Самозанятые (НПД) также подпадают под действие ФЗ-152, если в своей деятельности они собирают и используют персональные данные клиентов или партнёров. Закон не делает исключений для самозанятых: как только человек начинает обрабатывать ПДн (ФИО, телефон, e-mail, адрес, фото и др.), он становится оператором и обязан соблюдать требования. Однако пакет документов у самозанятого будет проще, чем у организации или ИП, так как у него нет сотрудников и сложной инфраструктуры.
Минимальный комплект документов для самозанятого:
- Политика обработки ПДн — если у самозанятого есть сайт или он собирает данные онлайн (регистрация, заявки, подписки), политика должна быть опубликована.
- Согласия на обработку ПДн — письменные или электронные формы согласий клиентов на фото, отзывы, маркетинг.
- Журнал учёта согласий — может вестись в простой таблице (Excel, Google Sheets), чтобы фиксировать, кто и когда дал согласие.
- Перечень обрабатываемых ПДн — документ, где перечислены собираемые данные и их цели (например, телефон для связи, адрес для доставки).
- Порядок уничтожения ПДн — небольшой документ или регламент, описывающий, как самозанятый удаляет данные после достижения цели (например, после оказания услуги).
- Приказ о назначении ответственного за ПДн — в случае самозанятого это он сам, поэтому можно оформить отдельный документ для проверки.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — оператором может быть любое физическое лицо, если оно обрабатывает ПДн.
- Ст. 18.1 ФЗ-152 — требует, чтобы у оператора были утверждены локальные акты по обработке.
- Ст. 19 ФЗ-152 — обязывает обеспечивать безопасность ПДн, даже если обработка ведётся одним человеком.
- Ст. 22 ФЗ-152 — в ряде случаев требует уведомлять Роскомнадзор о начале обработки (например, если данные собираются системно или включают спецкатегории).
Практика и позиция Роскомнадзора
Роскомнадзор поясняет, что даже самозанятые несут ответственность за законность обработки. На практике у проверяющихся часто находят только устные договорённости с клиентами, но отсутствие письменной политики и согласий признаётся нарушением. В случаях, когда самозанятый показывает политику на сайте и согласия клиентов, к нему претензий не возникает.
Что важно учитывать
- Если самозанятый работает только с юрлицами (например, делает дизайн для компаний), пакет документов минимален.
- Если он оказывает услуги населению (фотограф, репетитор, мастер), обязательны политика и согласия.
- Хранить персональные данные (например, клиентские фото) можно только с согласия.
Рекомендации и выводы
Да, самозанятый обязан иметь документы по ПДн, хотя их перечень проще, чем у организаций и ИП. Чтобы не нарушать закон:
- Подготовьте политику обработки ПДн, особенно если есть сайт или формы заявок.
- Составьте простые формы согласий для клиентов (фото, отзывы, рассылки).
- Ведите журнал согласий и перечень данных.
- Опишите порядок хранения и удаления данных.
Компания ICTech поможет самозанятым подготовить минимальный пакет документов по ФЗ-152, который учтёт специфику деятельности и избавит от рисков штрафов.
