Обработка персональных данных самозанятыми в российском праве

самозанятый специалист работает с клиентской базой на ноутбуке — обработка персональных данных самозанятыми

10.02.2026

В связи с развитием в России правового регулирования в области информационной безопасности в целом и защиты персональных данных в частности обработка персональных данных самозанятыми становится одной из наиболее актуальных тем для малого бизнеса. Российское законодательство в этой сфере постоянно усложняется: принимаются новые подзаконные акты, расширяются полномочия Роскомнадзора, вводятся дополнительные обязанности по обеспечению конфиденциальности и безопасности информации.

Если ранее регулирование персональных данных касалось в первую очередь юридических лиц, то сегодня требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в полной мере распространяются и на граждан, ведущих деятельность в статусе самозанятых. Это означает, что самозанятый как оператор персональных данных фактически включен в общую систему правового регулирования обработки данных и обязан обеспечивать соблюдение всех установленных законом принципов и мер защиты информации. Кроме того, самозанятые должны подавать уведомление в Роскомнадзор о намерении осуществлять обработку персональных данных.

В условиях цифровизации экономики, использования онлайн-сервисов для записи клиентов, распространения мессенджеров и электронных платформ, вопросы корректного правового оформления обработки данных приобретают для самозанятых особую значимость .

Обработка персональных данных самозанятыми в большинстве видов услуг и мелкой торговли возникает автоматически — в момент, когда исполнитель принимает заказ и фиксирует контакт клиента, адрес, историю обращений или переписку. Российский режим персональных данных устроен так, что правовая оценка не зависит от масштаба деятельности и наличия «офиса» или «штата». Если лицо определяет, какие данные собирать, для чего они нужны и как они используются, оно может рассматриваться как оператор персональных данных по смыслу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Для самозанятых это важно по двум причинам. Первая — административные риски и проверки, которые в сфере персональных данных запускаются обращениями граждан и техническим мониторингом. Вторая — коммерческая: заказчики, особенно компании, всё чаще требуют понятного режима обращения с данными, потому что утечка или жалоба клиента создаёт риск уже для заказчика, передавшего информацию подрядчику.

Персональные данные самозанятых как часть системы комплаенса

В связи с тем, что в современных бизнес-условиях самозанятые зачастую встраиваются в качестве субподрядчиков в работу развитых корпоративных структур обработка персональных данных самозанятыми перестала быть частным техническим вопросом и стала частью корпоративной комплаенс-повестки компаний, работающих с подрядчиками и индивидуальными исполнителями.

Стали возможны ситуации, когда значительная часть договоров с клиентами, подрядчиками и контрагентами осуществляется через самозанятых лиц, которые при этом получают доступ к контактным данным клиентов, сведениям о заказах, платежной информации, фотографиям, документам и иной информации, относящейся к персональным данным.

Для бизнеса это означает появление новой категории операторов персональных данных, не всегда понимающих требования законодательства. В результате возникают вопросы: является ли самозанятый оператором персональных данных, обязаны ли самозанятые подавать уведомление в Роскомнадзор, когда самозанятому нужно согласие клиента и какие риски несет заказчик, если обработка персональных данных у самозанятого происходит с нарушениями.

Практика юридической фирмы Инмар показывает, что такие вопросы возникают не только у небольших предпринимателей, но и у крупных корпоративных структур, привлекающих самозанятых для логистики, маркетинга, IT-разработки, HR-подбора, юридического сопровождения проектов в России.

Самозанятый как оператор персональных данных

Статья 3 Федерального закона № 152-ФЗ определяет оператора персональных данных как лицо, которое организует обработку данных и определяет её цели. Это правило применяется не только к компаниям. В правовом смысле оператором становится любое лицо, которое решает, какие данные клиентов собирать и как их использовать. Поэтому даже небольшой частный бизнес или ремесленная деятельность подпадают под требования закона, если в работе используются сведения о клиентах.

На практике статус оператора возникает автоматически. Мастер маникюра записывает клиентов по телефону и хранит список записей на месяц вперёд. Фотограф сохраняет контакты клиентов и фотографии в облачном сервисе. Репетитор ведёт таблицу учеников с расписанием занятий и комментариями. Кондитер хранит адреса доставки и сведения о заказах. В каждом из этих случаев исполнитель собирает и использует информацию о конкретных людях, а значит он организует работу с данными клиентов и тем самым подпадает под правовой режим оператора по смыслу закона.

Юридическое значение имеет не масштаб бизнеса и не наличие офиса, а фактические действия. Если самозанятый решает, зачем нужна информация, сколько времени её хранить, кому её передать и как использовать дальше, он несёт ответственность за законность обработки и за безопасность данных. Даже простая переписка в мессенджере, запись клиентов в календаре или хранение телефонной книги с пометками о заказах уже создают правовой режим обработки.

В этом контексте важно различать ситуацию, когда используются только минимальные контакты клиента, и случаи, когда формируется полноценная база клиентов. Чем шире состав информации, тем выше требования закона, поскольку персональные данные самозанятых становятся предметом регулирования наравне с данными, обрабатываемыми компаниями.

Законные основания: договор и согласие

В типичных сервисных отношениях законные основания обработки обычно строятся вокруг двух конструкций: обработка для заключения и исполнения договора с клиентом и обработка на основании согласия.

Если данные нужны для исполнения услуги (принять заказ, доставить товар, выставить счёт, обеспечить гарантию), обработка чаще всего укладывается в договорную модель. Однако она требует дисциплины: цель обработки должна быть понятна, а набор данных — соразмерен цели.

Проблемы начинаются, когда цели «разъезжаются». Например, контакт клиента собирался для записи, а затем используется для рекламы. Это уже иной правовой режим. В таких случаях требуется согласие, и именно здесь на практике возникает вопрос, как оформить его так, чтобы оно работало в споре, а не только выглядело «формально».

Суды в делах по статье 13.11 КоАП РФ исходят из того, что отсутствие доказуемого основания обработки является самостоятельным нарушением. В ряде дел мировых судей операторы привлекались к ответственности за отсутствие согласия при маркетинговых рассылках и неподачу уведомления Роскомнадзору. Поэтому важно понимать если ты самозанятый — согласие на обработку персональных данных неотъемлемая часть твоей работы.

Когда обработка персональных данных самозанятыми требует уведомления Роскомнадзор

Один из наиболее обсуждаемых вопросов — обязаны ли самозанятые подавать уведомление в Роскомнадзор при обработке персональных данных клиентов. В соответствии со статьёй 22 Федерального закона № 152-ФЗ оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку данных до её начала, если деятельность не подпадает под предусмотренные законом исключения.

Закон предусматривает единственное исключение, когда оператор может не направлять указанное уведомление — в случае, если обработка персональных данным самозанятыми осуществляется исключительно без использования средств автоматизации.

В современное время, пожалуй, осталось очень мало сфер деятельности, где обслуживание клиентов осуществляется только на основании устной записи или записей в журналы учета посетителей. Кроме того, на практике самозанятые используют электронные таблицы, CRM-системы и облачные сервисы, что выводит обработку за пределы исключений. В таких ситуациях возникает обязанность уведомления.

Позиция Роскомнадзора заключается в том, что оценка необходимости уведомления проводится с учётом фактического характера обработки данных. Если деятельность предполагает ведение клиентской базы, регулярные рассылки или хранение данных в информационных системах, самозанятый рассматривается как оператор, который должен выполнить требования закона. Таким образом в подавляющем большинстве случаев самозанятые должны подавать уведомление в Роскомнадзор о намерениии осуществлять обработку персональных данных.

Согласие на обработку персональных данных

Закон требует получения согласия субъекта данных, если обработка не основана на иных законных основаниях. В практике это означает, что самозанятый должен получать согласие на обработку персональных данных клиентов при сборе информации, не связанной непосредственно с исполнением договора.

Согласие должно быть конкретным и информированным. В нём указываются цели обработки, перечень данных, срок хранения и действия с информацией. Использование общих форм без учета фактических операций может привести к признанию согласия недействительным.

На практике самозанятый согласие на обработку персональных данных должен оформлять тогда, когда информация используется не только для исполнения заказа, но и для рассылок, публикации отзывов, передачи данных сторонним сервисам или хранения расширенной истории заказов.

Судебная практика по делам о персональных данных показывает, что суды оценивают реальное содержание обработки данных. При отсутствии надлежащего согласия суды поддерживают позицию Роскомнадзора о нарушении требований закона и привлечении оператора к ответственности. Эти подходы применимы и к самозанятым, если они систематически работают с данными клиентов.

Локализация и трансграничная передача персональных данных

В регулировании персональных данных в России важно различать два близких, но юридически разных института — трансграничную передачу и локализацию персональных данных. Оба института прямо влияют на то, как осуществляется обработка персональных данных самозанятыми, особенно при использовании облачных сервисов и зарубежных платформ.

В соответствии со статьёй 12 Федерального закона № 152-ФЗ трансграничной передачей признаётся передача персональных данных на территорию иностранного государства иностранному лицу либо иностранной организации. Это определение охватывает не только прямую передачу данных зарубежному контрагенту, но и хранение или обработку данных в иностранных информационных системах.

На практике трансграничная передача возникает значительно чаще, чем может показаться на первый взгляд. Например, она имеет место, когда используется иностранная CRM-система, в которой хранятся контакты клиентов, ведётся база клиентов в Google Sheets или другом зарубежном облачном сервисе, данные клиентов сохраняются в зарубежных сервисах онлайн-записи, контакты передаются через иностранные мессенджеры с облачным хранением, используется иностранный сервис рассылок или маркетинговой аналитики.

Во всех этих случаях персональные данные клиентов самозанятого  фактически передаются иностранному оператору или обрабатываются в иностранной инфраструктуре. Для законности такой передачи требуется соблюдение требований законодательства по трансграничной передаче данных включая проверку режима защиты данных в соответствующей стране и уведомление Роскомнадзора в предусмотренных случаях.

Отдельно от трансграничной передачи действует требование локализации персональных данных, установленное статьёй 18.1 закона № 152-ФЗ. Оно обязывает оператора обеспечить первичное накопление, систематизацию и хранение персональных данных граждан РФ в базах данных, расположенных на территории Российской Федерации.

Указанные нормы применяются не только в отношении юридических лиц, но и в отношении самозанятых. Поэтому самозанятым при обработке персональных данных также важно соблюдать положения о сборе и локализации персональных данных, поскольку в бытовой практике часто используется иностранная инфраструктура.

Нарушение требований локализации возникает, например, когда база клиентов хранится в Google Sheets или зарубежном CRM-сервисе, коммуникации с клиентами ведутся в иностранном мессенджере, интернет-магазин самозанятого использует зарубежную платформу без российской базы данных, сервис онлайн-записи хранит данные клиентов только на зарубежных серверах.

В подобных случаях такая обработка данных может рассматриваться как нарушение требований локализации, даже если самозанятый не передавал данные третьим лицам напрямую.

Организация защиты персональных данных

Обработка персональных данных самозанятыми предполагает, что самозанятый, как оператор персональных данных, обязан обеспечить их защиту. Согласно Постановлению Правительства РФ от 01.11.2012 № 1119 оператор должен реализовать необходимые меры, соответствующие уровню угроз безопасности данных, включая безопасное хранение и передачу информации, использование средств защиты от несанкционированного доступа и контроль доступа к персональным данным.

Защита персональных данных для самозанятых не означает внедрение сложных корпоративных систем, но требует разумных мер безопасности: контроль доступа к устройствам, резервное копирование, использование проверенных сервисов и отказ от передачи клиентских баз через открытые каналы связи.

Для самозанятого это означает необходимость выстроить минимально достаточную систему защиты, соразмерную характеру обрабатываемых данных и используемых технологий. Если база клиентов хранится в телефоне или облачном сервисе, должны быть обеспечены парольная защита устройств, резервное копирование данных, ограничение доступа третьих лиц и своевременное обновление программного обеспечения.

Использование общих аккаунтов, передача клиентских списков через открытые каналы связи или хранение данных без резервных копий рассматриваются как фактическое несоблюдение требований закона, даже если деятельность ведётся в небольшом масштабе.

В судебной практике при рассмотрении дел по статье 13.11 КоАП РФ суды учитывают, какие организационные и технические меры оператор предпринимал для защиты данных. Отсутствие элементарных мер безопасности — шифрования устройств, контроля доступа, разграничения прав пользователей — квалифицируется как нарушение режима обработки.

Поэтому обработка персональных данных самозанятыми требует не формального наличия документов, а реального функционирования системы защиты информации, позволяющей предотвратить утечки, обеспечить конфиденциальность и доказать добросовестность оператора при проверке или споре с клиентом.

Юридическое сопровождение самозанятых при работе с персональными данными

В современной цифровой экономике самозанятый и обработка персональных данных становятся взаимосвязанными элементами любой услуги, будь то запись клиентов, доставка заказов или онлайн-консультации, что требует системного подхода к соблюдению требований закона.

Обработка персональных данных самозанятыми требует соблюдения норм Федерального закона № 152-ФЗ независимо от масштаба деятельности. Самозанятый, который систематически работает с данными клиентов, рассматривается как оператор персональных данных и обязан обеспечить законность обработки, получение согласий и в ряде случаев уведомление Роскомнадзора.

Юристы Инмар сопровождают проекты по защите персональных данных, включая структурирование обработки данных в цепочке подрядчиков, аудит систем и подготовку договорных моделей. Практика фирмы объединяет опыт в корпоративном праве, транспортных проектах и цифровой трансформации бизнеса.

Продолжая просмотр настоящего сайта, Вы соглашаетесь с использованием файлов cookies (куки) и иных методов, средств и инструментов интернет-статистики и настройки, применяемых на сайте для целей, указанных в Политике обработки персональных данных.