Персональные данные. чек-лист на 2022-2023 годы

Уничтожение персональных данных

С первого марта 2023 года вступают в силу утвержденные приказом Роскомнадзора от 28.10.2022 №179 Требования к подтверждению уничтожения персональных данных (далее – Требования).

По новым правилам подтверждением уничтожения персональных данных является Акт об уничтожении персональных данных, который должен содержать:

• наименование оператора;
• ФИО субъекта персональных данных;
• ФИО, должность лиц, уничтоживших персональные данные, их подпись;
• перечень категорий уничтоженных персональных данных;
• наименование уничтоженного материального носителя, содержащего персональные данные и наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
• способ уничтожения персональных данных;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных.

При автоматизированной обработке персональных данных в дополнение к указанному акту следует осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных. В отличие от Акта, выгрузка должна содержать в себе меньшее количество информации, а именно:

• ФИО субъекта персональных данных;
• перечень категорий уничтоженных персональных данных;
• наименование информационной системы;
• причину и дату уничтожения персональных данных.

Указанные документы могут быть оформлены как на бумажном носителе, так и в электронной форме.

Процедура

С марта 2023 года, чтобы уничтожить персональные данные (ПД), надо будет сформировать комиссию, которая проведет процедуру. Подтвердить уничтожение сведений нужно будет двумя документами: актом об уничтожении ПД и выгрузкой из журнала регистрации событий в информационной системе ПД.

Если компания обрабатывает данные без информсистем, понадобится только акт. Срок хранения документов — три года. Электронный акт с цифровой подписью будут равнозначным бумажному. (Приказ Роскомнадзора от 28.10.2022 N 179)

Уничтожают персональные данные после того, как истечет срок их хранения или компания достигнет цели обработки документов, если сроки их хранения закон не определяет. Например, нет причин оставлять в кадрах копию свидетельства о рождении ребёнка, после того как назначили работнику пособие по уходу за ребенком.

Для уничтожения ПД необходимо соблюдать следующий алгоритм:

• Этап № 1. Установить порядок уничтожения персональных данных. Разработать локальный акт об уничтожении персональных данных, это может быть также включено в Положение о ПД. В нем прописать, в каких случаях компания уничтожает личные данные. Определите, какие способы для этого использовать.
• Этап № 2. Создать комиссию по уничтожению ПД.
• Носители, которые содержат ПД, уничтожать в специально отведенном для этих целей помещении компании. Ее состав и полномочия утверждаются соответствующим приказом. В состав комиссии входят председатель и как минимум еще два сотрудника. Также нужно включать в комиссию работника, ответственного за обработку документов, которые планируется уничтожить.
• Этап № 3. Зафиксировать уничтожение ПД. Отразить в специальном акте, что уничтожены документы, которые содержат ПД работников. Требования к такому акту с 1 марта 2023 года устанавливает Приказ Роскомнадзора от 28.10.2022 N 179.

Уничтожайте персональные данные по новым правилам

Ирина Остапчук, руководитель практики по сопровождению IP- и IT-сделок Semenov&Pevzner:

Когда надо уничтожить данные

Оператор обязан уничтожить персональные данные:

• по требованию субъекта ПД, если данные неполные, устаревшие, неточные, получены незаконно или не являются необходимыми для заявленной цели обработки. Срок уничтожения – 7 рабочих дней со дня, когда субъект ПД сообщил о «дефектности» данных (ч. 1 ст. 14, ч. 3 ст. 20 Закона № 152-ФЗ);
• если выявили неправомерную обработку ПД и ее правомерность обеспечить невозможно. Срок уничтожения – 10 рабочих дней с даты выявления нарушения (ч. 3 ст. 21, п. 3 ч. 3 ст. 23 Закона № 152-ФЗ);
• если достигли цели обработки ПД. Срок уничтожения – 30 дней с даты достижения этой цели при условии, что иное не предусмотрено договором с субъектом ПД (ч. 4 ст. 21 Закона № 152-ФЗ);
• если субъект ПД отозвал согласие на обработку данных и их сохранение более не требуется для целей обработки. Срок уничтожения – 30 дней с даты поступления отзыва, если иное не предусмотрено договором с субъектом ПД (ч. 5 ст. 21 Закона № 152-ФЗ).

Если компания не может уничтожить ПД в указанные сроки, то необходимо заблокировать данные и обеспечить их уничтожение в течение 6 месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).

Если Роскомнадзор принял решение о запрете трансграничной передачи данных, оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным гражданином или организацией ранее переданных им ПД (ч. 14 ст. 12 Закона № 152-ФЗ). Однако срок, в течение которого оператор должен обеспечить такое уничтожение, в законе не указан.

Как уничтожать данные

Оператор может сам выбрать способ уничтожения данных и закрепить его в своей политике по обработке ПД. Главное, чтобы этот способ исключал возможность восстановления данных.

Для бумажных и других материальных носителей, например CD-дисков, это может быть физическое уничтожение – сжигание, пропуск через шредер и т.д. Для уничтожения данных в электронной форме оператор может привлечь специализированные компании.

Чем подтвердить уничтожение данных

С 1 марта 2023 г. подтверждать уничтожение ПД надо в соответствии с требованиями, установленными в Приказе Роскомнадзора от 28 октября 2022 г. № 179.

• Если данные обрабатываются без автоматизации, то для подтверждения их уничтожения понадобится акт.
• Если данные обрабатываются с использованием средств автоматизации или осуществляется смешанная обработка, то необходимы акт и выгрузка из журнала регистрации событий в информационной системе персональных данных.

Акт и выгрузка из журнала должны содержать сведения, которые обозначены в Приказе Роскомнадзора № 179. Если система не позволяет указать какие-то сведения, их нужно внести в акт вручную. Акт и выгрузку из журнала необходимо хранить 3 года с момента уничтожения ПД.

Что нужно сделать в ближайшее время

1. Проверить поручение на обработку персональных данных

В новой редакции Закона были конкретизированы требования ко всем обработчикам, как к отечественным, так и к иностранным. В ч. 3 ст. 6 указано, что именно должно быть определено в поручении на обработку (перечень персональных данных, перечень действий с персональными данными, цели их обработки и т.д.). Российский обработчик несет ответственность перед оператором, а тот, в свою очередь, перед субъектами. В случае если иностранное физическое или юридическое лицо является обработчиком, оно будет нести совместную с оператором ответственность перед субъектами персональных данных (ч. 6, ст. 6).

2. Отказаться от избыточного сбора биометрии

У субъекта появилось право отказать в предоставлении биометрических персональных данных. C сентября 2022 г. предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона. При этом оператор не вправе отказывать в обслуживании субъекту, который отказался предоставлять биометрические персональные данные и (или) согласие на их обработку (ч. 3, ст. 11).

3. Проверить договоры с субъектами персональных данных

Обратите внимание на изменения в ст. 6: теперь заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных

Что относится к персональным данным физического лица

Отношения, возникающие по поводу обработки персональных данных регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Ключевым понятием, вокруг которого вертится все остальное, является понятие самих персональных данных.

В соответствии с п. 1 ст. 3 указанного закона это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Из этого определения следуют два важных вывода:

1. Субъектом персональных данных может быть только физическое лицо. Сведения о юридическом лице не являются и не могут являться персональными данными.
2. Чтобы сведения о физическом лице признавались персональными данными, они должны позволять идентифицировать его.

С первым выводом все понятно. Со вторым возникает серьезный вопрос: при каких условиях информация, имеющая отношение к человеку, начинает рассматриваться как персональные данные? Что является персональными данными по закону?

При ответе на этот вопрос выделяют два подхода:

1. Это только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.
2. Это любая информация, которая имеет отношение к физическому лицу и позволяет выделить его из общей массы людей.

Но это теоретические подходы. Правильный выбор затруднен из-за отсутствия в законе перечня примеров возможных видов персональных данных. В определенной степени этот пробел восполняется судебной практикой.

Например, в Определении Верховного Суда РФ от 24.06.2015 № 18-АПГ15-7 указано:

Апелляционное определение Санкт-Петербургского городского суда от 13.12.2016 N 33-26115/2016 по делу N 2-3830/2016 повторяет то же самое.

Особого внимания заслуживает информация, которую пользователи оставляют на посещаемых сайтах в сети Интернет. Анализ самой последней судебной практики (в частности, Постановления Девятого арбитражного апелляционного суда № 09-АП-17574/2016 от 23.05.2016 по делу № А40-14902/2016) позволяет сделать вывод, что сведения об IP-адресе пользователя, cookie, сведения о географическом местоположении устройства пользователя и т. п. тоже считаются персональными данными.

В целом суды придерживаются первого подхода — к персональным данным относится только та информация, из которой можно сделать однозначный вывод о том, что речь идет о конкретном человеке.

Обычно это связка «имя» и что-то еще. Например, номер мобильного телефона. Или адрес электронной почты. Или те же cookie и иные метаданные.

Поэтому если на сайте есть какая-либо форма для заполнения пользователями, в которой есть поле «Имя», то вместе с передаваемыми метаданными (IP, cookie) вся эта информация будет относиться к персональным данным, а значит владелец этого интернет-ресурса является оператором их обрабатывающим.

Если совсем по-простому, то при наличии на вашем сайте формы обратной связи, то вы обрабатываете персональные данные. А если есть форма подписки, как у меня, то и подавно.

Роскомнадзор придерживается позиции, что персональные данные — это любая информация, относящаяся к физическому лицу. Такую информацию озвучивает само ведомство. Факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных.

Отговорка «я не обрабатывают персональные данные, я их только собираю», не сработает.

Согласно п. 3 ст. 3 Закона № 152-ФЗ обработкой персональных данных является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Эти действия включают в себя:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение персональных данных.

Так что сбор персональных данных уже является их обработкой. За что можно получить штраф и как исключить этот риск? Об этом читайте далее.

>

Обязанность хранить доказательства уничтожения ПД в течение 3 лет

Изменения в российском законодательстве, которые нас ждут

Изменение №1

Появляется новое основание, за несоблюдение которого могут оштрафовать (раньше за это не наказывали рублем). Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа:

• на граждан — в размере от 10 до 20 тысяч рублей;
• на должностных лиц — от 40 до 100 тысяч рублей;
• на индивидуальных предпринимателей — от 100 до 300 тысяч рублей;
• на юридических лиц — от 300 до 500 тысяч рублей.

Организация, физическое или юрлицо, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия владельца ПДн, если это не предусмотрено федеральным законом.

Любая передача ПДн (распространение, предоставление, доступ) является незаконной без согласия владельца ПДн и является нарушением конфиденциальности его ПДн.

Если ПДн сотрудников были переданы без их письменного согласия, то во-первых, это противозаконно, а во-вторых, за подобные действия будут штрафовать.

Вот типовые ситуации, которые будут подпадать под данную статью:

1. Передача ПДн работников третьим лицам:

• в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
• в охранное предприятие в целях взаимодействия и реагирования;
• в медицинские организации в целях проведения медицинских осмотров;
• в страховые компании по договорам добровольного медицинского страхования;
• в образовательные организации в объеме превышающем требования закона об образовании;
• в целях организации командировок и участия в выставках;
• в других целях, напрямую не связанных с должностными обязанностями сотрудника.

2. Передача ПДн клиентов, представителей клиентов, поставщиков, партнеров третьим лицам в целях:

• организации мероприятий, маркетинговых акций, рекламы; 
• размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
• сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.

3. Получение ПДн без подтверждения наличия согласия от человека или иных законных оснований у передающей стороны.

4. Предоставление доступа к ПДН внутри организации сотрудникам без должного документального оформления (должностные обязанности и/или локальные нормативные акты).

Изменение №2

Ответственность за не обезличивание персональных данных теперь несут не только государственные и муниципальные органы власти, но и все операторы.

По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека. 

В новом КоАП предполагается распространить ответственность за не обезличивание персональных данных с государственных и муниципальных органов власти на всех операторов. Все операторы будут обязаны обезличивать ПДн, которые обрабатывают.

Невыполнение подобных требований влечет предупреждение или наложение административного штрафа для всех операторов ПДн в размере от 3 до 6 тысяч рублей. Штрафы небольшие, но можно предположить, что это только начало.

Unsplash

О неопределенности

Помимо четких позитивных и негативных моментов, новая редакция Закона оставила «висящими в воздухе» множество вопросов

Два из них касаются классификации информационных систем, обрабатывающих персональные данные, и моделирования угроз, причем второй вопрос носит достаточно технический характер, и, на мой взгляд, пока не стоит акцентировать на нем внимание (тем более что в новой редакции он отдан «на откуп» Правительству РФ, которое и определяет актуальные угрозы для операторов ПДн). Классификация ИСПДн — вот более интересный вопрос

Теперь можно считать, что такого понятия, как «классификация ИСПДн», просто нет — ему на смену пришел термин «уровень защищенности». И если по старой редакции закона защитные меры зависели от класса ИСПДн и модели угроз, то в новой версии ФЗ-152 зафиксирована иная логическая последовательность — защитные меры зависят от требований по безопасности, определяемых уровнем защищенности, которые, в свою очередь, зависят от модели угроз. И содержание этих трех упомянутых понятий определяет Правительство РФ. 

Старый ФЗ — класс ИСПДн определяется в зависимости от объема и типа ПДн; — класс и модель угроз определяют защитные меры; — класс определяется оператором

Новый ФЗ — понятие «классификации ИСПДн» отсутствует; — вводится понятие «уровень защищенности»; — уровень защищенности зависит от угроз; — уровни защищенности определяются Правительством РФ

Заканчивается ли на этом перечень всех вопросов, который вызывает закон? Безусловно, нет. Несмотря на то что с момента принятия новой редакции закона прошел уже целый квартал, операторы ПДн продолжают сталкиваться в своей работе с большим числом неопределенностей. И причина этого кроется в том, что у нас в стране сейчас есть только один федеральный закон, который хотя и не отменил уже существующие нормы, но по ставил знак вопроса над имеющимися подзаконными актами  постановлениями Правительства РФ и нормативными документами регуляторов.

 

Согласно имеющейся у автора статьи информации Правительство РФ в настоящее время готовит к выходу (предположительно в ноябре 2011 г.) девять новых постановлений, разъясняющих и уточняющих новые правила обработки персональных данных. При этом часть этих постановлений будет ориентирована на государственные и муниципальные органы, а другая часть — на коммерческие предприятия. За ними должны последовать и подзаконные акты ФСТЭК и ФСБ, отвечающие за информационную безопасность персональных данных. Озвученная дата выпуска первой партии требований по защите  второй квартал 2012 г., а весь набор подзаконных актов будет готов к концу следующего года.

Какие данные относятся к персональным

Основной нормативный акт, который регулирует работу с персональными данными, это закон № 152-ФЗ от 27.07.2006. Но проблема в том, что этот документ не содержит полного перечня ПД, да и само понятие нельзя назвать однозначным.

Есть также Указ Президента РФ от 06.03.1997 № 188, где персональными данными называют «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность».

Кроме того, существуют Методические рекомендации Роскомнадзора (приказ от 30.05.2017 № 94), в котором перечислены некоторые персональные данные. К ним совершенно точно относятся:

• ФИО человека;
• полная дата и место рождения;
• адрес жительства;
• семейное, социальное и имущественное положение;
• образование, профессия, доходы.

Отдельно стоит сказать про номер ИНН, по которому можно получить много другой информации о человеке. Это уникальный набор цифр, который присваивается один раз в течение жизни. По своей сути ИНН тоже должен относится к персональным данным, потому что позволяет однозначно идентифицировать физическое лицо.

При этом есть письма Минфина (от 28.01.2020 № 03-01-11/4925, от 12.02.2020 № 03-01-11/9505 и другие), в которых ведомство указывает, что ИНН применяется только для учёта налогоплательщиков и не может признаваться персональными данными.

Можно спорить, так это или нет, но надо знать, что мнения разных госорганов не всегда совпадают, а судебная практика по одной и той же ситуации бывает противоречивой. С учётом этого стоит всё-таки относить ИНН к персональным данным.

Основные изменения законодательства о персональных данных

Не будет преувеличением назвать последние изменения в законодательстве о персональных данных самыми масштабными с момента принятия Закона № 152-ФЗ.

Одним предложением эти изменения можно описать так — ужесточение ответственности за допускаемые операторами при обработке персональных данных нарушения.

Что же именно изменилось?

1. Перечень нарушений конкретизирован. Если раньше ст. 13.11 КоАП РФ устанавливала ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах, то сейчас предусмотрено семь самостоятельных составов правонарушений.
2. Размер штрафов значительно вырос. По старой редакции ст. 13.11 КоАП РФ самый большой штраф, который можно было получить, составлял 10 тыс. рублей для юридических лиц. Сейчас верхняя планка для них — 75 тыс. руб. И это только за одно правонарушение!
3. Раньше возбудить дело по ст. 13.11 КоАП РФ могла только прокуратура, у которой других забот хватает. Теперь к административной ответственности будет привлекать непосредственно сам Роскомнадзор, который давно этого ждал. Так что наказывать за нарушения при обработке персональных данных будут чаще.

Это главное, что стоит уяснить. А сейчас давайте подробно проанализируем новую редакцию ст. 13.11 КоАП РФ.

Краткий обзор закона №152-ФЗ

Основным законом, регулирующим обработку персональных данных различными субъектами, является Федеральный закон «О персональных данных» от 27.07.2006 года №152-ФЗ (далее – закон 152-ФЗ).

Под его сферу попадают субъекты, которые осуществляют действия по обработке персональных данных с применением средств автоматизации (учитывая информационно-телекоммуникационные сети), либо без использования таких средств, при условии, что подобные действия позволяют совершать поиск или предоставлять доступ к персональным данным в базах, размещенных на материальном носителе или находящихся в картотеках, либо других систематизированных собраниях данных.

Не попадают под сферу регулирования закона 152-ФЗ следующие действия:

• Обработка чужих персональных данных физическими лицами для собственных нужд (личных и семейных), при условии, что такая обработка не нарушает права владельца персональных данных;
• Действия по организации архивов, которые попадают в сферу регуляции законодательства об архивном деле в РФ;
• Обработка персональных данных, которые содержат сведения, отнесенные в соответствии с действующим законодательством РФ, к государственной тайне;
• Персональные данные, относящиеся к деятельности судов, предоставленные в порядке, закрепленном соответствующими законодательными актами.

В п. 1 ст. 3 закона 152-ФЗ закреплено понятие «персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъекты, которые совершают действия по обработке персональных данных, называются «операторы». Расшифровка этого понятия закреплена в п. 2 ст. 3 закона 152-ФЗ: «оператор» – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

П.3 ст.3 закона 152-ФЗ раскрывает понятие «обработка персональных данных» – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Учитывая вышесказанное, можно подытожить, что действие закона 152-ФЗ распространяется, кроме прочего, на всех предпринимателей и организации, которые в процессе своей деятельности берут у клиентов данные, относящиеся к персональным, и осуществляют их обработку.

Вступающие в силу с 01.09.2016 года изменения в закон 152-ФЗ, будут вносить серьезные коррективы в деятельность бизнес структур и организаций, которые расширили свой бизнес в сеть Интернет и при помощи собственных сайтов собирают определенные персональные данные.

Нюансы, о которых надо знать

В целом все риски довольно очевидны, хотя каждый из них можно рассмотреть более подробно. Если будете соблюдать «технику безопасности», то штрафы вам не грозят.

Тем не менее очень важно иметь в виду некоторые моменты. Мало того, что размер штрафов вырос, раньше он вообще был один

Т. е. до 1 июля за невыполнение требования об удалении персональных данных и за отсутствие письменного согласия на их обработку юридическое лицо получило бы один штраф не более 10 тыс. рублей

Мало того, что размер штрафов вырос, раньше он вообще был один. Т. е. до 1 июля за невыполнение требования об удалении персональных данных и за отсутствие письменного согласия на их обработку юридическое лицо получило бы один штраф не более 10 тыс. рублей.

Сейчас это два самостоятельных состава и два штрафа — до 45 тыс. рублей и до 75 тыс. рублей соответственно.

Это первое. Далее…

Многие риски касаются не только индивидуальных предпринимателей и юридических лиц. Да, я указывал размеры штрафов только для них. Но ответственность предусмотрена также для обычных граждан.

Так что блогерам, веб-мастерам, у которых есть свои сайты, тоже не стоит расслабляться и как минимум озаботиться составлением и размещением на сайте политики в отношении обработки персональных данных пользователей.

Продумайте и меры безопасности. Если пользуетесь каким-либо сервисом рассылок, то придумайте надежный пароль. Банальная рекомендация, но сколько уже веб-мастеров, блогеров и интернет-предпринимателей погорело на этом. И все не впрок. Базы клиентов и подписчиков продолжают «уводить».

Еще один вопрос, который волнует многих владельцев сайтов — так ли уж необходимо уведомлять Роскомнадзор об осуществлении обработки персональных данных? Напомню, такая обязанность предусмотрена ч. 1 ст. 22 Закона № 152-ФЗ.

Да, в ч. 2 этой статьи указываются исключения из правила. Например, без уведомления вправе обрабатывать персональные данные своих работников работодатель (там вообще свои правила, см. главу 14 ТК РФ).

Перечень исключений не очень широкий

Но советую обратить внимание на п. 2 ч

2 ст. 22 Закона № 152-ФЗ:

Роль договора на сайте играет пользовательское соглашение, на основании которого обрабатываются персональные данные. Это договор, заключаемый путем клика мышью (click-wrap соглашение).

А чтобы полностью обезопасить себя от претензий Роскомнадзор лучше и уведомление направить. Тем более это будет первый документ, который Роскомнадзор запросит в случае проверки. А оправдываться, что, дескать, я обрабатываю данные на основании пользовательского соглашения и т. д. скорее всего придется уже через суд при обжаловании наложенного штрафа.

В целом эти изменения можно оценить, как… позитивные. Да, именно так. Хоть обработка персональных данных с 1 июля 2017 года стала головной болью для предпринимателей, веб-мастеров и даже обычных блогеров, надо признать, что многих из них надо дисциплинировать. До сих пор отношение к персональным данным пользователей и покупателей в сети Интернет было довольно безалаберным даже у крупных игроков на этом рынке.

Сплошь и рядом «сливы» и взломы баз данных, а также то самое не соответствующее целям неправомерное использование сведений и сбор «избыточных» данных о пользователе.

Очень часто людей даже не раздражает, а бесит чересчур агрессивная реклама и навязчивая активность бизнеса. Некоторые по нескольку раз в день (!) бомбят своих подписчиков письмами с призывом «купи, купи, купи». Особенно раздражает, когда от такой рассылки не удается отписаться с первого раза.

Поэтому эти изменения в законодательство о персональных данных — повод четко определить принципы работы с персональными данными и исходя из них грамотно выстроить бизнес-процессы, маркетинговую политику и программы лояльности.