152-ФЗ для фитнес-клуба: какие документы нужны

Фитнес-клубы собирают обширный массив персональных данных. При оформлении абонемента: ФИО, дата рождения, паспортные данные, контактный телефон, email, фото для клубной карты. При оплате — данные банковских карт.

При наличии медицинских ограничений (справка от врача, противопоказания) клуб обрабатывает **специальные категории ПДн** — сведения о здоровье. Это требует письменного согласия и повышенных мер защиты по ст. 10 закона 152-ФЗ.

Дополнительно собираются: данные о посещениях (СКУД), биометрия (отпечатки пальцев на турникете), фото и видео с камер наблюдения, история покупок в баре и магазине. Каждый из этих типов данных регулируется 152-ФЗ.

Минимальный пакет документов по 152-ФЗ для фитнес-клуба:

- **Согласие клиента на обработку ПДн** — подписывается при оформлении абонемента или через чекбокс на сайте; - **Политика конфиденциальности** — размещается на сайте, на стойке ресепшн и в мобильном приложении; - **Положение об обработке ПДн** — внутренний регламент, утверждённый руководителем; - **Приказ о назначении ответственного** — обычно администратор или HR-директор; - **Уведомление в Роскомнадзор** — подаётся через pd.rkn.gov.ru; - **Обязательство о неразглашении** — для тренеров, администраторов, менеджеров по продажам.

Если клуб использует биометрию (отпечатки, распознавание лица на турникете) — требуется **отдельное письменное согласие** на обработку биометрических данных по ст. 11 закона 152-ФЗ.

Согласие на обработку ПДн может быть включено в договор на абонемент как отдельный раздел, но юридически это два разных правовых основания. Рекомендуется оформлять согласие как отдельный документ или выделенный блок с отдельной подписью.

В согласии необходимо указать все цели обработки: оформление абонемента, контроль посещений, рассылка уведомлений о продлении, маркетинговые предложения. Каждая цель требует отдельного основания — клиент вправе согласиться на обслуживание, но отказаться от рассылки.

При продлении абонемента повторное согласие не требуется, если перечень данных и целей не изменился. При расторжении договора данные хранятся в течение срока исковой давности (3 года), после чего уничтожаются.

Многие фитнес-клубы используют СКУД с биометрической идентификацией (отпечатки пальцев, распознавание лица). По **ст. 11 закона 152-ФЗ** обработка биометрических данных допускается только с **письменного согласия** субъекта.

Видеонаблюдение в зонах общего пользования (ресепшн, тренажёрные залы, коридоры) допускается при наличии предупредительных табличек. В раздевалках и душевых — **запрещено**. Записи хранятся не более 30 дней, если иное не установлено для расследования инцидентов.

Данные СКУД (время входа/выхода) и видеозаписи являются персональными данными. Они должны быть отражены в политике конфиденциальности и в уведомлении в Роскомнадзор.

Если фитнес-клуб использует мобильное приложение (запись на тренировки, покупка абонементов, трекинг результатов), оно является ИСПДн. В приложении размещается ссылка на политику конфиденциальности и механизм получения согласия.

Данные о тренировках, весе, измерениях тела могут квалифицироваться как данные о здоровье (спецкатегория) — при наличии медицинских рекомендаций и связи с состоянием здоровья.

При интеграции с платёжными системами (эквайринг, рекуррентные платежи) клуб обязан соблюдать PCI DSS и указать в политике, что платёжные данные обрабатываются банком-эквайером.

Фитнес-клубы регулярно попадают под проверки Роскомнадзора. Типичные нарушения и штрафы:

- Обработка биометрии без письменного согласия — до **700 000 ₽** (ст. 13.11 ч. 2 КоАП); - Отсутствие политики конфиденциальности на сайте — до **60 000 ₽** (ст. 13.11 ч. 3 КоАП); - Обработка данных о здоровье без согласия — до **150 000 ₽** (ст. 13.11 ч. 2 КоАП); - Утечка базы клиентов — оборотные штрафы до **500 млн ₽** (420-ФЗ); - Неподача уведомления в Роскомнадзор — до **5 000 ₽** (ст. 19.7 КоАП).

Биометрия на турникете — самый частый повод для штрафа. Убедитесь, что каждый клиент подписал отдельное согласие на биометрическую идентификацию.