Как не «накосячить» при организации Программы Лояльности…

Для уверенности в том, чтобы в дальнейшем не возникало проблемных ситуаций, связанных с претензиями клиентов, советую проштудировать сам закон «О персональных данных», благо он невелик.

http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=117587

Особое внимание следует уделить Главам 2, 4 вышеуказанного закона.

Постарайтесь в своей деятельности максимально соответствовать его положениям и «нежелательных» прецедентов удастся избежать.

-------------------------------------------------------------------------------

Что касается практики применения положений закона и судебной практики по указанной тематике…
http://www.garant.ru/action/interview/373047/

Ну и в довесок, просто немного полезной информации о самой программе лояльности…
ms.korusconsulting.ru/netcat_files/2866/2635/h_e65d3a13a1eb735a89012ddbe68f72c7

К персональным данным Закон N 152-ФЗ относит следующую информацию: фамилию, имя, отчество гражданина; год, месяц, дату и место рождения; адрес; семейное положение; социальное положение; имущественное положение; сведения об образовании; сведения о профессии; сведения о доходах; другие сведения, относящиеся к определенному или определяемому на основании такой информации физическому лицу.

Для установления единых организационно-правовых требований к обращению с персональными данными целесообразно ввести в действие в организации соответствующие правила обработки персональных данных.

Более подробно почитайте статью "Организация работы с персональными данными" Тьевар А.Ю., "Зарплата", 2011, N 11.

Главное - отбирать подпись покупателя под его согласием на обработку персональных данных. Разработайте анкету, содержащую такое согласие, заполняйте её сами при выдаче дисконтной карты (например) и, распечатав, выдавайте покупателю подписать.

Таким образом, у Вас будут персональные данные покупателя (в анкете) и его письменное согласие на обработку персональных данных (там же).

Добрый день, Андрей Викторович!

Любые действия с персональными данными - от сбора и хранения до использования и уничтожения - рассматриваются как их обработка, а значит, попадают в сферу действия ФЗ "О персональных данных". Организации, осуществляющие или организующие такую обработку, а также определяющие ее цели, считаются операторами персональных данных и обязаны предпринимать весьма сложные организационные и технические меры по защите этой информации.

Операторы, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:

а) назначают ответственного за организацию обработки персональных данных;

б) утверждают приказом руководителя следующие документы:
- правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
- правила рассмотрения запросов субъектов персональных данных или их представителей;
- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
- правила работы с обезличенными данными;
- перечень информационных систем персональных данных;
- должностная инструкция ответственного за организацию обработки персональных данных
- форма согласия на обработку персональных данных субъектов персональных данных, а также форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

в) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных;

г) осуществляют ознакомление работников непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;

д) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом "О персональных данных";

е) согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных.

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, соответственно, клиент должен быть поставлен в известность о сборе персональных данных и дать своё согласие, например, поставив подпись.

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ "О персональных данных".

--------------------

Ответственность:

Статья 13.11. КоАП РФ:

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Статья 13.14. КоАП РФ:
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.

Здравствуйте

Основные контрольно-надзорные функции в отношении компаний, фирм, организаций, обрабатывающих персональные данные лежат на Роскомнадзоре (http://www.rsoc.ru/personal-data/register/). Этот орган согласно п. 3 ч. 5 ст. 23 ФЗ «О персональных данных» обязан вести реестр операторов.

Роскомнадзор регулярно проводит как плановые, так и внеплановые проверки компаний по исполнению ФЗ О персональных данных.

О плановых проверках можно узнать на сайте http://www.rsoc.ru/plan-and-reports/contolplan/

Если вы не в Реестре, то можно ожидать внеплановую проверку, что не всегда приятно.

Если хотите быть законопослушными и знать точно, когда вас проверят, то следует вступить в Реестр, как это сделали многие компании.

Для того чтобы быть включенной в Реестр, ваша компания должна подать в территориальный орган Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзоре) соответствующее уведомление.

Электронная форма вот тут http://pd.rsoc.ru/operators-registry/notification_check/

Судебная практика вот тут http://www.rsoc.ru/chamber-of-commerce/p575/

особо следует обратить внимание на ст.22, 23, 24 (ответственность), п.4 ст.25 указанного закона

Самое первое, что необходимо сделать, это провести аудит и обследование информационной системы, обрабатывающей персональные данные, и исследовать ее на соответствияе требованиям законодательства в отношении обработки персональных данных.
На основании проведенного аудита производится классификация информационных систем и построение частной модели угроз безопасности с учетом требования законодательства. Следующий шаг – проектирование и построение системы защиты персональных данных, а также разработка соответствующей организационно-рапорядительной документации.
По окончанию этих этапов, в зависимости от класса систем, производится аттестация построенной системы защиты.
Один из важнейших шагов при проведении работ по защите персональных данных – уведомление Роскомнадзора о том, что организация является оператором персональных данных. Уведомление представляет собой документ, где указываются сведения об организации, типы персональных данных, способы обработки и основания для этого, а также существующие меры по защите персональных данных. Форма такого документа разработана Роскомнадзором .Непременным условием успешно проведенной работы является обучение сотрудников, взаимодействующих с персональными данными и обеспечение корректного функционирования построенной системы защиты.

Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор.
В первую очередь основанием для проверки является обращение субъектов персональных данных.
Также Роскомнадзор инициирует плановые проверки по факту получения ими уведомления от оператора. График проверок можно найти на официальном сайте Роскомнадзора
В соответствии с 23-ей статьей закона «О персональных данных», уполномоченный орган имеет право:
запрашивать у операторов (физических или юридических лиц) информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона;
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

Информационные системы делятся на два типа:
Типовые;
Специальные.
Типовые информационные системы персональных данных – это такие системы, в которых требуется только обеспечения конфиденциальности персональных данных. Специальные информационные системы персональных данных – это информационные системы, в которых помимо обеспечения конфиденциальности персональных данных необходимо обеспечить как минимум одну из характеристик безопасности персональных данных, а именно:
Целостность;
Доступность;
К специальным информационным системам относятся:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
На основании категории/кол-ва персональных данных, обрабатывающихся и хранящихся в информационной системе, определяется класс системы:
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных
Порядок классификации определен приказом ФСТЭК, ФСБ, Мининформсвязи РФ от 13 февраля 2008г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Оценка информационной системы персональных данных на соответствия требованиям законодательства – это определение соблюдений предписанных законодательством в отношении информационной системы.
Оценка соответствия информационной системы персональных данных проводится в зависимости от класса системы:
для информационных систем защиты персональных данных 1 и 2 классов обязательна аттестация по требованиям безопасности информации;
для информационных систем 3 класса оператору необходимо либо декларировать соответствие требованиям безопасности информации, либо провести аттестацию;
для информационных систем 4 класса оценка соответствия проводится по решению оператора.
По сути, процесс аттестации,- это оценка информационной системы персональных данных 1 и 2 класса установленным требованиям безопасности информации. Порядок аттестации регламентирован “Положением по аттестации объектов информатизации по требованиям безопасности информации”

В случае нарушения законодательных актов Российской Федерации, регулирующих правоотношения в сфере персональных данных предусмотрены следующие санкции:
Привлечение к административной и гражданской ответственности (ст. 13.12 - 13.14, ст. 19.5, 19.7, 19.20 КоАП РФ)
Направление в органы прокуратуры материалов о возбуждении уголовных дел (ст. 137, 171 УК РФ)
Прекращение обработки персональных данных
Приостановление деятельности оператора в случае осуществления ее без лицензии
Конфискация неcертифицированных средств обеспечения безопасности и шифровальных средств

Комплекс мероприятий по обеспечению защиты персональных данных
Организационные меры по защите персональных данных включают в себя:
Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
Определение перечня мероприятий по защите ПДн.

Здравствуйте!

Вот ссылка для вас , где можно почитать о программе лояльности:

http://www.trademarketing.ru/node/392

и ссылка на Федеральный закон "О персональных данных" :

http://www.flexa.ru/law/zak/zak079-5.shtml?for_printing

При обработке персональных данных основополагающим является СОГЛАСИЕ субъекта на обработку сведений о его частной жизни. (ст.13.11 КоАП РФ)

Вот официальный комментарий к данной статье:

1. Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" информация о гражданах (персональные данные) определяется как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ч. 1 ст. 3 указанного Закона). Свойства данной информации - обеспечивать идентификацию конкретного лица - предопределяют отнесение ее к категории конфиденциальной, т.е. информации с ограниченным доступом. Обеспечения конфиденциальности персональных данных не требуется в случае обезличивания персональных данных (для статистических или иных научных целей), а также в отношении общедоступных персональных данных (ч. 2 ст. 6, ст. 7). Указанный режим персональной информации обусловливает необходимость правовой защиты ее конфиденциальной части.

Такая защита обеспечивается в первую очередь путем установления конституционного запрета осуществлять сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, а также требованием судебного решения для ограничения тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. 23 и 24 Конституции РФ). Статьей 19 Конституции РФ запрещаются также любые формы ограничения прав граждан по признакам социальной, расовой, национальной, языковой или религиозной принадлежности.

Федеральный закон "О персональных данных" рассматривает согласие субъекта персональных данных на обработку сведений о его частной жизни в числе одного из принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации, включая информацию персонального характера.

Из данного основополагающего принципа согласия могут иметь место исключения, предусмотренные в законодательном порядке, в том числе в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, а также в случаях, связанных с медицинскими и медико-профилактическими целями (п. 2 - 7 ч. 2 и ч. 3 ст. 10, ч. 2 ст. 11, п. 2 - 5 ч. 3 ст. 12 Федерального закона "О персональных данных").

Добрый день.

Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных. 
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы. 

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.  

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно: 

3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте. 

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children's Online Privacy Protection Act (COPPA).  

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать. 

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток. 
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ. 

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.

С Уважением,

Васильев Дмитрий.