Требуется ли подача уведомления в Роскомнадзор при заключении договоров на бумаге с клиентами в сфере дополнительного образования, если ИП работает без сотрудников?

Обработка персональных данных индивидуальным предпринимателем, осуществляющим образовательную деятельность

Анализ ситуации

Вы являетесь индивидуальным предпринимателем (ИП), осуществляющим образовательную деятельность (обучение танцам) в рамках дополнительного образования. В рамках своей деятельности вы заключаете письменные договоры с родителями несовершеннолетних учеников, в которых указываются персональные данные родителей (паспортные данные) и детей (ФИО, возраст). Обработка данных осуществляется вами лично, без привлечения наемных работников и, как вы указали, без использования электронных баз данных (исключительно на бумажных носителях). В данной ситуации вы выступаете в роли оператора персональных данных.

Ответы на ключевые вопросы

1. Подпадает ли ваша деятельность под действие закона о персональных данных?

Да, безусловно. Согласно закону, обработка персональных данных — это любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение и использование данных. Вы собираете и храните данные родителей и детей, следовательно, являетесь оператором, и на вас распространяются требования Федерального закона "О персональных данных".

"обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование..." (Источник: Федеральный закон "О персональных данных", статья 3)

2. Обязаны ли вы уведомлять Роскомнадзор об обработке персональных данных?

В описанной вами ситуации — НЕТ. Закон устанавливает исключение из обязанности уведомления уполномоченного органа (Роскомнадзора) для операторов, которые обрабатывают персональные данные исключительно без использования средств автоматизации. Поскольку вы утверждаете, что работаете только с бумажными договорами и не используете электронные базы данных (информационные системы персональных данных), вы попадаете под это исключение.

"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;" (Источник: Федеральный закон "О персональных данных", статья 22, часть 2, пункт 8)

Важное уточнение: Исключение применяется, только если обработка полностью осуществляется без средств автоматизации. Если вы хотя бы частично используете компьютер для хранения, учета или поиска этих данных (например, ведете список учеников в Excel, храните сканы договоров на ПК, используете электронную почту для обмена документами, содержащими персональные данные), то это считается обработкой с использованием средств автоматизации. В таком случае обязанность по уведомлению Роскомнадзора возникает.

3. Существуют ли особые правила для ИП в сфере образования в части обработки персональных данных?

Прямых специальных исключений для ИП в сфере образования из общих требований закона "О персональных данных" не установлено. Однако закон "Об образовании" приравнивает ИП, осуществляющих образовательную деятельность, к организациям, осуществляющим образовательную деятельность, в части применяемых к ним норм.

"к организациям, осуществляющим образовательную деятельность, приравниваются индивидуальные предприниматели, осуществляющие образовательную деятельность, если иное не установлено настоящим Федеральным законом;" (Источник: Федеральный закон "Об образовании в Российской Федерации", статья 2, пункт 20)

Это означает, что на вас распространяются общие требования как на оператора персональных данных. Отдельно стоит отметить, что государственные информационные системы в сфере образования, создаваемые органами власти, имеют свои правила обработки данных, но это не касается вашей частной деятельности.

4. Какие основные требования закона о персональных данных вы должны соблюдать?

Даже при отсутствии обязанности по уведомлению Роскомнадзора вы, как оператор, обязаны соблюдать все остальные положения закона:

• Законность и справедливость обработки: Обработка должна иметь правовое основание. В вашем случае таковым является необходимость для исполнения договора, стороной которого является субъект данных (ребенок/родитель).
• Получение согласия: В большинстве случаев для обработки персональных данных требуется согласие субъекта. Поскольку обработка необходима для исполнения договора (п. 5 ч. 1 ст. 6 закона), получение отдельного письменного согласия не требуется, если все необходимые персональные данные получены от самого субъекта при заключении договора. Однако на практике включение в договор соответствующего раздела о согласии на обработку персональных данных является хорошей практикой.
• Обеспечение конфиденциальности: Вы обязаны не раскрывать данные третьим лицам без согласия.
• Обеспечение безопасности: Вы должны принимать необходимые и достаточные организационные и технические меры для защиты данных от неправомерного доступа. Для бумажных носителей это означает их хранение в закрывающемся шкафу или сейфе, ограничение доступа посторонних лиц.
• Соблюдение принципов обработки: Данные должны быть точными, актуальными, а их объем — соответствовать целям обработки.
• Уничтожение данных: После достижения целей обработки (например, окончания обучения и истечения сроков хранения договора по гражданскому законодательству) персональные данные подлежат уничтожению (уничтожение бумажных носителей).

5. Каковы риски за нарушения?

• Административная ответственность: Нарушение требований закона о персональных данных влечет административную ответственность. Согласно КоАП РФ, ИП несут ответственность как должностные лица.
• Материальная и моральная ответственность: Субъект данных (родитель или ребенок) вправе требовать возмещения убытков и компенсации морального вреда в судебном порядке в случае нарушения его прав.

"Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных... подлежит возмещению... Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков." (Источник: Федеральный закон "О персональных данных", статья 24, часть 2)

Выводы и рекомендации

1. Уведомление Роскомнадзора: В вашей ситуации, при условии полного отсутствия использования любых средств автоматизации (компьютеров, смартфонов для хранения данных, облачных сервисов и т.д.) для работы с персональными данными клиентов, уведомлять Роскомнадзор не требуется.
2. Если используете компьютер: Если вы всё же ведете какой-либо электронный учет (даже в виде файла Word или Excel), храните сканы договоров на ПК или обмениваетесь документами по электронной почте — вы обязаны направить уведомление в Роскомнадзор до начала такой обработки.
3. Соблюдайте общие требования: Независимо от необходимости уведомления, вы обязаны строго соблюдать закон "О персональных данных":
   • Обеспечьте физическую сохранность бумажных договоров (сейф, запирающийся шкаф).
   • Уничтожайте (шредируйте) документы с истекшим сроком хранения.
   • Ограничьте круг лиц, имеющих доступ к документам (в вашем случае — только вы).
   • Включите в договор с родителями блок о согласии на обработку персональных данных их и ребенка в соответствии со статьей 9 закона.
   • Будьте готовы по запросу родителя предоставить информацию о том, как обрабатываются его данные и данные ребенка.
4. Контроль со стороны государства: Помните, что Роскомнадзор осуществляет надзор за соблюдением законодательства о персональных данных и может проводить проверки, в том числе по жалобам граждан.

Рекомендация: Для полной уверенности и минимизации рисков рекомендуется обратиться за консультацией к адвокату, специализирующемуся на вопросах защиты персональных данных и образовательного права, который сможет проанализировать все нюансы вашей конкретной деятельности и документов.