аналитика 21 января 2029 года По состоянию на 21 января 2029 года

Самозанятые и ПДн заказчиков

Самозанятый, получающий от заказчика ФИО, телефон, адрес или реквизиты, — оператор персональных данных по ст. 3 ФЗ-152 без каких-либо изъятий для плательщиков НПД.

Финансовый директор компании, которая передаёт данные самозанятому исполнителю, разделяет ответственность за организацию этой передачи: поручение по п. 3 ст. 6 ФЗ-152 либо самостоятельное основание — должно быть оформлено до передачи, иначе риск штрафа по ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽ на юрлицо.

→ Если вы финдиректор и сотрудничаете с самозанятыми — разберём, какие документы нужны и сколько стоит их отсутствие.

К 2026 году в России зарегистрировано более 12 миллионов самозанятых. Значительная часть из них работает с данными заказчиков: курьеры видят адреса получателей, репетиторы ведут карточки учеников, программисты-фрилансеры получают доступ к базам клиентов компании. При этом большинство таких исполнителей не уведомляют Роскомнадзор об обработке, не формируют политику конфиденциальности и не заключают с заказчиком соглашение о поручении. Для финансового директора это прямой бюджетный риск: ответственность за нарушение лежит на операторе-заказчике так же, как на самозанятом.

Является ли самозанятый оператором персональных данных?

Определение оператора в ст. 3 ФЗ-152 не делает исключений по организационно-правовой форме или налоговому режиму. Оператор — любое лицо, самостоятельно или совместно с другими определяющее цели и способы обработки ПДн. Самозанятый физическое лицо, применяющее НПД, подпадает под это определение в полном объёме.

Практический тест: если самозанятый хранит контакты клиентов в телефоне, ведёт таблицу заказов с ФИО и адресами, отправляет SMS-напоминания — он обрабатывает ПДн и обязан соблюдать ст. 5, 9, 18.1 ФЗ-152. Обязанность уведомить Роскомнадзор по ст. 22 ФЗ-152 наступает, если обработка не подпадает под исключения ч. 2 ст. 22 — в частности, исключение для обработки ПДн без использования средств автоматизации при ручном ведении учёта без передачи третьим лицам.

«Ст. 22 ФЗ-152 — оператор до начала обработки обязан уведомить уполномоченный орган по защите прав субъектов. Исключения перечислены в ч. 2 ст. 22 и носят закрытый характер.»

Для финансового директора ключевой вопрос иной: когда компания передаёт данные самозанятому, она выступает оператором в отношении своих клиентов или работников. Передача данных исполнителю-физлицу без оформления поручения по п. 3 ст. 6 ФЗ-152 означает, что заказчик нарушает условия обработки — основание отсутствует. Это ч. 1 ст. 13.11 КоАП: штраф 150 000–300 000 ₽ при первом нарушении и 300 000–500 000 ₽ при повторном (ч. 1.1).

Самозанятые исполнители получают данные клиентов компании?

Если финансовый директор не видел соглашения о поручении обработки ПДн с каждым самозанятым — передача данных, вероятно, происходит без надлежащего основания. Это нарушение ч. 1 ст. 13.11 КоАП выявляется при плановой проверке РКН и при разборе любого инцидента с данными. Юристы DATUM проведут аудит цепочки передачи данных по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как оформить передачу данных самозанятому по нормам 152-ФЗ?

Есть две правовые конструкции. Первая — поручение обработки (п. 3 ст. 6 ФЗ-152): заказчик остаётся оператором, самозанятый обрабатывает данные строго в его интересах по перечню действий, указанных в поручении. Вторая — самостоятельная обработка: самозанятый получает данные напрямую от субъекта на собственном основании (согласие, договор), заказчик при этом не передаёт ПДн из своих баз.

Поручение обязательно фиксируется письменно. Закон не требует отдельного документа — достаточно соответствующего раздела в договоре оказания услуг. Поручение должно содержать: перечень действий с ПДн, цели обработки, обязанность соблюдать конфиденциальность, требование к мерам защиты по ст. 19 ФЗ-152 и условие уничтожения данных при прекращении отношений.

«П. 3 ст. 6 ФЗ-152 — оператор вправе поручить обработку ПДн другому лицу с письменного согласия субъекта либо на основании федерального закона. Ответственность перед субъектом несёт оператор; лицо, осуществляющее обработку по поручению, несёт ответственность перед оператором.»

Распространённая ошибка: договор с самозанятым содержит NDA, но не содержит поручения на обработку ПДн. NDA регулирует коммерческую тайну, а не персональные данные. Смешивать их в одном пункте недостаточно: поручение требует конкретного перечня категорий ПДн и конкретных действий.

Что подготовить для работы с самозанятыми и ПДн

Раздел о поручении обработки ПДн в договоре с самозанятым — с перечнем действий, категорий данных и сроком хранения
Обновлённая политика конфиденциальности компании с упоминанием самозанятых как лиц, обрабатывающих ПДн по поручению
Согласие субъекта на передачу данных третьему лицу (если не используется иное основание по ст. 6 ФЗ-152)
Инструкция для самозанятого: что делать при запросе субъекта, инциденте и прекращении договора
Журнал учёта исполнителей с доступом к ПДн — для подтверждения принятых организационных мер при проверке РКН

Какие нарушения выявляет РКН при проверке цепочки самозанятых?

Роскомнадзор при плановых и внеплановых проверках проверяет не только самого оператора, но и документальное подтверждение законности передачи данных третьим лицам. Для самозанятых характерны четыре типа нарушений.

Отсутствие основания передачи. Данные передаются самозанятому без поручения и без согласия субъекта. Квалификация — ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽ на компанию.

Неполное поручение. Договор упоминает конфиденциальность, но не содержит перечня действий и категорий ПДн. РКН фиксирует нарушение ст. 18.1 ФЗ-152 — непринятие мер по обеспечению выполнения обязанностей оператором.

Отсутствие политики конфиденциальности у самозанятого. Если самозанятый ведёт сайт или лендинг, использует CRM-систему, принимает заявки онлайн — он обязан опубликовать политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152. Отсутствие — штраф по ч. 3 ст. 13.11 КоАП: 30 000–60 000 ₽.

Нет реакции на запросы субъектов. Клиент направил запрос об уничтожении своих данных. Самозанятый не ответил. Срок по ст. 20 ФЗ-152 — 10 рабочих дней. Нарушение — ч. 5 ст. 13.11, 50 000–90 000 ₽.

Если финансовый директор получил уведомление о проверке РКН и в цепочке обработки есть самозанятые — документы нужно привести в порядок до визита инспектора. 10 рабочих дней на подготовку часто оказываются меньше, чем кажется. Юристы DATUM соберут комплект ОРД под ключ и подготовят позицию для взаимодействия с РКН.

Собрать ОРД под ключ

Типовые ситуации: как это выглядит на практике

Разбор сценариев показывает, что риск для заказчика-юрлица, как правило, выше, чем для самого самозанятого — в силу размера санкций.

Сценарий 1. Курьерский сервис через пул самозанятых. Ситуация: логистическая компания привлекает 200 самозанятых курьеров. Каждый получает в мобильном приложении ФИО получателя, адрес и телефон — данные клиентов интернет-магазина-заказчика. Поручение не оформлено, согласие клиентов на передачу данных курьеру отсутствует. Доказательства: выгрузка из приложения подтверждает факт доступа к ПДн. Вероятный исход: штраф по ч. 1 ст. 13.11 КоАП на логистическую компанию, предписание об устранении. Стратегия: включить раздел о поручении обработки в договор с каждым самозанятым, обновить согласие конечного покупателя — добавить упоминание привлекаемых исполнителей.

Сценарий 2. Самозанятый бухгалтер без уведомления РКН. Ситуация: компания передаёт самозанятому бухгалтеру расчётные листки и личные дела сотрудников для подготовки отчётности. Самозанятый хранит файлы в облаке (зарубежный провайдер), не состоит в реестре операторов, не уведомил РКН. Доказательства: факт хранения в иностранном облаке — нарушение требования локализации по ч. 5 ст. 18 ФЗ-152. Вероятный исход: штраф по ч. 8 ст. 13.11 КоАП — 1 000 000–6 000 000 ₽ на самозанятого как физическое лицо (минимальный порог для физлиц уточнять по актуальному тексту КоАП); на компанию — дополнительно за непринятие мер при выборе обработчика. Стратегия: в договоре с самозанятым прямо указать требование хранить данные в инфраструктуре на территории РФ и запретить использование иностранных облачных сервисов без согласования.

Сценарий 3. Утечка через самозанятого маркетолога. Ситуация: компания передала самозанятому маркетологу базу контактов для рассылки. Маркетолог использовал внешний сервис email-рассылок, который подвергся взлому. Данные 15 000 клиентов оказались в открытом доступе. Доказательства: утечка подтверждена уведомлением сервиса рассылок. Вероятный исход: компания как оператор обязана уведомить РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152. Неуведомление — штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11. Утечка 15 000 субъектов — ч. 13 ст. 13.11, штраф 5 000 000–10 000 000 ₽. Стратегия: в поручении прямо запретить передачу данных сторонним сервисам без согласования; включить обязанность самозанятого немедленно уведомить заказчика об инциденте.

Кейс 1. В деле о передаче клиентских данных самозанятым дистрибьюторам (Приволжский ФО, осень 2025) оптовая компания после внеплановой проверки РКН получила штраф в диапазоне сотен тысяч рублей по ч. 1 ст. 13.11 КоАП — за отсутствие письменного поручения на обработку ПДн. После аудита юристами компания включила стандартный раздел о поручении в шаблон договора с самозанятыми и обновила политику конфиденциальности в течение 30 дней.

Кейс 2. IT-компания (Центральный ФО, начало 2026) привлекала самозанятых разработчиков с доступом к базе данных пользователей сервиса. После обращения субъекта в РКН была назначена внеплановая проверка. Наличие поручения на обработку в договоре подряда и журнала доступа к данным позволило компании подтвердить принятые меры. РКН ограничился предписанием устранить нарушения в части отсутствия раздела о мерах защиты — без штрафа. Ключевой фактор: документы были в порядке до проверки, а не оформлялись задним числом.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим цепочку передачи данных самозанятым и выдадим план устранения
Комплект ОРД под ключ — подготовим поручения, политику и инструкции для работы с самозанятыми
Защита при штрафе в арбитраже — оспорим протокол по ст. 13.11 КоАП с применением ст. 4.1 и 4.1.1

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Да, если речь о финансовых услугах: ч. 8 ст. 14.8 КоАП запрещает банкам и МФО отказывать в обслуживании только по причине отсутствия биометрии в ЕБС. Применительно к самозанятым этот запрет прямо не действует — самозанятый не является кредитной организацией. Однако при сборе биометрии в любом контексте обязательно письменное согласие субъекта по ст. 11 ФЗ-152, иначе штраф по ч. 16 ст. 13.11 КоАП.

2. Что грозит МФО за утечку данных заёмщиков через самозанятого агента?

МФО как оператор несёт полную ответственность за утечку вне зависимости от того, через чьи руки прошли данные. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3 000 000–5 000 000 ₽. При повторном нарушении — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽. Кроме того, МФО обязана уведомить РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152, иначе отдельный штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11.

3. Какое основание обработки ПДн действует при скоринге заёмщика-самозанятого?

Скоринг строится на нескольких основаниях одновременно. Основное — выполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152): банк или МФО обрабатывает данные для оценки кредитоспособности в рамках заявки на кредит. Запрос в БКИ по ФЗ-218 требует отдельного согласия субъекта. Автоматизированное решение по ст. 16 ФЗ-152 (скоринг без участия человека) обязывает оператора разъяснить субъекту логику решения и предоставить возможность оспорить его.

4. Где хранится биометрия самозанятого, сданная в банке?

С 01.06.2023 исходная биометрия хранится исключительно в государственной информационной системе ЕБС (оператор — АО «Центр Биометрических Технологий») в соответствии с ФЗ-572 от 29.12.2022. Банки и МФО не вправе хранить копии биометрических данных вне ЕБС. Нарушение требований размещения в ЕБС — ст. 13.11.3 КоАП, штраф для юрлиц 500 000–1 000 000 ₽.

5. Как оспорить отказ в кредите, вынесенный автоматически?

Ст. 16 ФЗ-152 обязывает оператора, принимающего автоматизированные решения с юридическими последствиями для субъекта, предоставить возможность их оспорить. Субъект подаёт письменное требование к оператору. Оператор обязан рассмотреть его и дать мотивированный ответ. Если оператор отказывает или игнорирует требование — субъект вправе обратиться в РКН с жалобой либо в суд с иском о защите прав.

Итог

Самозанятый исполнитель — полноправный оператор персональных данных. Заказчик-юрлицо, передающий ему данные клиентов или работников без оформленного поручения, принимает на себя прямой риск штрафа по ст. 13.11 КоАП — от 150 000 ₽ при первом нарушении до оборотных санкций при повторной утечке. Для финансового директора это не абстрактный комплаенс: стоимость аудита цепочки передачи данных несопоставима со стоимостью протокола даже по минимальной части статьи.

DATUM сопровождает финтех-компании, банки, МФО и технологические платформы при выстраивании комплаенса по 152-ФЗ в части работы с самозанятыми исполнителями — от аудита договорной документации до защиты в арбитраже по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.