152-ФЗ для салона красоты: какие документы нужны

Салоны красоты обрабатывают персональные данные клиентов и сотрудников. Данные клиентов включают ФИО, номер телефона, адрес электронной почты, дату рождения, историю посещений и предпочтения по услугам. При онлайн-записи собираются IP-адреса и данные cookies.

Если салон предоставляет медицинские услуги (косметология, трихология), обрабатываются специальные категории ПДн — сведения о здоровье. Это требует повышенных мер защиты согласно статье 10 закона 152-ФЗ и получения отдельного письменного согласия клиента.

Любой салон, ведущий базу клиентов хотя бы в блокноте или таблице Excel, уже является оператором персональных данных и обязан соблюдать требования 152-ФЗ.

Минимальный пакет включает согласие клиента на обработку ПДн, политику конфиденциальности для сайта, положение об обработке ПДн, приказ о назначении ответственного и уведомление в Роскомнадзор.

Политика конфиденциальности размещается на сайте салона и должна быть доступна каждому посетителю. Если салон использует онлайн-запись, под формой записи размещается ссылка на политику и чекбокс согласия с обработкой данных.

Положение об обработке — внутренний документ, утверждаемый руководителем. Все администраторы и мастера, имеющие доступ к базе клиентов, подписывают обязательство о неразглашении персональных данных.

Согласие клиента — ключевой документ для салона красоты. Оно может быть получено в письменной форме при первом визите или через чекбокс на сайте при онлайн-записи. Согласие содержит: перечень данных, цели обработки, срок хранения и порядок отзыва.

Для обычных услуг (стрижка, маникюр) достаточно простого согласия. Для косметологических и медицинских услуг требуется письменное согласие с указанием специальных категорий данных (сведения о здоровье, аллергии, противопоказания).

Клиент вправе отозвать согласие в любой момент. Салон обязан прекратить обработку и уничтожить данные в течение 30 дней после получения отзыва, если нет иных законных оснований для хранения.

Большинство салонов используют CRM-системы: YCLIENTS, Dikidi, Арника и другие. С точки зрения 152-ФЗ, разработчик CRM является лицом, осуществляющим обработку ПДн по поручению оператора. Салон обязан заключить с ним поручение на обработку.

В политике конфиденциальности необходимо указать, что данные передаются третьим лицам для целей автоматизации учета. Клиент должен быть уведомлен об этом до начала обработки данных.

При выборе CRM проверьте, что сервис хранит данные на серверах в Российской Федерации. Это требование части 5 статьи 18 закона 152-ФЗ о локализации баз персональных данных граждан РФ.

Салон как работодатель обрабатывает данные мастеров и администраторов: паспортные данные, ИНН, СНИЛС, медицинские книжки, банковские реквизиты. Обработка в рамках трудового договора не требует отдельного согласия работника.

Однако размещение фото мастера на сайте или в социальных сетях, публикация отзывов с указанием имени мастера — требуют письменного согласия сотрудника. Каждый работник подписывает обязательство о неразглашении ПДн клиентов.

При увольнении сотрудника его персональные данные хранятся в течение сроков, установленных трудовым и налоговым законодательством (до 75 лет для кадровых документов).

Если салон принимает запись через сайт, мессенджеры или социальные сети, он обязан разместить политику конфиденциальности в открытом доступе. Под каждой формой сбора данных размещается ссылка на политику и механизм получения согласия.

При использовании систем аналитики (Яндекс.Метрика, Google Analytics) салон обрабатывает обезличенные данные посетителей сайта. Это также должно быть отражено в политике конфиденциальности и cookie-баннере.

Рассылки по SMS и электронной почте с акциями и напоминаниями о записи требуют отдельного согласия клиента. Без него рассылка является нарушением закона «О рекламе» и 152-ФЗ одновременно.