Персональные данные: когда самозанятому нужно согласие клиента

Самозанятый маркетолог, владелец бренда или фотограф в процессе взаимодействия с заказчиком может использовать его персональные данные. Рассмотрим распространённые ситуации сбора информации о клиентах и разберемся, когда по закону соглашение нужно, а когда нет.
Согласие на обработку персональных данных — это документ, который предоставляет право на обработку получателем персональных данных .
Как это может выглядеть?

• Самозанятый мастер по ремонту собирает заказы через рекламу в городских сообществах и чатах. Контакты людей (ФИО и номер телефона), которые заинтересовались или воспользовались услугами, мастер собирает в таблицу.
• У самозанятого маркетолога есть сайт с описанием услуг и лид-магнитом: она предлагает скачать бесплатный гайд по продвижению, но взамен просит оставить контактные данные: ФИО, номер и электронную почту.
• Самозанятый фотограф попросил своих клиентов написать отзыв о работе. Эти отзывы он выложит на сайт и в социальные сети.

А теперь на этих примерах мы будем разбираться, когда согласие нужно, а когда нет. Но сначала пройдемся по терминами.

Регулирует правила и принципы обработки персональных данных закон №152-ФЗ.

Оператор персональных данных — это кто

Все, кто самостоятельно или с помощью уполномоченных лиц обрабатывает персональные данные, устанавливая их цели, состав и действия с ними. То есть закон распространяется на самозанятых так же, как и на юрлиц или ИП.

Что относится к персональным данным (ПД)

В самом законе формулировка очень размыта — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу». Перечня в законе нет, но есть общепринятое деление на:

1. Общие данные: ФИО, дата рождения, паспорт, место регистрации и работы, номер телефона, e-mail.
2. Специальные: политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
3. Биометрические: физиологические особенности человека, которые используют для установления его личности — фотографии, отпечатки пальцев, анализ ДНК, цвет глаз и другие.
4. Иные: всё, что не входит в общие, специальные и биометрию — например, стаж работы, наличие т/с, технические данные (ip, cookie).

По умолчанию любое действие с персональными данными без согласия владельца или законных оснований — запрещено.

Ответственность за нарушения закона о персональных данных

С 30 мая 2025 года административная ответственность за нарушение обработки и хранения ПНд сильно ужесточилась — штрафы выросли в разы. Вот основные:

• Обработка ПДн в случаях, не предусмотренных законодательством, либо обработку ПДн, несовместимую с целями их сбора: для граждан (то есть для самозанятых) от 10 000 до 15 000 ₽ (ранее — от 2000 до 6000 ₽), для ИП от 50 000 до 100 000 ₽.
• Невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку ПДн: для граждан — от 5000 до 10 000 ₽, для ИП — от 100 000 до 300 000 ₽.
• Действия (бездействие) оператора, которые повлекли неправомерную передачу информации, включающей ПДн от 1000 до 10 000 субъектов и (или) от 10 000 до 100 000 идентификаторов: для граждан —  от 100 000 до 200 000 ₽, для ИП от 3 до 5 млн ₽.

В зависимости от конкретных обстоятельств может грозить не только административная, но и уголовная ответственность, а также гражданско-правовая и даже дисциплинарная.