Персональные данные - любая информация, которая относится к конкретному физическому лицу. Ими являются, в том числе: ФИО, паспортные данные, адрес, данные о поле, возрасте, семейном и финансовом положениях, контактная информация (номер телефона, e-mail), а также техническая информация, собираемая на сайте для целей аналитики (IP-адрес, тип браузера и пр.).

Оператором персональных данных признается любое лицо, которое собирает, хранит и иным образом использует (обрабатывает) персональные данные. На практике почти любая компания, даже не имеющая сотрудников, которая использует форму обратной связи на сайте или просто собирает данные о пользователях сайта в целях аналитики, будет иметь дело с персональными данными.

Оператором может быть не только юридическое лицо (в том числе иностранная компания), но и ИП, самозанятые, простые граждане.

Лицо становится оператором и обязано соблюдать закон о персональных данных с момента начала обработки персональных данных, а не с момента включения в реестр операторов персональных данных Роскомнадзора или какого-то иного момента.

• Подать уведомление об обработке персональных данных в Роскомнадзор для включения в реестр операторов персональных данных (требуется не всегда!)

• Разработать и разместить на сайте политику конфиденциальности и согласие на обработку персональных данных

• Разработать и утвердить внутренние документы в области персональных данных

• Правильно оформлять и отбирать согласия на обработку персональных данных, которые должны быть получены в письменной форме (требуется не всегда!)

• Правильно организовать хранение и защиту персональных данных, в том числе, с точки зрения передачи данных за рубеж и размещения серверов, применяемых для обработки персональных данных, на территории России

За нарушение закона о персональных данных на компанию и ее должностных лиц может быть наложен штраф, размер которого зависит от конкретного правонарушения. Так, обработка персональных данных без согласия субъекта персональных данных в письменной форме (когда оно необходимо) может стоить компании 150 000 рублей за каждый случай, а использование для обработки персональных данных серверов, которые не находятся в России, - 6 000 000 рублей. Также Интернет-сайты, на которых собираются или размещаются данные граждан с нарушением закона, могут быть заблокированы Роскомнадзором.

Если ваша компания выходит на зарубежный рынок и планирует оказывать услуги иностранным контрагентам, вы можете неизбежно столкнуться с необходимостью соблюдать иностранное законодательство о защите персональных данных. Так, если вы продаете товары или оказываете услуги на территории Европейского Cоюза (независимо от наличия компании или представительства в Европе), ваш сайт переведен на европейские языки и доступен жителям ЕС, то необходимо соблюдать требования Регламента ЕС № 2016/679 (GDPR), чтобы избежать штрафов. В том числе нужно разместить на сайте политику конфиденциальности, составленную в соответствии с правилами GDPR. То же касается и работы на рынке других стран, в том числе США.