Персональные данные в салоне красоты и барбершопе: пошаговый алгоритм

Даже маленький салон красоты или барбершоп с онлайн-записью — оператор персональных данных. Хорошая новость: у большинства салонов данные относятся к иным категориям (имя, телефон, история визитов), а не к специальным, поэтому путь здесь самый короткий из возможных. Разберём его по шагам — от 152-ФЗ и ПП-1119 и дальше.

Шаг 1. Признать себя оператором

Как только вы ведёте базу клиентов в журнале, CRM или сервисе онлайн-записи, вы оператор ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). по 152-ФЗ. Типовые данные салона: имя, телефон, иногда дата рождения и история процедур, фотографии работ. Важный нюанс: если в анкете клиента вы системно собираете сведения о здоровье и аллергиях, это уже специальная категория — тогда режим ближе к медицинскому. Большинству салонов этого удаётся избежать.

Шаг 2. Определить основания обработки

Запись на услугу и её оказание — это исполнение договора с клиентом, отдельное согласие для этого не нужно (пункт 5 части 1 статьи 6 152-ФЗ). А вот на рассылки об акциях и скидках нужно отдельное согласие на маркетинг, и на публикацию фотографий работ клиента в соцсетях — тоже отдельное согласие. Виды согласий разобраны в статье про согласия на обработку.

Шаг 3. Определить уровень защищённости по ПП-1119

Уровень считается по постановлению №1119. Для салона: иные категории ПДн + угрозы 3-го типа (типичные для малого бизнеса) + менее 100 000 клиентов = УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-4, минимальный уровень. Это означает самый лёгкий набор требований. Проверить расчёт можно в калькуляторе уровня защищённости.

Шаг 4. Уведомить Роскомнадзор

Уведомление об обработке ПДн подаётся в Роскомнадзор до начала обработки — это касается и небольших салонов. Подать его можно самостоятельно и бесплатно через сайт регулятора.

Шаг 5. Подготовить документы

Минимальный комплект салона: политика обработки ПДн (опубликована на сайте и в виджете онлайн-записи), согласие на маркетинговые рассылки, приказ о назначении ответственного за обработку, перечень ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. (CRM и сервис записи), порядок удаления данных по запросу и по достижении цели. Для салона это в основном бумажная работа, а не дорогая техника.

Шаг 6. Внедрить меры защиты (приказ ФСТЭК №21)

Для УЗ-4 приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21 задаёт самый лёгкий базовый набор, и он преимущественно организационный: индивидуальные учётные записи и пароли в CRM, разграничение доступа (администратор видит не всё, что владелец), штатный антивирус, регулярные обновления, резервные копии базы. Сложная сертифицированная защита салону, как правило, не нужна.

Шаг 7. Оформить поручения сервисам

Салон почти всегда пользуется внешними сервисами: онлайн-запись, CRM, СМС- и мессенджер-рассылки, бухгалтерия. Каждый такой сервис — обработчик, и с ним нужно поручение на обработку с условиями о конфиденциальности (часть 3 статьи 6 152-ФЗ). Подробнее в статье про поручение на обработку.

Шаг 8. Поддерживать режим

Дальше нужно отвечать на запросы клиентов об их данных, удалять данные по требованию и по достижении цели, а при инциденте действовать по алгоритму при утечке (уведомление Роскомнадзора за 24 и 72 часа).

Главное

Салону красоты достаточно базового набора: политика и согласия, уведомление Роскомнадзора, аккуратная CRM с разграничением доступа и поручения с сервисами. Это уровень УЗ-4 — самый простой, и он полностью выполним силами самого салона. ГрамотаИБ собирает этот минимум под профиль бытовых услуг и проверяет готовность к проверке — попробовать можно в сервисе.