Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Сбор персональных данных: новые требования для компаний с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Закон отдельно упоминает комплекс задач, которые должен решать оператор для обеспечения защиты персональных данных. Они указаны в ст. 19 закона. Задачи относятся к нескольким группам – правовым, организационным, техническим. Их выполнение должно гарантировать защиту ПД от утечек, уничтожения, неправомерного доступа, разглашения.

Рекомендации по составлению Политики

Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.

Обратите внимание: рекомендации изданы в целях выработки унифицированного подхода к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.

Итак, исходя из Рекомендаций, в Политику надо включить такие разделы:

Основные права и обязанности оператора персональных данных

В ФЗ-152 нет четкого упоминания о том, на что имеет право предприятие, муниципальный, государственный орган или физическое лицо, осуществляющее операции с ПДн. Прописаны только права субъектов на доступ к информации, принятие решения при автоматизированной обработке, обжалование бездействия либо действий организации. Определение того, что конкретно могут делать операторы, представлено в согласии на обработку ПДн, которое подписывает гражданин, и соответствующем уведомлении в РКН. Речь может идти о:

• сборе и накоплении;
• анализе и систематизации;
• уточнении (коррекции либо дополнении);
• извлечении и использовании;
• передаче третьим лицам;
• блокировке и обезличивании;
• уничтожении и удалении.

Меры по обеспечению безопасности ПД

Закон предписывает проводить защитные мероприятия в комплексе:

• разработать релевантную модель угроз безопасности персональных данных с учетом рекомендаций ФСТЭК РФ;
• применять сертифицированные ведомством программные и технические средства, позволяющие обеспечить безопасность ПД при их обработке;
• оценивать эффективность применяемых мер еще до введения в действие информационной системы обработки персональных данных;
• создать систему учета и защищенного хранения съемных и стационарных носителей информации;
• внедрить систему выявления инцидентов информационной безопасности и фактов несанкционированного доступа к данным;
• организовать механизм резервного хранения и восстановления ПД, поврежденных или утраченных из-за несанкционированного доступа;
• установить систему дифференцированного доступа к информационным ресурсам, содержащим персональные данные;
• поддерживать техническое и программное состояние сетевой инфраструктуры в соответствии с требованиями закона и регулятора.

По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.

Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному. В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия. Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:

Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.

Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

В каких случаях потребуется уведомление Роскомнадзора

С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• получаемых и обрабатываемых в рамках трудового законодательства;
• получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
• относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
• разрешенных физлицом для распространения;
• включающих в себя только фамилии, имена и отчества физлиц;
• необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

Иностранный оператор должен соблюдать принципы и правила обработки персональных данных, предусмотренные Законом 152-ФЗ.

Следует иметь ввиду, что возможно и иное толкование положений Закона 152-ФЗ. В частности, если рассматривать передачу ПД иностранным операторам как поручение, то в силу п. 3 ст. 6 Закона 152-ФЗ иностранный оператор должен соблюдать принципы и правила обработки персональных данных, предусмотренные Законом 152-ФЗ.

Окончательная судебная практика по вопросу толкования норм о локализации не сформировалась. Все «разъяснения», «комментарии», «толкования» и «рекомендации» не являются источниками права, поэтому должны восприниматься как оценочные суждения отдельных лиц, не являющимися обязательными для применения.

Конечную точку во всех спорах может поставить только ВС РФ, в частности, правоприменительная судебная практика. Поэтому до ее формирования следует быть предельно осторожным в выборе условий обработки персональных данных граждан РФ.

Порядок хранения и использования персональных данных работников

Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:

1. Подготовить пакет организационно-распорядительной документации. 2. Привести процессы работы с персональными данными в соответствие с законом. 3. Реализовать техническую защиту персональных данных в информационных системах. 4. Хранить базы с персональными данными на территории Российской Федерации.

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.

Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Здесь

вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Персональные данные: успеть обеспечить защиту! Часть 2

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Роскомнадзор дал операторам срок до конца февраля 2021 года, чтобы выполнить эти требования.

Независимо от сферы деятельности оператора, он обязан взять у субъекта персональных данных разрешение и указать период его действия.

Согласно положению 8 статьи 9 Федерального закона, принятого 27 июля 2006 года, «О персональных данных», согласие на обработку работника, пациента или клиента в обязательном порядке должно включать в себя срок действия и способ отзыва разрешения.

Оператору предоставляется также два способа обозначить период действия разрешения субъекта – вписав четкую дату или воспользовавшись стандартной в юридической практике фразой: «Настоящее согласие действует с момента подписания и до дня отзыва». Желательно продумать и способ подачи отзыва, например, только в письменной форме.

Закон разрешает собирать информацию о пользователях только на территории России. Это значит, что компании не могут пользоваться услугами зарубежных хостинг-провайдеров, если работают с персональными данными. Чтобы не нарушать требование закона, перенесите сайт на российских хостинг.

Некоторые международные хостинг-провайдеры имеют серверы в России. В таких случаях переносить сайт на новый хостинг не придётся: просто договоритесь, чтобы его разместили на российских серверах.

Будьте осторожны с конструкторами сайтов. Обычно они используют собственные зарубежные хостинги, даже если работают с полной поддержкой русского языка. В таких случаях лучше заранее уточнять, где находятся серверы. Если Роскомнадзор обнаружит, что сервер с вашим сайтом расположен за рубежом, сайт заблокируют, а вам могут выписать штраф (о размерах мы рассказали в последнем разделе).

Закон содержит исчерпывающий перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор. К таким случаям относятся:

Если вы осуществляете обработку персональных данных, при этом ваша деятельность не подпадает под перечисленные выше случаи, вам необходимо до начала обработки персональных данных направить в Роскомнадзор уведомление.

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

• 6–10 тыс. руб. — на граждан;
• 20–40 тыс. руб. — на должностных лиц;
• 30–150 тыс. руб. — на юридических лиц.

ВНИМАНИЕ! С 27.03.2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

Обязательно ли уведомление об обработке данных?

Оператор до начала обработки персональных данных обязан уведомить о своем намерении уполномоченный орган по защите прав субъектов персональных данных (п. 1 ст. 22 Закона об обработке персональных данных). Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Закона, является Россвязькомнадзор, разработавший форму такого уведомления и Рекомендации по ее заполнению (Приложения 1 и 2 к Приказу N 08) . На основании уведомления организации регистрируют в реестре операторов, после чего они могут на законных основаниях обрабатывать данные клиентов.

Приказ Россвязькомнадзора от 17.07.2008 N 08 «Об утверждении формы образца уведомления об обработке персональных данных».

Как и в отношении получения согласия на обработку персональных данных, есть ряд исключений, когда компании не нужно уведомлять контролирующие органы. Для операторов связи отдельного исключения для освобождения от подачи уведомления не предусмотрено, поэтому обратимся к общим основаниям. В частности, организация вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку личных сведений работников, которых с операторами связывают трудовые отношения. Заметим, в этом контексте не идет речь о гражданско-правовых отношениях, поэтому к лицам, работающим по договорам подряда или возмездного оказания услуг, применить указанную норму не удастся. В таком случае следует прибегнуть к другой норме, которая позволяет обрабатывать персональные данные без предварительного уведомления управления Россвязькомнадзора.

Общие рекомендации по выполнению требований Закона № 242-ФЗ

Операторам информационных систем с ПДн (далее – ИСПДн), обрабатывающим персональные данные граждан РФ, следует соблюдать следующие принципы:

• сбор ПДн, в том числе с территории иностранных государств, ведется только в БД на территории РФ;
• объем и актуальность ПДн, хранящихся в БД на территории РФ, должны быть равны или превосходить соответствующие показатели в отношении ПДн, хранящихся в зарубежных БД;
• получение новых ПДн посредством использования (анализа) имеющихся ПДн, которые были собраны в БД на территории РФ и переданы за рубеж, может производиться с помощью зарубежных БД и без предварительной локализации в РФ1.

В начале августа 2015 г. Минкомсвязь на своем сайте открыла раздел «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года». В нем предлагаются разъяснения и ответы на вопросы, подготовленные на основании информации, полученной от представителей бизнеса, научного сообщества и органов государственной власти (Совета Федерации, Минкомсвязи, Роскомнадзора). Роскомнадзор в ноябре 2021 г. опубликовал свой комментарий к Закону № 242-ФЗ. Следует обратить внимание, что публикуемые в этих источниках разъяснения иногда противоречат друг другу2.

На текущий момент несколько органов государственной власти высказали свою позицию, которая суммирует результаты толкования ими требований Закона № 242-ФЗ в отношении размещения БД с данными российских граждан. Необходимо отметить, что нижеприведенные интерпретации норм не всегда могут считаться официальными разъяснениями, так как не все эти органы, например Роскомнадзор, наделены таким правомочием.

Позиция Государственно-правового управления Президента РФ

• Обработка ПДн российских граждан должна осуществляться с использованием БД, находящихся на территории РФ, если только в конкретной ситуации не применимы случаи, указанные в п. 2, 3, 4, 8 ч. 1 ст. 6 Закона № 152-ФЗ.
• В Законе № 242-ФЗ отсутствует упоминание о дублирующих БД или актуальных копиях данных.
• Исходя из положений ч. 1 ст. 1 Закона № 242-ФЗ он распространяется на всех операторов.
• Запреты, установленные в Законе № 242-ФЗ, распространяются и на те ПДн, которые были ранее переданы за пределы РФ.

Позиция Роскомнадзора

• Роскомнадзор при проведении проверок опирается на определение БП с ПДн. Согласно ему БД можно считать таблицу в формате Excel, Word, в которой содержится информация о ПДн граждан или иным образом упорядоченный массив ПДн, в том числе поддающийся обработке при помощи ЭВМ3.
• В Законе № 242-ФЗ отсутствует запрет на трансграничную передачу ПДн, так как ст. 12 Закона № 152-ФЗ не подверглась изменениям. Обработка ПДн посредством их передачи, в том числе на территорию иностранного государства, является трансграничной передачей. Допускается передача ПДн российских граждан, содержащихся в БД, находящихся в РФ, в том числе на территорию иностранных государств, в порядке и в соответствии с условиями, определенными законодательством о ПДн.
• Нормы Закона № 152-ФЗ не применяются за пределами территории РФ. Зарубежная обработка ПДн регулируется нормативными правовыми актами тех стран, в которых она осуществляется.
• Порядок определения оператором места нахождения БД с ПДн нормативно закрепляться не будет.
• Формирование и актуализация БД с ПДн российских граждан должны осуществляться на территории РФ. Требования Закона № 242-ФЗ не позволяют осуществлять отдельные процедуры, в том числе «хранение ПДн» в БД на территории иностранного государства.
• Каждый случай, в котором при сборе ПДн будет осуществляться одновременное хранение БД на территории РФ и иностранного государства, будет являться нарушением Закона № 242-ФЗ, поскольку оператор при сборе ПДн допустит их хранение в БД за пределами РФ. После сбора ПДн, т.е. после формирования БД на территории РФ, недопустимо изменение условий ее хранения путем переноса БД на территорию иностранного государства.
• Операторы должны самостоятельно определять процедуру установления гражданства субъекта ПДн. Если у оператора возникли трудности или сомнения в правильной идентификации гражданства субъектов ПДн, то он может осуществлять хранение ПДн этих субъектов в БД, размещенных на территории РФ.

Позиция Минкомсвязи

• Субъект ПДн имеет право дать согласие на обработку своих ПДн и предоставить их любому юридическому или физическому лицу, находящемуся как на территории РФ, так и за ее пределами.
• Оператор по-прежнему обладает правом поручить обработку ПДн иностранному лицу и осуществлять трансграничную передачу ПДн. Например, российские дочерние организации могут передавать ПДн своих работников в глобальные ИС (HR-системы, ERP-системы и т.п.), операторами которых являются иностранные материнские компании или иные организации.
• ИСПДн может обладать географически распределенной структурой. Часть ее элементов может находиться за пределами РФ.
• Применение дублирующих БД, находящихся на территории РФ или за ее пределами, прямо не запрещено действующим законодательством РФ.
• Нормы Закона № 152-ФЗ применимы только на территории РФ, а Конвенция о защите физических лиц при автоматизированной обработке персональных данных ETS от 28 января 1981 г. № 108 имеет приоритет над этим законом. Соответственно, иностранные лица не обязаны соблюдать его требования за пределами РФ, и они не подлежат юридической ответственности, предусмотренной действующим законодательством РФ.
• Закон № 242-ФЗ обратной силы не имеет. Следовательно, его положения не распространяются на правоотношения с иностранными лицами, ведущими БД с ПДн, оформленные до 1 сентября 2015 г.
• На деятельность авиакомпаний, осуществляемую в рамках реализации международного договора РФ или федерального закона, не распространяется положения ч. 5 ст. 18 Закона № 152-ФЗ об обязательной локализации БД с ПДн на территории РФ.
• Обработка ПДн для целей, не предусмотренных международным договором РФ или законом, может быть осуществлена оператором в рамках исполнения требований, предусмотренных ч. 5 ст. 18 Закона № 152-ФЗ, путем размещения в центрах обработки данных на территории РФ БД, содержащей ПДн граждан РФ, большего размера или аналогичного объему ПДн, передаваемому на территорию иностранного государства.

В целом вышеописанные позиции иллюстрируют два обобщенных подхода органов госвласти к толкованию норм Закона № 242-ФЗ:

• жесткий подход Государственно-правового управления Президента РФ и Роскомнадзора: запрещено все, что прямо не разрешено законом;
• мягкий подход Минкомсвязи: разрешено все, что прямо не запрещено законом.

Требования к сроку хранения персональных данных по ФЗ-152

Абсолютно любые операции с Ф.И.О., адресом и другими сведениями, которые дают возможность идентифицировать гражданина, предполагают следование установленным законом требованиям. То есть работодатель не может произвольно решить, как долго будут сохраняться ПДн, как он их будет использовать и т.д. Все эти процессы регулируется ФЗ-152. Кроме определения терминов и других общих положений в документе содержатся статьи, регламентирующие сроки обработки и хранения персональных данных, а также сам процесс их применения. Вот главные моменты:

• нахождение в базе личной информации и на материальных носителях не должно быть дольше, чем время, необходимое на выполнение задач, ради которых она была собрана;
• когда цели получения и обработки выполнены, запрещено продолжать хранить ПДн. Их требуется обезличить и уничтожить в установленном законом порядке, если нет других предусмотренных законом обстоятельств этого не делать;
• уничтожению подлежат те сведения, необходимость в которых, по тем или иным причинам отпала;
• нельзя выполнять какие-либо операции до получения письменного согласия от субъекта в установленной форме либо после того, как владелец отозвал ранее предоставленное разрешение;
• оператор обязуется в период использования личной информации обеспечивать её защиту от распространения и кражи третьими лицами, а за нарушение этого правила он несет как административную, так и уголовную ответственность.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

• любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
• регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
• форма заказа обратного звонка — какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
• рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
• отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
• возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть. Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки. Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

Примеры:

• для заказа авиабилетов нужны паспортные данные, для доставки пиццы — нет;
• для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза — нет;
• для бронирования билета в кино — вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. — персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.

Похожие записи:

• Кто вправе выйти на пенсию досрочно в 2023 году?
• Можно ли сдать обратно антенну в магазин
• Как правильно подать на развод в 2022 году?