Обработка персональных данных в сфере парикмахерских услуг и макияжа
Анализ ситуации
Вы как индивидуальный предприниматель осуществляете сбор и хранение персональных данных клиентов (имена, номера телефонов), а также публикуете фотографии работ в социальных сетях. Согласно законодательству, вы являетесь оператором персональных данных.
"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных" (Источник: Федеральный закон "О персональных данных", статья 3)
Обязанности после регистрации оператора
Требования к согласию на обработку данных
Для обработки персональных данных, включая фотографии, требуется согласие субъекта. Устного разрешения недостаточно, особенно для фотографий:
"Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных" (Источник: Федеральный закон "О персональных данных", статья 11)
"Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом" (Источник: Федеральный закон "О персональных данных", статья 9)
Требования к хранению и защите данных
Вы обязаны обеспечить безопасность персональных данных:
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19)
"Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 5)
Уведомление Роскомнадзора
Вы обязаны уведомить уполномоченный орган о начале обработки персональных данных:
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных" (Источник: Федеральный закон "О персональных данных", статья 22)
Ответственность и проверки
Административная ответственность
За нарушения в области обработки персональных данных предусмотрены значительные штрафы:
"Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных... - влечет наложение административного штрафа на индивидуальных предпринимателей - от пятисот тысяч до одного миллиона рублей" (Источник: КоАП РФ, статья 13.11)
"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на индивидуальных предпринимателей - от ста тысяч до трехсот тысяч рублей" (Источник: КоАП РФ, статья 13.11)
Проверки
"Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется федеральным органом исполнительной власти, осуществляющим функции по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных" (Источник: Федеральный закон "О персональных данных", статья 23.1)
Выводы и рекомендации
-
Обязательно получите письменное согласие клиентов на обработку их персональных данных, включая фотографии. Устного разрешения недостаточно.
-
Подготовьте необходимые документы:
- Политику в отношении обработки персональных данных
- Форму согласия на обработку персональных данных
- Локальные акты по обработке данных
-
Подайте уведомление в Роскомнадзор о начале обработки персональных данных до начала такой обработки.
-
Обеспечьте безопасное хранение данных:
- Ограничьте доступ к персональным данным
- Используйте защищенные носители информации
- Установите сроки хранения данных
-
Будьте готовы к проверкам Роскомнадзора и соблюдайте все требования законодательства.
-
Учтите, что за нарушения законодательства о персональных данных предусмотрены значительные штрафы, которые могут достигать 1 миллиона рублей для индивидуальных предпринимателей.
Рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных, для подготовки всех необходимых документов и консультации по конкретным мерам защиты.
