Обработка персональных данных самозанятым массажистом
Анализ ситуации
Вы являетесь оператором персональных данных, поскольку самостоятельно организуете и осуществляете обработку персональных данных клиентов. Ведение записей в тетради, даже без использования автоматизированных средств, подпадает под действие законодательства о персональных данных.
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу" (Источник: Федеральный закон "О персональных данных", статья 3)
"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных" (Источник: Федеральный закон "О персональных данных", статья 3)
Применимые правовые нормы
Уведомление Роскомнадзора
Важная новость: уведомление Роскомнадзора об обработке персональных данных в вашем случае НЕ ТРЕБУЕТСЯ.
"Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон "О персональных данных", статья 22)
Особенности обработки специальных категорий данных
Вы обрабатываете специальные категории персональных данных (сведения о здоровье), что требует особого внимания:
"Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи" (Источник: Федеральный закон "О персональных данных", статья 10)
Для законной обработки данных о здоровье необходимо получить письменное согласие клиента:
"Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если: 1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных" (Источник: Федеральный закон "О персональных данных", статья 10)
Требования к безопасности данных
Даже при ведении бумажного учета вы обязаны обеспечить безопасность персональных данных:
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон "О персональных данных", статья 19)
Ответственность за нарушения
За нарушение законодательства о персональных данных предусмотрена административная ответственность:
"Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных... - влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей" (Источник: Кодекс об административных правонарушениях, статья 13.11)
"Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих... сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ... - влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до четырех тысяч рублей" (Источник: Кодекс об административных правонарушениях, статья 13.11)
Выводы и рекомендации
-
Уведомление Роскомнадзора не требуется - вы можете продолжать работу без направления уведомления.
-
Обязательно получите письменные согласия от всех клиентов на обработку их персональных данных, особенно данных о здоровье.
-
Обеспечьте безопасность бумажных носителей:
- Храните тетрадь в закрывающемся шкафу или сейфе
- Ограничьте доступ третьих лиц к записям
- Уничтожайте устаревшие данные безопасным способом
-
Соблюдайте принципы обработки персональных данных:
- Обрабатывайте только необходимые для работы данные
- Не распространяйте данные без согласия клиентов
- Уничтожайте данные по истечении срока их необходимости
-
Подготовьте документы:
- Политику обработки персональных данных
- Форму согласия на обработку персональных данных
- Реестр обработки персональных данных
Рекомендую обратиться к адвокату для разработки необходимых документов и консультации по вопросам соответствия вашей деятельности требованиям законодательства о персональных данных.