Самозанятые должны сообщать в РКН про обработку данных клиентов — зачем и что будет за нарушение? Разбор с юристом

Закон действует не первый год, но сейчас его активно обсуждают из-за повышения штрафов

2 апреля 2025, 13:00 26 783

Столярничаете в своей мастерской или шьете на заказ? Если клиенты сообщают вам свои личные данные, об этом нужно извещать Роскомнадзор | Источник: Тимофей Калмаков / 59.RU — Столярничаете в своей мастерской или шьете на заказ? Если клиенты сообщают вам свои личные данные, об этом нужно извещать Роскомнадзор
Источник:
Тимофей Калмаков / 59.RU

По соцсетям гуляют пугающие ролики о самозанятых, которых обязали подавать персональные данные клиентов в Роскомнадзор. Пугающие — потому что за нарушение можно схлопотать штраф, а как этого избежать, многие не понимают.

О каких данных идет речь? Как и в какие сроки их отправлять? Какой штраф назначат, если ничего не делать? Все важные моменты для портала 59.RU разобрал общественный эксперт Пермской Торгово-промышленной палаты, управляющий партнер компании «Технологии обжалования» Илья Демин.

Наш эксперт Илья Демин подробно разобрал, какие обязанности ложатся на самозанятых по закону о личных данных | Источник: Владислав Солодов — Наш эксперт Илья Демин подробно разобрал, какие обязанности ложатся на самозанятых по закону о личных данных
Источник:
Владислав Солодов

Должен ли самозанятый уведомлять Роскомнадзор об обработке персональных данных?
О каких именно данных и когда нужно уведомлять Роскомнадзор?
Как отправлять данные в Роскомнадзор?
В какой срок нужно отправить данные?
Какое наказание грозит нарушителям?

Должен ли самозанятый уведомлять Роскомнадзор об обработке персональных данных?

Да, закон действует не первый год. Самозанятые получают доход, выполняя какие-то работы, оказывая услуги или реализуя произведенные ими товары. В процессе этого они могут узнать персональные данные покупателей или заказчиков (к примеру, клиент указал их в личном кабинете на сайте самозанятого или прислал для оформления доставки). Об этом обязательно нужно уведомить Роскомнадзор.

— Как нам сообщили в Роскомнадзоре, в таких случаях самозанятый становится оператором персональных данных, — уточнил Илья Демин. — Поэтому в соответствии с Законом № 152-ФЗ самозанятый должен направить в Роскомнадзор уведомление о своем намерении осуществлять обработку персональных данных (это официальная формулировка. — Прим. ред.). Такие же правила действуют и для ИП, адвокатов и нотариусов, организаций.

А вот наемных работников у самозанятых нет. Поэтому нет и обязанности направлять уведомление об обработке их персональных данных.

О каких именно данных и когда нужно уведомлять Роскомнадзор?

Есть три категории персональных данных:

основные — фамилия, имя и отчество, адрес проживания, телефон, адрес электронной почты и подобная информация;
специальные — раса, национальность, политические, религиозные и философские убеждения, сведения о здоровье, интимной жизни и судимостях;
биометрические — фото, цвет глаз, вес, отпечатки пальцев, ДНК, группа крови и подобные данные.

Если самозанятый собирает данные любой из этих категорий, он должен отчитываться об этом в Роскомнадзор. Сообщить об обработке данных нужно до ее начала.

Важный момент: до обработки данных самозанятый должен предупредить об этом клиентов (покупателей, заказчиков) — таково требование статьи 9 закона № 152-ФЗ.

Уведомить Роскомнадзор нужно и после завершения обработки персональных данных, но только в случае, если самозанятый дальше не планирует с ними работать.

Кроме того, обязательно нужно сообщить в Роскомнадзор о происшествиях и инцидентах: утечках персональных данных, несанкционированных доступах, атаках и взломах.

Важное исключение: уведомлять Роскомнадзор не нужно, если работу с данными ведут вручную.

Главное отличие между двумя видами обработки персональных данных — в степени вовлеченности технологий. При автоматизированной обработке задействуют технические средства (компьютеры, облачные сервисы или программы), которые ускоряют и упрощают процесс. Ручная обработка полностью зависит от человеческого труда: информацию записывают вручную и хранят в виде бумажных документов, она требует физического архивирования.

— Представьте, что вы заполняете анкету в банке, — привел пример Илья Демин. — Если сотрудник вносит информацию в компьютер, а тот автоматически сохраняет их в базу данных — это автоматизированная обработка. Но если сотрудник записывает ваши данные от руки в бумажный журнал, который затем убирает в папку и ставит на полку, — это уже ручная обработка.

Как отправлять данные в Роскомнадзор?

Для начала нужно заполнить специальную форму (ее можно найти на сайте Роскомнадзора). Подать ее в Роскомнадзор можно тремя способами:

через портал «Госуслуги» (для этого у самозанятого должна быть подтвержденная учетная запись);
через сайт Роскомнадзора (понадобится электронная подпись);
в бумажном виде — в этом случае нужно распечатать форму с сайта Роскомнадзора, заполнить ее и подать в территориальное управление по месту жительства (почтой или лично).

В этой форме необходимо указать:

фамилию, имя и отчество самозанятого, адрес, паспортные данные, телефон и другие личные данные;
цель и способы обработки персональных данных (выбрать из списка);
меры, которые предпринимаются для защиты персональных данных от утечек, взломов и так далее;
сроки и лицо, ответственное за обработку персональных данных;
сведения о базах данных и лицах, которые имеют к ним доступ (если такие есть).

— Сама форма несложная, не все поля обязательны для заполнения, — пояснил Илья Демин. — В некоторых случаях нужно просто выбрать из списка. Также есть подсказки по заполнению некоторых полей: чтобы их получить, нужно нажать на название поля.

В какой срок нужно отправить данные?

Предельного срока уведомления Роскомнадзора об обработке персональных данных нет. Главное — сообщить об этом до начала обработки. Роскомнадзор рассмотрит уведомление в течение 30 дней.

Если указанные в уведомлении сведения изменились, уведомить Роскомнадзор об этом нужно до 15 числа следующего месяца. Это можно сделать в электронном виде (через сайт Роскомнадзора или «Госуслуги»), либо предоставив информацию на бумаге (можно отправить по почте или принести лично). Заполнять нужно только те поля, в которые вносятся изменения.

Если самозанятый прекращает обработку персональных данных (например, он просто больше не планирует оказывать услуги), то срок подачи уведомления в Роскомнадзор короче — не более 10 рабочих дней.

Самые сжатые сроки закон установил для уведомлений об утечке персональных данных или другой неправомерной либо случайной передаче. У самозанятого в таком случае есть всего 24 часа: за это время нужно уведомить Роскомнадзор об инциденте и его причинах, предполагаемом вреде и принятых мерах, а также ответственном лице. Затем в течение 72 часов нужно провести внутреннее расследование и сообщить о причинах нарушения и виновниках.

Какое наказание грозит нарушителям?

Сейчас применяется статья 19.7 КоАП РФ о непредоставлении сведений. За нарушение грозит предупреждение или штраф от 100 до 300 рублей.

С 30 мая этого года Роскомнадзор будет выносить штрафы по новым правилам. Наказание станут назначать по статье 13.11 КоАП РФ, посвященной нарушениям в области персональных данных:

если не было уведомления о намерении работать с персональными данными — штраф от 5000 до 10 000 рублей;
если в Роскомнадзор не сообщили о происшествиях и нарушении прав владельцев персональных данных — штраф от 50 000 до 100 000 рублей.

Ранее мы рассказывали о предложении Счетной палаты РФ ужесточить контроль за самозанятыми и дать налоговой службе новые полномочия по отслеживанию их расчетов.