Здравствуйте, вопрос от ИП на патенте: регистрация в Роскомнадзоре как оператор персональных данных при ведении записей клиентов в парикмахерской

<h2 id="_1">Обработка персональных данных клиентов индивидуальным предпринимателем (парикмахером) на патенте</h2> <h3 id="_2">Анализ вашей ситуации</h3> <p>Вы являетесь индивидуальным предпринимателем, оказывающим услуги парикмахера. В процессе работы вы собираете и храните следующие сведения о клиентах: имя, фамилия, номер телефона, время визита и перечень оказанных услуг. Данная информация записывается в бумажный блокнот, а контакты для связи сохраняются в памяти смартфона. Автоматизированные системы или базы данных для этих целей не используются.</p> <h3 id="_3">Применимые правовые нормы и выводы</h3> <h4 id="1">1. Являетесь ли вы оператором персональных данных?</h4> <p>Да, согласно закону вы являетесь оператором персональных данных.</p> <blockquote> <p>"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 3).</p> <p>"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 3).</p> </blockquote> <p>Собираемая вами информация (ФИО, телефон) позволяет прямо идентифицировать клиента, следовательно, это персональные данные. Вы определяете цель их обработки (напоминание о визитах, подтверждение записей) и осуществляете их сбор и хранение.</p> <h4 id="2">2. Нужно ли уведомлять Роскомнадзор о начале обработки данных?</h4> <p><strong>Нет, в вашем случае уведомлять Роскомнадзор не требуется.</strong> Закон предусматривает исключение для операторов, которые обрабатывают данные <strong>исключительно без использования средств автоматизации</strong>.</p> <blockquote> <p>"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 22, часть 2).</p> </blockquote> <p>Поскольку вы ведёте записи в бумажном блокноте, а хранение номеров в контактах смартфона для личных звонков не является, в контексте данного закона, использованием средств автоматизации для систематизированной обработки данных (если вы не используете специализированные CRM-приложения или автоматические системы рассылки), ваша деятельность подпадает под это исключение.</p> <p><strong>Важное уточнение:</strong> Применение патентной системы налогообложения и статус малого предпринимателя <strong>не являются</strong> отдельным основанием для освобождения от уведомления. Ключевой критерий — именно неавтоматизированный способ обработки.</p> <h4 id="3">3. Какие обязанности у вас как у оператора остаются?</h4> <p>Несмотря на отсутствие обязанности по уведомлению, вы должны соблюдать другие требования закона:</p> <ul> <li> <p><strong>Законное основание для обработки.</strong> Обработка должна осуществляться на законных основаниях. В вашем случае таким основанием является:<br /> &gt; "обработка персональных данных необходима для исполнения договора, стороной которого ... является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 6, часть 1, пункт 5).</p> <p>Оказание услуги по записи клиента является договором (даже если он устный). Однако для обработки данных в целях напоминаний и маркетинга (звонки о новых услугах) желательно иметь согласие клиента.</p> </li> <li> <p><strong>Согласие субъекта данных.</strong> Хотя для исполнения договора согласие не всегда требуется в явном виде, получение его является лучшей практикой и снимает многие риски. Согласие может быть простым, например, пометкой в блокноте или отдельным листом согласия, которое клиент подписывает при первом визите.<br /> &gt; "Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 9).</p> </li> <li> <p><strong>Обеспечение безопасности данных.</strong> Вы обязаны защищать данные от неправомерного доступа.<br /> &gt; "Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 19).</p> <p>На практике это означает: блокнот должен храниться в недоступном для посторонних месте (сейф, закрывающийся шкаф), на смартфон должен быть установлен пароль/графический ключ.</p> </li> </ul> <h4 id="4">4. Ответственность за нарушения</h4> <p>За нарушение законодательства о персональных данных предусмотрена административная ответственность. В контексте отсутствует информация о конкретных штрафах за непредставление уведомления при наличии такой обязанности. Однако закон устанавливает общую ответственность.</p> <blockquote> <p>"Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 24).</p> </blockquote> <p>Согласно КоАП РФ, для субъектов малого предпринимательства, к которым вы, вероятно, относитесь, действуют особенности назначения штрафов.</p> <blockquote> <p>"При назначении административного наказания в виде административного штрафа ... являющимся субъектами малого и среднего предпринимательства юридическим лицам, отнесенным к малым предприятиям, в том числе к микропредприятиям, ... административный штраф назначается в размере, предусмотренном санкцией соответствующей статьи ... для лица, осуществляющего предпринимательскую деятельность без образования юридического лица." (Источник: Кодекс Российской Федерации об административных правонарушениях, Статья 4.1.2).</p> </blockquote> <h3 id="_4">Рекомендации</h3> <ol> <li><strong>Уведомление в Роскомнадзор направлять не нужно</strong>, так как вы обрабатываете данные неавтоматизированным способом.</li> <li><strong>Разработайте и получите согласие клиентов</strong> на обработку их персональных данных. Это может быть простой бумажный формуляр, который клиент заполняет при первом посещении. В нём укажите ваши данные (ИП), цели обработки (ведение записи, напоминание о визитах, информирование об акциях), перечень данных (ФИО, телефон), и дайте возможность отказаться от рассылки.</li> <li><strong>Примите меры безопасности:</strong> Храните бумажный блокнот под замком, установите надёжный пароль на смартфон.</li> <li><strong>Будьте готовы к проверкам.</strong> Хотя для малого бизнеса плановые проверки ограничены, Роскомнадзор может провести внеплановую проверку по жалобе клиента.</li> <li>Если у вас есть сомнения в квалификации вашего смартфона как "средства автоматизации" (например, если вы используете стандартное приложение "Контакты" без синхронизации с облачными сервисами), для полной уверенности рекомендуется получить консультацию у специализирующегося на этом вопросе <strong>адвоката</strong>.</li> </ol> <p>Таким образом, основная ваша задача — не регистрация, а легитимизация уже существующей обработки данных через получение согласия клиентов и обеспечение их защиты.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>