Обработка персональных данных самозанятым репетитором при сохранении контактов учеников: правовая оценка и обязанность уведомить Роскомнадзор
Описанная Вами ситуация (регистрация в качестве самозанятого, размещение объявлений на сайтах и в соцсетях, фиксация контактных данных откликнувшихся лиц в памяти телефона, последующая коммуникация в мессенджерах и по электронной почте) содержит признаки обработки персональных данных с использованием средств автоматизации, что влечёт определённые обязанности по Федеральному закону «О персональных данных». Возможность сослаться на подпункт 8 пункта 2 статьи 22 Закона в Вашем случае отсутствует.
1. Является ли Ваша деятельность обработкой персональных данных с использованием средств автоматизации?
Да, является.
Согласно пункту 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ, персональные данные – это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. Номер телефона, адрес электронной почты, учётная запись в мессенджере, позволяющие идентифицировать человека, безусловно, относятся к таким данным.
Обработкой персональных данных, исходя из пункта 3 той же статьи, признаётся любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, использование и т.д.
Вы фиксируете контакты в памяти телефона (сбор, запись, хранение) и используете их для общения в мессенджерах/электронной почте (использование). Все эти операции совершаются с помощью мобильного телефона и соответствующих программных приложений, которые относятся к средствам вычислительной техники. Следовательно, Вы осуществляете автоматизированную обработку персональных данных (пункт 4 статьи 3 Закона: «обработка персональных данных с помощью средств вычислительной техники»). Отсутствие специально созданной базы данных не меняет квалификации – использование стандартных функций телефона (список контактов, переписка) само по себе предполагает запись, хранение и поиск информации автоматическим способом.
Положения Закона о персональных данных, согласно части 1 его статьи 1, распространяются на обработку, осуществляемую в том числе физическими лицами с использованием средств автоматизации.
2. Можно ли не уведомлять Роскомнадзор на основании подпункта 8 пункта 2 статьи 22 Закона?
Нет, в Вашем случае – нельзя.
В подпункте 8 пункта 2 статьи 22 Закона в действующей редакции закреплено исключение из обязанности уведомлять уполномоченный орган:
«8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации» (Федеральный закон «О персональных данных», статья 22, пункт 2, подпункт 8).
Вы же, как показано выше, обрабатываете персональные данные именно с помощью средств автоматизации (телефон, мессенджеры, электронная почта), поэтому данное исключение не применяется.
Ранее в подпункте 8 содержалось иное основание – обработка «для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных». Даже если ориентироваться на него, оно тоже неприменимо, поскольку деятельность самозанятого репетитора по поиску учеников и оказанию платных услуг носит предпринимательский характер, а не является личным или семейным делом в смысле статьи 1 Закона.
Часть 2 статьи 1 Закона действительно выводит из-под его действия обработку персональных данных физическими лицами «исключительно для личных и семейных нужд». Однако критерий здесь – цель обработки. Когда контакты собираются для извлечения дохода от профессиональной деятельности (репетиторство), это не личные, а предпринимательские нужды. Вы вступаете в гражданско-правовые отношения, получаете оплату, объявления нацелены на неопределённый круг потребителей. Роскомнадзор и судебная практика последовательно относят подобные случаи к коммерческой (предпринимательской) обработке, на которую исключение для личных/семейных нужд не распространяется.
Таким образом, опереться на подпункт 8 пункта 2 статьи 22 ни в одной из его редакций Вы не можете.
3. Дополнительные аспекты: согласие на обработку и продвижение услуг
Обратите внимание, что использование персональных данных учеников для прямых контактов в целях продвижения Ваших услуг дополнительно регулируется статьёй 15 Закона «О персональных данных»:
«Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи... допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено» (статья 15, части 1 и 2).
Даже если ученик сам откликнулся на Ваше объявление, обработка его контактов для последующего взаимодействия, предложений о занятиях и т.п. должна опираться на согласие. Желательно иметь возможность подтвердить факт его получения (например, сохранив переписку, где клиент явно выражает намерение получить услуги и передаёт контакты). В противном случае может возникнуть спор о наличии правового основания для обработки, что влечёт риск привлечения к ответственности.
4. Обязанность уведомить Роскомнадзор и риск ответственности
Поскольку Вы являетесь оператором, который обрабатывает персональные данные с использованием средств автоматизации и не подпадает под исключения, до начала обработки Вы обязаны направить уведомление в Роскомнадзор о своём намерении (часть 1 статьи 22 Закона). Исключений, предусмотренных частью 2 статьи 22, в данном случае нет (кроме уже рассмотренного пп. 8, другие пункты – например, обработка общедоступных данных или только ФИО – к Вашей ситуации не относятся).
За невыполнение этой обязанности предусмотрена административная ответственность по статье 13.11 Кодекса Российской Федерации об административных правонарушениях:
«Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных –
влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей» (КоАП РФ, статья 13.11, часть 10).
Также могут быть применены иные меры реагирования – предписания об устранении нарушений, за неисполнение которых наступает самостоятельная ответственность.
Рекомендации
- Подайте уведомление в Роскомнадзор. Это можно сделать электронно через соответствующий сервис на официальном сайте ведомства. Укажите цели обработки, категории субъектов (потенциальные и действующие ученики), перечень действий, используемые средства автоматизации и другую информацию, требуемую частью 3 статьи 22 Закона.
- Обеспечьте получение согласий. До начала обработки контактов нового ученика получайте и фиксируйте его согласие на обработку персональных данных (например, приняв сообщение в мессенджере с согласием или оформив простую письменную форму). Это закроет вопрос законности обработки, в том числе с точки зрения статьи 15.
- Примите минимальные организационные и технические меры защиты (порядок доступа к телефону, парольная защита, недопущение передачи данных третьим лицам без разрешения). Это требование статьи 19 Закона.
- Если ситуация кажется спорной или Вы не уверены в деталях оформления, целесообразно проконсультироваться у адвоката, специализирующегося на информационном праве.
Таким образом, игнорирование обязанности уведомления влечёт реальный риск административного штрафа. Приведённые Вами доводы не освобождают от неё.
