- В рассматриваемом случае салон красоты выступает как оператор по обработке персональных данных.
- Салон красоты должен иметь свой бланк согласия на обработку персональных данных.
- В договоре, заключаемом салоном красоты с клиентом, должен быть прописан срок хранения обрабатываемых персональных данных.
- Салон красоты до начала обработки персональных данных клиента обязан направить уведомление о своем намерении осуществить обработку персональных данных в уполномоченный орган по защите персональных данных.
Обоснование ответа:
- В соответствии со ст.9 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) "О персональных данных", субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Поскольку в соответствии со ст.10 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) "О персональных данных" салон красоты относится к категории операторов, осуществляющих обработку специальной категории персональных данных (состояние здоровья), обработка указанных данных не допускается за исключением случаев, предусмотренных ч.2 вышеуказанной статьи, в частности, при письменном согласии субъекта на обработку его персональных данных.
-
В соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) "О персональных данных", согласие на обработку персональных данных должно включать в себя информацию, указанную в ч. 4 вышеуказанной статьи, а именно:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
-
В соответствии со ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) "О персональных данных", хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях. Персональные данные Клиентов обрабатываются и хранятся в информационных системах, а также на бумажных носителях в Организации. Персональные данные Клиентов также хранятся в электронном виде: в локальной компьютерной сети Организации, в электронных папках и файлах. Хранение персональных данных Клиента может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ. Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов, а также сопутствующих их заключению, исполнению документов – количество лет с момента окончания действия договоров. В течение срока хранения персональные данные не могут быть обезличены или уничтожены. По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке, установленном договором (внутренними документами организации), действующим законодательством РФ. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- В соответствии со ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) "О персональных данных" Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи.