<< назад к списку статей

Роскомнадзор - защита персональных данных в салоне красоты

Руслан Назипов

Многие работодатели уверены, что их деятельность не подпадает под действие законодательства в сфере защите персональных данных, но если в вашем салоне красоты имеется хоть один трудоустроенный работник, то вы обязаны соблюдать требования ФЗ «О защите персональных данных» № 152. Надзор за этим осуществляет такой государственный орган, как Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Чтобы у Вас не осталось сомнений в том, что это именно так дадим два определения:

- персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

- обработка персональных данных - любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Кроме того, приведу санкцию статьи КоАП РФ, предусматривающей ответственность за нарушения в данной сфере - 12.11 КоАП РФ - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)- на юридических лиц - от пяти тысяч до десяти тысяч рублей (рассматривается законопроект о повышении штрафов в 30 раз).

После прочтения определений может сложиться мнение, что исполнить требования законодательства о защите персональных данных сложно. Это не так. Всего несколько шагов.

Шаг 1. Уведомить уполномоченный орган о начале обработки персональных данных. Примерную форму уведомления можно найти без особого труда, например: https://pd.rkn.gov.ru/operators-registry/notification/form/.

Несколько советов по заполнению:

- в позиции формы «Цель обработки» следует указать фактические цели: «осуществление трудовых отношений», «в медико-профилактических целях», либо «в целях установления медицинского диагноза», либо «в целях оказания медицинских и медико-социальных услуг», а также перечислить цели деятельности организации, так как это указано в учредительных документах (уставе, положении);

- в позиции формы «Категории персональных данных» указываем:

а) для пациентов: Ф.И.О., пол, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, сведения о наличии льгот, данные СНИЛС, данные о состоянии здоровья;

б) для работников: Ф.И.О., пол, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, СНИЛС, ИНН, данные кадрового учета (образование, квалификация, должность и т.д.), сведения о заработной плате.

- в позиции формы уведомления «Категории субъектов персональных данных» надо указать: «работники учреждения», «пациенты - граждане РФ, иностранные граждане, лица без гражданства»

- в позиции формы «правовое основание обработки персональных данных» указать информацию в соответствии с п. 3,4 ч.2 ст.10 ФЗ «О защите персональных данных» - «обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно»; «обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну»; также необходимо указать что обработка персональных данных работников ведется в соответствии с Трудовым кодексом и кроме того указать реквизиты лицензии на медицинскую деятельность. Заполненное уведомление необходимо отправить в территориальный орган Роскомнадзора РФ заказным письмом с уведомлением.

Шаг 2. Создание документа «Политика в области защиты персональных данных». Такой документ должен быть разработан на любом предприятии. Что он включает в себя?

- Общие положения - кто и для чего создает этот документ;

- Термины и определения, употребляемые в тексте документа;

- Ссылки на нормативную базу;

- Принципы обработки персональных данных: обработка персональных данных осуществляется с согласия их субъекта; принцип законности и справедливости; принцип конфиденциальности; обработка персональных данных ограничена достижением конкретных, заранее определенных задач; принцип точности и достаточно данных и другие;

- Состав персональных данных - указываются те данные, которые используются для достижения задач обработки данных;

- Цель обработки персональных данных: связь с пациентами-клиентами; оказание медицинских услуг; отбор и подбор кадров; принятие решений о трудоустройстве; в рамках трудовых отношений; для исполнения договоров гражданско-правового характера и так далее;

- Хранение персональных данных - в каком виде хранятся (бумажном и электронном);

- Меры по обеспечению безопасности персональных данных при их обработке:

- назначение ответственного за обработку персональных данных,
- получение согласий субъектов персональных данных на обработку их персональных данных,
- определение угроз безопасности персональных данных при их обработке,
- обнаружение фактов несанкционированного доступа к персональным данным,
- и иные меры.

- Передача персональных данных - условия передачи персональных данных третьим лицам (например, в Пенсионный фонд, налоговую инспекцию, фонд медицинского страхования и т.д.)

- права субъектов персональных данных:

- подтверждение факта обработки персональных данных,
- доступ к своим персональным данным, в том числе на получение копии любой записи,
- уточнение своих персональных данных
- и прочее.

- Контактная информация;

- Заключительные положения.

Данный документ необходимо разместить на стенде информации в помещении ПИК и на сайте ПИК, то есть сделать доступным к ознакомлению неопределенному кругу лиц.

Шаг 3. Назначение ответственного работника за обработку персональных данных. По данному поводу издается приказ, с которым должно быть ознакомлено назначенное лицо. Также данное лицо должно быть ознакомлено с действующим российским законодательством в сфере защиты персональных данных и с локальными нормативными актами. На практике это обычно директор или владелец ПИК.

Шаг 4. Все сотрудники должны подписать согласие на обработку персональных данных. Также им необходимо разъяснить последствия отказа от согласия о предоставлении персональных данных - для работников это обычно прекращение трудовых отношений.

Шаг 5. Со всеми сотрудниками необходимо подписать соглашение о неразглашении (конфиденциальности), по которому они (в том числе), обязуются в период трудовых отношений и после их прекращения никоим образом не использовать персональные данные клиентов и пациентов, кроме как для достижения целей и задач предприятия.

Шаг 6. Разработать и ввести в использование типовой бланк согласия на обработку персональных данных для клиентов и пациентов. Также необходимо предусмотреть и бланк разъяснения субъекту персональных данных последствий отказа предоставить свои персональные данные.

В конце данного раздела еще раз напомню:

- информационная табличка о ведущемся видеонаблюдении в помещении салона, является обязательной с точки зрения законодательства о защите персональных данных и должна размещаться при входе в салон, то есть лицо входящее в салон и ознакомившееся с объявлением о ведущемся видеонаблюдении, входя в салон, формально дает вашему предприятию согласие на сохранение его персональных данных.

- перед собеседованием с претендентом на трудоустройство необходимо дать подписать ему типовой бланк согласия на обработку персональных данных.

------------------------

# Роскомнадзор #защитаданных #персональныеданные #базаклиентов #клиентскаябаза

Статья подготовлена специально для журнала Новости салонного бизнеса.

Автор - Руслан Миннефаизович Назипов, бизнес-консультант в области правомерного противодействия преступным посягательствам. Специалист-практик в области обеспечения комплексной безопасности субъектов предпринимательской деятельности. Бизнес-тренер. Автор первого специализированного курса по безопасности ПИК. Генеральный директор и совладелец крупного юридического агентства. Автор статей в журнале «Красивый бизнес». Опыт практической работы в силовых подразделениях МВД РФ.

02.04.2017