Иконка поиска

Вопрос

Здравствуйте, вопрос от ИП на патенте: регистрация в Роскомнадзоре как оператор персональных данных при ведении записей клиентов в парикмахерской

Здравствуйте, подскажите пожалуйста, я ИП, на патенте, работаю парикмахером, снимаю кабинет для оказания услуг. Запись клиентов у меня ведется в бумажном блокноте, где отмечаю время и услуги, а также в смартфоне у меня сохранены их имена, фамилии и номера телефонов, чтобы напоминать о визитах и звонить для подтверждения. Данные обрабатываю вручную, никаких баз данных или автоматических систем не использую, только телефон для хранения контактов. Нужно ли мне регистрироваться в Роскомнадзоре как оператору персональных данных, учитывая, что я маленький предприниматель и работаю на патенте? И если да, то как это сделать, может есть какие-то упрощенные процедуры или исключения? А то слышал, что за нарушения могут быть штрафы, но не уверен, касается ли это моего случая. Спасибо за помощь!

Вопрос №54539Ответы: 1
30.03.2026
Аватар НейроадвокатаНейроадвокат
Обработка персональных данных клиентов индивидуальным предпринимателем (парикмахером) на патенте

Анализ вашей ситуации

Вы являетесь индивидуальным предпринимателем, оказывающим услуги парикмахера. В процессе работы вы собираете и храните следующие сведения о клиентах: имя, фамилия, номер телефона, время визита и перечень оказанных услуг. Данная информация записывается в бумажный блокнот, а контакты для связи сохраняются в памяти смартфона. Автоматизированные системы или базы данных для этих целей не используются.

Применимые правовые нормы и выводы

1. Являетесь ли вы оператором персональных данных?

Да, согласно закону вы являетесь оператором персональных данных.

"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 3).

"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 3).

Собираемая вами информация (ФИО, телефон) позволяет прямо идентифицировать клиента, следовательно, это персональные данные. Вы определяете цель их обработки (напоминание о визитах, подтверждение записей) и осуществляете их сбор и хранение.

2. Нужно ли уведомлять Роскомнадзор о начале обработки данных?

Нет, в вашем случае уведомлять Роскомнадзор не требуется. Закон предусматривает исключение для операторов, которые обрабатывают данные исключительно без использования средств автоматизации.

"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 22, часть 2).

Поскольку вы ведёте записи в бумажном блокноте, а хранение номеров в контактах смартфона для личных звонков не является, в контексте данного закона, использованием средств автоматизации для систематизированной обработки данных (если вы не используете специализированные CRM-приложения или автоматические системы рассылки), ваша деятельность подпадает под это исключение.

Важное уточнение: Применение патентной системы налогообложения и статус малого предпринимателя не являются отдельным основанием для освобождения от уведомления. Ключевой критерий — именно неавтоматизированный способ обработки.

3. Какие обязанности у вас как у оператора остаются?

Несмотря на отсутствие обязанности по уведомлению, вы должны соблюдать другие требования закона:

  • Законное основание для обработки. Обработка должна осуществляться на законных основаниях. В вашем случае таким основанием является:

    "обработка персональных данных необходима для исполнения договора, стороной которого ... является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 6, часть 1, пункт 5).

    Оказание услуги по записи клиента является договором (даже если он устный). Однако для обработки данных в целях напоминаний и маркетинга (звонки о новых услугах) желательно иметь согласие клиента.

  • Согласие субъекта данных. Хотя для исполнения договора согласие не всегда требуется в явном виде, получение его является лучшей практикой и снимает многие риски. Согласие может быть простым, например, пометкой в блокноте или отдельным листом согласия, которое клиент подписывает при первом визите.

    "Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 9).

  • Обеспечение безопасности данных. Вы обязаны защищать данные от неправомерного доступа.

    "Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 19).

    На практике это означает: блокнот должен храниться в недоступном для посторонних месте (сейф, закрывающийся шкаф), на смартфон должен быть установлен пароль/графический ключ.

4. Ответственность за нарушения

За нарушение законодательства о персональных данных предусмотрена административная ответственность. В контексте отсутствует информация о конкретных штрафах за непредставление уведомления при наличии такой обязанности. Однако закон устанавливает общую ответственность.

"Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Статья 24).

Согласно КоАП РФ, для субъектов малого предпринимательства, к которым вы, вероятно, относитесь, действуют особенности назначения штрафов.

"При назначении административного наказания в виде административного штрафа ... являющимся субъектами малого и среднего предпринимательства юридическим лицам, отнесенным к малым предприятиям, в том числе к микропредприятиям, ... административный штраф назначается в размере, предусмотренном санкцией соответствующей статьи ... для лица, осуществляющего предпринимательскую деятельность без образования юридического лица." (Источник: Кодекс Российской Федерации об административных правонарушениях, Статья 4.1.2).

Рекомендации

  1. Уведомление в Роскомнадзор направлять не нужно, так как вы обрабатываете данные неавтоматизированным способом.
  2. Разработайте и получите согласие клиентов на обработку их персональных данных. Это может быть простой бумажный формуляр, который клиент заполняет при первом посещении. В нём укажите ваши данные (ИП), цели обработки (ведение записи, напоминание о визитах, информирование об акциях), перечень данных (ФИО, телефон), и дайте возможность отказаться от рассылки.
  3. Примите меры безопасности: Храните бумажный блокнот под замком, установите надёжный пароль на смартфон.
  4. Будьте готовы к проверкам. Хотя для малого бизнеса плановые проверки ограничены, Роскомнадзор может провести внеплановую проверку по жалобе клиента.
  5. Если у вас есть сомнения в квалификации вашего смартфона как "средства автоматизации" (например, если вы используете стандартное приложение "Контакты" без синхронизации с облачными сервисами), для полной уверенности рекомендуется получить консультацию у специализирующегося на этом вопросе адвоката.

Таким образом, основная ваша задача — не регистрация, а легитимизация уже существующей обработки данных через получение согласия клиентов и обеспечение их защиты.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение