничества нужно сжечь или измельчить бумажные документы, отформатировать или разрушить съëмные носители и удалить без возможности восстановления электронные данные. Когда срок придёт, важно составить акт об уничтожении персональных данных. В него обычно включают:
Наименование оператора: ФИО самозанятого и ИНН.
Дату, время и место уничтожения.
Лицо, которое уничтожило данные.
Информацию о субъекте ПДн: ФИО клиентов.
Перечень категорий уничтожаемых ПДн. Например: ФИО, номер телефона, адрес электронной почты, скан-копия договора.
Наименование носителя информации. Например, жëсткий диск компьютера с указанием модели и серийного номера, облачное хранилище «Яндекс Диск» или бумажный носитель.
Способ уничтожения. Например, форматирование носителя для цифровых данных, стирание данных с использованием программного обеспечения, исключающее возможность восстановления, или физическое уничтожение путëм измельчения в шредере.
Причину уничтожения. Например, истечение установленного законодательством срока хранения документов налогового учëта и отчëтности.
Подпись.
Нужно составить акт в одном экземпляре и хранить у себя.
Уничтожать персональные данные нужно не в день окончания договора, а по истечении сроков, установленных законами. 152-ФЗ не действует в вакууме, и другие федеральные законы могут устанавливать обязанность хранить документы, содержащие персональные данные, даже после того, как закончили работать с клиентом. Так, в соответствии:
С Налоговым кодексом нужно хранить договоры, акты, чеки для исчисления и уплаты налогов в течение 5 лет (ст. 23 НК РФ).
Законом «О бухгалтерском учëте» — хранить первичные учëтные документы не менее 5 лет после отчëтного года (ст. 29 Закона).
Гражданским кодексом — хранить договоры и переписку с клиентом 3 года на случай, если возникнет спор (ст. 196 ГК РФ).
Какая ответственность есть за нарушения
С 30 мая 2025 года ответственность за нарушение обработки и хранения ПНд ужесточилась. Вот основные штрафы для самозанятых:
Нарушение | Штраф, ₽ |
Обработка персональных данных в случаях, не предусмотренных законом, или не по той причине, для которой их собрали |
|
Оператор не сообщает в Роскомнадзор, что собирается обрабатывать персональные данные, или делает это с опозданием |
|
Из-за действий или бездействия оператора произошла утечка персональных данных более 1000 человек или 10 000 идентификаторов |
|
В зависимости от обстоятельств, человеку может грозить не только административная, но и гражданско-правовая, дисциплинарная или уголовная ответственность.
Самозанятый не должен самостоятельно шифровать данные, если хранит их на облачных хранилищах и они соответствуют требованиям законодательства. Но самозанятый обязан позаботиться о том, чтобы данные были в безопасности. В большинстве случаев набор мер включает (Приказ ФСТЭК России от 18.02.2013 № 21):
Организацию режима безопасности помещений.
Обеспечение сохранности носителей ПДн.
Контроль доступа к данным (пароли).
Использование антивирусной защиты.
Если данные попадут в чужие руки, это по умолчанию будет рассматриваться как следствие того, что оператор не принял достаточных мер. Поэтому, даже если данные утекли из-за взлома почты или мессенджера, самозанятый будет нести ответственность (ст. 19 закона №152-ФЗ).
Тест: проверьте, не нарушаете ли вы закон
Чтобы вы могли проверить, не грозят ли вам штрафы за нарушение закона «О персональных данных», мы составили простой тест с подсказками.
