Обработка персональных данных при оказании услуг тату-мастером (самозанятым)
Анализ ситуации
Вы оказываете услуги по нанесению татуировок в качестве самозанятого лица, взаимодействуя с клиентами через социальные сети. В процессе работы вы фиксируете псевдонимы клиентов в календаре и получаете электронные чеки с платежными данными.
Применимые правовые нормы
Является ли обрабатываемая информация персональными данными?
Согласно законодательству, персональные данные определяются как "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).
Псевдонимы пользователей социальных сетей сами по себе могут не позволять идентифицировать физическое лицо. Однако в сочетании с информацией из электронных чеков (ФИО, телефон), которая может поступать к вам, эти данные становятся персональными, поскольку позволяют косвенно идентифицировать субъекта.
Являетесь ли вы оператором персональных данных?
Оператором признается "физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).
Поскольку вы осуществляете сбор (получение чеков), запись (в календарь) и хранение информации о клиентах, вы являетесь оператором персональных данных.
Обязанность уведомления Роскомнадзора
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22).
Применимы ли исключения?
Закон предусматривает исключения из обязанности уведомления, но в вашем случае они не применимы:
- Обработка данных "включенных в государственные информационные системы персональных данных" - не относится к вашей деятельности
- Обработка "без использования средств автоматизации" - вы используете электронные системы (соцсети, банковские приложения, календарь)
- Иные исключения касаются специальных случаев (транспортная безопасность и т.д.)
"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22).
Влияет ли отсутствие систематизации данных?
Факт того, что вы не систематизируете данные из чеков целенаправленно, не освобождает вас от обязанностей оператора. Обработка персональных данных включает любые действия с ними, включая "сбор, запись, систематизацию, накопление, хранение" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).
Выводы и рекомендации
-
Вы являетесь оператором персональных данных, поскольку обрабатываете информацию, позволяющую идентифицировать клиентов.
-
Обязанность уведомления Роскомнадзора возникает, так как ваша деятельность не подпадает под исключения, предусмотренные законом.
-
Отсутствие целенаправленной систематизации не освобождает от обязанности уведомления - получение и хранение электронных чеков с персональными данными уже является обработкой.
-
Рекомендуется:
- Подать уведомление в Роскомнадзор об обработке персональных данных
- Привести обработку данных в соответствие с требованиями закона (получение согласия, обеспечение безопасности и т.д.)
- Рассмотреть возможность минимизации обработки персональных данных (например, не сохранять электронные чеки с ФИО и телефонами)
-
Для детальной консультации по процедуре уведомления и организации обработки персональных данных рекомендую обратиться к адвокату, специализирующемуся на вопросах защиты персональных данных.