Самозанятость и закон об утечке персональных данных

С 30 мая 2025 года вступили в силу поправки в Кодекс об административных правонарушениях и Уголовный кодекс об усилении ответственности за утечку персональных данных. И одновременно самозанятые столкнулись с новыми интересными формулировками в договорах с клиентами.

Разбираемся в поправках

Изменения коснулись ФЗ "О персональных данных", Кодекса об административных правонарушениях, Уголовного кодекса, ФЗ "Об информации, информационных технологиях и о защите информации", ПП "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Изменились штрафы за перечисленные ниже нарушения:

1. неуведомление Роскомнадзора о начале обработки персональных данных;
2. неуведомление Роскомнадзора об утечке персональных данных;
3. утечка персональных данных;
4. утечка биометрических персональных данных.

Начало обработки персональных данных

Что это значит? Допустим, Вы создали сайт и планирует получать с него заявки. Вы должны один раз направить в Роскомнадзор уведомление в электронной форме или на бумаге для внесения Вас или Вашей компании в реестр операторов персональных данных (ОПД). Требование обязательно и для самозанятых, и для ИП, и для юридических лиц.

Должностные лица организаций также несут ответственность.

Штраф за неуведомление составляет от 5 000 -10 000 ₽ (для физических лиц) до 100 000-300 000 ₽ (для ИП и организаций).

Проще говоря, если Вы самозанятый, ИП, или у Вас есть юр. лицо — отправьте уведомление в Роскомнадзор и спите спокойно. И не забывайте актуализировать данные о Вас как об ОПД — не забывайте актуализировать их в Роскомнадзоре.

Неуведомление Роскомнадзора об утечке персональных данных

Информацию необходимо направлять даже в том случае, если проблема была сразу устранена. Если Вы отправили уведомление, но не уложились в установленные сроки, штраф всё равно будет начислен.

Штраф за неуведомление составляет от 50 000 -100 000 ₽ (для физических лиц) до 1 000 000-3 000 000 ₽ (для ИП и организаций).

При повторной утечке возможно применение оборотного штрафа — от 1% до 3% от годовой выручки компании, но не менее 20 и не более 500 миллионов рублей.

Доказать, что компания узнала об утечке позже, практически невозможно.

Утечка персональных данных

Если были похищены / утеряны данные 1 000-10 000 человек, то сумма штрафа составит от 100 000 -200 000 ₽ (для физ. лиц) до 3 000 000 -5 000 000 ₽ (для ИП и юр. лиц).

За утечку данных более 100 000 граждан штраф составит до 400 000 ₽ для физ. лиц до 15 000 000 ₽ для ИП и организаций.

Новые весёлые пункты в договорах

Ниже приведена выдержка из договора, который предлагает заключить самозанятым компания X:

В случае если переданные Заказчиком Исполнителю Персональные данные были получены третьими лицами и/или оказались в открытом доступе по причине недостаточного обеспечения Исполнителем режима конфиденциальности и сохранности и/или по причине намеренных действий Исполнителя, и вследствие чего Заказчик понес убытки, Исполнитель обязан возместить данные убытки в полном объеме, а также выплатить Заказчику штраф в двукратном размере определенных убытков.

То есть, по этому договору в случае утечки персональных данных самозанятый гражданин, максимальный доход которого в год составляет 2,4 млн. рублей обязан компании X до 45 000 000 ₽. Давайте разберём это на реальных примерах из практики.

Встреча у подрядчиков

Представьте ситуацию: Вы с коллегами приезжаете на встречу в офис потенциального подрядчика, или к важному деловому партнёру на переговоры на его территории.

Вы с ноутбуками, они с ноутбуками. И подрядчик Вам даёт пароль от корпоративного WiFi. Знакомая ситуация?

Вы подключаетесь к WiFi подрядчика и через него заходите в корпоративные системы аналитики, учёта и пр. А в этот момент системный администратор подрядчика перехватывает все данные и потом, например, заходит в Ваши системы учета, аналитики, CRM и скачивает оттуда всё, что только можно.

Можно ли это считать утечкой данных? – Однозначно! Несёте ли Вы и Ваши сотрудники ответственность? — да. Сколько должен компенсировать самозанятый специалист, участвующий в этой встрече по договору, который я привёл выше? — от 3 млн.×3 = 9 млн. рублей.

Вам кажется ситуация нереальной? А я с ней сталкивался. У меня была очередная командировка, я проводил встречу в офисе клиента. Я всегда использую только свои доступы в Интернет. Но тут я расслабился, доверился и подключился во время встречи к WiFi клиента.

А после переговоров стал замечать, что он в курсе внутренней кухни, деталей работы и коммуникаций с моими сотрудниками, о которых ну никак не мог знать. Как только я сменил все пароли, "всезнайство" клиента о моей переписке с сотрудниками тут же прекратилось.

Ретаргетинг

В Яндекс Директ, Sber Ads, VK Ads, Мегафон Таргет, МТС Маркетолог можно создать аудиторию на основе данных из CRM.

Маркетолог выгружает персональные данные клиентов из CRM и скачивает на свой компьютер. А после этого загружает их в рекламные системы. И вся эта ситуация "дырявая" насквозь.

Допустим, в этот же период произошла утечка персональных данных не по вине маркетолога. Можно ли при этом указать на него как на виновного? — да. Он же скачивал информацию на свой ПК. Кто теперь докажет, что это не он слил данные?

Далее, самозанятый маркетолог вышел из дома и отправил поработать в кафе или торговый центр и подключился там к WiFi. Может ли системный администратор ТЦ перехватить данные? — да. Сколько самозанятый маркетолог обязан выплатить клиенту в таком случае? — от 9 млн.

Далее, а кто вообще обладает информацией, что делают с персональными данными рекламные сервисы? Можно ли вообще считать загрузку данных из CRM в рекламную систему утечкой персональных данных согласно договору выше? — конечно можно. Ведь рекламная система — третье лицо, которому самозанятый маркетолог собственноручно и осознанно передает данные из CRM клиента. Сколько должен самозанятый клиенту после создания аудиторий ретаргетинга? — от 9 млн. рублей.

Взлом ноутбука

Представьте себе другую ситуацию: компания передаёт самозанятому специалисту доступы к важным информационным системам. Хакеры по заказу конкурентов взламывают ноутбук специалиста и похищают данные.

Я наблюдал один раз в жизни такой случай. Было два деловых партнёра. Один в России, другой в Турции. И у второго взломали ноутбук.

Смысл этого примера в том, что по договору, описанному выше, компания перекладывает всю ответственность по защите персональных данных на самозанятого. То есть, она не предоставляет ни оборудование с установленными средствами защитами и лицензионным ПО, ни защищенное интернет-соединение, не обучает правилам и принципам обеспечения защиты данных. Но зато в случае чего получает с него от 9 до 45 млн. рублей (а то и больше).

Взлом сайта

Со взломом сайта и атаками на сайт сталкивались почти все. Сайт на Wordpress, Modx взламывают постоянно. Bitrix в последнее время тоже активно взламывают. Услуги вроде "защитник сайтов" на хостингах бесполезны.

В случае взлома поддержка отвечает так: "Услуга обеспечивает защиту, но не гарантирует. Мы не можем защитить Вас от 100% атак и вирусов."

Резюме

Информационные системы малого и среднего бизнеса дырявые как решето. Обеспечение достаточной защиты персональных данных для них недоступно. Максимум, что доступно для самозанятых — установка Касперского и соблюдение каких-то правил, до которых он может додуматься сам.

Некоторые клиенты и работодатели сейчас пытаются переложить всю ответственность на сотрудников. А компания X, описанная выше пошла дальше — она решила еще на этом и заработать, заполучить самозанятого, всю его родню, внуков и правнуков в вечное рабство.