Обязанность косметолога уведомлять Роскомнадзор об обработке персональных данных клиентов
Анализ вашей ситуации
Вы, как самостоятельно работающий косметолог, собираете и храните персональные данные клиентов (телефоны, предпочтения в процедурах). Согласно законодательству, вы являетесь оператором персональных данных, поскольку самостоятельно определяете цели и состав обрабатываемых данных. Ключевой вопрос — должна ли такая деятельность сопровождаться обязательным уведомлением контролирующего органа (Роскомнадзора).
Применимые правовые нормы
Основным законом, регулирующим ваши действия, является Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (152-ФЗ).
-
Общее правило об уведомлении: Закон устанавливает обязанность оператора уведомлять Роскомнадзор о начале обработки данных.
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22 часть 1).
-
Исключения из правила: Закон предусматривает случаи, когда уведомление направлять не нужно. Для вашей деятельности наиболее вероятно применимо следующее исключение:
"Оператор вправе осуществлять без уведомления ... обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22 часть 2 пункт 8).
Это означает, что если вы ведете записи только на бумажных носителях (например, журнал, карточки клиентов) и не используете для систематизации, хранения или поиска данных компьютер, смартфон или специализированные программы, уведомление не требуется.
-
Законное основание для обработки данных: Для сбора телефонов и предпочтений вам не обязательно каждый раз получать отдельное согласие клиента, если эти данные необходимы для исполнения договора на оказание услуг.
"Обработка персональных данных допускается в следующих случаях: ... 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6 часть 1 пункт 5).
-
Особые категории данных: Будьте внимательны, если собираете информацию, касающуюся здоровья клиента (например, аллергии, хронические заболевания, показания/противопоказания к процедурам). Такие данные относятся к специальным категориям, и их обработка требует отдельного, явно выраженного согласия.
"Обработка специальных категорий персональных данных, касающихся ... состояния здоровья, ... не допускается, за исключением случаев, ... если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 10 часть 2 пункт 1).
-
Обязанности по обеспечению безопасности: Независимо от необходимости уведомления, вы обязаны защищать данные клиентов.
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19 часть 1).
Выводы и конкретные рекомендации
-
По вопросу уведомления Роскомнадзора:
- Если вы обрабатываете данные ИСКЛЮЧИТЕЛЬНО вручную, на бумаге (например, записная книжка, бумажная картотека), уведомление подавать НЕ НУЖНО. Это прямо следует из пункта 8 части 2 статьи 22 152-ФЗ.
- Если вы используете любые средства автоматизации (компьютер, смартфон, электронные таблицы Excel, CRM-системы, мессенджеры для систематизации записей), формально вы обязаны направить уведомление в Роскомнадзор до начала обработки данных.
-
Обязательные действия независимо от уведомления:
- Определите и соблюдайте законное основание обработки. Для телефона и предпочтений — это исполнение договора с клиентом. Убедитесь, что собираемые данные действительно необходимы для оказания ваших услуг.
- Особое внимание — данным о здоровье. На их обработку необходимо получать отдельное письменное согласие клиента с указанием конкретных целей и перечня данных.
- Обеспечьте безопасность данных. Храните бумажные носители в недоступном для посторонних месте. При использовании электронных средств используйте пароли, антивирусное ПО.
- Будьте готовы информировать клиентов. По их запросу вы обязаны сообщать о целях, способах обработки их данных и предоставлять сами данные (статья 18 152-ФЗ).
-
Рекомендации:
- Даже если уведомление не требуется, составьте краткую Политику обработки персональных данных и знакомьте с ней клиентов (можно включить в форму договора/анкеты). Это продемонстрирует вашу добросовестность.
- Если вы используете электронные средства и планируете продолжать эту практику, рекомендуется подать уведомление в Роскомнадзор через официальный сайт, чтобы исключить риски административной ответственности.
- При возникновении сложностей с классификацией обрабатываемых данных (например, являются ли фото "до/после" биометрическими данными) или при подготовке документов (согласий, политики) целесообразно обратиться за консультацией к адвокату, специализирующемуся на информационном праве.