other_letter

Ну для начала давайте разберёмся какие именно данные Вы будете собирать.
Допустим, ФИО + номер телефона.
ФИО - это уже то, что надо защищать.
Однако, если данные обрабатываются в целях исполнения Договора - отдельного согласия, например, не нужно.
Потому сперва определяетесь какие данные и как Вы будете обрабатывать, вносите это счастье прямо в Договор (собственно вероятно, что они там уже будут) и добавляете в Договор что-то типа "осуществление информирования о новых товарах и услугах" и это даст право время от времени звонить.
В целом это всё.

Но это в случае, если Вы с нуля бизнес делаете. Если же раньше вели бизнес в гугл-доке (условно), а сейчас решили внедрить ERP - перечитайте документацию, которая имеется. Вероятно, делать вообще ничего не нужно (практически всегда там общие фразы про автоматизированные способы обработки и хранения) ну или вписать рядом название вашей ERP (в большинстве случаев сертифицировать её не надо).

САМОЕ ВАЖНОЕ: сделать хоть что-то поверхностно, не забивать. При таком раскладе в случае проверки будет требование на фикс, а не приостановка.

Не хотите нанимать специалиста - почитайте сами.
Нигде не требуется отдельной формы. Оператор один? Значит и соглашение одно. Оставьте в FAQ или где-то в футере ссылку и всего делов.
По кукам - ХЗ что Вы там храните. Если ПДн есть - значит, надо. Если нету - зачем?
И почитайте внимательно что именно имеется ввиду под ПДн. Если у Вас простая форма обратной связи - заморачиваться не стоит. Можете даже сократить до одного поля "имя" и всё. Игорь с номером телефона - не ПДн

Чтобы получить ответ на этот вопрос Вам придётся рассказать много больше:
1. Что именно защищаете
2. Модель нарушителя
...ибо защитить всё от кого угодно не выйдет. Даже если не нужно оффлайна, - можно вскрыть сниффером. Шифруете? ОК, есть админ. Админ слепоглухонемой и верит в бога? ОК, есть уборщица, которая оставит камеру в админской. Нет уборщицы? ОК, есть спецслужбы, которые внедрят микромикрокамеру...

Всегда будет некий предел, который преодолевать невыгодно. Который отделяет вашу модель нарушителя от бесконечности. И этот предел зависит от п.1 - что защищаете.

Так что и от кого хотите защитить?

Отвечая на вопрос "в лоб" - законно.
Номер паспорта не является персонифицирующим.
Однако, ФИО+серия+номер паспорта - уже вполне. Хотя и тут можно поспорить (см. разъяснение ФМС что они считают паспортными данными)

Аххааха...
"У одной девушки с её парнем..." (с)

От обычного гэбэшника защищено примерно всё. Чтобы получить доступ к вотсапу человека недостаточно поставить бутылку Михалычу или светануть корочкой.

Попробуйте зайти с другого конца.
Побеседуйте с вопрошающими и уточните - зачем они спрашивают.
Вполне может быть, что банально кто-то из руководства при покупке ПО требует (есть что-то такое в законодательстве и профильных инструкциях - как обычно мутное). Тогда надо действовать одним способом. А если они всерьёз интересуются - не скачали ли вы код где-то и теперь выдаёте за свой - то вопрос уже другой

Делайте иначе.
Нуждайтесь не в ФИО заказчика, а в:
1. Название организации
2. контактное мыло организации
3. контактный телефон организации
4. контактное лицо организации

...и всего делов. Вы не собираете данные о персоне.

К тому же ПДн бывают персонифицирующими или нет. Грубо - группа крови является персональными данными, но по ней найти человека никак. Так вот ФИО не является таковыми. Предполагается, что только по ФИО у нас человека найти нельзя.

Для простоты будем считать, что телефон это именно что телефон. Старенький, не смартфон. В таком случае и правда можно считать, что производитель ОС или сборщик своих закладок не наделал.
Также оговоримся, что на телефоне нет никаких интерфейсов типа FM-передатчика, BT, WiFi, IR и т.д.

Остаётся один реальный и один надуманный способ.

Сперва надуманный - в теории можно попробовать использовать телефон как псевдоантенну. Он будет резонировать от отружающих звуков. Ну, грубо говоря - это как снимать изображение с монитора. Почему надуманный? Потому как мне видится это околонаучной ересью, жутко сложно в настройке, куча неизвестных...

Теперь реальный. ОПСОС вполне реально может снимать голос с микрофона. Подтверждений тому, что так делают, убедивших меня, я не видел. Но техническая форможность - безусловно - есть.

Остальное уже от дыр в технологиях - старая версия протокола блютуса, говорилочка типа Сири в ожидании по идее тоже снимает звук...

Очень сложно ответить, честно. Как полагаю, живёте Вы в России?
Писать в спортлото без толку. Никому лучше от этого не будет, а вероятность, что Вас сольют Вашему же шефу - весьма высока. Кто там что будет говорить - выслушаю, но не поверю.
Сейчас тут жизнь такова, что у всякого есть "знакомый фээсбэшник", который как раз и строчит такие запросы и уж он-то узнает, кто написал жалобу. Если шеф раньше не догадается.

Потому советую жалоб не писать.

Теперь с другой стороны. Кто просит? Непосредственный начальник? Есть возможность обсудить это с его начальником? Вот это может быть подейственнее, но тоже может аукнуться.

Сказать что не умеете никак?

Ну и как вариант, чтобы и волки и овцы... Взломайте и честно напишите конкурентам что да как. По мне так самый рабочий вариант:
1. Начальник будет доволен
2. Вы покажете себя перед ним молодцом
3. Не сотворите бяку особенную
4. Будете рыцарем хоть и в испачканных, но белых доспехах
5. Вдруг конкурент ещё денег предложит? За исправление косяков
...а после исправления косяков начальнику можно и на непробиваемую броню пожаловаться. Мол, больше никак...

Решения через СКУД дороги и непросты в эксплуатации. Увы, ноутбук - это отчуждаемое устройство. Более-менее грамотный технарь сделает с ним, всё, что угодно.
Ставьте задачу пополнее. Нужно ли уносить ноутбуки с работы? Если да - нужно и там работать с конф. данными?

Если это большое начальство, против которого не попрёшь - просто смиритесь.

Да не будет, не волнуйтесь.
Это если отвечать на настоящий вопрос.
Если на заданный - будет. С т.з. Закона это персональные данные. Но Закон разделяет на те, которые являются идентифицирующими и нет. То есть просто фото - неидентифицирующее, просто ФИО - тоже. Их сочетание - уже да. Предполагается, что у обычного человека нет доступа к базам мобильных номеров и тому подобному.

Я тоже про электронную очередь, но иначе.
1. пароль на AP меняется раз в N времени (среднее время ожидания в очереди * 1,5)
2. печатается на квиточке. Нужно понимать, что одновременно работающих паролей будет несколько.

Собственно, всё. Несколько паролей затем, чтобы не получилось, что человек только пришёл, а его пароль через 2 минуты истекает. Думаю, что можно сделать вообще индивидуальный пароль.

при таком раскладе получаем, что сотрудник, которых хочет вайфая, должен будет регулярно бегать за талончиком. Это будет заметно. В ситуации, когда клиент оставляет талончик, а сотрудник берёт пароль уже с него, будет не так заметно, но всё же - вопрос небольшого времени.

Но в общем можно заморочиться и фильтром по MAC, конечно.

Также есть возможность докрутить шифровалку к ThеBat!
Но я пользуюсь тем же, что NakonechnyS

Для себя я такой вопрос вообще не ставлю. Если Вы хотите шифровать что-то от, например, менеджера, который решил тупо своровать диск при увольнении - то разницы в общем-то нет. Если Вы шифруете, например, от конкурентов - то БитЛокер я не готов рассматривать. Вы когда-нибудь слышали про услуги по расшифровке ТС? А с БитЛокером такие есть. Как минимум есть возможность привлечь для этого Микрософт.