Обязанности оператора персональных данных для самозанятого при работе с юридическими лицами и ИП

Обработка контактных данных представителей организаций и ИП самозанятым бизнес-аналитиком

Анализ ситуации

Вы являетесь самозанятым лицом, оказывающим услуги бизнес-анализа. В ходе работы вы собираете, храните и используете ФИО, номера телефонов и адреса электронной почты физических лиц — представителей ваших клиентов (организаций и индивидуальных предпринимателей). Эти действия совершаются для деловой коммуникации, обсуждения и заключения договоров.

Правовая квалификация: является ли это обработкой персональных данных?

Да, это является обработкой персональных данных, и вы являетесь оператором.

1. Персональные данные. Согласно закону, персональные данные — это "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3). ФИО, телефон и e-mail однозначно позволяют идентифицировать физическое лицо.
2. Обработка персональных данных. Обработкой является "любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение... использование..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3). Ваши действия (сбор, запись, хранение контактов) полностью подпадают под это определение.
3. Оператор. Оператором признается "физическое или физическое лицо... самостоятельно... осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3). Вы самостоятельно определяете, какие данные и для каких целей собирать, следовательно, вы — оператор.

Важный нюанс: Тот факт, что вы обрабатываете данные не клиентов-физлиц, а их представителей, не меняет правовую природу этих действий. Данные представителя — это всё те же персональные данные физического лица.

Применимые нормы и обязанности оператора

Как оператор, вы обязаны соблюдать требования Федерального закона №152-ФЗ.

1. Уведомление Роскомнадзора (статья 22)

Это центральный вопрос в вашей ситуации.

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 1).

Закон предусматривает исключения, когда уведомлять не нужно. Однако в предоставленном контексте большинство из них утратили силу или относятся к специфическим случаям (например, обработка без использования средств автоматизации, государственные информационные системы). Ваша деятельность под данные исключения, скорее всего, не подпадает. Следовательно, у вас возникает обязанность направить уведомление в Роскомнадзор.

"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей..." (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11, часть 10).

2. Получение согласия на обработку (статьи 6, 9)

"Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, часть 1).

Существует исключение: обработка допустима без согласия субъекта, если она "необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6, часть 1, пункт 5). В вашем случае договор заключается с организацией/ИП, а субъект данных (ее представитель) формально стороной договора не является. Эта ситуация спорна. Наиболее надежный путь для минимизации рисков — получать согласие.

"Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9, часть 1).

3. Обеспечение конфиденциальности и безопасности (статьи 7, 19)

"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 7).

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19, часть 1).

На практике это означает хранение данных на защищенных паролем устройствах, использование антивирусного ПО, исключение свободного доступа к файлам с контактами.

4. Иные обязанности

Оператор обязан по запросу субъекта данных предоставить информацию об обработке (статья 20), а также удалить или уточнить данные по требованию субъекта (статья 21).

Статус самозанятого и отсутствие сотрудников: Эти факторы не освобождают вас от обязанностей оператора, но могут упростить организационные меры (например, не требуется назначать ответственного за обработку среди сотрудников).

Выводы и конкретные рекомендации

1. Вы являетесь оператором персональных данных. Обработка контактных данных представителей организаций и ИП полностью подпадает под действие закона №152-ФЗ.
2. Уведомление в Роскомнадзор, скорее всего, обязательно. Поскольку ваша деятельность, вероятно, не подпадает под перечисленные в законе исключения, вам следует подать уведомление в уполномоченный орган (Роскомнадзор) до начала обработки. Невыполнение этой обязанности грозит административным штрафом.
3. Получайте согласие на обработку. Хотя существует спорное основание для обработки без согласия (исполнение договора с организацией), для полного исключения рисков рекомендуем получать простое письменное согласие от представителей. Это можно сделать, включив соответствующий пункт в заявку на услугу, договор-оферту или в виде отдельного документа.
4. Обеспечьте безопасность данных: Примите базовые технические и организационные меры для защиты информации (пароли, антивирусы, порядок хранения).
5. Будьте готовы реагировать на запросы: Представитель вправе запросить у вас информацию об обработке его данных или потребовать их удалить после завершения проекта.

Для окончательной проработки документов (текста согласия, политики обработки) и оценки всех рисков вашей конкретной модели работы настоятельно рекомендуется обратиться к адвокату, специализирующемуся на законодательстве о персональных данных.