Самозанятый и обработка ПДн заказчиков
Самозанятые — одна из наименее защищённых категорий операторов с точки зрения ПДн-комплаенса: они работают с данными заказчиков, клиентов, контрагентов, но не имеют юридического отдела и нередко не знают о своих обязанностях по ФЗ-152. Между тем с 30.05.2025 вступила в силу новая редакция ст. 13.11 КоАП с 18 частями, а с 01.09.2025 изменились требования к форме согласия на обработку. В этой инструкции — пошаговый порядок оформления ОРД для самозанятого-оператора и типичные риски на каждом этапе.
Шаг 1. Определите, является ли самозанятый оператором ПДн
Оператор по ст. 3 ФЗ-152 — лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных. Самозанятый становится оператором, если в ходе своей деятельности он собирает, хранит, использует, передаёт данные физических лиц — заказчиков, пользователей, сотрудников заказчика.
Типичные ситуации, при которых самозанятый — оператор: ведение клиентской базы (ФИО, телефон, email, адрес доставки); обработка обращений через форму сайта; выставление счетов через онлайн-сервисы; хранение договоров с физлицами; направление рассылок.
Если самозанятый обрабатывает данные исключительно по поручению другого оператора — без собственной цели — он является лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). В этом случае часть обязанностей переходит на оператора-заказчика. Однако на практике большинство самозанятых ведут собственную клиентскую базу и являются операторами самостоятельно.
Шаг 2. Подайте уведомление в РКН — до начала обработки
По ст. 22 ФЗ-152 оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку ПДн до начала такой обработки. Форма уведомления установлена Приказом РКН №180 от 28.10.2022. Подача — через pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок включения в реестр операторов — 30 дней с даты уведомления.
Для самозанятого физического лица порядок подачи аналогичен организациям, но в поле «тип оператора» указывается физическое лицо. Некоторые самозанятые ошибочно полагают, что уведомление не нужно, поскольку они не являются юрлицом. Это неверно: обязанность по ст. 22 распространяется на всех операторов, включая физических лиц.
Исключения из обязанности уведомить перечислены в ч. 2 ст. 22 ФЗ-152. Наиболее востребованные для самозанятых: обработка ПДн в рамках трудового договора (неприменимо — у самозанятого нет трудовых отношений) и обработка данных, полученных от субъекта лично без передачи третьим лицам и без автоматизированной обработки. Последнее исключение узкое и на практике редко применяется.
Самозанятый ещё не подавал уведомление в РКН?
Обработка ПДн без уведомления — это штраф до 300 000 ₽ по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025. Срок подачи — до начала обработки, и он не восстанавливается задним числом. Юристы DATUM проверят наличие оператора в реестре РКН, подготовят уведомление по форме Приказа №180 и подадут через pd.rkn.gov.ru.
Собрать ОРД под ключ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Разработайте и опубликуйте политику обработки персональных данных
По ч. 2 ст. 18.1 ФЗ-152 оператор обязан опубликовать политику обработки ПДн — или обеспечить неограниченный доступ к документу. Для самозанятого с сайтом это означает размещение политики по постоянной ссылке на каждой странице сайта, где собираются данные. При работе без сайта — передача документа субъекту по запросу.
Обязательные разделы политики по ч. 2 ст. 18.1 ФЗ-152: сведения об операторе; цели обработки; правовые основания; перечень обрабатываемых категорий ПДн; перечень действий с ПДн; порядок уничтожения при достижении целей; меры защиты; права субъектов и порядок их реализации; сведения об использовании cookies (если применимо).
Типичная ошибка — использование шаблона из интернета без адаптации. Роскомнадзор при проверке сопоставляет содержание политики с фактической обработкой, указанной в уведомлении. Расхождение — повод для предписания. Отсутствие политики — штраф 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП.
Что подготовить в рамках политики обработки ПДн
- Сведения об операторе: ФИО самозанятого, ИНН, контактные данные для обращений субъектов
- Перечень целей обработки и правовые основания по ст. 6 ФЗ-152 для каждой цели
- Перечень категорий ПДн и действий (сбор, хранение, использование, передача, уничтожение)
- Порядок реализации прав субъектов: срок ответа — 10 рабочих дней по ст. 20 ФЗ-152
- Сведения о передаче данных третьим лицам (облачные сервисы, платёжные системы, подрядчики)
Шаг 4. Оформите согласия субъектов — по требованиям с 01.09.2025
С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152, введённые ФЗ-156 от 24.06.2025. Главное изменение: согласие на обработку ПДн должно оформляться отдельным документом и не может объединяться с договором, офертой или политикой конфиденциальности.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта и контактные данные; наименование и адрес оператора; цель обработки; перечень ПДн, на обработку которых даётся согласие; перечень действий с ПДн; срок действия согласия или условие его прекращения; способ отзыва согласия.
Для самозанятого практически значимы два сценария. Первый: согласие от клиентов-физлиц на обработку их данных при заключении договора оказания услуг — теперь отдельный документ, а не пункт в договоре. Второй: форма на сайте с галочкой «согласен на обработку» — такая галочка должна относиться только к согласию, а не ко всем условиям сайта сразу. Ранее полученные согласия переоформлять не требуется: обратной силы закон не имеет.
Если согласия клиентов встроены в договор или оферту и не переработаны после 01.09.2025 — каждая такая форма нарушает ч. 1 ст. 9 ФЗ-152. Штраф по ч. 2 ст. 13.11 КоАП — 300 000–700 000 ₽. Юристы DATUM подготовят пакет согласий под требования ФЗ-156 за фиксированную стоимость.
Заказать аудит 152-ФЗШаг 5. Назначьте ответственного за организацию обработки ПДн по ст. 22.1
По ст. 22.1 ФЗ-152 оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Самозанятый — физическое лицо, поэтому формально он сам является таким ответственным. Однако на практике, если самозанятый использует наёмных исполнителей по договорам ГПХ или субподряда, рекомендуется зафиксировать ответственного приказом или распоряжением.
Требования к квалификации ответственного по ч. 4 ст. 22.1 ФЗ-152 включают знание законодательства о ПДн, понимание принципов обработки по ст. 5 ФЗ-152 и умение реагировать на запросы субъектов и РКН. Для самозанятого без специальных знаний — вариант DPO-аутсорсинга: передача функции ответственного внешнему специалисту по договору.
Отсутствие назначенного ответственного при проверке РКН фиксируется как нарушение ч. 1 ст. 18.1 ФЗ-152 и может повлечь предписание с требованием устранить нарушение в установленный срок. Повторное неисполнение предписания — административная ответственность.
Какие типичные ошибки самозанятого выявляет РКН при проверке?
На практике Роскомнадзор при проверке самозанятых-операторов фиксирует несколько устойчивых нарушений.
Ситуация 1. Обработка без уведомления. Самозанятый ведёт клиентскую базу в CRM или таблице, но в реестре операторов РКН его нет. Доказательство нарушения: запрос через сервис проверки pd.rkn.gov.ru. Вероятный исход: штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Стратегия: подать уведомление до проверки, а при возбуждении дела — ходатайствовать о замене штрафа на предупреждение по ст. 4.1.1 КоАП при первичности нарушения.
Ситуация 2. Согласие в договоре после 01.09.2025. Самозанятый-копирайтер получает от заказчика ТЗ с персональными данными сотрудников и подписывает типовой договор, где согласие включено отдельным пунктом — не документом. С 01.09.2025 это нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Вероятный исход: штраф 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП. Стратегия: переработать формы согласий до направления следующих договоров.
Ситуация 3. Передача данных заказчика в облачные сервисы без учёта локализации. Самозанятый хранит переписку с российскими клиентами в иностранном облаке (Google Workspace, Notion). По ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление, хранение и уточнение ПДн граждан РФ должны осуществляться в базах, расположенных в России. Нарушение локализации — штраф 1 000 000–6 000 000 ₽ по ч. 8 ст. 13.11 КоАП. Стратегия: перейти на российские аналоги или организовать первичный учёт в российских системах.
Как применяется практика: два кейса из работы DATUM
Кейс 1. Самозанятый-разработчик (Сибирский ФО, лето 2025) вёл базу заказчиков в таблице и использовал форму обратной связи на сайте. При внеплановой проверке РКН установил: оператор не числится в реестре, политика конфиденциальности отсутствует. Возбуждено дело по ч. 3 и ч. 10 ст. 13.11 КоАП. Юристы подготовили уведомление, разместили политику до вынесения постановления и ходатайствовали о первичности нарушения по ст. 4.1.1 КоАП. Мировой суд заменил штраф на предупреждение. Примечание: точный номер дела уточняет менеджер при публикации.
Кейс 2. Самозанятый-маркетолог (Центральный ФО, осень 2025) хранил данные 1 500 клиентов заказчика на иностранном облачном диске. После смены подрядчика данные не были уничтожены и частично утекли в открытый доступ. Нарушение квалифицировано по ч. 8 и ч. 12 ст. 13.11 КоАП. В рамках сопровождения DATUM подготовил отчёт о расследовании для РКН в 72-часовой срок, доказал, что утечка произошла на стороне облачного провайдера, и снизил итоговый размер штрафа до минимальной санкции по ч. 12. Примечание: точный номер дела уточняет менеджер при публикации.
Услуги DATUM по теме
- Комплект ОРД под ключ — политика, согласия, приказы, регламенты для оператора ПДн
- Аудит соответствия 152-ФЗ — проверка комплаенса по 38 пунктам с планом устранения нарушений
- DPO-аутсорсинг — передача функции ответственного по ст. 22.1 на абонентское обслуживание
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет оператора включает: уведомление в РКН (подтверждение включения в реестр); политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152; формы согласий субъектов по ст. 9 ФЗ-152 (отдельный документ с 01.09.2025); приказ о назначении ответственного по ст. 22.1; журнал учёта обращений субъектов; регламент реагирования на запросы субъектов и на инциденты. Отсутствие любого из документов фиксируется при проверке РКН как самостоятельное нарушение.
2. Как составить политику обработки ПДн?
Политика должна содержать сведения об операторе, перечень целей и правовых оснований обработки по ст. 6 ФЗ-152, перечень категорий ПДн, описание действий с данными, порядок уничтожения, меры защиты и порядок реализации прав субъектов. Документ должен быть доступен неограниченному кругу лиц — как правило, размещается на сайте. Шаблон из интернета допустим как основа, но требует обязательной адаптации: цели, перечень ПДн и правовые основания должны совпадать с фактической обработкой и с данными в уведомлении РКН.
3. Кого назначить ответственным по ст. 22.1?
Самозанятый-физическое лицо является ответственным по умолчанию. Если он использует привлечённых исполнителей, рекомендуется зафиксировать ответственного письменно. При отсутствии собственной компетенции оператор вправе привлечь внешнего специалиста (DPO-аутсорсинг) — это не снимает ответственности оператора перед РКН, но обеспечивает фактическое исполнение требований ч. 1 ст. 18.1 ФЗ-152.
4. Можно ли использовать шаблон политики из интернета?
Использовать шаблон как основу — допустимо. Копировать без адаптации — риск: РКН при проверке сопоставляет текст политики с реальными целями и объёмом обработки, указанными в уведомлении. Несоответствие фиксируется как нарушение ч. 2 ст. 18.1 ФЗ-152 и может повлечь предписание. Особое внимание — разделам о правовых основаниях: для каждой цели обработки должно быть отдельное основание из ст. 6 ФЗ-152.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом и не включается в договор, оферту или политику. Обязательные реквизиты: ФИО субъекта, его контактные данные, наименование и адрес оператора, цель, перечень ПДн и действий с ними, срок, способ отзыва. Ранее полученные согласия переоформлять не нужно — закон обратной силы не имеет. Штраф за нарушение требований к составу согласия — 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП.
6. Нужно ли уведомлять РКН, если самозанятый обрабатывает данные только в интересах заказчика?
Если самозанятый действует исключительно по поручению оператора и не использует данные в собственных целях — он является лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). В этом случае уведомлять РКН не обязан оператор-подрядчик, а обязанность остаётся на стороне оператора-заказчика. Однако для подтверждения статуса обработчика необходим письменный договор поручения с перечнем действий, целей и мер защиты.
Итог
Самозанятый-оператор ПДн несёт те же обязанности по ФЗ-152, что и организация: уведомление в РКН, политика конфиденциальности, корректные согласия, ответственный за обработку. С 30.05.2025 совокупный риск нарушений по ст. 13.11 КоАП существенно вырос — только за отсутствие уведомления и политики грозит до 360 000 ₽. Основная уязвимость — согласия после 01.09.2025: отдельный документ вместо пункта в договоре.
DATUM сопровождает операторов ПДн — от физических лиц с патентом до крупных холдингов — в части оформления ОРД, взаимодействия с РКН и защиты при привлечении к ответственности по ст. 13.11 КоАП.
24 ноября 2026 года