Алексей Ветров
Эксперт по защите данных IC-TECH
Самозанятый гражданин также может стать оператором персональных данных, если в своей деятельности он получает и использует сведения о физических лицах (ФИО, телефон, адрес, электронную почту, реквизиты для оплаты и т.д.).
Например:
- репетитор ведёт список учеников и их контактов;
- мастер по ремонту принимает заказы по телефону;
- фотограф хранит фотографии клиентов и их согласия на публикацию;
- курьер или повар-частник фиксирует адреса доставки.
Во всех этих случаях самозанятый обязан соблюдать ФЗ-152. Если же самозанятый работает только с организациями (юрлица перечисляют ему деньги, контактов физических лиц он не получает), то обязанности оператора у него не возникает.
Например:
- репетитор ведёт список учеников и их контактов;
- мастер по ремонту принимает заказы по телефону;
- фотограф хранит фотографии клиентов и их согласия на публикацию;
- курьер или повар-частник фиксирует адреса доставки.
Во всех этих случаях самозанятый обязан соблюдать ФЗ-152. Если же самозанятый работает только с организациями (юрлица перечисляют ему деньги, контактов физических лиц он не получает), то обязанности оператора у него не возникает.
Обоснование по законодательству
- Ст. 3 ФЗ-152 – оператором персональных данных может быть любое физическое лицо, если оно самостоятельно организует обработку ПДн.
- Ст. 6 ФЗ-152 – устанавливает основания обработки (согласие субъекта, заключение договора).
- Ст. 22 ФЗ-152 – обязывает операторов уведомлять Роскомнадзор о начале обработки ПДн (есть исключения, например, обработка только для исполнения договора).
- Ст. 18.1 ФЗ-152 – закрепляет обязанность по обеспечению безопасности ПДн.
Самозанятый и персональные данные клиентов
На практике почти любой самозанятый, работающий с физлицами, обрабатывает персональные данные. Даже простая переписка с клиентом в мессенджере с сохранением имени и телефона — это уже обработка ПДн.
Ключевой момент: самозанятый работает как физическое лицо, но в статусе «оператора ПДн» он ничем не отличается от ИП или компании.
Пример из практики
Фотограф на самозанятости хранит портретные фото клиентов, их ФИО и контакты для связи. Он обязан:
- иметь согласие на обработку и публикацию фото (если размещает портфолио в интернете);
- хранить данные клиентов в защищённом виде (например, не выкладывать базу в открытый доступ, защищать компьютер паролем);
- по запросу клиента удалить его фото и данные.
Рекомендации и выводы
- Самозанятый обязан соблюдать ФЗ-152, если он работает с данными физических лиц.
- Минимальные шаги:
- определить, какие ПДн он обрабатывает и для каких целей;
- составить и использовать формы согласий на обработку ПДн (например, для фото, контактов);
- уведомить Роскомнадзор, если деятельность не подпадает под исключения;
- принять меры защиты (хранение данных на устройствах с паролем, использование антивируса, неразглашение базы клиентов).
- Полный пакет документов для самозанятых проще, чем для организации, но ключевые акты всё равно нужны:
- политика обработки ПДн (может быть в виде отдельного документа или даже страницы на сайте);
- согласия клиентов;
- при необходимости — уведомление в Роскомнадзор.
Многие самозанятые думают, что закон «их не касается», но штрафы по ст. 13.11 КоАП РФ распространяются и на физлиц — до 50 000 руб. При этом разработка пакета документов в упрощённом виде возможна и для самозанятых. В ICTech мы готовим такие комплекты «под ключ», чтобы даже самозанятые были юридически защищены.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
