Персональные данные: когда самозанятому нужно согласие клиента

Самозанятый маркетолог, владелец бренда или фотограф в процессе взаимодействия с заказчиком может использовать его персональные данные. Рассмотрим распространённые ситуации сбора информации о клиентах и разберемся, когда по закону соглашение нужно, а когда нет.

Согласие на обработку персональных данных — это документ, который предоставляет право на обработку получателем персональных данных .

Как это может выглядеть?

• Самозанятый мастер по ремонту собирает заказы через рекламу в городских сообществах и чатах. Контакты людей (ФИО и номер телефона), которые заинтересовались или воспользовались услугами, мастер собирает в таблицу.
• У самозанятого маркетолога есть сайт с описанием услуг и лид-магнитом: она предлагает скачать бесплатный гайд по продвижению, но взамен просит оставить контактные данные: ФИО, номер и электронную почту.
• Самозанятый фотограф попросил своих клиентов написать отзыв о работе. Эти отзывы он выложит на сайт и в социальные сети. 

А теперь на этих примерах мы будем разбираться, когда согласие нужно, а когда нет. Но сначала пройдемся по терминами.

Регулирует правила и принципы обработки персональных данных закон №152-ФЗ. 

Оператор персональных данных — это кто

Все, кто самостоятельно или с помощью уполномоченных лиц обрабатывает персональные данные, устанавливая их цели, состав и действия с ними. То есть закон распространяется на самозанятых так же, как и на юрлиц или ИП.

Что относится к персональным данным (ПД)

В самом законе формулировка очень размыта — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу». Перечня в законе нет, но есть общепринятое деление на:

1. Общие данные: ФИО, дата рождения, паспорт, место регистрации и работы, номер телефона, e-mail.
2. Специальные: политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
3. Биометрические: физиологические особенности человека, которые используют для установления его личности — фотографии, отпечатки пальцев, анализ ДНК, цвет глаз и другие.
4. Иные: всё, что не входит в общие, специальные и биометрию — например, стаж работы, наличие т/с, технические данные (ip, cookie).

По умолчанию любое действие с персональными данными без согласия владельца или законных оснований — запрещено. 

Ответственность за нарушения закона о персональных данных

В зависимости от конкретных обстоятельств может грозить не только административная, но и уголовная ответственность, а также гражданско-правовая и даже дисциплинарная. Например:

• За обработку ПД без согласия обычные граждане (без ИП и ООО) за первое нарушение могут получить от 6 до 10 тысяч рублей штрафа, за повторное — от 10 до 20. 
• В случае, когда по закону нужно обязательное письменное согласие, штрафы еще выше: от 10 до 15 тысяч рублей, за повторное от 15 до 30 тысяч рублей.

Такие случаи прописаны в 6 статье закона о персональных данных, но из 9 пунктов к нашей теме относится только один:

«5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем»

В переводе на человеческий это значит, что если субъект персональных данных (ваш клиент или заказчик) подписал с вами договор и оставил там свои данные, отдельное согласие на их обработку не нужно. Но на действия, которые выходят за рамки действия этого договора, — нужно согласие.

Например, самозанятый мастер по ремонту работает по договору ГПХ с клиентами: ремонтирует и заказывает нужные материалы. В процессе ему нужно отправить по адресу плитку для кухни заказчика. Он передает курьерской службе магазина телефон и имя заказчика.В этом случае он может использовать персональные данные клиента, потому что это входит в условия договора. 

Но если мастер решит разослать рекламные сообщения «Закажи установку кухни, кран в подарок», — должно быть согласие. 

Если коротко, то почти все действия с информацией клиента относятся к обработке персональных данных. То есть самозанятый становится оператором персональных данных, если заказчик или покупатель оставил информацию, по которой его можно идентифицировать. И самозанятый эти данные обрабатывает: собирает, систематизирует, хранит, передаёт и использует в своих целях.

Вернемся к примерам из начала статьи: 

Маркетолог дарит гайд по продвижению, но для этого посетители сайта должны оставить имя, телефон и почту. Позже эти данные будут использоваться в рекламных целях. Это персональные данные, на использование которых маркетологу нужно получить согласие на обработку ПД. 

Другой пример, где обязанность получения согласия зависит от нюансов:

Фотограф просит написать отзыв и публикует их на сайте в виде скриншота с именем, фамилией (или никнеймом). Эта информация, по которой можно идентифицировать человека, поэтому согласие нужно.

Но если фотограф замажет ФИО или подпишет «Отзыв Екатерины», там не будет ее фотографии и других личных данных — это не относится к персональным данным и согласие не нужно.

К содержанию документа в законе есть требования: согласие должно быть «конкретным, предметным, информированным, сознательным и однозначным». То есть в нем должны быть пункты:

• конкретная цель обработки: нужно объяснить, для чего вам эти данные (например, рекламная рассылка);
• перечень ПД;
• что вы будете с этими данными делать;
• место и способ обработки ПД: автоматизированная или ручная;
• срок действия согласия;
• ясно выраженное согласие клиента — подпись, галочка в чек-боксе. 

До сбора данных, самозанятый или самозанятый ИП должен уведомить Роскомнадзор через сайт ведомства, Госуслуги или в печатном виде в территориальном подразделении. После этого Роскомнадзор в течение 30 дней добавит  предпринимателя в реестр персональных данных. 

Есть только одно исключение, когда уведомлять ведомство не нужно: если оператор обрабатывает ПД без способов автоматизации. То есть без использования компьютера, записывая их вручную на бумаге.

Остались вопросы? Задайте их в комментариях под статьей. Если ответ нужен срочно, пишите в наше сообщество Вконтакте или Телеграм-канал.