Мерзликин Алексей Борисович
Добрый день! В вашем случае вы обязаны уведомить Роскомнадзор, так как являетесь оператором по обработке персональных данных в силу вашей коммерческой деятельности. Все требования по обработке персональных данных закреплены в 152 ФЗ. Персональные данные любые данные о человеке, по которым его можно опознать. Точного перечисления таких данных в законе нет, но например, номер телефона, электронная почта к этому относится, также ФИО, информация о действиях на сайте, товары добавленные в корзину.Владельцы сайтов могут использовать файлы куки, например, для показа таргетированной рекламы или отправки напоминаний об оставленных в корзине товарах. Так как перечня персональных данных в законе нет, нельзя точно сказать, входят ли куки в понятие «персональных данных». Но на практике суды и Роскомназдор признают обработку информации, собираемой при помощи куки, обработкой персональных данных. Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных. На сайте, где собираются данные пользователей, обязательно нужно разместить Политику обработки персональных данных. Это документ, в котором описано, какие именно данные и для какой цели вы собираете, как храните и обрабатываете, а также кому вы можете передавать эти данные. Политика обязательно должна содержать:
ссылку на сайт, к которому она применяется;
ФИО или название организации, которая получает согласие посетителя сайта;
цели обработки персональных данных.
Целью может быть отправка пользователям рассылки или предоставление доступа к образовательным материалам. Если вы собираете cookie, это также нужно указать в политике как отдельную цель. Для каждой цели укажите:
кто передаёт вам данные (категории субъектов персональных данных). Это могут быть посетители сайта, ваши сотрудники, кандидаты на вакансии;
категории и перечень данных о пользователях, которые вы получаете;
способы и сроки обработки и хранения данных,
порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Согласно части 3 статьи 13.11 кодекса РФ об административных правонарушениях за отсутствие политики обработки персональных данных на сайте можно получить штраф в размере от 30 до 60 тысяч рублей. Обработка персональных данных пользователей без их согласия наказывается штрафом в размере от 300 до 700 тысяч рублей за первое нарушение и от 1 до 1, 5 миллиона рублей — за повторное. (ст. 13.11 КоАП РФ).
Владелец сайта должен уведомить Роскомнадзор об обработке персональных данных. Это можно сделать на портале персональных данных. Если оператор уже подал такое уведомление — это нужно сделать заново по новой форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.
В законе есть три исключения, когда можно не подавать уведомление:
когда обрабатываемые данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
когда данные обрабатываются в рамках исполнения законодательства по устойчивому функционированию транспорта и обеспечению безопасности там;
когда персональные данные обрабатываются без использования средств автоматизации — только на материальных носителях.
Пользователи могут запрашивать у владельцев сайта, для каких целей собирают их данные, как они обрабатываются, где хранятся и так далее. Раньше у компании был месяц для ответа на обращение, теперь — 10 рабочих дней.
Подготовьтесь к таким запросам заранее и закрепите во внутренних документах срок ответа. Если человек потребует прекратить обработку его персональных данных — оператор обязан это сделать также в течение 10 дней.
Если компания проигнорирует запрос пользователя или ответит после окончания положенного срока, её оштрафуют на сумму от 40 до 80 тысяч рублей.
С 1 сентября 2022 года пользователь также имеет право не предоставлять персональные данные, которые не нужны для исполнения договора. Например, если покупатель оформляет у вас доставку товара в пункт выдачи, а вы запрашиваете его домашний адрес, человек может не предоставлять вам эти данные. Если вы откажете пользователю в доставке, то есть в исполнении договора, и он потребует объяснить, почему это произошло, нужно ответить в короткие сроки: на письменный запрос — в течение 7 дней, на устный — незамедлительно.
К более расширенной информации по всем вопросам обработки персональных данных вам придется обратиться к услугам юридической фирмы или юриста, так как в одном ответе невозможно все нюансы вам рассказать.