Здравствуйте, я ип, делаю прически и макияж, как я понимаю мне нужно зарегистрироваться как оператор персональных данных ( так как я храню имена и телефоны клиенток и также устного с разрешения выкладываю фото клиенток в соцсетях) Хотелось уточнить, а какая ответственность наступает после регистрации? Нужно какие-то документы создать, чтобы клиенты подписывали разрешение на эту обработку данных?
Светлана, добрый день.
Согласно ст. 3 ФЗ-152 «О персональных данных»
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Таким образом персональные данные — это любая информация, позволяющая прямо или косвенно идентифицировать человека. К ним относятся:
• ФИО,
• номер телефона,
• паспортные данные,
• адрес проживания,
• электронная почта,
Согласно все той же статьи 3, обработкой персональных данных является:
3) обработка персональных данных — любое действие… с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
---
То есть если Вы получаете персональные данные напрямую от клиентов через личную переписку или по телефону, либо через форму на сайте (и обработку ведете самостоятельно) ведете учет этих данных и обработку, то Вы становитесь оператором в соответствии с ФЗ О персональных данных, так согласно ст. 3 ФЗ О персональных данных:
2) оператор — … юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных...
В этом случае Вам требуется подать в РКН уведомление о начале обработки ПД это следует из ч. 1 ст. 22 ФЗ О персональных данных.
Случаи, когда оператор может осуществлять обработку ПД без уведомления содержаться в части 2 указанной статьи, в частности к ним относятся:
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
— учет персональных данных ведется на бумаге;
— организация включена в государственные информационные системы и работает с персональными данными, размещенными в этих государственных информационных системах;
— компания работает с персональными данными в сфере транспортной безопасности.
Таким образом к Вам указанное исключением может применяться только в случае если учет персональных данных ведется без средств автоматизации.
Уважаемая Светлана, здравствуйте! У Вас запрошена консультация нескольких юристов, являюсь ОПЛ, поэтому дополнительно поясню.
Здесь очень много нюансов.
Я уточню у Вас, а у Вас свой сайт или нет?
Если свой сайт, и вы используете метрики, например, от Яндекса, то значит у Вас идет сбор кукис-файлов, а это персональные данные с использованием средств автоматизации и уведомление в РКН необходимо.
какая ответственность наступает после регистрации?
Уведомление — это бесплатная процедура по факту, уведомлять надо ДО начала обработки ПД, ничего сверхсложного нет.
Подать уведомление можно через портал госуслуг.
Нет никакой ответственности, ОПД (оператор персональных данных (должен просто соблюдать законодательство РФ в части обработки ПД.
Если задумаетесь когда-нибудь о своем сайте и будете продвигать свои работы, то размещайте обязательно политику конфиденциальности, согласие на обработку ПД.
Кстати, неавтоматизированная обработка — это занесение персональных сведений вручную на бумажные носители.
Посмотрите, подходите ли Вы под исключения, как указал коллега выше.
Если используете неавтоматизированную обработку — то обязательно прочитайте Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
С уважением!
На мой взгляд Вы освобождены от направления уведомления в силу ч. 2 ст. 22, поскольку не осуществляете обработку ПДн с помощью средств автоматизации.
Наличие контактного номера телефона и имени в записной книжке или в журнале планирования (бумажный вариант) не является обработкой ПДн.
А вот если Вы ведете базу клиентов в какой-либо CRM системе, то есть используете средства автоматизации, то уведомление направлять требуется.
---
Учитывая вышеизложенное полагаю говорить об ответственности за нарушение правил обработки ПДн в Вашем случае не приходится.
Несмотря на это с санкциями за нарушение законодательства в облатси персональных данных можете ознакомиться в ст. 13.11 КоАП РФ.
Сама же регистрация Вас как оператора ПДн (если все же решите зарегистрироваться) возлагает на Вас соответствующие обязанности согласно ФЗ-152& они закреплены в главе 4 ФЗ-152.
Но повторюсь, на мой взгляд Вы освобождены от направления уведомления.