Уважаемая Дана, приветствую Вас на форуме клерка!
Это считается персональными данными (ПД), если вы их получаете, вы оператор.
Как брать согласие сильно зависит, что вы будете потом делаться этими данными. Если например вы будете рассылать потом рекламу или звонить с предложениями - нужно отдельное согласие, причем заметное, а не мелкое.
Если ПД потом будут передаваться третьим лицам, нужно быть еще одно согласие в виде отдельного документа. Т.е. увеличится количество бумаг, это нужно делать, т.к. сейчас значительно увеличили штрафы и сроки давности сделали большими, чтобы можно было бы привлечь к ответственности.
Если данные будут обрабатываться в электронном виде и куда-то передаваться, то там будут еще требования к оборудованию и в зависимости от количества обрабатываемых данных вам будут присваиваться статус вплоть до того, что вам нужно будет регистрироваться в Роскомнадзоре (РКН). То же касается сбора ПД в интернете, там целый комплекс мероприятий выйдет.
Самый простой способ, когда клиент подписывает договор и представляет адрес ФИО и телефон
Письменное согласие можно в виде приложения к договору оформлять. Пункты, которые обязательно должно содержать письменное согласие (это регулируется п. 4 ст. :9 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) “О персональных данных”)
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Т.е. для согласия все равно потребуется номер паспорта, например. В согласии нужно обязательно обосновывать каждую цифру, например, хранить информацию нужно 3 года и вы обосновываете это там необходимостью сервиса, претензионной работой, т.к. срок давности 3 года. Т.е. ничего лишнего не дольно быть. Например, номер паспорта можно, а его копия - уже нарушение.
Немаловажно наладить и уничтожение ПД, назначить ответственных, т.к. если станет известно, что НД куда распространились организация может быть очень серьезно наказана.
Если клиент откажется представлять ПД, ему нельзя отказать в сделке, это будет нарушением. Органично это может выйти только если там есть некий пропускной режим.