Перейти к содержанию
аналитика 21 января 2029 года По состоянию на 21 января 2029 года

ПДн самозанятых в платформах (10-ФЗ)

Самозанятый — физическое лицо. Его ФИО, ИНН, платёжные реквизиты и сведения о доходах — персональные данные в полном смысле ст. 3 ФЗ-152, независимо от профессионального статуса.
Финтех-платформа, которая агрегирует самозанятых и выплачивает им вознаграждение, выступает оператором ПДн и несёт полную ответственность по ст. 13.11 КоАП. При утечке от 10 000 субъектов — штраф 5–10 млн ₽ по ч. 13, при повторной — оборотный до 500 млн ₽ по ч. 15.
→ Если вы финансовый директор платформы и ещё не провели аудит обработки ПДн самозанятых — каждый месяц промедления увеличивает регуляторный риск.

С 2023 года число самозанятых в России превысило 9 миллионов человек. Финтех-платформы — агрегаторы услуг, маркетплейсы труда, сервисы выплат — обрабатывают их данные ежедневно: от регистрации до перевода вознаграждения через НПС. Правовой статус такой обработки определяют сразу несколько пластов регулирования: ФЗ-152 «О персональных данных», ФЗ-218 о кредитных историях, ФЗ-572 о биометрии, Федеральный закон о применении контрольно-кассовой техники (ФЗ-54), нормы НПС и отдельные требования 115-ФЗ. Ниже — разбор ключевых рисков для финансового директора: что обрабатывается, на каком основании, сколько стоит ошибка.

Какие данные самозанятого считаются ПДн и на каком основании их обрабатывает платформа?

Любая идентифицирующая информация о физическом лице — персональные данные по ст. 3 ФЗ-152. Применительно к самозанятому это означает: ФИО, дата рождения, паспортные данные, ИНН, СНИЛС, номер телефона, реквизиты банковского счёта, сведения о полученных доходах и история операций на платформе. Профессиональный статус плательщика НПД не меняет квалификацию — самозанятый остаётся субъектом ПДн в полном объёме.

Правовое основание обработки определяется целью. Если платформа заключает с самозанятым договор гражданско-правового характера и проводит выплаты — основанием служит п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект. Согласие в этом случае не требуется для базового объёма. Однако для отдельных действий — передачи данных третьим лицам, использования в маркетинге, скоринга — нужно самостоятельное правовое основание.

«Ст. 6 ФЗ-152 (п. 5 ч. 1): обработка персональных данных допускается без согласия, если она необходима для исполнения договора, стороной которого является субъект персональных данных. Расширение целей за пределы договора требует отдельного основания.»

Особый риск — скоринг. Если платформа оценивает «надёжность» самозанятого по истории выплат, частоте работы или поведенческим паттернам, это может квалифицироваться как автоматизированное принятие решений, затрагивающих права субъекта, — ст. 16 ФЗ-152. В этом случае субъект вправе потребовать участия человека в принятии решения, оспорить его и получить разъяснения. Платформы, использующие скоринговые модели без раскрытия этого факта, формируют риск по ч. 4 ст. 13.11 КоАП (непредоставление информации об обработке) — штраф до 80 000 ₽ за первое нарушение, но значительнее — репутационные последствия при жалобах в РКН.

Как соотносятся ФЗ-218 (БКИ), ФЗ-572 (ЕБС) и ФЗ-152 при работе с самозанятыми?

Три федеральных закона создают пересекающиеся обязательства. Финансовый директор должен понимать, где начинается зона ответственности по каждому из них.

ФЗ-218 и БКИ. Если платформа предоставляет финансирование самозанятым — авансы, факторинг, микрозаймы — или запрашивает кредитную историю для оценки, она вступает в правоотношения по ФЗ-218. Запрос кредитной истории физического лица в БКИ допускается только при наличии его согласия. Согласие должно быть оформлено отдельным документом с реквизитами ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025, действующей с 01.09.2025). Использование общего согласия в оферте или пользовательском соглашении — нарушение ч. 2 ст. 13.11 КоАП, штраф 300–700 тыс. ₽.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие на обработку персональных данных оформляется отдельным документом, не объединяется с договором, офертой или иными документами. Реквизиты согласия — цель, перечень данных, перечень действий, срок, способ отзыва.»

ФЗ-572 и ЕБС. Платформы, которые используют биометрическую идентификацию самозанятых при регистрации или выплатах — сравнение изображения лица, голосовую верификацию — обязаны работать через Единую биометрическую систему (ЕБС). С 01.06.2023 хранение первичных биометрических данных вне ЕБС запрещено. Обработка биометрии без письменного согласия субъекта — нарушение ст. 11 ФЗ-152, квалифицируемое по ч. 16 ст. 13.11 КоАП. При утечке биометрии — штраф 15–20 млн ₽ по ч. 17 ст. 13.11.

115-ФЗ и идентификация. Если платформа подпадает под требования 115-ФЗ как субъект НФР или агент кредитной организации, идентификация самозанятого при регистрации — обязательная процедура. Собранные при этом данные обрабатываются на основании п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, возложенной законом). Важно: объём собираемых данных не должен превышать необходимый для идентификации — принцип достаточности ст. 5 ФЗ-152.

Ваша платформа выплачивает вознаграждения самозанятым — есть ли риски по ФЗ-152?

Финансовый директор отвечает за бюджет регуляторных рисков. Аудит обработки ПДн самозанятых покажет, соответствуют ли правовые основания обработки реальным процессам, корректно ли оформлены согласия под требования ФЗ-156, и какова вероятность предписания РКН. Стоимость аудита — от 100 000 ₽; стоимость штрафа по ч. 13 ст. 13.11 — от 5 млн ₽.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что грозит финтех-платформе за утечку ПДн самозанятых?

С 30.05.2025 ответственность за утечку регулируется новой редакцией ст. 13.11 КоАП (ФЗ-420 от 30.11.2024). Размер штрафа зависит от числа субъектов, данные которых скомпрометированы:

  • от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12 ст. 13.11);
  • от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13 ст. 13.11);
  • свыше 100 000 субъектов — 10–15 млн ₽ (ч. 14 ст. 13.11);
  • повторная утечка — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽ (ч. 15 ст. 13.11).

Отдельно — ответственность за несвоевременное уведомление РКН. По ч. 3.1 ст. 21 ФЗ-152 оператор обязан направить первичное уведомление в течение 24 часов с момента обнаружения инцидента, а через 72 часа — отчёт по Приказу РКН №187. Нарушение сроков — штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Эти сроки не восстанавливаются.

С 11.12.2024 действует ст. 272.1 УК РФ (введена ФЗ-421). Если сотрудник платформы незаконно использовал, передал или собрал компьютерную информацию с ПДн самозанятых — уголовная ответственность до 10 лет по ч. 5 (при тяжких последствиях). Это меняет экономику управления инцидентом: следственные действия могут быть возбуждены параллельно административному делу РКН.

«Ст. 13.11 ч. 15 КоАП (ред. с 30.05.2025): при повторной утечке ПДн оборотный штраф составляет от 1 до 3 процентов совокупной выручки оператора за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка по ст. 32.2 КоАП за досрочную уплату к оборотным составам не применяется.»

Что подготовить финтех-платформе для защиты ПДн самозанятых

  • Уведомление о намерении обрабатывать ПДн в реестре РКН (ст. 22 ФЗ-152) с актуальным описанием целей и категорий данных самозанятых.
  • Отдельные согласия на обработку ПДн для целей, выходящих за рамки договора: скоринг, маркетинг, передача третьим лицам — по требованиям ФЗ-156 от 24.06.2025.
  • Договор-поручение с обработчиком (ст. 6 ч. 3 ФЗ-152), если данные самозанятых передаются партнёрской инфраструктуре или облачному провайдеру.
  • Регламент реагирования на инциденты с фиксацией порядка уведомления РКН в 24/72 часа по Приказу РКН №187.
  • Оценка уровня защищённости ИСПДн (УЗ-3 или УЗ-4 по ПП РФ №1119) и соответствие мер требованиям Приказа ФСТЭК №21.

Как работает скоринг самозанятых по ст. 16 ФЗ-152?

Статья 16 ФЗ-152 регулирует автоматизированное принятие решений — случаи, когда алгоритм без участия человека определяет условия сотрудничества, лимиты выплат или доступность функций платформы. Для самозанятых это актуально: многие платформы ранжируют исполнителей по скоринговым моделям, ограничивают доступ к заказам или устанавливают повышенные комиссии автоматически.

Требования ст. 16 ФЗ-152: субъект должен быть уведомлён о факте автоматизированного принятия решений. По его требованию оператор обязан обеспечить участие человека в пересмотре решения и дать разъяснения о логике алгоритма. Отказ в предоставлении такой информации — основание для жалобы в РКН и штрафа по ч. 4 ст. 13.11 (40–80 тыс. ₽). При массовых нарушениях — плановая или внеплановая проверка.

Отдельный сюжет — использование данных из БКИ в скоринговых моделях. Если платформа запросила кредитную историю самозанятого и на её основе автоматически ограничила лимит выплат — субъект вправе оспорить это решение в порядке ст. 16 ФЗ-152. МФО, которые применяют аналогичные модели без надлежащего уведомления, получают двойной риск: по ФЗ-152 и по ФЗ-218.

Типовые ситуации: как платформы попадают под санкции

Разбор трёх сценариев, характерных для финтех-платформ с самозанятыми. Каждый — из практики взаимодействия операторов с РКН в 2024–2025 годах.

Сценарий 1. Платформа передаёт данные самозанятых партнёру без договора-поручения. Ситуация: агрегатор транспортных услуг передаёт ФИО, ИНН и банковские реквизиты водителей-самозанятых страховой компании для оформления полисов. Договор-поручение по ст. 6 ч. 3 ФЗ-152 не заключён, в политике конфиденциальности цель «страхование» не указана. Доказательства нарушения: отсутствие договора + разница между задекларированными и реальными целями обработки. Вероятный исход: протокол по ч. 1 ст. 13.11 (150–300 тыс. ₽) + предписание устранить нарушение и обновить уведомление в реестре. Стратегия: заключить договор-поручение, обновить политику, направить изменения в РКН по форме Приказа РКН №180.

Сценарий 2. Утечка базы самозанятых через уязвимость API. Ситуация: платформа выплат обнаруживает, что через незащищённый API-эндпоинт в течение двух недель скачивались данные 40 000 самозанятых (ФИО, телефон, ИНН, суммы выплат). Финансовый директор узнаёт об инциденте от ИБ-команды. Доказательства: логи API, отчёт SIEM. Вероятный исход: ч. 13 ст. 13.11 — штраф 5–10 млн ₽; плюс, если уведомление РКН направлено позже 24 часов, — ч. 11 ст. 13.11, ещё 1–3 млн ₽. Стратегия: немедленно направить первичное уведомление в РКН, через 72 часа — отчёт с описанием мер. Инвестиции в ИБ за три предшествующих года ≥ 0,1% выручки позволяют применить примечание 3.4-2 к ст. 4.1 КоАП и снизить штраф до одной десятой минимума.

Сценарий 3. Биометрическая верификация без подключения к ЕБС. Ситуация: платформа использует собственное решение распознавания лиц для верификации самозанятых при первой выплате. Биометрические шаблоны хранятся во внутренней базе. С 01.06.2023 это прямо запрещено ФЗ-572. Доказательства: результаты проверки РКН или жалоба самозанятого. Вероятный исход: ч. 16 ст. 13.11 КоАП. При масштабе — возможна ч. 17 (15–20 млн ₽). Стратегия: мигрировать на ЕБС через оператора — АО «Центр Биометрических Технологий», оформить письменные согласия на обработку биометрии по ст. 11 ФЗ-152, уничтожить собственные биометрические шаблоны с актом.

Если финансовый директор оценивает бюджет регуляторных рисков: штраф по ч. 13 ст. 13.11 за утечку базы самозанятых (10–100 тыс. субъектов) — 5–10 млн ₽. Стоимость защиты от этого штрафа начинается с аудита — от 100 000 ₽. Арифметика очевидна. Юристы DATUM проведут аудит обработки ПДн самозанятых по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Частые вопросы

1. Можно ли отказать самозанятому в регистрации на платформе, если он не даёт согласие на обработку ПДн?

Зависит от того, какие данные и для какой цели запрашиваются. Если обработка необходима для исполнения договора с самозанятым — согласие не требуется, и отказ предоставить данные означает невозможность заключить договор. Если платформа требует согласия на дополнительные цели (скоринг, маркетинг) как обязательное условие регистрации — это нарушение принципа добровольности согласия по ст. 9 ФЗ-152. РКН квалифицирует такое условие как понуждение к согласию, что влечёт штраф по ч. 2 ст. 13.11 (300–700 тыс. ₽).

2. Что грозит МФО за утечку данных самозанятых-заёмщиков?

МФО как оператор ПДн несёт ответственность по общим нормам ст. 13.11 КоАП. При утечке от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12); от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13). Если утечка касается специальных категорий ПДн (например, сведений о состоянии здоровья, переданных при оформлении займа) — дополнительная квалификация по ч. 2 ст. 13.11. Неуведомление РКН в 24 часа — ещё 1–3 млн ₽ по ч. 11. Параллельно возможна уголовная ответственность сотрудников по ст. 272.1 УК (с 11.12.2024).

3. Какое правовое основание используют банки для обработки ПДн самозанятых?

Для открытия счёта и проведения платежей — п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора) в сочетании с п. 2 ч. 1 ст. 6 (исполнение обязанности по 115-ФЗ и нормам НПС). Для запроса кредитной истории в БКИ — отдельное согласие по ФЗ-218. Для биометрической идентификации через ЕБС — письменное согласие по ст. 11 ФЗ-152. Банки не вправе отказать в обслуживании самозанятому только на основании отказа предоставить биометрию для ЕБС: это прямо запрещено ч. 8 ст. 14.8 КоАП.

4. Где хранится биометрия самозанятого — в системе платформы или в ЕБС?

С 01.06.2023 первичные биометрические данные (изображение лица, голос) должны храниться исключительно в ЕБС — Государственной информационной системе, оператором которой является АО «Центр Биометрических Технологий» (ФЗ-572 от 29.12.2022). Платформа вправе хранить только биометрический идентификатор (вектор) для верификации через ЕБС, но не исходные данные. Хранение исходной биометрии во внутренних системах платформы — нарушение ФЗ-572 и основание для привлечения по ч. 16–17 ст. 13.11 КоАП.

5. Как самозанятый может оспорить автоматизированный отказ платформы?

На основании ст. 16 ФЗ-152 субъект вправе потребовать от оператора обеспечить пересмотр решения, принятого автоматически, с участием человека. Обращение направляется оператору письменно; срок ответа — 10 рабочих дней (ст. 20 ФЗ-152). Если платформа отказывает или игнорирует обращение — жалоба в РКН (штраф по ч. 4–5 ст. 13.11) или иск в суд общей юрисдикции с требованием компенсации морального вреда. Параллельно можно оспорить в БКИ содержание кредитной истории, если решение принято на её основе.

Итог

ПДн самозанятых на финтех-платформах — это пересечение как минимум четырёх регуляторных режимов: ФЗ-152, ФЗ-218, ФЗ-572 и 115-ФЗ. Ошибка в правовом основании обработки, отсутствие отдельного согласия по новым требованиям или хранение биометрии вне ЕБС создают конкретные штрафные риски — от 300 тыс. до 500 млн ₽ в зависимости от масштаба нарушения и повторности.

Практика DATUM охватывает аудит операторов финансового сектора, включая платформы выплат самозанятым, МФО и финтех-сервисы. Специалисты практики разбирают каждый поток данных: основание обработки, документальное оформление, технические меры защиты и готовность к инциденту.

Услуги DATUM по теме

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

21 января 2029 года