Работа в колл-центре: как оформиться самозанятой и зарегистрироваться в Роскомнадзоре по персданным

Работа в колл-центре медорганизации как самозанятый: риски переквалификации и обработка персональных данных клиник

Описанная вами ситуация содержит несколько серьезных правовых рисков, которые в большей степени ложатся на медицинскую организацию, но могут затронуть и вас. Давайте разберем их по порядку.

1. Риск переквалификации договора в трудовой

Это самый существенный риск для организации-заказчика, который напрямую влияет на ваши права.

Согласно законодательству, трудовые отношения имеют четкие признаки, по которым их отличают от гражданско-правовых. Главный критерий — это не название договора, а суть сложившихся отношений.

"Трудовые отношения - отношения, основанные на соглашении между работником и работодателем о личном выполнении работником за плату трудовой функции... в интересах, под управлением и контролем работодателя, подчинении работника правилам внутреннего трудового распорядка при обеспечении работодателем условий труда..."
(Источник: Трудовой кодекс РФ, статья 15)

Работа в колл-центре почти всегда подразумевает:

• Личное выполнение работы: вы сами отвечаете на звонки, никто за вас это сделать не может.
• Подчинение правилам: вам наверняка установят график работы, скрипты разговоров, стандарты обслуживания. Это и есть контроль и подчинение внутреннему распорядку.
• Интеграцию в процесс: вы будете выполнять основную функцию медорганизации — запись пациентов, то есть встроены в ее производственный цикл.

Если эти признаки присутствуют, то независимо от того, как назван ваш договор («договор оказания услуг»), суд с высокой вероятностью признает его трудовым.

"Заключение гражданско-правовых договоров, фактически регулирующих трудовые отношения между работником и работодателем, не допускается."
(Источник: Трудовой кодекс РФ, статья 15)

Более того, при рассмотрении спора все сомнения будут толковаться в вашу пользу:

"Неустранимые сомнения при рассмотрении судом споров о признании отношений, возникших на основании гражданско-правового договора, трудовыми отношениями толкуются в пользу наличия трудовых отношений."
(Источник: Трудовой кодекс РФ, статья 19.1)

Для организации это чревато серьезным штрафом за уклонение от оформления трудового договора (до 100 000 рублей) и доначислением всех налогов и взносов за весь период вашей работы.

"...заключение гражданско-правового договора, фактически регулирующего трудовые отношения между работником и работодателем, - влечет наложение административного штрафа на юридических лиц в размере от пятидесяти тысяч до ста тысяч рублей."
(Источник: КоАП РФ, статья 5.27, часть 4)

Вывод по этому вопросу: риск переквалификации очень высок. Для вас это несет риск незащищенности (отсутствие отпусков, больничных, гарантий при увольнении). Для организации это грубое нарушение закона, что может говорить о ее недобросовестности. Данная схема может рассматриваться как злоупотребление правом, что запрещено.

"Не допускается осуществление гражданских прав исключительно с намерением причинить вред другому лицу, действия в обход закона с противоправной целью, а также иное заведомо недобросовестное осуществление гражданских прав (злоупотребление правом)."
(Источник: ГК РФ, статья 10)

2. Законность требования о регистрации в Роскомнадзоре

Требование руководителя зарегистрироваться вам в Роскомнадзоре в качестве оператора персональных данных незаконно.

Для понимания, кто является оператором, обратимся к закону:

"оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными."
(Источник: Федеральный закон "О персональных данных", статья 3)

Именно медицинская организация:

1. Определяет цели обработки: запись пациентов, информирование об услугах.
2. Решает, какие данные собирать: ФИО, телефон, данные о здоровье (что является специальной категорией).
3. Организует обработку: предоставляет вам технику, ПО, доступ к базе данных.

Следовательно, медицинская организация и является оператором. Она лишь поручает вам, как привлеченному лицу, выполнять отдельные операции по обработке в рамках этого поручения. Закон прямо это предусматривает:

"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора... Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных."
(Источник: Федеральный закон "О персональных данных", статья 6, часть 3)

Вы не являетесь самостоятельным оператором и не должны уведомлять Роскомнадзор. Это прямая обязанность медорганизации-оператора.

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных."
(Источник: Федеральный закон "О персональных данных", статья 22, часть 1)

Организация пытается переложить на вас свои обязанности, предлагая кабальные условия договора. К такой ситуации можно применить следующие нормы:

"Присоединившаяся к договору сторона вправе потребовать расторжения или изменения договора, если договор присоединения... содержит явно обременительные для присоединившейся стороны условия, которые она исходя из своих разумно понимаемых интересов не приняла бы при наличии у нее возможности участвовать в определении условий договора."
(Источник: ГК РФ, статья 428, часть 2)

3. Обязанности заказчика и распределение ответственности

Медорганизация обязана предоставить вам документы, регламентирующие обработку данных, и получить согласия от клиентов.

Обязанность предоставить инструкции:
Договор поручения на обработку должен содержать конкретные обязанности для вас как для исполнителя.

"В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные... статьей 18.1 настоящего Федерального закона... а также должны быть указаны требования к защите обрабатываемых персональных данных..."
(Источник: Федеральный закон "О персональных данных", статья 6, часть 3)

Сама медицинская организация как оператор обязана:

"...издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных... а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства..."
(Источник: Федеральный закон "О персональных данных", статья 18.1, часть 1)

Без этих документов и обучения вы не можете надлежаще исполнять свои обязанности. Ответственность за ваши действия перед клиентами и Роскомнадзором все равно будет нести медорганизация-оператор.

"В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор."
(Источник: Федеральный закон "О персональных данных", статья 6, часть 5)

А вы, в свою очередь, будете нести ответственность уже перед самой организацией. Это также подтверждается и Гражданским кодексом:

"Должник отвечает за неисполнение или ненадлежащее исполнение обязательства третьими лицами, на которых было возложено исполнение, если законом не установлено, что ответственность несет являющееся непосредственным исполнителем третье лицо."
(Источник: ГК РФ, статья 403)

Обязанность получить согласия:
Поскольку вы обрабатываете данные, включая сведения о здоровье (специальная категория), организация обязана получить письменное согласие от каждого клиента.

"Обработка специальных категорий персональных данных, касающихся... состояния здоровья... допускается в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных."
(Источник: Федеральный закон "О персональных данных", статья 10, часть 2)

Более того, уведомлять об обработке данных клиентов, полученных не напрямую от них, должен сам оператор.

"Если персональные данные получены не от субъекта персональных данных, оператор... до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию..."
(Источник: Федеральный закон "О персональных данных", статья 18, часть 3)

Лицо, действующее по поручению, не обязано само собирать согласия.

"Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных."
(Источник: Федеральный закон "О персональных данных", статья 6, часть 4)

4. Административная ответственность

Для вас как для физического лица (самозанятого) основной риск — это ответственность за разглашение полученных сведений.

"Разглашение информации, доступ к которой ограничен федеральным законом... лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей... влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей."
(Источник: КоАП РФ, статья 13.14)

Важно понимать, что основной массив штрафов за нарушение законодательства о персональных данных, например, за обработку без законных оснований (согласия) или за отсутствие уведомления Роскомнадзора, ложится на оператора, то есть на медорганизацию. По вышеупомянутым статьям КоАП РФ (13.11) на должностных лиц и юридических лиц налагаются штрафы в сотни тысяч и миллионы рублей.

Итоговые рекомендации

Описанная ситуация крайне рискованна и свидетельствует о попытке медорганизации сэкономить на налогах и снять с себя ответственность за вашу социальную защиту и грамотную организацию работы с конфиденциальными данными пациентов.

Вам следует действовать так:

1. Настаивайте на официальном трудоустройстве. Это в ваших интересах. Объясните работодателю риски по ст. 5.27 КоАП РФ (штраф до 100 тыс. руб.) и по ч. 2 ст. 10 ФЗ-152 (незаконная обработка данных о здоровье без письменного согласия — штраф до 700 тыс. руб. для юрлица). Если вам отказывают, то это серьезный «красный флаг».
2. Категорически откажитесь от самостоятельной регистрации в Роскомнадзоре. Письменно поясните руководству, что по закону оператором является организация, и уведомлять регулятора — её прямая обязанность. Ваша регистрация как оператора при фактической работе по поручению вводит в заблуждение и вас, и государство.
3. Не приступайте к работе с персональными данными без документов. Если вы всё же решите работать как самозанятый, требуйте предоставления полного пакета документов, который оператор обязан разработать:
   • Политику обработки персональных данных клиники.
   • Детальное поручение на обработку данных, где будут прописаны ваши обязанности, перечень данных и конкретные действия с ними.
   • Документ, подтверждающий ознакомление вас с требованиями конфиденциальности и безопасности (инструктаж).
4. Запросите подтверждение законности обработки данных. Убедитесь, что у организации есть оформленные письменные согласия пациентов на обработку их данных, особенно данных о здоровье.
5. Обратитесь к адвокату. Если руководство продолжает настаивать на схеме с вашей регистрацией в Роскомнадзоре, рекомендую получить консультацию адвоката для защиты ваших прав и составления мотивированной претензии к работодателю. Риск получить штраф и нести ответственность за чужие ошибки слишком велик.