Политика обработки персональных данных при работе онлайн-школ

Если на сайте есть форма заявки, чтобы потенциальный клиент оставил имя и телефон/e-mail, значит мы собираем персональные данные.

Позиция гос. органов о том, что относится к персональным данным и какие данные считать обезличенными, периодически меняется. Для простоты исходим из того, что любые сведения о клиенте – персональные данные.

Нужно ли получать согласие?

По общему правилу – да.

Но есть случаи – исключения. Например, согласие не нужно, если обработка данных происходит исключительно с целью исполнить договор с клиентом.

Именно поэтому если клиент сначала дал согласие, а потом его отозвал, договор с ним автоматически не прекращается. Продолжаем исполнять свои обязательства, просто не можем, например, продать долг коллекторам, если клиент не заплатит.

С 01.03.2021г. вступили в силу изменения в закон, по которым согласие на распространение персональных данных субъекта надо получить отдельно. Если мы намерены выложить в открытый доступ описание кейса или отзыв клиента с упоминанием сведений о нем, нужно получить недвусмысленное согласие именно на такой способ использования его данных.

Нужно ли заявлять о себе как об операторе персональных данных в Роскомнадзор?

Формально по закону – нужно.

По последней практике – не нужно, если не передаете собранные данные третьим лицам. Но практика изменчива.

Нужна ли политика обработки персональных данных на сайте?

Нужна. Ее отсутствие легко заметить, а разместить ее несложно. Поэтому это именно то требование законодательства о персональных данных, которое большинство исполняет.

Что должно быть в политике?

Под обработкой персональных данных закон понимает любое действие с данными: и сбор, и уничтожение, и просто хранение.

В политике прописываем, для чего мы собираем данные, что собираемся с ними делать, порядок действий, если субъект данных попросит сообщить ему, какие данные про него у нас есть, а затем захочет их исправить или уничтожить.

Нужно ли еще что-то делать, кроме политики – на сайт?

Да, нужно обеспечить безопасное хранение персональных данных, защитив их с помощью технических средств, и описать это во внутренних документах. С этим помогают компании, специализирующиеся на защите информации.

Малому бизнесу соблюсти все необходимые требования очень непросто и достаточно дорого. К счастью, я пока не сталкивалась со штрафами именно в адрес малого бизнеса за несоблюдение технических мер защиты персональных данных.