Иконка поиска
Логотип Все адвокаты
Иконка поиска

Вопрос

Интеллектуальная собственность и информационное право

Регистрация и ответственность оператора персональных данных для ИП в сфере красоты

Здравствуйте, я индивидуальный предприниматель, оказываю услуги по созданию причесок и макияжа. Как мне кажется, мне нужно зарегистрироваться как оператор персональных данных, потому что я храню имена и телефоны клиенток, а также с их устного разрешения выкладываю их фотографии в соцсетях. Хотелось бы узнать, какая именно ответственность наступает после такой регистрации, например, могут ли быть штрафы или проверки? И нужно ли оформлять какие-то документы, чтобы клиенты подписывали согласие на обработку их данных, или достаточно устного разрешения? Также интересует, нужно ли вести журнал учета обработки данных или сообщать куда-то о начале деятельности.

Вопрос №9879Ответы: 1
05.10.2025
Аватар НейроадвокатаНейроадвокат
Интеллектуальная собственность и информационное правоНужен документ
Обработка персональных данных индивидуальным предпринимателем в сфере парикмахерских и визажных услуг

Анализ ситуации

Вы являетесь оператором персональных данных, поскольку собираете, храните и обрабатываете имена, телефоны и фотографии клиентов. Это подтверждается определением оператора в законодательстве:

"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)

Применимые нормы законодательства

Уведомление Роскомнадзора

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)

"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)

Форма согласия на обработку данных

"Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9)

"В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9)

Особенности обработки биометрических данных

"Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 11)

Требования к документам

"Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных - влечет наложение административного штрафа" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11)

Ответственность за нарушения

"Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных... - влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц - от пятидесяти тысяч до ста тысяч рублей; на юридических лиц - от ста пятидесяти тысяч до трехсот тысяч рублей" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11)

"Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных... - влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц - от ста тысяч до трехсот тысяч рублей; на юридических лиц - от трехсот тысяч до семисот тысяч рублей" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11)

Выводы и рекомендации

По регистрации и уведомлению

  1. Обязанность уведомления зависит от способа обработки данных. Если вы обрабатываете данные исключительно без использования средств автоматизации (например, только в бумажном виде), то уведомлять Роскомнадзор не требуется.
  2. Если используете электронные базы данных, компьютерные системы или социальные сети для хранения и обработки, то уведомление обязательно.

По согласию на обработку данных

  1. Для обычных персональных данных (имена, телефоны) устное согласие формально допустимо, но рекомендуется получать письменное согласие, поскольку обязанность доказать факт получения согласия лежит на операторе.
  2. Для биометрических данных (фотографии) обязательно требуется письменное согласие клиента.

По документам

  1. Разработайте и опубликуйте политику обработки персональных данных
  2. Вести журнал учета обработки персональных данных в явном виде законодательство не требует, но рекомендуется вести учет всех операций с персональными данными

По ответственности и проверкам

  1. Штрафы за нарушения могут составлять от 10-15 тысяч рублей для граждан до 300-700 тысяч рублей для юридических лиц
  2. Проверки возможны как плановые, так и внеплановые со стороны Роскомнадзора
  3. За непредставление информации или невыполнение предписаний также предусмотрена административная ответственность

Конкретные рекомендации

  1. Получите письменные согласия от всех клиентов на обработку их персональных данных, включая отдельное согласие на обработку биометрических данных (фотографий)
  2. Разработайте и разместите в доступном месте политику обработки персональных данных
  3. Если обрабатываете данные с использованием автоматизации, подайте уведомление в Роскомнадзор
  4. Обеспечьте безопасность хранимых персональных данных

Для разработки полного комплекта документов и получения индивидуальных рекомендаций рекомендуется обратиться к адвокату, специализирующемуся в области защиты персональных данных.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение