Решающим фактором является не правовой статус лица, а сам факт обработки персональных данных. Если самозанятый получает, хранит, использует или передаёт данные, относящиеся к конкретным физическим лицам (клиентам, заказчикам, подрядчикам), он признаётся оператором персональных данных и обязан соблюдать требования 152-ФЗ.
На практике многие самозанятые ошибочно полагают, что требования закона касаются только ИП и юридических лиц. Однако Роскомнадзор оценивает не форму ведения бизнеса, а реальные процессы работы с персональными данными.
Является ли самозанятый оператором персональных данных
Самозанятый становится оператором персональных данных автоматически, как только начинает обрабатывать данные физических лиц в рамках своей профессиональной деятельности.
Что признаётся обработкой ПДн у самозанятого
Под обработкой персональных данных понимаются любые действия с ними, включая:
-
сбор;
-
хранение;
-
использование;
-
передачу;
-
удаление и уничтожение.
Если самозанятый выполняет хотя бы одно из этих действий в отношении данных физического лица, он подпадает под требования 152-ФЗ.
Какие данные обрабатывает самозанятый
На практике самозанятые чаще всего работают с:
-
ФИО клиентов;
-
телефонными номерами и email;
-
адресами доставки;
-
реквизитами для оплаты;
-
данными переписки.
Все эти сведения позволяют идентифицировать человека и являются персональными данными.
Когда самозанятый становится оператором
Самозанятый становится оператором ПДн не по факту регистрации в налоговой, а по факту обработки персональных данных.
Даже если:
-
нет сотрудников;
-
нет офиса;
-
нет сайта,
но самозанятый, например, принимает заказы через мессенджеры и сохраняет контакты клиентов — он уже является оператором персональных данных.
В каких случаях 152-ФЗ распространяется на самозанятых
Решающим является не налоговый режим, а характер деятельности самозанятого и фактическая обработка персональных данных.
Работа с клиентами-физлицами
152-ФЗ применяется, если самозанятый:
-
оказывает услуги гражданам;
-
продаёт товары физическим лицам;
-
заключает договоры с физическими лицами.
При этом обрабатываются персональные данные клиентов, которые подлежат защите в полном объёме.
Сбор заявок и обращений
Если самозанятый:
-
принимает заказы;
-
обрабатывает обращения;
-
ведёт переписку с клиентами,
он осуществляет обработку персональных данных, даже если это происходит через личные аккаунты.
Использование сайта, соцсетей и мессенджеров
Сбор данных через:
-
сайт и формы обратной связи;
-
социальные сети;
-
мессенджеры;
-
маркетплейсы
является полноценной обработкой ПДн, независимо от того, используется ли для этого «бизнес-профиль» или личная страница.
Передача данных третьим лицам
152-ФЗ применяется, если самозанятый передаёт данные:
-
курьерским службам;
-
платёжным сервисам;
-
агрегаторам и платформам;
-
бухгалтерским сервисам.
Когда 152-ФЗ может не применяться
Случаи, когда требования 152-ФЗ не распространяются на самозанятых, строго ограничены и на практике встречаются редко.
Обработка данных исключительно для личных и бытовых нужд
152-ФЗ не применяется, если самозанятый обрабатывает данные:
-
не в рамках профессиональной деятельности;
-
исключительно для личных, семейных и бытовых целей;
-
без связи с оказанием услуг или продажей товаров.
Пример: хранение контактов друзей и родственников в личном телефоне.
Отсутствие предпринимательской цели
Если данные используются:
-
без цели извлечения дохода;
-
без оказания услуг или продажи товаров;
-
без систематической деятельности,
такая обработка не подпадает под действие 152-ФЗ.
Отсутствие идентифицируемых данных
Если информация не позволяет установить личность конкретного лица и полностью обезличена, она не признаётся персональными данными.
Однако на практике такие ситуации для самозанятых встречаются крайне редко.
Почему эти исключения применяются редко
Большинство самозанятых:
-
работают с клиентами;
-
получают оплату;
-
ведут переписку;
-
хранят контактные данные,
что автоматически выводит их деятельность в сферу регулирования 152-ФЗ.
Как самозанятому выстроить соблюдение 152-ФЗ
Задача самозанятого — не создать сложную систему, а обеспечить юридически корректную и применимую на практике защиту персональных данных.
Проанализировать реальные процессы обработки
Первый шаг — понять:
-
какие данные собираются;
-
у каких субъектов (клиенты, заказчики);
-
для каких целей используются;
-
где хранятся и кому передаются.
Это позволяет выстроить систему защиты, соответствующую реальной деятельности, а не формальным требованиям.
Сформировать минимальный комплект документов
Для большинства самозанятых достаточно:
-
политики обработки персональных данных;
-
порядка хранения и уничтожения данных;
-
согласий (если данные используются вне исполнения договора);
-
договоров с условиями обработки ПДн при передаче данных третьим лицам.
Отсутствие избыточных документов не является нарушением, если базовые требования соблюдены.
Обеспечить защиту данных на практике
Даже при минимальной системе необходимо:
-
ограничить доступ к данным;
-
использовать защищённые пароли и устройства;
-
избегать передачи данных через небезопасные каналы.
Регулярно пересматривать систему
Любые изменения в деятельности:
-
запуск сайта;
-
подключение сервисов;
-
расширение клиентской базы
должны сопровождаться пересмотром системы защиты ПДн.
На практике
Самозанятых также привлекают к ответственности за нарушения в сфере персональных данных, несмотря на упрощённый налоговый режим.
Даже простая, но грамотно выстроенная система защиты ПДн позволяет:
-
избежать штрафов;
-
пройти проверки без претензий;
-
повысить доверие клиентов.
