Психолог и закон о защите персональных данных

Кроме изменений в приёме платежей от физлиц с 1 июля 2017 ужесточаются штрафы за нарушения в области защиты персональных данных.

Из статьи на сайте Тинькова следует, что если у вас на сайте есть форма для регистрации на семинар, курс или личную консультацию, то вы являетесь оператором персональных данных. Поэтому вы должны:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

В статье по ссылке выше всё подробно разобрано, здесь повторять не буду.

Что можно сделать, не привлекая дорогого юриста

Я обратился в ГБУ Малый бизнес Москвы за юридической консультацией. Там меня уверили, что если я не собираю паспортные данные, а ограничиваюсь ФИО, имейлом, телефоном и городом, то персональные данные я не собираю.

С другой стороны, статья утверждает обратное, плюс в ней приводятся ссылки на реальные судебные дела.

Поэтому я ограничился тем, что в форме для регистрации добавил пункт, отмечая который клиент соглашается на передачу персональных данных. Его я взял из формы Теплицы социальных технологий, надеюсь, они не против.

В дальнейшем я планирую зарегистрироваться в Роскомнадзоре, а также добавить на сайт пользовательское соглашение и политику обработки персональных данных. Вот как это реализовано у Таймпада: в пункте 7 пользовательского соглашения описывается работа с персональными данными, и там есть ссылка на скан политики обработки персональных данных.