Когда заказчик сотрудничает с исполнителями, самозанятыми или ИП, он неизбежно обрабатывает их персональные данные. Если компания неверно организует работу с персданными контрагентов, то рискует получить штраф до 800 000 ₽. В статье расскажем, что считать персональными данными самозанятого, в каких целях их можно обрабатывать, кого и как нужно уведомить об обработке. Дадим примеры формулировок в договорах и локальных актах.
Оглавление
Что относят к персональным данным самозанятых
Компании-заказчики обрабатывают персональные данные исполнителей, с которыми сотрудничают по гражданско-правовым договорам. К таким данным закон относит любую совокупность информации о конкретном человеке (п. 1 ст. 4 Федерального закона от 27 июля 2006 г. № 152-ФЗ).
По режиму обработки персданные бывают специальные, общие и биометрические. Подробности в таблице ниже.
Вид персданных | Что к ним относится | Какой закон регулирует |
|---|---|---|
Специальные | Информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. | Часть 1 статьи 10 Федерального закона от 27 июля 2006 г. № 152-ФЗ. |
Общие | Все остальное — перечня нет. Например, ФИО, информация о семейном положении, факты биографии и предыдущей трудовой деятельности, номер банковского счета и наименование банка, место жительства, образование, пол, возраст и т. д. | Пункты 2–11 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ. |
Биометрические | Данные, которые характеризуют физиологические и биологические особенности человека и по которым можно установить личность. Например, фото-, видеоизображение, дактилоскопические данные, информация о радужной оболочке глаза, анализы ДНК, рост, вес. | Часть 1 статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ. |
В каких целях можно обрабатывать персданные самозанятых
Обрабатывайте персданные своих контрагентов, в том числе ИП и самозанятых, только в целях, которые закреплены в «Законе о персональных данных» и локальных актах организации (ст. 5 Федерального закона от 27 июля 2006 г. № 152-ФЗ). Предусмотрите все возможные цели обработки в своих документах — сделать это можно, например, в политике обработки персональных данных. Цели зависят от того, чем занимается компания и к каким задачам планирует привлекать исполнителей.
Пример. Школа работает с самозанятыми преподавателями, которые ведут онлайн-уроки. Организация может указать, что обрабатывает персональные данные в целях:
заключения и реализации гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных, в том числе самозанятый или индивидуальный предприниматель;
создания и распространения рекламных роликов, фото- и видеоматериалов, в том числе обучающих лекций и семинаров, с использованием фото-, видеоизображения, а также подкастов с использованием голоса субъекта персональных данных, в том числе самозанятого или индивидуального предпринимателя;
обеспечения безопасности.
Как уведомить об обработке персданных
Роскомнадзор — уполномоченный орган по защите прав субъектов персональных данных, который нужно уведомлять о том, что вы обрабатываете чьи-либо персданные. Скорее всего, компания уже подавала уведомление при начале обработки персданных, например, работников. Но если раньше вы не обрабатывали персданные исполнителей, то направьте в Роскомнадзор уведомление об изменении сведений. Возьмите его из приложения № 2 к приказу Роскомнадзора от 28 октября 2022 г. № 180.
Направить заполненную форму можно в бумажном виде заказным письмом с уведомлением в территориальный орган Роскомнадзора. Быстрее и удобнее направить уведомление в электронном виде на портале Роскомнадзора. Нужно скачать специальную программу на сайте и воспользоваться УКЭП или пройти аутентификации через портал Госуслуг.
Если вы прекратили обрабатывать персданные контрагента, также нужно уведомить Роскомнадзор. Для этого заполните форму из приложения № 3 к приказу ведомства от 28 октября 2022 г. № 180. В качестве основания для прекращения выберите одну из причин:
ликвидация Оператора;
прекращение деятельности Оператора в результате его реорганизации;
аннулирование лицензии на осуществление лицензируемой деятельности Оператора, когда условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
наступление для Оператора срока или условия прекращения обработки персональных данных, указанных им в Уведомлении;
вступившее в законную силу решение суда о прекращении Оператором деятельности по обработке персональных данных.
Направьте уведомление в ведомство в 10-дневный срок с момента прекращения обработки сведений — в бумажном виде или через форму на официальном сайте.
Какие документы проверить, чтобы обрабатывать персданные самозанятых
Политика обработки персданных
Проверьте, содержит ли политика обработки персданных вашей компании информацию об обработке персональных данных контрагентов, в том числе самозанятых и ИП. Какие сведения должны быть указаны, перечислено в «Законе о персональных данных» (п. 2 ч. 1 ст. 18.1):
категории и перечень обрабатываемых персональных данных; →категории субъектов, данные которых обрабатываете;
способы, сроки их обработки и хранения;
порядок уничтожения данных при достижении целей обработки или по иным законным основаниям.
Что написать об обработке персданных самозанятых в политике, смотрите в примере ниже.
Как в политике прописать раздел об обработке персданных в отношении исполнителей
Цель обработки: реализация гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных
Категории данных | Персональные данные |
|---|---|
Перечень данных | Фамилия, имя, отчество, паспортные данные, адрес регистрации и (или) фактического проживания, контактные данные, ИНН, номер расчетного счета, номер лицевого счета, номер банковской карты, иные персональные данные, предоставляемые физическими лицами, необходимые для заключения и исполнения договоров. |
Категории субъектов | Контрагенты, партнеры, стороны договора, в том числе самозанятые и индивидуальные предприниматели. |
Способы обработки | Автоматизированная обработка и без средств автоматизации. |
Сроки обработки | В течение срока, необходимого для исполнения заключенного договора. |
Сроки хранения | В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные. |
Порядок уничтожения | В соответствии с Порядком уничтожения и обезличивания персональных данных контрагентов компании, в зависимости от типа носителя персональных данных. |
Положение о защите персональных данных
В компании обязательно должен быть локальный акт, в котором указано, как вы выявляете и предотвращаете нарушения «Закона о персональных данных» (п. 2 ч. 1 ст. 18.1, ст. 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ). Проверьте, что расписали виды угроз для персональных данных и меры их защиты, которые организация будет принимать. Акцентировать внимание на персданных именно самозанятых не обязательно, достаточно в принципе описать систему защиты персональных данных субъектов.
ВОПРОС: Кто оператор персональных данных, если компания-заказчик использует в работе стороннюю платформу автоматизации бизнеса?
ОТВЕТ: Если правообладатель такой платформы — сторонняя организация, то обработку персональных данных проводит и заказчик, и сторонняя организация. В таком случае компания обязана запросить согласие исполнителей, чьи личные данные хранятся на платформе, на передачу персданных третьему лицу.
В согласии на распространение персональных данных исполнитель должен указать, какие данные, кому и с какой целью он разрешает передать. Обязательно нужно зафиксировать дату выдачи согласия и срок его действия. Также нужно предусмотреть возможность указать условия, при которых гражданин разрешит оператору персональных данных передавать данные третьим лицам. Гражданин может ограничить способы, которыми оператор будет передавать данные о нем (п. 8 требований Роскомнадзора, утвержденных приказом от 24 февраля 2021 г. № 18).
Какие согласия на обработку персданных получить от самозанятого
Чтобы заключить и исполнить с самозанятым договор ГПХ, не нужно запрашивать у него отдельное согласие на обработку персональных данных. Но такие согласия заказчик обязан получить, если личные данные исполнителей используют для других целей, например, если самозанятого фотографируют для пропуска или вносят его данные на стороннюю платформу автоматизации сотрудничества. Причем на каждую цель обработки необходим отдельный документ.
В общем порядке достаточно закрепить условия о передаче персданных в договоре. Пример формулировки смотрите ниже.
Как прописать в договоре
7.1. Для целей исполнения настоящего Договора Исполнитель передает Заказчику свои персональные данные, перечень которых предусмотрен в разделе 10 «Реквизиты сторон». Срок передачи соответствует сроку, необходимому для исполнения настоящего Договора.
7.2. Заказчик осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление и уничтожение персональных данных Исполнителя. Заказчик обязуется обеспечить конфиденциальность и защиту персональных данных в соответствии с требованиями законодательства в области защиты персональных данных.
7.3. Стороны обязуются соблюдать конфиденциальность персональных данных, обеспечивать безопасность персональных данных при их обработке.
7.4. В случае, если потребуется обработка персональных данных Исполнителя не с целью исполнения настоящего договора, такая обработка будет осуществляться только после предоставления Исполнителем согласий по каждой цели обработки его персональных данных.
Чтобы обрабатывать биометрические персданные или разместить персданные в месте, где к ним будут иметь доступ неограниченное количество лиц, оформите отдельные согласия. Учитывайте требования части 4 статьи 9 «Закона о персональных данных».
Согласие на обработку биометрических персональных данных
Запросите согласие на обработку биометрических персональных данных, если компания использует их, чтобы устанавливать личность исполнителя. Например, когда фотографируете самозанятого, чтобы оформить ему пропуск в офис. Требования к содержанию согласия общие. Ниже смотрите пример формулировки согласия.
Как прописать в договоре
, <…>, представляю оператору персональных данных <…> согласие на обработку моих биометрических персональных данных для осуществления оператором следующих действий: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных любым законодательно разрешенным способом, а также запись на электронные носители и хранение.
Целью обработки моих биометрических персональных данных является обеспечение пропускного режима оператора, предупреждение возникновения чрезвычайных ситуаций, обеспечение объективности расследования несчастных случаев.
Согласие относится к обработке следующих моих биометрических персональных данных:
мое изображение на фотографии и видеозаписи.
Настоящее согласие действительно с момента представления на срок действия договора оказания услуг <…>.
Согласие на распространение персональных данных
Возьмите согласие на распространение персданных самозанятого, если планируете разместить личные данные исполнителя в месте, где к ним будут иметь доступ неограниченное количество лиц. Например, на сайте компании. Требования к такой форме согласия установлены в приказе Роскомнадзора от 24 февраля 2021 г. № 18.
Как прописать в договоре
Я, <…>, своей волей и в своих интересах даю согласие оператору персональных данных <…> на обработку моих персональных данных: фамилия, имя, отчество; год рождения; дата рождения; сведения об образовании, квалификации, профессиональной подготовке; сведения о деловых и иных личных качествах, носящих оценочный характер, с целью размещения их на сайте <…> по адресу <…>.
Условия и запреты на обработку вышеуказанных персональных данных, согласно части 9 статьи 10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»: нет.
Условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных: нет.
Настоящее согласие действует со дня его подписания и на срок действия договора оказания услуг <…>.
Популярное по теме за месяц
Оплата самозанятому от юридического лица
Закрывающие документы от самозанятого для юрлица: оформляем правильно
Могут ли самозанятые нанимать работников
