Согласно Федеральному закону № 152-ФЗ «О персональных данных» и Кодексу об административных правонарушениях (КоАП РФ), самозанятые граждане могут быть привлечены к ответственности за нарушения в области обработки персональных данных.

Является ли самозанятый оператором персональных данных?

Да, самозанятый гражданин является оператором персональных данных, если он собирает, хранит или обрабатывает любую информацию о своих клиентах, которая позволяет их идентифицировать (например, ФИО, номер телефона, адрес электронной почты, адрес доставки, данные заказов и т.д.). Это происходит, например, если самозанятый:

• Имеет свой сайт с формами обратной связи, подписки, заказа.
• Собирает данные клиентов для выполнения заказов (даже если данные передаются по мессенджерам или телефону).
• Ведет клиентскую базу.
• Размещает отзывы с персональными данными клиентов (для этого нужно отдельное согласие на распространение).

Даже если данные записываются вручную на бумаге и не используются средства автоматизации, самозанятый может быть оператором, но в некоторых случаях это освобождает от обязанности подавать уведомление в Роскомнадзор (ст. 22 Закона о персданных). Однако, если используются интернет-ресурсы, метрические программы (Яндекс.Метрика) или иные средства автоматизации, подача уведомления обязательна.

Штрафы для самозанятых по 152-ФЗ (по статье 13.11 КоАП РФ)

Штрафы для самозанятых применяются по категории «для граждан» (физических лиц) в рамках статьи 13.11 КоАП РФ, если иное не указано отдельно для ИП. Важно отметить, что с 30 мая 2025 года многие штрафы по этой статье значительно увеличились.

Рассмотрим ключевые нарушения и соответствующие штрафы для самозанятых (как для граждан):

1. Непредставление (несвоевременное представление) уведомления о начале обработки персональных данных (ч. 10 ст. 13.11 КоАП РФ):
   • Штраф: от 5 000 до 10 000 рублей.
   • Это касается самозанятых, которые фактически обрабатывают ПДн (например, через свой сайт), но не уведомили об этом Роскомнадзор.
2. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка ПДн, несовместимая с целями их сбора (ч. 1 ст. 13.11 КоАП РФ):
   • Штраф: от 10 000 до 20 000 рублей.
   • Например, если самозанятый собирал email для рассылки новостей, а потом начал использовать их для других целей без нового согласия.
3. Обработка персональных данных без согласия субъекта ПДн, когда такое согласие обязательно (ч. 2 ст. 13.11 КоАП РФ):
   • Штраф: от 10 000 до 15 000 рублей (для граждан).
   • Например, сбор email для рассылки без чекбокса согласия.
4. Неопубликование или необеспечение доступа к документу, определяющему политику оператора в отношении обработки ПДн (Политика конфиденциальности) (ч. 3 ст. 13.11 КоАП РФ):
   • Штраф: от 1 500 до 3 000 рублей.
5. Невыполнение требования субъекта персональных данных (например, об уточнении, блокировании или уничтожении его ПДн) (ч. 5 ст. 13.11 КоАП РФ):
   • Штраф: от 2 000 до 4 000 рублей.
6. Невыполнение обязанности уведомить Роскомнадзор об утечке персональных данных (ч. 11 ст. 13.11 КоАП РФ):
   • Штраф: от 50 000 до 100 000 рублей.
7. Утечка персональных данных (ч. 12-14 ст. 13.11 КоАП РФ) — в зависимости от объема и категории данных, штрафы могут быть значительно выше:
   • За незаконную передачу информации (утечку) от 1 до 10 тыс. человек: от 100 000 до 200 000 рублей.
   • За утечку более 10 тыс. человек или специальных/биометрических категорий данных: от 300 000 до 400 000 рублей.

Важно: Для самозанятых применяются те же требования и штрафы, что и для физических лиц, если законом не предусмотрено иное. Ответственность самозанятого за нарушение ФЗ-152 может быть весьма существенной, поэтому крайне важно соблюдать все требования законодательства.