Обоснование по законодательству
- Ст. 3 ФЗ-152: оператором признаётся любое лицо, которое обрабатывает персональные данные.
- Ст. 5 ч. 2 ФЗ-152: цели обработки должны быть конкретными и законными.
- Ст. 22 ФЗ-152: уведомление подаётся в Роскомнадзор до начала обработки ПДн.
Пример заполнения уведомления
Раздел 1. Сведения об операторе
Наименование: ООО «Детский центр «Радуга»
ИНН: 4632000000
ОГРН: 1234567890123
Юридический адрес: 305000, г. Курск, ул. Ленина, д. 15
Фактический адрес обработки: совпадает
Раздел 2. Цели обработки
– заключение и исполнение договоров на оказание образовательных и развивающих услуг;
– ведение бухгалтерского и налогового учёта;
– информирование родителей об услугах и расписании занятий;
– обеспечение пропускного режима и безопасности в центре.
Раздел 3. Категории субъектов
– дети — обучающиеся (слушатели, воспитанники);
– родители (законные представители);
– сотрудники центра;
– соискатели (при приёме на работу).
Раздел 4. Перечень персональных данных
– ФИО ребёнка и дата рождения;
– ФИО родителей, контакты (телефон, e-mail, адрес);
– паспортные данные родителей (для договора);
– сведения о месте учёбы ребёнка (при необходимости);
– данные сотрудников (ФИО, паспорт, ИНН, СНИЛС, трудовые сведения).
Раздел 5. Место хранения базы
Локальные компьютеры центра и сервер хостинг-провайдера (на территории РФ). Трансграничная передача не осуществляется.
Рекомендации и выводы
Детский центр должен обязательно указать категории «дети» и «родители», так как именно эти группы субъектов являются ключевыми. В целях лучше сразу прописать «заключение и исполнение договоров» и «информирование», чтобы избежать вопросов. Важно помнить: если собираются данные о здоровье (например, справки, медицинские ограничения), это уже «специальные категории» ПДн, и их нужно обосновывать отдельно.
