Нужна ли политика конфиденциальности самозанятому с сайтом

11 мин
самозанятыйперсональные данныеполитика конфиденциальности152-фзлендинг
Нужна ли политика конфиденциальности самозанятому, обложка статьи sitelaw

«Я же не компания, я самозанятый, мне политика не нужна». Так рассуждает почти каждый, кто завёл лендинг или сайт-визитку. И логика вроде бы железная: нет ИП, нет штата, нет офиса, откуда тогда взяться формальностям. Но 152-ФЗ смотрит не на вашу налоговую форму, а на то, что вы делаете с чужими данными. И как только на сайте появляется форма заявки или окно обратной связи, вопрос «нужна ли политика конфиденциальности самозанятому» отпадает сам собой: нужна. Ниже разберём, почему статус самозанятого тут ничего не решает, чего именно хочет закон и как за пару минут проверить собственный сайт.

Нужна ли политика конфиденциальности самозанятому: что говорит закон

В законе нет ни одной строки, которая давала бы самозанятым поблажку по персональным данным. 152-ФЗ оперирует понятием оператора, а не предпринимателя или юрлица.

Оператор по закону это лицо, которое организует или ведёт обработку персональных данных. Лицо любое: компания, ИП, обычный гражданин, самозанятый на НПД. Про форму налогообложения и наличие регистрации в определении не сказано ни слова. Решаете, чьи данные собираете, зачем и что с ними делаете, значит вы оператор. Точка.

Удобнее всего сравнить это с бухгалтерией. Самозанятый платит налог по сниженной ставке и не сдаёт декларацию, потому что Налоговый кодекс прямо это разрешает. В 152-ФЗ похожей льготы для самозанятых просто нет. Закон одинаков и для дизайнера с одним лендингом, и для маркетплейса с миллионами клиентов. Меняется масштаб обработки, а не сам набор обязанностей.

Откуда тогда берётся миф? Самозанятость многие воспринимают как «облегчённый режим» сразу во всём. По налогам так и есть. Но 152-ФЗ не налоговый и не предпринимательский закон, он защищает данные людей, кто бы их ни обрабатывал. Закону всё равно, оставил клиент заявку на сайте крупной фирмы или на лендинге частного мастера: данные принадлежат человеку и в том, и в другом случае, и обращаться с ними нужно одинаково аккуратно. Так что базовые обязанности у самозанятого ровно те же, что у любого другого оператора.

Вывод простой: статус самозанятого из-под закона вас не выводит. Выводит только одно: если вы вообще не собираете персональные данные. А такое на практике встречается куда реже, чем кажется.

Что считается сбором персональных данных

Персональные данные это любая информация, относящаяся к определённому человеку. Имя, телефон, email, адрес, иногда даже один только номер телефона уже позволяет идентифицировать человека и считается персональными данными.

Сбор начинается в тот момент, когда посетитель вводит свои данные и отправляет их вам. Вот ситуации, в которых самозанятый собирает персональные данные, часто даже не замечая этого:

  • форма заявки или заказа на лендинге (имя, телефон, что нужно сделать);
  • форма обратной связи или «оставьте заявку, мы перезвоним»;
  • окно подписки на рассылку с полем email;
  • онлайн-запись на услугу с указанием имени и телефона;
  • виджет обратного звонка;
  • чат на сайте, где клиент пишет, как его зовут и куда перезвонить.

Если хотя бы одно из этого есть на вашем сайте, вы собираете персональные данные через интернет и попадаете под требования 152-ФЗ к операторам, ведущим сбор онлайн.

Чтобы граница стала понятнее, возьмём два случая из жизни. Дизайнер-фрилансер сделал лендинг с единственной кнопкой «Обсудить проект»: по клику открывается форма с полями «имя» и «телеграм». На вид это «просто способ связаться», но человек вводит и отправляет свои данные на сайт, а дизайнер их получает и где-то хранит, чтобы ответить. Это уже сбор, и политика нужна. Теперь другой мастер: сделал страницу-визитку, где только текст об услугах и кликабельный номер телефона, по которому клиент звонит сам. Здесь посетитель ничего не вводит и не отправляет, прямого сбора через сайт нет, и сам по себе телефон в тексте политику не порождает. Разница не в размере бизнеса и не в статусе. Разница в одном: есть ли на сайте момент, когда посетитель сам передаёт вам свои данные.

Отдельно стоит сказать про аналитику. Яндекс Метрика и похожие счётчики собирают идентификаторы посетителей: cookie, метки устройства, поведенческие данные. В правоприменительной практике такие идентификаторы нередко относят к информации о конкретном человеке, то есть к персональным данным. А значит, даже сайт-визитка без единой формы, но со счётчиком аналитики, скорее всего тоже ведёт обработку, и безопаснее заранее исходить из этого. Тема большая, и мы разбираем её отдельно в материале о сборе персональных данных через формы на сайте.

Что именно требует закон от самозанятого-оператора

Стать оператором значит взять на себя не одну обязанность, а несколько. Перечислим по сути, без юридического жаргона.

Первое и самое заметное со стороны: опубликовать политику обработки персональных данных. Закон требует, чтобы оператор, который собирает данные через интернет, разместил на страницах сайта документ о своей политике обработки и сведения о том, как он защищает данные, и обеспечил к этому документу доступ. На практике это та самая ссылка «Политика конфиденциальности» в подвале сайта и рядом с формами. Документ должен открываться у любого посетителя без регистрации и пароля.

Второе: вести обработку на законном основании. У самозанятого это чаще всего либо согласие человека, либо исполнение договора. Если человек оставляет заявку, чтобы вы оказали ему услугу, основанием обычно выступает договор, и отдельная галочка «согласие» под формой не всегда обязательна. Если же вы, например, собираете email для рассылки рекламы, это уже согласие, и оно должно быть оформлено правильно.

Про оформление согласия есть важное обновление. С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено отдельно от иной информации и документов и быть конкретным, предметным, информированным, сознательным и однозначным. Проще говоря, нельзя больше прятать согласие на ПДн одной общей галочкой в тексте пользовательского соглашения или оферты. Где согласие требуется, оно должно быть отдельным и понятным человеку, который его даёт.

Третье: уведомить Роскомнадзор о том, что вы обрабатываете персональные данные. По общему правилу оператор обязан направить такое уведомление до начала обработки. Закон перечисляет случаи, когда уведомление не требуется (часть 2 статьи 22 152-ФЗ), но они описаны через конкретные ситуации, а не через статус самозанятого: отдельного освобождения «по факту того, что вы на НПД» среди них нет. Сбор данных через форму на сайте это, как правило, автоматизированная обработка, и она под общий перечень исключений обычно не подпадает. Поэтому самый безопасный путь для самозанятого с формой на сайте проверить свою ситуацию по части 2 статьи 22 и, если ни один случай не подходит, подать уведомление. Оно подаётся в Роскомнадзор до начала обработки, через портал ведомства, бесплатно.

Список вроде бы длинный, но главное в нём политика конфиденциальности: она центральная и самая заметная. Её отсутствие и проверяющий, и обычный посетитель замечают первым делом.

Какой штраф грозит за отсутствие политики

Отсутствие политики обработки персональных данных в открытом доступе это самостоятельный состав по части 3 статьи 13.11 КоАП. Удобство для проверяющего в том, что доказывать ничего не нужно: достаточно открыть сайт и не найти ссылку.

Наказание по этой части мягче, чем за утечки или сбор без согласия, и зависит от того, в каком качестве привлекают нарушителя.

КатегорияШтраф по ч. 3 ст. 13.11 КоАП
Гражданинот 1 500 до 3 000 ₽
Должностное лицоот 6 000 до 12 000 ₽
Индивидуальный предпринимательот 10 000 до 20 000 ₽
Юридическое лицоот 30 000 до 60 000 ₽

Для самозанятого тонкость в том, что он не приравнен к ИП автоматически. В зависимости от обстоятельств и квалификации деятельности его могут рассматривать как гражданина или как должностное лицо, и от этого зависит, какая строка таблицы применится. Точную квалификацию в конкретной ситуации определяет орган.

Это вилка по КоАП, а не юридическое заключение. Конкретный размер и категорию определяет Роскомнадзор или суд с учётом обстоятельств дела. Диапазон мы приводим, чтобы вы понимали масштаб, а не чтобы напугать. На фоне штрафов за утечки и за нарушение правил согласия отсутствие политики обходится сравнительно недорого. Но именно его проще всего зафиксировать, и именно из-за него претензии возникают чаще всего. Поэтому наводить порядок логично начинать как раз с политики.

Как проверить, всё ли в порядке на вашем сайте

Базовую самопроверку реально провести за несколько минут, глазами обычного посетителя.

  1. Откройте свой сайт и пролистайте в самый низ. Есть ли в подвале ссылка «Политика конфиденциальности» или «Обработка персональных данных»?
  2. Кликните по ней. Документ открывается без регистрации и пароля? Это и есть требование «обеспечить доступ».
  3. Найдите каждую форму на сайте: заявка, обратный звонок, подписка, онлайн-запись. Рядом с каждой есть ссылка на политику?
  4. Где собираете email для рекламной рассылки или иначе обрабатываете данные по согласию, проверьте: согласие оформлено отдельно, а не спрятано в общем тексте оферты?
  5. Загляните в код или настройки: стоит ли счётчик аналитики, и если да, упомянут ли он в политике?

Пройти этот чек-лист по одной странице несложно. Труднее не пропустить форму где-нибудь в глубине сайта или сторонний виджет, который подгружается незаметно.

Тут как раз удобнее не обходить каждую страницу руками, а увидеть все формы и внешние сервисы разом. На странице проверки сайта по 152-ФЗ сканер находит формы и подключённые сервисы и показывает, где рядом с формой нет ссылки на политику или согласия и чего не хватает по документам. Разбор конкретной ситуации это не заменит, но подскажет, с чего начинать.

Как привести сайт в порядок

Если проверка нашла пробелы, порядок действий обычно такой.

Подготовьте политику конфиденциальности под себя. Не абстрактный шаблон из интернета, а документ про вас: какие данные вы собираете, зачем, на каком основании, сколько храните и как человек может реализовать свои права. Что именно должно быть внутри, мы разобрали в статье о содержании политики конфиденциальности.

Разместите документ так, чтобы он открывался у всех. Поставьте ссылку в подвал сайта и рядом с каждой формой. И проверьте, что она ведёт на живую страницу, а не на пустой адрес.

Приведите в порядок согласие там, где оно нужно. Если собираете данные для рекламной рассылки или иной цели, для которой нужно согласие, оформите его отдельно и понятно, с учётом требований, действующих с сентября 2025 года.

Подайте уведомление в Роскомнадзор, если ещё не подавали. Это делается один раз до начала обработки, через портал ведомства, бесплатно. В уведомлении оператор описывает свою обработку по сути: кто он, с какой целью собирает данные, какие категории данных и чьих субъектов обрабатывает, на каком правовом основании и какими способами. Для самозанятого с лендингом это обычно короткий набор: имя и контакт клиентов, цель «связь и оказание услуги», основание договор или согласие. Сформулировать эти пункты под свои формы заранее проще, чем заполнять портал наугад.

Юрист на каждом шаге тут не нужен. Он понадобится там, где у вас нестандартная обработка или спорная ситуация. Базовый порядок самозанятый чаще всего наводит сам, главное понимать, что именно проверять.

Частые вопросы

Нужна ли политика, если на лендинге только форма обратной связи? Да. Форма обратной связи собирает как минимум имя и контакт, а значит вы собираете персональные данные через интернет. Закон требует политику для любого оператора, ведущего сбор онлайн, без скидки на размер сайта.

А если на сайте вообще нет форм, только текст и телефон? Если посетитель ничего не вводит и не отправляет, а просто читает и звонит вам сам, прямого сбора через сайт нет. Но загляните в счётчики аналитики: они собирают идентификаторы посетителей, которые в правоприменительной практике нередко относят к персональным данным, и тогда это уже обработка.

Штрафуют ли самозанятых так же, как компании? Нет. Самозанятый не приравнен к юрлицу или ИП автоматически. За отсутствие политики его, как правило, рассматривают по более мягким категориям из таблицы выше. Но обязанность иметь политику от этого не исчезает.

Можно ли просто скачать чужую политику и поставить ссылку? Формально ссылка появится, но чужой документ описывает чужую обработку. Если в нём указаны цели, данные и основания, которых у вас нет, политика просто недостоверна. Лучше взять чужую структуру за основу и заполнить её под свои формы и цели.

Обязательно ли уведомлять Роскомнадзор самозанятому? По общему правилу да: оператор уведомляет Роскомнадзор до начала обработки. Закон перечисляет случаи-исключения в части 2 статьи 22 152-ФЗ, но они привязаны к конкретным ситуациям обработки, а не к статусу самозанятого. Сбор данных через форму это, как правило, автоматизированная обработка, которая под эти исключения обычно не попадает. Проверьте свой случай по части 2 статьи 22 и, если он не подходит ни под одно исключение, подайте уведомление: это делается бесплатно через портал ведомства.

Коротко

Для 152-ФЗ важна не ваша налоговая форма, а то, собираете ли вы чужие данные. Стоит на сайте появиться форме заявки, подписки или обратного звонка, и самозанятый становится оператором персональных данных, а политика конфиденциальности для него обязательна так же, как для компании. Документ нужно опубликовать на сайте и обеспечить к нему доступ, вести обработку на законном основании, а с сентября 2025 года корректно оформлять согласие отдельным документом. Отсутствие политики в открытом доступе это отдельный повод для штрафа, и заметить его проще всего. Проверить наличие политики, ссылок у форм и подключённых сервисов можно за минуту вручную или автоматически, чтобы увидеть, с чего начинать.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, пункт 2 статьи 3, оператор это лицо, организующее и (или) осуществляющее обработку персональных данных, без привязки к организационно-правовой форме.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 18.1, оператор, собирающий данные через интернет, обязан опубликовать на страницах сайта документ о политике обработки персональных данных и сведения о реализуемых требованиях к защите и обеспечить к нему доступ.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 9, согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным и оформлено отдельно от иной информации и (или) документов (в редакции от 24.06.2025 № 156-ФЗ, действует с 01.09.2025).
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 22, оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о намерении осуществлять такую обработку, кроме случаев-исключений, перечисленных в части 2 этой статьи.
  • КоАП РФ, часть 3 статьи 13.11, невыполнение оператором обязанности опубликовать или обеспечить доступ к документу о политике обработки персональных данных, влечёт предупреждение или административный штраф.

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также