Государство регулирует работу с личной информацией, чтобы она не попадала в руки мошенников. Заключая договор с самозанятым, компания обязуется использовать сведения в соответствии с законом. Добросовестность обращения с данными контролирует Роскомнадзор (РКН).
Персональная информация исполнителя обрабатывается по тем же правилам, что и сведения о сотрудниках. Согласие при этом брать не обязательно, в некоторых случаях достаточно договора. Подробнее о тонкостях работы с данными расскажем в статье. Их знание спасёт вас от штрафов, которые могут достигать 18 млн рублей.
Что считают персональными данными самозанятых
Персональные данные — любые сведения о физлице, в том числе:
-
- общие — ФИО, пол, дата рождения, адрес проживания и регистрации, семейное положение, образование, реквизиты счёта, электронная почта;
- специальные — национальность, судимости, политические убеждения, религия, состояние здоровья;
- биометрические — фото, видео и аудиозаписи, вес, рост, отпечатки пальцев, радужная оболочка глаз, анализы ДНК.
Компаниям разрешено обрабатывать не все персональные данные, а только те, которые оправданы целями сотрудничества с самозанятым. Основание — Федеральный закон №152-ФЗ от 27.07.2006.
Так, для заключения договора и оплаты услуг самозанятого вам потребуется лишь общая информация — паспортные данные, ИНН, реквизиты счёта в банке, контакты. А вот специальные и биометрические сведения, скорее всего, не пригодятся.
Как обрабатывать персональные данные по закону
При сотрудничестве с самозанятым организация становится оператором его персональных данных. Это значит, что она берёт на себя обязательство обрабатывать личную информацию в соответствии с законом.
Под обработкой данных понимают не только сбор и хранение, но и уточнение, передачу, применение, обезличивание и удаление.
Обязанности оператора:
-
- При получении персональных не от их обладателя — предоставить субъекту перечень данных о себе из п.3 ст.18 ФЗ-152.
- Хранить персональные данные в безопасности.
- Проверять информацию — неполные или неточные персданные следует уточнить или удалить.
- Хранить персданные о самозанятых не дольше, чем того требуют цели сотрудничества. Более длительные сроки должны быть прописаны в договоре.
- Уничтожить или обезличить информацию после достижения целей.
- Уведомить Роскомнадзор о начале и прекращении работы с персональными данными или их утечке.
По закону компания вправе поручить обработку третьему лицу. Но на это потребуется разрешение исполнителя.
В каких целях можно обрабатывать персональные данные самозанятых
Цели обработки — то, ради чего организация запрашивает персданные физлица. При сотрудничестве с самозанятыми это могут быть:
-
- исполнение договора гражданско-правового характера;
- ведение бухгалтерского учёта;
- осуществление научной, литературной или иной творческой деятельности;
- сохранение безопасности;
- продвижение на рынке.
Возможны и другие варианты — всё зависит от деятельности компании и стоящих перед исполнителем задач. Главное, чтобы цели не нарушали право на неприкосновенность частной жизни. Оно закреплено Конституцией РФ и строго охраняется законом.
Приведём пример. Event-агентство приглашает именитого шеф-повара для проведения мастер-класса и использует его персональные данные для рекламы события: записывает видеоролики, печатает баннеры и афиши, распространяет информацию в СМИ и соцсетях.
Эти цели должны быть прописаны в соглашении с исполнителем. Иначе организация понесёт административную ответственность за разглашение данных.
Как уведомить РКН об обработке персональных данных
Если оператор обрабатывает персданные самозанятых, он обязан предупредить об этом Роскомнадзор. Подать уведомление можно в местном отделении РКН, через «Госуслуги» или на сайте надзорного органа.
В уведомлении укажите:
-
- наименование и адрес компании;
- цели обработки данных;
- категории субъектов, чьи данные обрабатываются;
- контакты ответственных лиц;
- дату начала обработки;
- срок или условие прекращения хранения и обработки;
- сведения о трансграничной передаче данных;
- место нахождения базы данных;
- сведения о безопасности.
Если раньше организация уже обрабатывала данные штатных сотрудников или клиентов, отправьте в РКН другое уведомление — об изменении сведений. В нём укажите новую категорию субъектов — самозанятые. Все формы уведомлений есть в приказе Роскомнадзора от 28.10.2022 № 180.
В течение 30 дней РКН внесёт компанию в реестр операторов. Тот же срок нужен для исключения из реестра. Уведомить надзорный орган следует не позднее, чем через 10 дней после прекращения обработки данных. Проще всего это сделать, заполнив форму на сайте регулятора.
Важно: с 1 марта 2023 года операторы обязаны предупреждать Роскомнадзор об утечке данных. Если информация оказалась в опасности из-за ошибки, атаки хакеров или кражи, организация должна в течение 72 часов провести расследование и подать уведомление об инциденте. Основание — приказ РКН от 14.11.22 № 187. Форма документа есть на сайте надзорного органа.
Какие документы проверить перед началом работы с данными
Перед подачей уведомления в РКН убедитесь, что компания готова к работе с данными не только технически, но и юридически. Проверьте, есть ли у вас эти локальные нормативные акты.
Политика оператора в отношении обработки персональных данных — свод правил о том, как организация собирает, хранит, использует, обезличивает и удаляет персданные. Образец есть на сайте Роскомнадзора.
На что обратить внимание:
-
- Перечень персданных, категории субъектов, способы, сроки обработки, хранения и уничтожения нужно указать для каждой цели обработки. Основание — ч. 10 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ.
- Оператор обязан предоставить неограниченный доступ к политике. Основание — ч. 2 ст. 18.1 №152-ФЗ.
Положение о защите персональных данных — документ устанавливает порядок выявления и устранения нарушений. Важно оформить его отдельным документом.
Модель угроз безопасности — перечень угроз при обработке данных в информационных системах.
Требования к защите персданных в информационных системах перечислены в постановлении Правительства РФ от 01.11.2012 № 1119.
Правила доступа к персональным данным. Составьте список сотрудников, которые будут работать с личной информацией. Попросите их расписаться в изучении правил и дать письменные обязательства о неразглашении сведений.
Приказы о назначении ответственных. Определите, кто будет контролировать работу с данными.
Поручение на обработку персональных данных. Документ нужен, если хотите передать сведения другой компании.
Какие согласия на обработку персональных данных получить от самозанятого
Письменное согласие самозанятого пригодится, если планируете использовать его персданные не только для исполнения договора.
Дело в том, что для каждой цели использования данных требуется правовое основание. Договор служит убедительным поводом, чтобы обрабатывать общие сведения о физлице. Но его будет недостаточно для их распространения.
Согласие доказывает, что исполнитель разрешает организации применять данные в конкретных целях. Например, для рекламы.
Есть три ситуации, когда оператор обязан получить письменное разрешение исполнителя:
-
- Компания будет обрабатывать его специальные или биометрические данные.
- Обработкой данных вместо оператора будет заниматься другая организация.
- Доступ к данным получит неограниченное число лиц.
В первом случае оператору потребуется согласие на обработку персональных данных. В остальных — согласие на распространение персональных данных.
Распространение данных несёт больше рисков для физлиц, а потому отслеживается строже. Обязательно попросите письменное разрешение, даже если планируете раскрыть лишь часть информации о самозанятом в открытом доступе.
Что должно быть указано в согласии на обработку данных:
-
- ФИО, адрес, серия и номер паспорта исполнителя;
- название и адрес оператора;
- цель обработки;
- перечень данных;
- название и адрес компании, которая будет работать с данными (если оператор поручает это другой фирме);
- список разрешённых действий с данными, способы их обработки;
- срок действия согласия и способ его отзыва;
- подпись.
Согласие на распространение оформляется по особым правилам. Требования установлены в приказе РКН от 24.02.2021 № 18.
Основное отличие — указываются сведения об информационных ресурсах организации и категории данных, которые исполнитель разрешает передавать. На сайте Роскомнадзора можно создать шаблон согласия с учётом вида деятельности оператора.
Важный момент: согласие может быть отозвано самозанятым в любое время. Тогда компании придётся удалить персданные из общего доступа.
Что будет, если нарушить требования к работе с данными
С одной стороны, организация понесёт юридическую ответственность.
Нарушения закона «О персональных данных» наказываются по ст. 13.11 КоАП. Если Роскомнадзор уличит оператора в невыполнении обязательств, его ждёт штраф до 18 млн рублей.
Недобросовестная работа с данными может вылиться и в лишение свободы на срок до двух лет. Основание — ст. 137 УК РФ «Нарушение неприкосновенности частной жизни».
Также самозанятый вправе обжаловать действия оператора в суде. Тогда компанию могут заставить компенсировать убытки и моральный вред.
Подведём итоги
При работе с данными самозанятых важно соблюдать требования закона. Для этого нужно:
-
- Проверить локальные документы. В них должно быть чётко обозначено, как организация обрабатывает и защищает данные.
- Запросить у исполнителя согласие на обработку или распространение личной информации, если хотите использовать её не только для исполнения договора.
- Подать уведомление в РКН.
- Обрабатывать персданные только в тех целях, которые прописаны в документах.
- Контролировать работу с данными, обеспечивать их безопасность. При утечке провести расследование и предупредить Роскомнадзор.
После прекращения работы с самозанятым его данные нужно удалить, если иное не предусмотрено договором или согласием.