Обработка персональных данных при оказании услуг тату-мастером
Анализ ситуации
В вашей деятельности происходит обработка двух видов информации о клиентах:
- Имена/никнеймы из социальных сетей для записи в календарь
- ФИО и номера телефонов из истории банковских операций
Правовая квалификация
Является ли данная информация персональными данными?
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)
Имена/никнеймы из социальных сетей, позволяющие идентифицировать конкретного человека для записи на услугу, являются персональными данными. ФИО и номера телефонов из банковских операций также однозначно относятся к персональным данным.
Являетесь ли вы оператором персональных данных?
"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)
Вы определяете цели обработки (запись на услуги, учет оплат) и организуете эту обработку, следовательно, являетесь оператором персональных данных.
Что считается обработкой персональных данных?
"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)
Запись имен в календарь и просмотр банковских операций с ФИО и телефонами подпадает под понятие "обработка".
Требование об уведомлении
Когда уведомление не требуется?
"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)
Выводы и рекомендации
Основные выводы:
-
Вы являетесь оператором персональных данных, поскольку обрабатываете информацию, позволяющую идентифицировать клиентов.
-
Обработка осуществляется с использованием средств автоматизации (социальные сети, банковские приложения, календарь), поэтому исключение для неавтоматизированной обработки не применяется.
-
Требуется подача уведомления в Роскомнадзор до начала обработки данных, поскольку ваша деятельность не подпадает под исключения.
Рекомендации:
-
Подайте уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).
-
Разработайте политику обработки персональных данных, определив:
- Цели обработки
- Перечень обрабатываемых данных
- Сроки хранения
- Меры защиты
-
Получайте согласие клиентов на обработку их персональных данных, особенно если планируете использовать данные для рассылок или иных целей.
-
Обеспечьте безопасность обрабатываемых данных в соответствии с требованиями законодательства.
Учитывая сложность вопроса и потенциальные риски ответственности за нарушение законодательства о персональных данных, рекомендую обратиться к адвокату, специализирующемуся в данной области, для разработки полного комплекта документов и процедур.