Персональные данные: когда самозанятому нужно согласие клиента

Самозанятый маркетолог, владелец бренда или фотограф в процессе взаимодействия с заказчиком может использовать его персональные данные. Рассмотрим распространённые ситуации сбора информации о клиентах и разберёмся, когда по закону соглашение нужно, а когда нет.

Согласие на обработку персональных данных —

это документ, который подтверждает, что человек добровольно передаёт оператору персональных данных личную информацию о себе для конкретных целей. 

Как это может выглядеть?

• Самозанятый мастер по ремонту собирает заказы через рекламу в городских сообществах и чатах. Контакты людей (ФИО и номер телефона), которые заинтересовались или воспользовались услугами, мастер собирает в таблицу.

• У самозанятого маркетолога есть сайт с описанием услуг и лид-магнитом: она предлагает скачать бесплатный гайд по продвижению, но взамен просит оставить контактные данные: ФИО, номер и электронную почту.

• Самозанятый фотограф попросил своих клиентов написать отзыв о работе. Эти отзывы он выложит на сайт и в социальные сети. 

А теперь на этих примерах мы будем разбираться, когда соглашение нужно, а когда нет. Но сначала пройдёмся по терминами.

Регулирует разрешённые и запрещённые действия с личной информацией гражданина закон №152-ФЗ. 

Оператор персональных данных — это кто

Все, кто самостоятельно или с помощью уполномоченных лиц обрабатывает персональные данные, устанавливая их цели, состав и действия с ними. То есть закон распространяется на самозанятых так же, как и на юрлиц или ИП.

Что относится к персональным данным (ПД)

В самом законе формулировка очень размыта — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу». Перечня в законе нет, но есть общепринятое деление на:

1. Общие данные: ФИО, дата рождения, паспорт, место регистрации и работы, номер телефона, e-mail.
2. Специальные: политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
3. Биометрические: физиологические особенности человека, которые используют для установления его личности — фотографии, отпечатки пальцев, анализ ДНК, цвет глаз и другие.

В судебной практике одну и ту же персональную информацию в разных ситуациях оценивают по-разному: зависит от контекста. Но по умолчанию любое действие с личной информацией без согласия владельца или законных оснований — запрещено. 

Административная ответственность

За обработку ПД без согласия обычные граждане (без ИП и ООО) за первое нарушение могут получить от 6 до 10 тысяч рублей штрафа, за повторное — от 10 до 20. 

Такие случаи прописаны в 6 статье закона о персональных данных, но из 9 пунктов к нашей теме относится только один:

«5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем»

В переводе на человеческий это значит, что если субъект персональных данных (ваш клиент или заказчик) подписал с вами договор и оставил там свои данные, отдельное согласие на их обработку не нужно. Но на действия, которые выходят за рамки действия этого договора, — нужно согласие.

Например, самозанятый мастер по ремонту работает по договору ГПХ с клиентами: ремонтирует и заказывает нужные материалы. В процессе ему нужно отправить по адресу плитку для кухни заказчика. Он передаёт курьерской службе магазина телефон и имя заказчика.В этом случае он может использовать персональные данные клиента, потому что это входит в условия договора. 

Но если мастер решит разослать рекламные сообщения «Закажи установку кухни, кран в подарок», — должно быть согласие. 

Если коротко, то почти все действия с информацией клиента, исключая заключение договора, — относятся к обработке персональных данных. То есть самозанятый становится оператором персональных данных, если заказчик или покупатель оставил информацию, по которой его можно идентифицировать. И самозанятый эти данные обрабатывает: собирает, систематизирует, хранит, передаёт и использует в своих целях.

Вернёмся к примерам из начала статьи: 

Маркетолог дарит гайд по продвижению, но для этого посетители сайта должны оставить имя, телефон и почту. Позже эти данные будут использоваться в рекламных целях. Это персональные данные, на использование которых маркетологу нужно получить согласие на обработку ПД. 

Другой пример, где обязанность получения согласия зависит от нюансов:

Фотограф просит написать отзыв и публикует их на сайте в виде скриншота с именем, фамилией (или никнеймом). Эта информация, по которой можно идентифицировать человека, поэтому согласие нужно.

Но если фотограф замажет ФИО или подпишет «Отзыв Екатерины» — это не относится к персональным данным и согласие не нужно.

В законе нет указаний, как именно должен выглядеть документ и по какому принципу его составлять. Это может быть и письменное, и электронное соглашение: печатная анкета, подтверждение через СМС-код или чек-бокс с галочкой на сайте. 

Но к содержанию требования есть: согласие должно быть «конкретным, предметным, информированным, сознательным и однозначным». То есть в нём должны быть пункты:

• конкретная цель обработки: нужно объяснить, для чего вам эти данные (например, рекламная рассылка);
• перечень ПД;
• что вы будете с этими данными делать;
• место и способ обработки ПД: автоматизированная или ручная;
• срок действия согласия;
• ясно выраженное согласие клиента — подпись, галочка в чек-боксе. 

До сбора данных, самозанятый или самозанятый ИП должен уведомить Роскомнадзор через сайт ведомства, Госуслуги или в печатном виде в территориальном подразделении. После этого Роскомнадзор в течение 30 дней добавит  предпринимателя в реестр персональных данных. 

Есть только одно исключение, когда уведомлять ведомство не нужно: если оператор обрабатывает ПД без способов автоматизации. То есть без использования компьютера, записывая их вручную на бумаге.

Остались вопросы? Задайте их в комментариях под статьей. Если ответ нужен срочно, пишите в наше сообщество Вконтакте или Телеграм-канал.