ГрамотаИБ ГрамотаИБ

Как самозанятому соблюсти требования по персональным данным

Касаются ли самозанятого требования 152-ФЗ по защите персональных данных? Если вы ведёте базу клиентов для своей деятельности — да, вы оператор персональных данных, и формальное «я просто самозанятый» не освобождает. Но объём требований небольшой и соразмерный: у самозанятого нет работников, нет ГИС и КИИ, обычно нет сложной информационной системы. Разбираем минимальный набор: правовое основание, уведомление Роскомнадзора, политика и согласие на сайте, базовая защита данных и чего точно делать не нужно.

Частый вопрос: «Я самозанятый, работаю один — неужели меня тоже касаются все эти требования по персональным данным и информационной безопасности?» Короткий ответ: если вы обрабатываете данные клиентов для своей деятельности, то да, вы оператор персональных данных по 152-ФЗ. Но пугаться не стоит — у самозанятого объём требований заметно меньше, чем у компании, и закрывается он простыми и бесплатными шагами. Разберём минимум.

Почему 152-ФЗ касается самозанятого

Закон 152-ФЗ не применяется, только когда физлицо обрабатывает данные исключительно для личных и семейных нужд (статья 1 часть 2). Как только вы ведёте список клиентов, их телефоны, адреса и заказы для своей профессиональной деятельности, это уже не личные нужды — вы оператор персональных данных, как и любая компания. Статус самозанятого (плательщика налога на профессиональный доход) сам по себе от требований не освобождает.

Что упрощает жизнь самозанятому

Хорошая новость: у самозанятого требований объективно меньше, чем у организации.

  • Нет работников. Плательщик НПД не вправе нанимать сотрудников по трудовым договорам (статья 4 422-ФЗ), поэтому отпадает весь блок кадровых данных и согласий работников. Если же вы привлекаете исполнителей по гражданско-правовым договорам, их данные вы тоже обрабатываете — но это обычная обработка по договору, без кадровой специфики.
  • Обычно нет ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК. и КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ.. Государственных информационных систем и объектов критической инфраструктуры у самозанятого, как правило, нет, поэтому приказы ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. для ГИС и 187-ФЗ к нему обычно не относятся (если только он не задействован как владелец или эксплуатант таких систем в регулируемой сфере).
  • Обычно нет сложной информационной системы. Чаще всего это список клиентов в телефоне, мессенджере или таблице — масштаб минимальный.

По сути всё сводится к аккуратной работе с данными клиентов.

Минимальный набор требований

  • Минимизация. Собирайте только то, что реально нужно для услуги. Имя и телефон для записи — да; паспорт без необходимости — нет.
  • Правовое основание. Для исполнения заказа отдельное согласие чаще не нужно — основанием служит договор с клиентом (пункт 5 части 1 статьи 6 152-ФЗ). А вот для рассылок и рекламы нужно отдельное согласие; виды согласий — в статье «Согласие на обработку ПДн».
  • Уведомление Роскомнадзора. Если вы ведёте клиентов в программе или таблице (автоматизированная обработка), нужно бесплатно подать уведомление об обработке ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).. Если данные только на бумаге, без автоматизации, действует исключение. Подробно — в статье «Уведомление в Роскомнадзор»; нужно ли вам вообще регистрироваться оператором, разобрано в материале «Нужно ли ИП и компании регистрироваться оператором ПДн».
  • Если есть сайт или страница с формой. Опубликуйте политику обработки ПДн с рабочей ссылкой. Для формы заказа или записи отдельный чек-бокс согласия нужен не всегда — если основанием служит договор; но когда вы собираете данные именно на основании согласия или для рассылки, добавьте отдельное согласие (не отмеченное по умолчанию). Храните клиентскую базу россиян на серверах в России (часть 5 статьи 18 152-ФЗ); иностранные счётчики и сервисы рискованны, когда через них идёт сбор или хранение данных клиентов либо передача за рубеж без соблюдения статьи 12. Как это проверяют — в статье «Роскомнадзор проверяет сайты автоматически»; как составить политику — здесь.
  • Базовая защита. Телефон и ноутбук — под паролем (PIN), доступ к базе клиентов закрыт, лишнего не храните, делайте резервную копию и не пересылайте список клиентов кому попало.
  • Удаление по достижении цели. Когда данные больше не нужны или клиент попросил их удалить, уберите их — если только нет законной обязанности или основания хранить их дальше (например, чеки и документы для налогового учёта или защита от возможных претензий).

Чего самозанятому делать НЕ нужно

Не поддавайтесь на запугивание дорогими решениями. Для типичного самозанятого с небольшим объёмом обычных данных, как правило, не требуются: сертифицированная система защиты за десятки тысяч, аттестация, поэкземплярный учёт СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ. (если вы криптосредства не используете), сложная модель угроз для большой ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.. Это уровень минимальных мер. Может ли небольшой бизнес справиться сам — в статье «Может ли малый бизнес сам выполнить требования».

Если пользуетесь онлайн-сервисами

CRM, облачная таблица, сервис записи или рассылок, в которых лежат данные клиентов, — это сторонние обработчики. Убедитесь, что сервис хранит данные в России, и при необходимости оформите с ним отношения как с обработчиком (см. «Поручение на обработку ПДн»). И помните: даже таблица с клиентами в Excel — это уже информационная система персональных данных, об этом в статье «Таблица Excel — это ИСПДн?».

Когда требований становится больше

Минимум выше подходит для простого случая — записи и заказов клиентов. Требования возрастают, если вы работаете с чувствительными данными или каналами: сведения о здоровье, данные детей, фотографии и биометрия, рекламные рассылки, передача данных подрядчикам или за рубеж, сайт с аналитикой. В таких случаях нужны дополнительные согласия и меры — оцените это отдельно.

Типичные ошибки

  • «Я самозанятый, меня не касается». Касается, как только вы обрабатываете данные клиентов для дела.
  • Зарубежный сервис или облако. Сбор и хранение клиентской базы россиян сразу на иностранном сервере конфликтует с требованием о локализации.
  • Рассылки без согласия. Рекламные сообщения клиентам без отдельного согласия — нарушение.
  • Не подал уведомление. Ведёт клиентов в таблице, но в реестре операторов его нет.
  • Собирает лишнее. Просит паспортные данные или адрес там, где достаточно имени и телефона.

Главное

Самозанятый, который ведёт базу клиентов для своей деятельности, — оператор персональных данных, и 152-ФЗ его касается. Но объём небольшой: нет работников, нет ГИС и КИИ, обычно нет сложной системы. Достаточно собирать только нужное, опираться на договор как основание, подать бесплатное уведомление в Роскомнадзор при автоматизированной обработке, привести в порядок сайт (политика, согласие, локализация), если он есть, и хранить данные под паролем. Дорогая сертифицированная защита самозанятому, как правило, не нужна. ГрамотаИБ определяет, что именно требуется под ваш профиль, и формирует нужные документы — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Проводит ли Роскомнадзор автоматический мониторинг сайтов и сверяет ли обработку с политикой?

Да, Роскомнадзор ведёт дистанционный контроль сайтов без взаимодействия с оператором (по 248-ФЗ) — в том числе автоматизированными средствами, и оператор может даже не узнать о такой проверке. Разбираем, как это работает, что автоматика реально может выявить (опубликована ли политика, корректны ли формы и согласия, есть ли оператор в реестре, куда уходят данные), сверяет ли она соответствие обработки заявленной политике и где проходит граница между автоматическим наблюдением и полноценной проверкой.

Таблица Excel с персональными данными — это ИСПДн?

Список клиентов или сотрудников в Excel — это уже информационная система персональных данных (ИСПДн) со всеми требованиями 152-ФЗ или просто файл? Короткий ответ: чаще всего да, это ИСПДн, потому что Excel автоматизированно обрабатывает данные (поиск, сортировка, фильтры). Разбираем, когда таблица считается автоматизированной обработкой, какой нужен уровень защищённости и меры, почему пугаться не стоит, чем особенно рискован Excel (почта, облако, общий доступ) и что делать на практике.

Персональные данные в 1С: кто оператор, облако или свой сервер и как не попасть на штраф

В 1С почти всегда есть персональные данные — зарплата и кадры, клиенты, контрагенты-физлица. Значит, это ИСПДн со своими требованиями 152-ФЗ. Разбираем, кто здесь оператор (вы, а не фирма 1С и не хостер), чем с точки зрения закона отличается локальная 1С на своём сервере от облачной аренды (1С в облаке, хостинг, 1С:Фреш), почему облачный провайдер — это обработчик и нужно поручение на обработку с локализацией данных в России, какие документы оформить и на чём экономия превращается в штраф.

Уведомление в Роскомнадзор об обработке персональных данных: кому обязательно и как подать

Уведомление об обработке персональных данных — первый и самый дешёвый шаг к соответствию 152-ФЗ. После реформы 2022 года почти все операторы обязаны подавать его, включая ИП и работодателей, обрабатывающих данные своих сотрудников. Разбираем, кто обязан уведомлять и какие исключения статьи 22 ещё остались, как подать уведомление бесплатно через сайт Роскомнадзора или Госуслуги, что в нём указать и какой штраф грозит за неподачу (статья 13.11 КоАП РФ).