Нужно ли регистрироваться в Роскомнадзоре, если вы записываете номера телефонов покупателей в своём магазине?
Анализ вашей ситуации:
Вы, как индивидуальный предприниматель, собираете и храните номера мобильных телефонов покупателей для оформления скидочных карт и информирования об акциях (рассылки). Нет веб-сайта, данные записываются вручную.
1. Вы являетесь оператором персональных данных
Согласно закону, «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Номер телефона позволяет идентифицировать человека, поэтому он является персональными данными.
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3, п.1)
Сбор и хранение — это действия с персональными данными, то есть их обработка.
"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3, п.3)
Лицо, которое организует и осуществляет такую обработку, является оператором.
"оператор - ...физическое лицо, самостоятельно ... организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3, п.2)
Таким образом, вы — оператор персональных данных.
2. Нужно ли уведомлять Роскомнадзор (регистрироваться)?
Закон обязывает оператора уведомлять уполномоченный орган (Роскомнадзор) о начале обработки данных, но предусматривает исключения.
Ключевое для вашего случая исключение прямо указано в законе:
«Оператор вправе осуществлять без уведомления ... обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации» (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22, часть 2, п.8)
Пояснение: «Без использования средств автоматизации» означает, что обработка (запись, хранение, использование) ведётся вручную, без применения компьютеров, баз данных, программного обеспечения и других технических средств. Ваши действия (запись номера в блокнот, бумажную картотеку, ведение учёта в тетради) подпадают под это определение, если вы не используете, например, электронную таблицу на компьютере для создания списков рассылки.
Вывод: Если вы действительно обрабатываете номера телефонов исключительно вручную, без компьютера, то уведомлять Роскомнадзор не нужно.
Что делать обязательно, даже без уведомления
Отсутствие обязанности регистрироваться не освобождает вас от соблюдения других требований закона о персональных данных.
1. Получайте согласие на обработку, особенно для рассылок.
Это самый важный пункт. Для целей продвижения товаров (рассылка об акциях) закон устанавливает специальное правило:
«Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи ... допускается только при условии предварительного согласия субъекта персональных данных» (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 15, часть 1).
Это же требование дублируется в законе «О рекламе» для рассылок рекламы по сетям связи.
«Распространение рекламы по сетям электросвязи ... допускается только при условии предварительного согласия абонента или адресата на получение рекламы» (Источник: Федеральный закон от 13.03.2006 N 38-ФЗ "О рекламе", статья 18, часть 1).
Как действовать: Заведите отдельный бланк согласия, где покупатель будет указывать свой номер и ставить подпись, соглашаясь на получение рекламных SMS или звонков. Храните эти бланки. Для скидочных карт также лучше получать простое письменное согласие, фиксируя, что номер используется для идентификации держателя карты.
2. Обеспечивайте конфиденциальность и безопасность данных.
Вы обязаны защищать данные от утери и несанкционированного доступа.
«Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта» (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 7).
«Оператор ... обязан принимать необходимые правовые, организационные и технические меры ... для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения» (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19, часть 1).
Что делать на практике: Храните списки или карточки с номерами в закрывающемся месте (сейф, запираемый ящик стола). Не оставляйте их на видном месте. Не передавайте эту информацию посторонним.
3. Соблюдайте права субъектов данных.
По требованию покупателя вы должны прекратить рассылку (ст. 15 закона о персональных данных и ст. 18 закона «О рекламе»). Также по запросу человека вы должны предоставить информацию о том, какие его данные и для каких целей вы обрабатываете.
Выводы и конкретные рекомендации
- Регистрация (уведомление Роскомнадзора) НЕ требуется, если номера телефонов вы записываете и храните вручную на бумажных носителях, не используя компьютеры или автоматизированные системы.
- Что сделать обязательно:
- Вести журнал/бланки согласий. Для каждого покупателя, чей номер вы берёте, оформляйте письменное согласие. Упрощённый бланк должен содержать ФИО, номер телефона, чётко указанные цели («для оформления скидочной карты», «для информирования об акциях и скидках посредством SMS-рассылки»), дату и подпись.
- Обеспечить физическую защиту данных. Бумаги с номерами телефонов должны храниться так, чтобы к ним не было свободного доступа.
- Немедленно выполнять отказы. Если покупатель просит удалить его номер из списка рассылки или вообще прекратить обработку, вы обязаны это сделать.
- Если ситуация изменится (например, вы начнёте вести список номеров в Excel на компьютере для массовой рассылки), то обработка будет считаться автоматизированной. В этом случае обязанность подать уведомление в Роскомнадзор возникнет.
В случае возникновения сложностей с оформлением документов или при возникновении претензий со стороны клиентов, рекомендую обратиться к адвокату, специализирующемуся на вопросах защиты персональных данных и предпринимательского права.