152-ФЗ и онлайн-запись клиентов: чек-лист для салона и мастера

Онлайн-запись кажется простой технической функцией: клиент выбирает услугу, мастера и время. Но в этот момент бизнес обычно получает персональные данные: имя, телефон, комментарий к визиту, выбранную услугу, дату и историю обращений. Если запись идёт через сайт, виджет, мессенджер или CRM, эти данные нужно рассматривать не как «обычные заявки», а как обработку персональных данных.

Это не юридическая консультация, а рабочий чек-лист перед запуском онлайн-записи: что проверить в форме, документах, согласиях и внутренних процессах, чтобы не запускать запись вслепую. Для конкретного процесса нужна юридическая проверка с учётом модели бизнеса, роли платформы, роли салона и фактического состава данных.

Какие данные появляются в онлайн-записи

Минимальная форма записи часто собирает только имя и телефон. Этого уже достаточно, чтобы относиться к данным внимательно: по телефону и имени можно определить клиента или связаться с ним.

В реальном сервисе данных обычно больше:

• имя клиента;
• номер телефона;
• email или аккаунт мессенджера;
• выбранная услуга;
• мастер;
• дата и время визита;
• комментарий клиента;
• статус записи;
• история переносов и отмен;
• согласия с документами;
• IP-адрес и User-Agent при подтверждении согласий.

Если бизнес работает в сфере красоты, массажа, психологии или здоровья, нужно отдельно оценивать, не появляются ли в комментариях или карточке клиента чувствительные сведения. Например, клиент может написать о состоянии кожи, самочувствии, аллергии или другой личной информации. Даже если форма не просит такие сведения, пользователь может добавить их сам.

Кто такой оператор в контексте записи

В 152-ФЗ оператором считается лицо, которое организует обработку персональных данных, определяет цели, состав данных и действия с ними. Для онлайн-записи важно не путать техническую платформу и бизнес-процесс салона.

Салон или мастер обычно определяет, зачем собираются данные: записать клиента, оказать услугу, напомнить о визите, вести историю обращений. Платформа предоставляет инструмент, но фактические роли сторон должны быть описаны в документах и договорных отношениях.

На практике перед запуском стоит ответить:

• кто определяет цели обработки данных клиента;
• кто хранит клиентскую базу;
• кто отвечает на запрос клиента о его данных;
• кто может выгрузить, исправить или удалить данные;
• кто отправляет сервисные уведомления;
• кто отправляет рекламные сообщения, если они есть;
• передаются ли данные третьим лицам.

Если ответы не зафиксированы, бизнес может думать, что всё «закрывает сервис», а сервис может считать, что ответственность за цели обработки лежит на бизнесе. Такой разрыв лучше закрыть до запуска.

Цели обработки должны быть понятны

Для формы онлайн-записи цель обработки не должна звучать слишком широко. Формулировка вроде «для любых целей компании» создаёт риск: клиент не понимает, зачем именно нужны его данные.

Рабочие цели лучше разделять:

• создание и сопровождение записи;
• связь с клиентом по визиту;
• отправка сервисных уведомлений;
• ведение клиентской истории;
• обработка обращений и жалоб;
• рекламные сообщения только при отдельном согласии.

Сервисные уведомления и маркетинг не стоит смешивать в одном тексте и одном чекбоксе. Напоминание о завтрашнем визите помогает исполнить запись. Рассылка акции или предложение новой услуги - это уже продвижение, для которого нужно отдельно проверить правовое основание и согласие клиента.

Согласия: что проверить в форме

Если в процессе используется согласие на обработку персональных данных, оно должно быть отдельным и понятным. Его не стоит прятать в длинный текст рядом с кнопкой так, чтобы клиент не понимал, на что соглашается.

Проверьте форму записи:

• если используется согласие, есть ли отдельный понятный чекбокс на обработку персональных данных;
• есть ли ссылка на политику обработки персональных данных;
• есть ли отдельное согласие на рекламные сообщения, если они используются;
• не проставлены ли рекламные согласия заранее;
• фиксируется ли факт согласия;
• сохраняются ли дата, IP-адрес и User-Agent;
• можно ли доказать, какую версию документов видел клиент.

В Podzapis.ru обязательные согласия отделены от рекламного согласия, а история согласий хранится отдельно. Это полезный паттерн: сервисная запись не должна зависеть от того, согласился ли клиент на рекламу.

Политика обработки персональных данных

Если сайт или сервис собирает персональные данные через интернет, у пользователя должен быть доступ к политике обработки персональных данных. Это не декоративная ссылка в футере, а документ, который объясняет, какие данные собираются, для каких целей, кто оператор, какие права есть у субъекта данных и как связаться по вопросам обработки.

Для онлайн-записи в политике стоит проверить:

• кто указан оператором;
• какие категории данных собираются;
• какие цели относятся к записи, уведомлениям и клиентской базе;
• где опубликованы контактные данные оператора;
• описаны ли сроки или условия хранения;
• описан ли порядок отзыва согласия;
• есть ли информация о передаче данных третьим лицам;
• есть ли отдельная логика для рекламных сообщений.

Документ должен соответствовать фактическому процессу. Если политика обещает одно, а форма и CRM делают другое, проблема не решена наличием страницы.

Уведомление Роскомнадзора

Один из важных пунктов для бизнеса - проверить, нужно ли подавать уведомление об обработке персональных данных в Роскомнадзор. В статье 22 152-ФЗ установлено общее правило уведомления до начала обработки и исключения из него. После изменений последних лет исключения стали уже, поэтому этот пункт нельзя решать по старым статьям из поиска.

Практический подход:

1. Описать, какие данные собираются
2. Описать цели обработки
3. Проверить, используется ли автоматизированная обработка
4. Проверить, есть ли передача через интернет
5. Сверить ситуацию с актуальной редакцией закона
6. При сомнении получить юридическую проверку

На портале персональных данных Роскомнадзора форма уведомления показывает, какие сведения обычно требуются: данные оператора, цели обработки, категории персональных данных, категории субъектов, правовые основания, действия с данными, способы обработки, меры защиты, ответственный, сроки обработки, сведения о трансграничной передаче и местонахождении баз данных.

Даже если по конкретной ситуации уведомление не требуется, эта структура полезна как checklist: она заставляет описать процесс обработки не общими словами, а по пунктам.

Что хранить внутри сервиса

Для онлайн-записи важно хранить не только саму заявку, но и доказуемые события вокруг неё.

Минимально полезны:

• дата и время создания записи;
• выбранная услуга и мастер;
• контакт клиента;
• статус записи;
• история изменений статуса;
• факт согласия с условиями и политикой;
• факт согласия на обработку персональных данных, если согласие используется как основание;
• отдельный факт рекламного согласия, если оно дано;
• дата и технические реквизиты согласия;
• история отмен или переносов.

Это нужно не ради бюрократии. Если клиент спрашивает, почему ему пришло сообщение, кто изменил запись или на каком основании обрабатываются его данные, бизнес должен иметь нормальный ответ.

Какие данные лучше не собирать

Чем меньше данных нужно для записи, тем проще контролировать процесс. Для обычной записи чаще всего достаточно имени, телефона, услуги, времени и комментария. Паспортные данные, адрес проживания, дата рождения, фото документов и медицинские сведения не нужны для стандартной записи в салон.

Если бизнесу кажется, что дополнительные данные «могут пригодиться», лучше задать вопрос: какая конкретная цель, где это описано, кто увидит данные и когда они будут удалены. Если ответа нет, поле лучше не добавлять.

Особенно осторожно стоит относиться к комментариям. Если клиент пишет чувствительную информацию, доступ к таким комментариям должен быть ограничен, а сотрудники должны понимать, что нельзя пересылать их в общие чаты без необходимости.

Сервисные уведомления и реклама

Служебные уведомления о записи и рекламные рассылки нужно разделять.

Служебные уведомления:

• запись создана;
• запись подтверждена;
• визит скоро;
• запись перенесена;
• запись отменена.

Реклама:

• скидка на услугу;
• акция к празднику;
• предложение повторного визита;
• новости салона;
• подборка услуг.

Для рекламы нужен отдельный контроль правового основания, согласия и возможности прекратить такие сообщения по требованию клиента. Обязательное согласие для записи не стоит использовать как автоматическое разрешение на маркетинг.

Чек-лист перед запуском онлайн-записи

Перед тем как отправить ссылку клиентам, проверьте:

• опубликована ли политика обработки персональных данных;
• проверено ли правовое основание обработки данных, включая согласие там, где оно используется;
• не смешаны ли обязательные согласия и рекламная рассылка;
• фиксируется ли факт согласия;
• понятны ли цели обработки данных;
• понятно ли, кто оператор;
• описаны ли роли платформы и бизнеса;
• не собираются ли лишние данные;
• проверен ли вопрос уведомления Роскомнадзора;
• есть ли порядок удаления или исправления данных;
• ограничен ли доступ сотрудников к клиентской базе;
• есть ли план действий при ошибочной отправке или утечке.

Если хотя бы часть ответов неизвестна, запуск лучше не останавливать автоматически, но юридическую проверку нужно поставить в план до масштабирования.

Как это связано с Podzapis.ru

В Podzapis.ru онлайн-запись строится вокруг услуги, мастера, времени, статуса и контакта клиента. В проекте предусмотрены обязательные согласия, отдельное рекламное согласие, юридические документы и история согласий. Это помогает не смешивать сервисный процесс записи с маркетингом.

Но наличие технической функции не отменяет обязанность бизнеса проверить свои документы, цели обработки и роли сторон. Если салон использует свою политику, свои рекламные рассылки или выгружает клиентскую базу в другие сервисы, это тоже должно быть описано и проверено.

FAQ

Нужно ли согласие на обработку персональных данных для онлайн-записи?

Во многих сценариях согласие используется, потому что клиент передаёт имя, телефон и сведения о визите. Но конкретное правовое основание зависит от процесса. Перед запуском формы нужно проверить согласие, политику и договорные основания с юристом.

Можно ли сделать один чекбокс для всего?

Лучше разделять обязательные согласия для записи и отдельное согласие на рекламные сообщения. Рекламная рассылка не должна быть условием обычной записи.

Нужно ли уведомлять Роскомнадзор?

Это нужно проверять по актуальной редакции статьи 22 152-ФЗ и фактическому процессу обработки. Без проверки не стоит полагаться на старые исключения или общие советы из интернета.

Какие данные не стоит собирать в форме записи?

Не стоит собирать данные, которые не нужны для записи: паспорт, адрес проживания, лишние сведения о здоровье, документы и другие чувствительные данные. Чем меньше лишних полей, тем проще соблюдать принципы обработки.

Достаточно ли просто поставить ссылку на политику?

Нет. Ссылка важна, но процесс должен соответствовать документу: цели, состав данных, сроки хранения, согласия, доступ сотрудников и действия при запросе клиента должны работать на практике.