152-ФЗ для автосервиса: какие документы нужны

Автосервис обрабатывает данные клиентов при оформлении заказ-наряда: ФИО, паспортные данные, номер телефона, адрес регистрации. Данные автомобиля (VIN, госномер, модель) в связке с ФИО владельца также являются персональными данными.

При безналичной оплате обрабатываются данные банковских карт. Если автосервис ведёт CRM-систему с историей ремонтов и напоминаниями о ТО — это полноценная база персональных данных.

Видеонаблюдение в ремонтной зоне и на приёмке фиксирует изображения клиентов, что тоже подпадает под 152-ФЗ. Любой автосервис с хотя бы одним клиентом в базе — оператор персональных данных.

Минимальный комплект документов по 152-ФЗ для автосервиса:

- **Согласие клиента на обработку ПДн** — включается в заказ-наряд или оформляется отдельно; - **Политика конфиденциальности** — для сайта с онлайн-записью; - **Положение об обработке ПДн** — внутренний документ, утверждённый руководителем; - **Приказ о назначении ответственного** — обычно администратор сервиса; - **Обязательство о неразглашении** — для мастеров-приёмщиков с доступом к базе; - **Уведомление в Роскомнадзор** — через pd.rkn.gov.ru.

Если автосервис работает с корпоративными клиентами (автопарки, каршеринг), дополнительно заключается поручение на обработку ПДн водителей.

Заказ-наряд — основной первичный документ автосервиса, содержащий персональные данные клиента. Согласие на обработку ПДн может быть встроено в форму заказ-наряда как отдельный пункт с подписью клиента.

В согласии указываются: ФИО, контактные данные, данные автомобиля (VIN, госномер), цели обработки (оказание услуг, гарантийное обслуживание, информирование о ТО), срок хранения данных.

Заказ-наряды хранятся 5 лет для бухгалтерского учёта. Персональные данные из базы CRM — до отзыва согласия или 3 года после последнего обращения клиента.

Автосервисы активно используют CRM: AutoDealer, STOCRM, Wilgood IS, 1С:Автосервис. Каждая CRM — это ИСПДн, для которой необходимо определить уровень защищённости.

При онлайн-записи на ремонт через сайт необходимо разместить ссылку на политику конфиденциальности и чекбокс согласия. Рассылки о результатах диагностики, акциях и напоминания о ТО — только с согласия клиента.

Если CRM облачная — заключите поручение на обработку с разработчиком. Убедитесь, что данные хранятся на серверах в России.

Камеры на территории автосервиса фиксируют госномера автомобилей и изображения клиентов. Госномер в связке с ФИО — персональные данные. Необходимо:

- Разместить таблички «Ведётся видеонаблюдение» при входе; - Указать видеонаблюдение в политике конфиденциальности; - Определить срок хранения записей (рекомендуется 30 дней); - Ограничить доступ к записям (только ответственный за безопасность).

Записи с камер могут запрашиваться правоохранительными органами для расследования ДТП или краж. Порядок предоставления должен быть описан в положении об обработке ПДн.

Автосервисы часто нарушают 152-ФЗ по незнанию. Типичные нарушения:

- Нет политики конфиденциальности на сайте — штраф до 60 000 ₽; - В заказ-наряде нет пункта о согласии на обработку ПДн — штраф до 75 000 ₽; - Данные клиентов доступны всем сотрудникам без разграничения — нарушение ст. 19 закона 152-ФЗ; - Рассылка акций без согласия — штраф по закону «О рекламе» и 152-ФЗ одновременно; - Не подано уведомление в Роскомнадзор — штраф до 5 000 ₽.

С учётом 420-ФЗ за утечку базы клиентов возможны оборотные штрафы. Для крупных сетей автосервисов это критический риск.