Если на сайте есть форма заявки, чтобы потенциальный клиент оставил имя и телефон/e-mail, значит мы собираем персональные данные.
Позиция гос. органов о том, что относится к персональным данным и какие данные считать обезличенными, периодически меняется. Для простоты исходим из того, что любые сведения о клиенте – персональные данные.
Нужно ли получать согласие?
По общему правилу – да.
Но есть случаи – исключения. Например, согласие не нужно, если обработка данных происходит исключительно с целью исполнить договор с клиентом.
Именно поэтому если клиент сначала дал согласие, а потом его отозвал, договор с ним автоматически не прекращается. Продолжаем исполнять свои обязательства, просто не можем, например, продать долг коллекторам, если клиент не заплатит.
С 01.03.2021г. вступили в силу изменения в закон, по которым согласие на распространение персональных данных субъекта надо получить отдельно. Если мы намерены выложить в открытый доступ описание кейса или отзыв клиента с упоминанием сведений о нем, нужно получить недвусмысленное согласие именно на такой способ использования его данных.
Нужно ли заявлять о себе как об операторе персональных данных в Роскомнадзор?
Формально по закону – нужно.
По последней практике – не нужно, если не передаете собранные данные третьим лицам. Но практика изменчива.
Нужна ли политика обработки персональных данных на сайте?
Нужна. Ее отсутствие легко заметить, а разместить ее несложно. Поэтому это именно то требование законодательства о персональных данных, которое большинство исполняет.
Что должно быть в политике?
Под обработкой персональных данных закон понимает любое действие с данными: и сбор, и уничтожение, и просто хранение.
В политике прописываем, для чего мы собираем данные, что собираемся с ними делать, порядок действий, если субъект данных попросит сообщить ему, какие данные про него у нас есть, а затем захочет их исправить или уничтожить.
Нужно ли еще что-то делать, кроме политики – на сайт?
Да, нужно обеспечить безопасное хранение персональных данных, защитив их с помощью технических средств, и описать это во внутренних документах. С этим помогают компании, специализирующиеся на защите информации.
Малому бизнесу соблюсти все необходимые требования очень непросто и достаточно дорого. К счастью, я пока не сталкивалась со штрафами именно в адрес малого бизнеса за несоблюдение технических мер защиты персональных данных.