1. Определить, являются ли сведения и информация, которую вы получаете от физических лиц, персональными данными (далее – ПД).
ПД – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее – субъект ПД).
2. Определить, являются ли ваши действия обработкой ПД.
Обработкой ПД являются любые действия или операции, которые организация (оператор ПД) проводит с ними (автоматизированным или неавтоматизированным способом), в том числе сбор, систематизация, хранение, уточнение, использование, распространение, удаление.
3. Определить цель обработки ПД.
До начала обработки ПД необходимо определить законную, заранее определенную и конкретную цель, закрепив ее в самом соглашении в локальных нормативных актах (например, «осуществление рекламной СМС-рассылки»).
4. Получить согласие от субъекта ПД на обработку.
Рекомендуется получать согласие в письменной форме, включив в указанную форму:
- ФИО субъекта ПД, паспортные данные
- наименование оператора ПД;
- перечень обрабатываемых ПД;
- способы обработки ПД;
- действия, совершаемые с ПД;
- цели обработки ПД;
- срок согласия на обработку ПД (порядок отзыва согласия).
Если Вы получаете согласие через форму на сайте, обязательно убедитесь в технической возможности подтверждения получения согласия.
4.1. В случае передачи третьим лицам (организациям) прав по обработке ПД необходимо включить в форму согласия наименования (реквизиты) таких организаций,осуществляющих обработку ПД по поручению оператора.
5. Контролировать в ходе обработки ПД соблюдение целевого характера обработки.
Это подразумевает, что организация (оператор) не должна обрабатывать избыточные данные (никак не связанные с осуществляемой деятельностью); оператор должен обеспечивать точность и актуальность ПД и вести раздельные базы ПД, если цели обработки не совместимы между собой.