В уведомлении Роскомнадзора необходимо отразить:
1. Категории субъектов
«участники мероприятий (физические лица)»;
при необходимости — сотрудники и контрагенты, если данные обрабатываются в целом по компании.
2. Категории персональных данных
ФИО, должность, место работы, контактный телефон, e-mail, иные сведения, которые указываются в анкетах.
3. Источник получения
«непосредственно от субъектов персональных данных при проведении мероприятий (регистрационные листы, анкеты, визитные карточки)».
4. Цели обработки
«организация и проведение мероприятия»;
«обеспечение обратной связи и последующего взаимодействия с участниками»;
«информирование о новых мероприятиях (при наличии отдельного согласия на рассылку)».
5. Основание обработки
согласие субъектов ПДн (например, в регистрационной форме или анкете);
в ряде случаев — договор (если участник заключает договор на участие).
6. Место хранения
офис компании, где хранятся бумажные анкеты;
электронная база или CRM (сервер/облако на территории РФ).
7. Меры защиты
ограничение доступа к анкетам и базе участников;
хранение бумажных документов в шкафах/архивах с ограниченным доступом;
парольная защита электронных файлов.
Обоснование по законодательству
- ФЗ-152, ст. 22: уведомление должно содержать сведения о категориях субъектов и источниках получения данных.
- ФЗ-152, ст. 6: обработка допустима только с согласия субъекта или при наличии договора.
- ФЗ-152, ст. 5: данные должны обрабатываться только для конкретных целей и не дольше, чем это необходимо.
Пример формулировки для уведомления
«Категории субъектов: участники мероприятий (физические лица).
Категории ПДн: ФИО, должность, место работы, контактный телефон, адрес электронной почты.
Источник получения: регистрационные листы, анкеты, визитные карточки, предоставленные субъектами персональных данных при проведении мероприятий.
Цели обработки: организация и проведение мероприятий, последующее взаимодействие с участниками.
Основание: согласие субъектов персональных данных.
Место хранения: офис компании (г. Москва), сервер компании (г. Москва).
Меры защиты: ограничение доступа, хранение бумажных документов в архивах, парольная защита электронных файлов, резервное копирование.»
Пример из практики
Организатор выставки собирал анкеты участников с контактными данными. В уведомлении указали отдельную категорию субъектов «участники мероприятий» и источники «регистрационные формы, анкеты». При проверке Роскомнадзор отметил, что формулировки корректные.
Рекомендации и выводы
- Обязательно указывайте отдельную категорию субъектов — «участники мероприятий».
- Включайте в уведомление офлайн-источники получения данных (анкеты, визитки).
- Получайте письменное согласие на обработку (обычно оно включается в форму регистрации).
- Храните данные только столько, сколько нужно для целей мероприятия или договорных отношений.
