Кроме изменений в приёме платежей от физлиц с 1 июля 2017 ужесточаются штрафы за нарушения в области защиты персональных данных.
Из статьи на сайте Тинькова следует, что если у вас на сайте есть форма для регистрации на семинар, курс или личную консультацию, то вы являетесь оператором персональных данных. Поэтому вы должны:
- получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
- публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
- запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
- использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
- сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
- удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
- хранить базы данных в надежном месте, защищать их от взлома и утечки;
- научить сотрудников работать с персональными данными;
- зарегистрироваться в Роскомнадзоре.
В статье по ссылке выше всё подробно разобрано, здесь повторять не буду.
Что можно сделать, не привлекая дорогого юриста
Я обратился в ГБУ Малый бизнес Москвы за юридической консультацией. Там меня уверили, что если я не собираю паспортные данные, а ограничиваюсь ФИО, имейлом, телефоном и городом, то персональные данные я не собираю.
С другой стороны, статья утверждает обратное, плюс в ней приводятся ссылки на реальные судебные дела.
Поэтому я ограничился тем, что в форме для регистрации добавил пункт, отмечая который клиент соглашается на передачу персональных данных. Его я взял из формы Теплицы социальных технологий, надеюсь, они не против.
В дальнейшем я планирую зарегистрироваться в Роскомнадзоре, а также добавить на сайт пользовательское соглашение и политику обработки персональных данных. Вот как это реализовано у Таймпада: в пункте 7 пользовательского соглашения описывается работа с персональными данными, и там есть ссылка на скан политики обработки персональных данных.