Политика обработки персональных данных при работе онлайн-школ

Если на сайте есть форма заявки, чтобы потенциальный клиент оставил имя и телефон/e-mail, значит мы собираем персональные данные.

Позиция госорганов о том, что относится к персональным данным и какие данные считать обезличенными, периодически меняется. Для простоты исходим из того, что любые сведения о клиенте — персональные данные.

Нужно ли получать согласие?

По общему правилу — да.

Но есть случаи-исключения. Например, согласие не нужно, если обработка данных происходит исключительно с целью исполнить договор с клиентом.

Именно поэтому если клиент сначала дал согласие, а потом его отозвал, договор с ним автоматически не прекращается. Продолжаем исполнять свои обязательства, просто не можем, например, продать долг коллекторам, если клиент не заплатит.

С 1 марта 2021 года вступят в силу изменения в закон, по которым согласие на распространение персональных данных субъекта надо получить отдельно. Если мы намерены выложить в открытый доступ описание кейса или отзыв клиента с упоминанием сведений о нем, нужно получить недвусмысленное согласие именно на такой способ использования его данных.

Нужно ли заявлять о себе как об операторе персональных данных в Роскомнадзор?

Формально по закону — нужно.

По последней практике — не нужно, если не передаете собранные данные третьим лицам. Но практика изменчива.

Нужна ли политика обработки персональных данных на сайте?

Нужна. Ее отсутствие легко заметить, а разместить ее несложно. Поэтому это именно то требование законодательства о персональных данных, которое большинство исполняет.

Что должно быть в политике?

Под обработкой персональных данных закон понимает любое действие с данными: и сбор, и уничтожение, и просто хранение.

В политике прописываем, для чего мы собираем данные, что собираемся с ними делать, порядок действий, если субъект данных попросит сообщить ему, какие данные про него у нас есть, а затем захочет их исправить или уничтожить.

Нужно ли еще что-то делать, кроме политики — на сайт?

Да, нужно обеспечить безопасное хранение персональных данных, защитив их с помощью технических средств, и описать это во внутренних документах. С этим помогают компании, специализирующиеся на защите информации.

Малому бизнесу соблюсти все необходимые требования очень непросто и достаточно дорого. К счастью, я пока не сталкивалась со штрафами именно в адрес малого бизнеса за несоблюдение технических мер защиты персональных данных.