Самозанятый запускает сайт-визитку или лендинг для приёма заявок. Вставляет форму — имя, телефон, email. Настраивает кнопку «Отправить». И в этот момент сайт начинает собирать персональные данные.
Вопрос о том, нужна ли при этом политика конфиденциальности, возникает позже — когда кто-то из знакомых упоминает 152-ФЗ или когда появляется тревожная мысль: «А вдруг штраф?»
Разберёмся, что закон требует от самозанятого, когда это требование становится обязательным и как оформить документ без лишних усилий.
Обязан ли самозанятый размещать политику конфиденциальности на сайте
Да — если через сайт собираются персональные данные. Закон не делает исключений для самозанятых. Статус «физическое лицо на НПД» не освобождает от обязанностей оператора персональных данных.
Требование исходит из Федерального закона № 152-ФЗ «О персональных данных». Согласно ему, любой, кто собирает и обрабатывает данные людей, считается оператором — и должен публиковать политику обработки персональных данных в открытом доступе.
Сайт без формы, без регистрации и без сбора контактов — исключение. Если посетитель ничего не вводит и данные не собираются, публиковать документ необязательно. Но как только появляется поле «Ваш телефон» — обязанность возникает автоматически.
Правовой статус самозанятого как оператора персональных данных
Оператор персональных данных — это любое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки данных. Это может быть компания, ИП, государственный орган или просто физическое лицо.
Самозанятый, принимающий заявки через сайт, полностью соответствует этому определению. Он решает, какие данные собирать, зачем и что с ними делать. Значит, он — оператор.
Важный нюанс
Статус плательщика НПД не влияет на требования закона о персональных данных. Самозанятый несёт те же обязанности, что и индивидуальный предприниматель, — в части обработки персональных данных на сайте. Разница лишь в размере штрафов: для физических лиц они ниже, чем для организаций, но всё равно существенны.
Когда документ становится обязательным: формы и регистрация
Политика конфиденциальности нужна в момент, когда сайт начинает собирать хотя бы один из следующих элементов.
Форма обратной связи
Поля с именем, телефоном или email — это уже персональные данные. Даже если заявки приходят прямо на почту и нигде не хранятся, факт сбора уже есть.
Форма записи или бронирования
Мастер ноготочков, репетитор, консультант — любая онлайн-запись на услугу собирает данные клиента. Правило то же.
Форма подписки на рассылку
Email-адрес — персональные данные. Одного этого поля достаточно, чтобы обязанность по публикации политики возникла.
Аналитические сервисы
Яндекс.Метрика, Google Analytics, пиксели социальных сетей собирают технические данные о посетителях. Это тоже обработка персональных данных, требующая упоминания в политике.
Требования Роскомнадзора к содержанию документа
Роскомнадзор не утвердил единую форму политики конфиденциальности. Но статья 18.1 закона 152-ФЗ перечисляет обязательные разделы, которые документ должен содержать.
Политика должна быть написана понятным языком — так, чтобы обычный пользователь мог разобраться, что происходит с его данными.
Сведения об операторе
ФИО самозанятого, контактные данные (email или адрес для обращений). Без этого документ нельзя считать полным.
Цели обработки данных
Зачем собираются данные — для обработки заявки, записи на услугу, рассылки. Размытые формулировки вроде «для улучшения сервиса» без конкретики — слабая позиция при проверке.
Перечень данных и действий с ними
Какие конкретно данные собираются (имя, телефон, email) и что с ними происходит: сбор, хранение, передача, удаление.
Сроки хранения и условия удаления
До исполнения заявки, до отзыва согласия или конкретная дата — нужно указать хоть один из вариантов.
Порядок отзыва согласия
Пользователь должен знать, как потребовать удаления данных. Чаще всего — email для обращений.
Передача данных третьим лицам
Если данные уходят в сервисы рассылки, CRM или аналитику — это нужно упомянуть. Умолчание здесь хуже прямого указания.
Конструктор оформления политики конфиденциальности для самозанятого
Писать политику с нуля необязательно. Большинство самозанятых используют готовые шаблоны, адаптируя их под себя: вписывают имя, email для обращений, перечень собираемых данных и цели.
Готовый генератор политики конфиденциальности позволяет получить документ за несколько минут — без юриста и без необходимости разбираться в формулировках закона.
Создать политику конфиденциальности
Заполните форму ниже, и система сформирует готовый документ для вашего сайта
Пошаговая инструкция по разработке политики
Для самозанятого без сложной инфраструктуры документ готовится в четыре шага.
Определить перечень собираемых данных
Пройдитесь по всем формам на сайте и выпишите каждое поле: имя, фамилия, телефон, email, адрес, дата рождения. В политику попадают только те данные, которые реально собираются — не «на всякий случай».
Сформулировать цели и правовые основания
Для большинства самозанятых цель одна — обработка заявки и связь с клиентом. Правовое основание — согласие пользователя, которое фиксируется через чекбокс под формой.
Указать сроки хранения и порядок удаления
Типичный вариант для самозанятого: данные хранятся до исполнения заявки или до отзыва согласия, после чего уничтожаются в течение 30 дней. Этого достаточно.
Разместить документ на сайте
Политика публикуется на отдельной странице сайта. Ссылка на неё добавляется в подвал (футер) и рядом с каждой формой сбора данных. Подробнее — в разделе ниже.
Особенности размещения документа на веб-ресурсе
Закон требует, чтобы политика была доступна «неограниченному кругу лиц». На практике это означает: отдельная страница сайта, ссылка в подвале и ссылка рядом с каждой формой.
Доступность ссылки для пользователя
Ссылка «Политика конфиденциальности» в подвале сайта — обязательный минимум. Пользователь должен найти документ с любой страницы, не делая поиска. Подробнее о том, как правильно разместить политику конфиденциальности на сайте, — в отдельном материале.
Получение согласия — чекбоксы и дисклеймеры
Под каждой формой — пустой чекбокс (не предустановленный) с текстом вроде: «Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности». Слова «Политикой конфиденциальности» — кликабельная ссылка. Без галочки отправка формы не должна работать. Как правильно оформить согласие на обработку персональных данных для формы — со своими нюансами.
Формат страницы
Политика размещается как обычная HTML-страница сайта — не PDF-файлом, не в модальном окне, не в виде свёрнутого блока. Текст должен быть доступен и индексируем.
Ответственность за отсутствие документа или нарушения
Роскомнадзор проводит проверки как плановые, так и по жалобам. Жалоба от одного пользователя — достаточное основание для внеплановой проверки.
Самозанятый — физическое лицо, поэтому штрафы для него ниже, чем для ООО. Но и «ниже» в данном случае — это суммы, которые неприятно отдавать.
| Нарушение | Штраф для физлица |
|---|---|
| Отсутствие политики обработки персональных данных | до 10 000 ₽ |
| Обработка данных без согласия пользователя | 10 000 — 20 000 ₽ |
| Повторное нарушение | до 100 000 ₽ |
| Нарушение при трансграничной передаче данных | до 100 000 ₽ |
О рисках блокировки сайта
Роскомнадзор вправе инициировать блокировку сайта, если оператор систематически нарушает требования закона и не устраняет нарушения после предписания. Для самозанятого с единственным сайтом это означает полную остановку входящих заявок. Подробнее об ответственности и штрафах за нарушения — в отдельном материале.
Частые вопросы
Нужно ли самозанятому регистрироваться в Роскомнадзоре как оператор?
Можно ли использовать чужой шаблон политики конфиденциальности?
Что делать, если сайт сделан на конструкторе — Tilda, Taplink, Notion?
Нужно ли обновлять политику, если ничего не меняется?
Как выглядит образец политики для самозанятого?
Главное
Самозанятый с сайтом, который принимает заявки или подписки, — полноправный оператор персональных данных по закону. Статус НПД здесь не помогает.
Политика конфиденциальности нужна, как только на сайте появляется хоть одна форма с личными данными. Документ не должен быть сложным — для одного человека без команды достаточно простого и честного описания того, что происходит с данными клиентов.
Разместить политику, поставить чекбокс под формой и добавить ссылку в подвал — этого в большинстве случаев достаточно, чтобы соответствовать требованиям закона и не беспокоиться о проверках.