Алексей Ветров
Эксперт по защите данных IC-TECH
Да, HR-фрилансер может быть признан оператором персональных данных, если он самостоятельно собирает, хранит и использует данные кандидатов. Всё зависит от того, в каком качестве он работает:
- HR-фрилансер как самостоятельный специалист (например, ИП, самозанятый или просто физлицо, оказывающее услуги по подбору): если он получает резюме, хранит их у себя (в почте, на компьютере, в Excel, CRM) и затем передаёт работодателю, то он считается оператором ПДн, потому что сам определяет цели и способы обработки данных. В этом случае он обязан подать уведомление в Роскомнадзор и оформить документы по 152-ФЗ.
- HR-фрилансер как подрядчик компании по договору: если в договоре прописано, что обработка ПДн ведётся по поручению заказчика (работодателя), и компания определяет цели/способы обработки, то оператором остаётся компания, а фрилансер является обработчиком по поручению. Тогда уведомление в Роскомнадзор подаёт только заказчик, а фрилансер работает по условиям поручения.
Обоснование по законодательству
- ФЗ-152, ст. 3, п. 2: оператор — лицо, самостоятельно или совместно с другими определяющее цели и средства обработки ПДн.
- Ст. 6, ч. 3: обработчик ПДн может действовать только на основании поручения оператора.
- Ст. 22, ч. 1: оператор до начала обработки обязан уведомить Роскомнадзор.
Примеры на практике
- Фрилансер размещает вакансии, получает отклики кандидатов на свою почту, сортирует резюме и только потом передаёт работодателю. → Он оператор ПДн и обязан зарегистрироваться в Роскомнадзоре.
- Фрилансер работает через корпоративный e-mail компании или ATS (систему найма), где все данные кандидатов хранятся у работодателя, а он лишь просматривает и комментирует. → Оператором является компания, а фрилансер — лишь обработчик.
Рекомендации и выводы
- Если HR-фрилансер работает «на себя» и получает данные кандидатов напрямую, лучше зарегистрироваться как оператор ПДн (например, как самозанятый или ИП).
- Если работа ведётся строго по договору с компанией, нужно закрепить поручение обработки ПДн в договоре, а обязанности по уведомлению Роскомнадзора и формированию документов остаются у компании.
- На практике Роскомнадзор смотрит на то, кто именно хранит и систематизирует персональные данные.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
