Перейти к содержанию
инструкция 21 января 2029 По состоянию на 21 января 2029

ПДн самозанятых, работающих с компанией

Самозанятый — не сотрудник, но его персональные данные компания обрабатывает как оператор по ФЗ-152 с момента первого контакта.
С 30.05.2025 неправомерная обработка ПДн без согласия грозит штрафом до 700 тыс. рублей по ч. 2 ст. 13.11 КоАП. Повторное нарушение — до 1,5 млн рублей.
Если вы HRD и работаете с самозанятыми через агрегатор или напрямую — проверьте, есть ли у вас правовое основание для каждого действия с их данными. →

Компании всё активнее привлекают самозанятых: курьеры, дизайнеры, разработчики, консультанты. Трудовых отношений нет, но персональные данные — ФИО, ИНН, телефон, реквизиты, фото в СКУД — компания собирает и хранит. Роскомнадзор не делает исключений для гражданско-правовых отношений: оператор обязан соблюдать ФЗ-152 в полном объёме. Эта инструкция описывает, какие данные можно запрашивать у самозанятого, на каком основании, как хранить и когда уничтожать.

Шаг 1. Определите правовое основание для обработки ПДн самозанятого

Самозанятый заключает с компанией договор гражданско-правового характера (ГПД). Это ключевое отличие от трудовых отношений: нормы ст. 86–88 ТК РФ здесь не применяются. Правовое основание для обработки ПДн — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект персональных данных.

«Ст. 6 ч. 1 п. 5 ФЗ-152 — обработка ПДн допускается без согласия субъекта, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.»

Это означает: для обработки данных, прямо нужных для исполнения ГПД (ФИО, ИНН, реквизиты счёта, адрес для актов), отдельное согласие не требуется. Однако для данных сверх этого минимума — например, для передачи в систему контроля доступа (СКУД), для рассылок или для хранения в CRM-системе после завершения договора — правовое основание нужно определять отдельно.

Проверьте: если в вашей компании самозанятый получает пропуск в офис, его биометрические данные (фото лица для распознавания) или данные для СКУД обрабатываются уже вне рамок исполнения ГПД. Здесь требуется отдельное согласие по ст. 11 ФЗ-152 — письменное, с перечислением конкретных целей и действий.

Ещё не разграничили основания для каждой категории данных самозанятых?

Если HRD не проверил правовые основания для всех потоков ПДн самозанятых — каждое лишнее поле в анкете или каждый незафиксированный пропуск в СКУД создаёт основание для штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. рублей). Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов и выдают отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 2. Составьте перечень данных, которые допустимо запрашивать

Принцип минимизации из ст. 5 ФЗ-152 требует запрашивать только те ПДн, которые необходимы для конкретной цели. Для стандартного ГПД с самозанятым перечень допустимых данных выглядит так.

  • Для заключения и исполнения ГПД: ФИО, ИНН, реквизиты для оплаты (расчётный счёт или карта), номер телефона и адрес электронной почты для коммуникации, почтовый или фактический адрес (если требуется для актов).
  • Для бухгалтерского учёта: ИНН, данные паспорта (серия, номер, дата и орган выдачи) — только если требуется по НК РФ для отчётности.
  • Для доступа в офис (пропуск, не биометрия): ФИО, фото (как изображение, не как биометрия для распознавания), дата рождения.
  • Для СКУД с биометрическим распознаванием: требует отдельного письменного согласия по ст. 11 ФЗ-152 с указанием конкретной цели, перечня действий и срока обработки.

Данные, которые запрашивать нельзя без специального основания: сведения о состоянии здоровья, семейном положении, политических взглядах, национальности. Это специальные категории по ст. 10 ФЗ-152 — их обработка по общему правилу запрещена. Медицинскую книжку для допуска к работам с пищевыми продуктами можно запросить, но только если это прямо предусмотрено законом, а не по усмотрению компании.

Шаг 3. Оформите документы для обработки ПДн самозанятого

Даже при наличии правового основания по п. 5 ч. 1 ст. 6 ФЗ-152 компания обязана уведомить субъекта об обработке его данных. Минимальный пакет документов для работы с самозанятым включает следующее.

Политика конфиденциальности (политика обработки ПДн). Размещается на сайте компании или вручается самозанятому при заключении ГПД. Требования к содержанию — ч. 2 ст. 18.1 ФЗ-152: цели, правовые основания, категории субъектов, перечень действий, сроки хранения, порядок обращения субъекта. Отсутствие опубликованной политики — нарушение ч. 3 ст. 13.11 КоАП, штраф 30–60 тыс. рублей.

Уведомление об обработке ПДн (если данные собираются не напрямую от субъекта). Если реквизиты самозанятого получены через агрегатор или посредника — необходимо уведомить субъекта об обработке его данных в порядке ст. 18 ФЗ-152.

Согласие на обработку ПДн — требуется в случаях, выходящих за рамки п. 5 ч. 1 ст. 6 ФЗ-152: передача данных третьим лицам (кроме случаев поручения), хранение после завершения договора сверх установленного срока, обработка для маркетинговых целей, биометрия. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом — не встраивается в договор, оферту или политику.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие субъекта на обработку ПДн оформляется в виде отдельного документа. Объединение согласия с текстом договора, оферты или политики конфиденциальности не допускается.»

Поручение на обработку ПДн — если данные самозанятого передаются в сторонний сервис (бухгалтерская платформа, CRM, сервис ЭДО). Поручение оформляется по требованиям ч. 3 ст. 6 ФЗ-152: перечень действий, цели, обязанность соблюдать конфиденциальность.

Что подготовить для работы с ПДн самозанятых

  • Перечень персональных данных самозанятых, обрабатываемых компанией, с указанием правового основания для каждой категории (п. 5 ч. 1 ст. 6 ФЗ-152 или согласие).
  • Опубликованная политика обработки персональных данных с разделом о подрядчиках и ГПД-контрагентах.
  • Шаблон отдельного согласия (по требованиям ФЗ-156 с 01.09.2025) для случаев обработки сверх ГПД: СКУД с биометрией, рассылки, хранение после завершения договора.
  • Договоры-поручения с платформами ЭДО, бухгалтерскими сервисами и CRM-системами, в которых хранятся ПДн самозанятых.
  • Регламент уничтожения ПДн самозанятых после истечения срока хранения с актами об уничтожении.

Шаг 4. Урегулируйте передачу ПДн в сторонние сервисы и агрегаторы

Большинство компаний работают с самозанятыми через агрегаторы (Сбер Профи, YouDo, ЯндексПро, Консоль.Про и аналогичные сервисы). В этой схеме возникают вопросы о распределении ролей: кто оператор, а кто обработчик.

Если компания самостоятельно определяет цели и состав обрабатываемых данных — она оператор. Агрегатор, действующий по инструкции компании, — обработчик по поручению. Договор-поручение в этом случае обязателен. Если агрегатор самостоятельно определяет цели — оба являются самостоятельными операторами, каждый несёт ответственность за свой периметр обработки.

Отдельный вопрос — КЭДО (кадровый электронный документооборот). Если самозанятый подписывает акты и договоры через систему КЭДО, оператор этой системы обрабатывает его ПДн. Компания обязана убедиться, что в договоре с провайдером КЭДО есть поручение на обработку с конкретными обязательствами по защите данных.

Если HRD не проверил договоры с агрегаторами и КЭДО-провайдерами на наличие поручений по ст. 6 ч. 3 ФЗ-152 — при утечке через подрядчика ответственность останется на компании-операторе. Юристы DATUM соберут комплект ОРД: поручения, политика, согласия — под ключ.

Собрать ОРД под ключ

Шаг 5. Установите сроки хранения и порядок уничтожения данных

После завершения ГПД с самозанятым часть данных компания обязана хранить в силу закона, часть — уничтожить. Принцип из ст. 5 ФЗ-152: хранение не дольше, чем требуется для достижения цели обработки, если иное не установлено законом.

  • Данные для налогового учёта (ИНН, реквизиты, чеки самозанятого) — не менее 5 лет по НК РФ.
  • Первичные бухгалтерские документы (акты, договоры) — 5 лет по ФЗ-402 «О бухгалтерском учёте».
  • Данные для доступа в офис, СКУД — до истечения срока договора плюс срок, необходимый для урегулирования возможных претензий (как правило, общий срок исковой давности — 3 года по ГК РФ).
  • Данные сверх обязательных сроков — уничтожить в течение 30 дней после достижения цели обработки (ч. 4 ст. 21 ФЗ-152).

Факт уничтожения фиксируется актом. Роскомнадзор при проверке запрашивает как регламент уничтожения, так и сами акты. Их отсутствие — нарушение, которое может квалифицироваться по ч. 1 ст. 13.11 КоАП.

Типовые сценарии нарушений при работе с ПДн самозанятых

Сценарий 1. Избыточный сбор данных в анкете. HR-специалист использует стандартную анкету для сотрудников при оформлении самозанятого. В анкете — сведения о семейном положении, образовании, состоянии здоровья. Для исполнения ГПД эти данные не нужны. Ситуация: при плановой проверке РКН инспектор запросил перечень собираемых данных и правовые основания для каждой категории. Стратегия: ограничить анкету данными, необходимыми для ГПД и налогового учёта; для дополнительных категорий — либо отдельное согласие, либо исключить из формы.

Сценарий 2. Биометрический СКУД без письменного согласия. Самозанятый получает временный пропуск в офис через систему распознавания лиц. Согласие на обработку биометрии не оформлено — компания считает, что достаточно общего согласия в тексте ГПД. После 01.09.2025 такое согласие недействительно: оно должно быть отдельным документом по ФЗ-156. Вероятный исход: штраф по ч. 2 ст. 13.11 КоАП — от 300 тыс. до 700 тыс. рублей. При повторном нарушении — от 1 млн до 1,5 млн рублей. Стратегия: разработать отдельную форму биометрического согласия для временных контрагентов; предложить альтернативный способ доступа для тех, кто отказывается от биометрии.

Сценарий 3. Хранение данных после прекращения сотрудничества. Самозанятый прекратил работу с компанией год назад. Его данные остаются в CRM и в базе СКУД. Регламент уничтожения не разработан, акты не составлялись. При обращении самозанятого с требованием об уничтожении ПДн по ст. 21 ФЗ-152 компания обязана выполнить его в течение 10 рабочих дней — но не может подтвердить факт исполнения. Стратегия: автоматизировать напоминания об истечении сроков хранения; ввести ежеквартальную процедуру ревизии баз данных контрагентов.

Как это применяется на практике

Кейс 1. Производственная компания в Уральском ФО (осень 2025) использовала единую систему СКУД с биометрическим распознаванием для сотрудников и самозанятых-подрядчиков. HR-директор обнаружил, что согласия самозанятых на обработку биометрии оформлены как раздел в стандартном договоре — до введения требования ФЗ-156 об отдельном документе. После внутреннего аудита компания переоформила согласия в виде отдельных документов, обновила политику обработки ПДн и заключила поручение с провайдером СКУД. Плановая проверка РКН, инициированная по индикатору риска (наличие биометрической обработки), завершилась без предписаний.

Кейс 2. IT-компания в Центральном ФО (начало 2026) работала с пулом из более 200 самозанятых разработчиков через агрегатор. Договор с агрегатором не содержал поручения на обработку ПДн. При проверке РКН инспектор квалифицировал ситуацию как нарушение ч. 3 ст. 6 ФЗ-152 — обработка по поручению без надлежащего договора. Юристы DATUM сопроводили переговоры с РКН: компания устранила нарушение, представила исправленный договор с агрегатором и получила предписание об устранении вместо протокола об административном правонарушении.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка правовых оснований, полноты ОРД и документов для контрагентов-самозанятых.
  • Комплект ОРД под ключ — политика, согласия, поручения, регламент уничтожения для работы с самозанятыми.
  • DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, обратной силы не теряют: ФЗ-156 не обязывает переоформлять уже действующие согласия. Однако если вы заключаете новые ГПД с самозанятыми после этой даты и для обработки ПДн требуется согласие — оно должно быть отдельным документом, не встроенным в договор. Согласия, включённые в текст ГПД после 01.09.2025, недействительны.

2. Какие данные нельзя спрашивать в анкете у самозанятого?

Без специального правового основания нельзя запрашивать специальные категории ПДн по ст. 10 ФЗ-152: сведения о состоянии здоровья, национальности, политических или религиозных взглядах, судимости. Также нельзя запрашивать данные, не нужные для исполнения ГПД или налогового учёта — например, данные о семейном положении, образовании, родственниках. Принцип минимизации из ст. 5 ФЗ-152 применяется к каждому полю анкеты.

3. Можно ли вести видеонаблюдение в офисе, где работают самозанятые?

Видеонаблюдение в служебных помещениях допустимо при наличии правового основания. Для сотрудников — приказ и локальный нормативный акт по ст. 22.2 ТК РФ. Для самозанятых — уведомление об обработке ПДн (видеозаписи являются ПДн, если позволяют идентифицировать лицо) и, при необходимости, согласие. Самозанятый должен быть уведомлён о видеонаблюдении до начала работы в офисе. Скрытое видеонаблюдение недопустимо.

4. Сколько хранить согласия самозанятого после прекращения сотрудничества?

Согласие следует хранить в течение срока действия плюс срок, необходимый для подтверждения правомерности обработки в случае возможной проверки или претензии субъекта. Роскомнадзор рекомендует хранить согласие не менее 3 лет после прекращения обработки. Для данных, связанных с налоговым учётом, — не менее 5 лет по НК РФ.

5. Кто является оператором при использовании КЭДО с самозанятыми?

Если компания самостоятельно определяет цели и условия обработки ПДн самозанятого в системе КЭДО — компания является оператором. Провайдер КЭДО-платформы, действующий по инструкции компании, — обработчик по поручению в соответствии с ч. 3 ст. 6 ФЗ-152. Договор с провайдером должен содержать перечень разрешённых действий, цели обработки и обязательства по конфиденциальности. Без такого договора компания нарушает требования к поручению обработки.

6. Нужно ли уведомлять РКН, если компания начала работать с самозанятыми?

Если компания уже включена в реестр операторов ПДн — при расширении круга субъектов (добавление самозанятых) необходимо обновить уведомление через форму изменений по Приказу РКН №180 от 28.10.2022. Если компания ещё не подавала уведомление — обязана сделать это до начала обработки ПДн самозанятых (ст. 22 ФЗ-152). Отсутствие уведомления — нарушение ч. 10 ст. 13.11 КоАП, штраф 100–300 тыс. рублей.

Итог

ФЗ-152 применяется к обработке ПДн самозанятых в полном объёме: правовое основание, принцип минимизации, сроки хранения, требования к согласию с 01.09.2025. Главные точки риска — биометрия в СКУД без письменного согласия, избыточные анкеты и отсутствие поручений с агрегаторами и КЭДО-провайдерами.

DATUM сопровождает HR-департаменты в приведении обработки ПДн контрагентов в соответствие с ФЗ-152: от аудита действующих документов до разработки шаблонов согласий и поручений под конкретную схему работы с самозанятыми.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

21 января 2029 года