Самозанятые должны сообщать в РКН про обработку данных клиентов — зачем и что будет за нарушение? Разбор с пермским юристом

Да, закон действует не первый год. Самозанятые получают доход, выполняя какие-то работы, оказывая услуги или реализуя произведенные ими товары. В процессе этого они могут узнать персональные данные покупателей или заказчиков (к примеру, клиент указал их в личном кабинете на сайте самозанятого или прислал для оформления доставки). Об этом обязательно нужно уведомить Роскомнадзор.

— Как нам сообщили в Роскомнадзоре, в таких случаях самозанятый становится оператором персональных данных, — уточнил Илья Демин. — Поэтому в соответствии с Законом № 152-ФЗ самозанятый должен направить в Роскомнадзор уведомление о своем намерении осуществлять обработку персональных данных (это официальная формулировка. — Прим. ред.). Такие же правила действуют и для ИП, адвокатов и нотариусов, организаций.

А вот наемных работников у самозанятых нет. Поэтому нет и обязанности направлять уведомление об обработке их персональных данных.

Есть три категории персональных данных:

• основные — фамилия, имя и отчество, адрес проживания, телефон, адрес электронной почты и подобная информация;

• специальные — раса, национальность, политические, религиозные и философские убеждения, сведения о здоровье, интимной жизни и судимостях;

• биометрические — фото, цвет глаз, вес, отпечатки пальцев, ДНК, группа крови и подобные данные.

Если самозанятый собирает данные любой из этих категорий, он должен отчитываться об этом в Роскомнадзор. Сообщить об обработке данных нужно до ее начала.

Уведомить Роскомнадзор нужно и после завершения обработки персональных данных — но только в случае, если самозанятый дальше не планирует с ними работать.

Кроме того, обязательно нужно сообщить в Роскомнадзор о происшествиях и инцидентах: утечках персональных данных, несанкционированных доступах, атаках и взломах.

Главное отличие между двумя видами обработки персональных данных — в степени вовлеченности технологий. При автоматизированной обработке задействуют технические средства (компьютеры, облачные сервисы или программы), которые ускоряют и упрощают процесс. Ручная обработка полностью зависит от человеческого труда: информацию записывают вручную и хранят в виде бумажных документов, она требует физического архивирования.

— Представьте, что вы заполняете анкету в банке, — привел пример Илья Демин. — Если сотрудник вносит информацию в компьютер, а тот автоматически сохраняет их в базу данных — это автоматизированная обработка. Но если сотрудник записывает ваши данные от руки в бумажный журнал, который затем убирает в папку и ставит на полку, — это уже ручная обработка.

Для начала нужно заполнить специальную форму (ее можно найти на сайте Роскомнадзора). Подать ее в Роскомнадзор можно тремя способами:

• через портал «Госуслуги» (для этого у самозанятого должна быть подтвержденная учетная запись);

• через сайт Роскомнадзора (понадобится электронная подпись);

• в бумажном виде — в этом случае нужно распечатать форму с сайта Роскомнадзора, заполнить ее и подать в территориальное управление по месту жительства (почтой или лично).

В этой форме необходимо указать:

• фамилию, имя и отчество самозанятого, адрес, паспортные данные, телефон и другие личные данные;

• цель и способы обработки персональных данных (выбрать из списка);

• меры, которые предпринимаются для защиты персональные данные от утечек, взломов и так далее;

• сроки и лицо, ответственное за обработку персональных данных;

• сведения о базах данных и лицах, которые имеют к ним доступ (если такие есть).

— Сама форма несложная, не все поля обязательны для заполнения, — пояснил Илья Демин. — В некоторых случаях нужно просто выбрать из списка. Также есть подсказки по заполнению некоторых полей: чтобы и получить, нужно нажать на название поля.

Предельного срока уведомления Роскомнадзора об обработке персональных данных нет. Главное — сообщить об этом до начала обработки. Роскомнадзор рассмотрит уведомление в течение 30 дней.

Если указанные в уведомлении сведения изменились, уведомить Роскомнадзор об этом нужно до 15 числа следующего месяца. Это можно сделать в электронном виде (через сайт Роскомнадзора или «Госуслуги»), либо предоставив информацию на бумаге (можно отправить по почте или принести лично). Заполнять нужно только те поля, в которые вносятся изменения.

Если самозанятый прекращает обработку персональных данных (например, он просто больше не планирует оказывать услуги), то срок подачи уведомления в Роскомнадзор короче — не более 10 рабочих дней.

Самые сжатые сроки закон установил для уведомлений об утечке персональных данных или другой неправомерной либо случайной передаче. У самозанятого в таком случае есть всего 24 часа: за это время нужно уведомить Роскомнадзор об инциденте и его причинах, предполагаемом вреде и принятых мерах, а также ответственном лице. Затем в течение 72 часов нужно провести внутреннее расследование и сообщить о причинах нарушения и виновниках.

Сейчас применяется статья 19.7 КоАП РФ о непредоставлении сведений. За нарушение грозит предупреждение или штраф от 100 до 300 рублей.

С 30 мая этого года Роскомнадзор будет выносить штрафы по новым правилам. Наказание станут назначать по статье 13.11 КоАП РФ, посвященной нарушениям в области персональных данных:

• если не было уведомления о намерении работать с персональными данными — штраф от 5000 до 10 000 рублей;

• если в Роскомнадзор не сообщили о происшествиях и нарушении прав владельцев персональных данных — штраф от 50 000 до 100 000 рублей.