К персональным данным относятся имя и фамилия, номер телефона, адрес электронной почты, паспортные данные, фотографии, сведения о местоположении и другая информация, по которой можно установить личность конкретного человека. Оператором считается тот, кто определяет цели сбора данных и что с ними будут делать дальше.
Поэтому если компания собирает такие сведения через сайт, приложение, анкету или договор, она считается оператором персональных данных. Например, медицинская клиника, фитнес-клуб и даже служба доставки подходят под это определение. Практически любой бизнес, который взаимодействует с людьми и получает от них информацию, обязан соблюдать требования законодательства о персональных данных.
Еще до начала обработки личных сведений операторы должны подать в Роскомнадзор уведомление о намерении обрабатывать персональные данные, чтобы ведомство добавило их в соответствующий реестр. От этого освобождаются некоторые государственные органы, компании, связанные с транспортной безопасностью, и организации, где персональные данные обрабатываются вручную.
Также специалисты должны обеспечивать безопасность информации, использовать личные сведения только в законных целях и не передавать их третьим лицам без веских оснований. Они обязаны уведомлять каждого человека, какие именно его данные собираются, для каких целей и как долго информация будет храниться. Пользовательское соглашение выступает отдельным документом. Например, оно может понадобиться при оформлении заказа, записи к врачу, трудоустройстве или регистрации на сайте. Без такого разрешения организация не имеет права законно использовать персональные данные человека.