Персональные данные: когда самозанятому нужно согласие клиента

Самозанятый маркетолог, владелец бренда или фотограф в процессе взаимодействия с заказчиком может использовать его персональные данные. Рассмотрим распространённые ситуации сбора информации о клиентах и разберемся, когда по закону соглашение нужно, а когда нет.

Согласие на обработку персональных данных — это документ, который предоставляет право на обработку получателем персональных данных .

Как это может выглядеть?

• Самозанятый мастер по ремонту собирает заказы через рекламу в городских сообществах и чатах. Контакты людей (ФИО и номер телефона), которые заинтересовались или воспользовались услугами, мастер собирает в таблицу.
• У самозанятого маркетолога есть сайт с описанием услуг и лид-магнитом: она предлагает скачать бесплатный гайд по продвижению, но взамен просит оставить контактные данные: ФИО, номер и электронную почту.
• Самозанятый фотограф попросил своих клиентов написать отзыв о работе. Эти отзывы он выложит на сайт и в социальные сети.

А теперь на этих примерах мы будем разбираться, когда согласие нужно, а когда нет. Но сначала пройдемся по терминами.

Регулирует правила и принципы обработки персональных данных закон №152-ФЗ.

Оператор персональных данных — это кто

Все, кто самостоятельно или с помощью уполномоченных лиц обрабатывает персональные данные, устанавливая их цели, состав и действия с ними. То есть закон распространяется на самозанятых так же, как и на юрлиц или ИП.

Что относится к персональным данным (ПД)

В самом законе формулировка очень размыта — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу». Перечня в законе нет, но есть общепринятое деление на:

1. Общие данные: ФИО, дата рождения, паспорт, место регистрации и работы, номер телефона, e-mail.
2. Специальные: политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
3. Биометрические: физиологические особенности человека, которые используют для установления его личности — фотографии, отпечатки пальцев, анализ ДНК, цвет глаз и другие.
4. Иные: всё, что не входит в общие, специальные и биометрию — например, стаж работы, наличие т/с, технические данные (ip, cookie).

По умолчанию любое действие с персональными данными без согласия владельца или законных оснований — запрещено.

Ответственность за нарушения закона о персональных данных

С 30 мая 2025 года административная ответственность за нарушение обработки и хранения ПНд сильно ужесточилась — штрафы выросли в разы. Вот основные:

• Обработка ПДн в случаях, не предусмотренных законодательством, либо обработку ПДн, несовместимую с целями их сбора: для граждан (то есть для самозанятых) от 10 000 до 15 000 ₽ (ранее — от 2000 до 6000 ₽), для ИП от 50 000 до 100 000 ₽.
• Невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку ПДн: для граждан — от 5000 до 10 000 ₽, для ИП — от 100 000 до 300 000 ₽.
• Действия (бездействие) оператора, которые повлекли неправомерную передачу информации, включающей ПДн от 1000 до 10 000 субъектов и (или) от 10 000 до 100 000 идентификаторов: для граждан —  от 100 000 до 200 000 ₽, для ИП от 3 до 5 млн ₽.

В зависимости от конкретных обстоятельств может грозить не только административная, но и уголовная ответственность, а также гражданско-правовая и даже дисциплинарная.

Такие случаи прописаны в 6 статье закона о персональных данных, но из 9 пунктов к нашей теме относится только один:

«5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем»

В переводе на человеческий это значит, что если субъект персональных данных (ваш клиент или заказчик) подписал с вами договор и оставил там свои данные, отдельное согласие на их обработку не нужно. Но на действия, которые выходят за рамки действия этого договора, — нужно согласие.

Например, самозанятый мастер по ремонту работает по договору ГПХ с клиентами: ремонтирует и заказывает нужные материалы. В процессе ему нужно отправить по адресу плитку для кухни заказчика. Он передает курьерской службе магазина телефон и имя заказчика.В этом случае он может использовать персональные данные клиента, потому что это входит в условия договора.

Но если мастер решит разослать рекламные сообщения «Закажи установку кухни, кран в подарок», — должно быть согласие.

Если коротко, то почти все действия с информацией клиента относятся к обработке персональных данных. То есть самозанятый становится оператором персональных данных, если заказчик или покупатель оставил информацию, по которой его можно идентифицировать. И самозанятый эти данные обрабатывает: собирает, систематизирует, хранит, передаёт и использует в своих целях.

Вернемся к примерам из начала статьи:

Маркетолог дарит гайд по продвижению, но для этого посетители сайта должны оставить имя, телефон и почту. Позже эти данные будут использоваться в рекламных целях. Это персональные данные, на использование которых маркетологу нужно получить согласие на обработку ПД.

Другой пример, где обязанность получения согласия зависит от нюансов:

Фотограф просит написать отзыв и публикует их на сайте в виде скриншота с именем, фамилией (или никнеймом). Эта информация, по которой можно идентифицировать человека, поэтому согласие нужно.

Но если фотограф замажет ФИО или подпишет «Отзыв Екатерины», там не будет ее фотографии и других личных данных — это не относится к персональным данным и согласие не нужно.

К содержанию документа в законе есть требования: согласие должно быть «конкретным, предметным, информированным, сознательным и однозначным». То есть в нем должны быть пункты:

• конкретная цель обработки: нужно объяснить, для чего вам эти данные (например, рекламная рассылка);
• перечень ПД;
• что вы будете с этими данными делать;
• место и способ обработки ПД: автоматизированная или ручная;
• срок действия согласия;
• ясно выраженное согласие клиента — подпись, галочка в чек-боксе.

До сбора данных, самозанятый или самозанятый ИП должен уведомить Роскомнадзор через сайт ведомства, Госуслуги или в печатном виде в территориальном подразделении. После этого Роскомнадзор в течение 30 дней добавит предпринимателя в реестр персональных данных.

Есть только одно исключение, когда уведомлять ведомство не нужно: если оператор обрабатывает ПД без способов автоматизации. То есть без использования компьютера, записывая их вручную на бумаге.