Сейчас многих волнует, обязан ли специалист, например, психолог-самозанятый регистрироваться (уведомлять) в Роскомнадзор как оператор персональных данных.
Возьмем ситуацию, если специалист принимает клиентов по телефону и не фиксирует их сведения в компьютере или бумажных записях.
Разберём этот вопрос по шагам на простом языке.
1. Кто такой оператор персональных данных?
По закону «О персональных данных» (ФЗ‑152) оператор ПД (персональных данных) — это любое лицо (физическое или юридическое), которое начинает собирать, хранить или иначе обрабатывать персональные данные: ФИО, контактный телефон, сведения о здоровье и другие личные данные клиента. Даже если вы — самозанятый психолог, принимающий звонки, формально вы — оператор ПД.
2. Обязанность уведомления операторов (ч. 1 ст. 22 ФЗ‑152)
Общее правило:
По закону «О персональных данных» (ФЗ-152) любой оператор, то есть лицо, которое начинает обрабатывать персональные данные, должен до такого начала подать уведомление в Роскомнадзор. Это правило закреплено в части 1 статьи 22 ФЗ-152:
“Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган…” (КонсультантПлюс).
Если это требование не выполняется, на оператора могут наложить штраф
Это значит: если вы используете компьютер, телефон с записью звонков, ведёте базу клиентов в Excel, CRM или на бумаге — уведомить РКН обязательно.
3. Исключение для ручной обработки (ч. 2 ст. 22 ФЗ‑152, подп. 8)
Однако в части 2 статьи 22 закон прямо освобождает от уведомления тех, кто обрабатывает ПД исключительно без средств автоматизации (т. е. вручную) — подпункт 8:
“Оператор вправе осуществлять без уведомления… обработку персональных данных вручную, без использования технических средств” (Forus).
Кроме того, есть постановление Правительства РФ № 687 от 15.09.2008, которое детально описывает, как именно должна строиться такая ручная обработка (например, бумажные носители отдельными файлами и т. д.) (Гарант).
Дополнительные рекомендации для психолога‑самозанятого (или другого специалиста)
- Ответственность за несоблюдение
Если вы вдруг начнёте фиксировать данные клиентов (например, заводить записи на бумаге или в компьютере) без уведомления РКН, к вам могут применить штрафы по статье 13.11 КоАП РФ. - Практики безопасности
Даже при ручной обработке стоит:
- уничтожать или стирать устаревшие записи сразу после использования;
- хранить любые краткие заметки в недоступном для посторонних месте;
- избегать делать записи в телефоне или файлах. - Информирование клиентов
Даже когда вы не ведёте документальные записи, закон обязывает вас устно или письменно информировать клиента:
- кто вы и в какой роли работаете;
- какие данные и зачем собираете;
- как будете использовать информацию;
- как он может реализовать свои права (доступ, исправление, удаление). - Добровольная политика конфиденциальности
Чтобы повысить доверие, можно подготовить простую памятку или текст для мессенджера, где указать:
- что вы соблюдаете требования ФЗ‑152;
- что клиент может запросить копию или удаление своих данных;
- куда обращаться по вопросам конфиденциальности. - Переход на автоматизацию
Если в будущем вы решите внедрить CRM, записывать звонки или вести клиентскую базу:
- до начала такой обработки нужно подать уведомление в Роскомнадзор;
- оформить внутренний регламент обработки ПД и назначить ответственное лицо;
- обеспечить технические и организационные меры защиты данных.
Часто задаваемые вопросы (FAQ) о необходимости регистрации психолога (специалиста) в РКН как оператора обрабатывающего ПД
1. Если я общаюсь с клиентом в мессенджере (WhatsApp, Telegram и т.п.), нужно ли уведомлять РКН?
Да. Мессенджеры автоматически сохраняют переписку на своих серверах, а вы используете технические средства (смартфон, ПК). Это значит автоматизированная обработка ПД, и уведомление РКН становится обязательным (ч. 1 ст. 22 ФЗ-152) .
2. Если переписываюсь с клиентом по электронной почте?
Аналогично: электронная почта — это автоматизированная система хранения и передачи данных. Переписка сохраняется, значит, требуется уведомление РКН .
3. Если я не сохраняю контакт клиента в телефоне, но переписка остаётся в чате?
Даже если вы не добавляете контакт, переписка хранится на устройстве и сервере мессенджера/почты. Это автоматизированная обработка, и уведомлять РКН нужно.
4. Что считается «ручной» обработкой?
Обработка без каких-либо записей или носителей: вся информация держится в голове, нет бумажных анкет, файлов или записей звонков (ч. 2 ст. 22 ФЗ-152, подп. 8) .
5. Если я общаюсь лично (очно) и запоминаю детали — это ручная обработка?
Да. Личная встреча и устная фиксация данных в памяти подпадают под ручную обработку — уведомлять РКН не нужно.
6. А телефонный разговор без записи?
Если вы не включаете запись и не делаете заметок, это ручная обработка. Но учтите, что сама телефонная сеть может логировать звонки, однако запись разговора технически вы не ведёте — уведомление не требуется.
7. Если я делаю краткие заметки на бумаге вручную?
Даже бумажные заметки считаются носителем: бумага — не техническое средство, поэтому заметки на ней допускаются без уведомления, если только вы не сканируете их и не переносите в ЭВМ.
8. Как трактовать камеры видеонаблюдения в кабинете?
Видеонаблюдение — автоматизированная система записи. Если вы записываете видео клиентов, это автоматически обработка ПД, уведомление РКН обязательно.
9. Что делать, если я веду аудиозапись консультаций?
Это техническое средство автоматизации записи: необходимо уведомить Роскомнадзор до начала такой практики.
Вывод: психолог‑самозанятый, специалист, работающий только с устными данными клиентов и не фиксирующий их нигде, не обязан уведомлять Роскомнадзор о начале обработки ПД. Если же появится хоть какое‑то хранение данных на носителях, потребуется регистрация‑уведомление РКН до старта автоматизированной обработки.