Нужно ли регистрировать сайт в Роскомнадзоре и как обрабатывать данные в соцсетях

Здравствуйте.

1. Правовое основание.
Обязанность по уведомлению Роскомнадзора и соблюдению правил обработки персональных данных установлена Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». В соответствии со ст. 22 указанного закона, оператор персональных данных обязан до начала их обработки направить уведомление в Роскомнадзор.

Нарушение указанного порядка влечёт административную ответственность по ст. 13.11 КоАП РФ, в том числе штрафы до 150 000 рублей для юридических лиц.

2. Понятие начала обработки.
Обработка персональных данных начинается с момента, когда пользователь предоставляет свои сведения (ФИО, телефон, e-mail и т.п.) через сайт, форму обратной связи, либо при обращении в соцсетях. Следовательно, сам факт размещения сайта не является основанием для подачи уведомления, если на нём отсутствуют формы или иные способы получения данных. Если такие формы имеются — обязанность возникает с момента начала приёма данных.

3. Обращения через социальные сети.
При приёме заявок, сообщений и обращений с использованием социальных сетей или мессенджеров, вы также являетесь оператором персональных данных, если получаете и систематизируете сведения, позволяющие идентифицировать физическое лицо.

В этом случае на вас распространяются требования ФЗ № 152, включая:
– наличие политики обработки персональных данных,
– получение согласия субъекта,
– соблюдение принципов и условий обработки,
– обеспечение мер защиты персональных данных.

Рекомендации:
– разместить на сайте политику обработки персональных данных;
– обеспечить получение согласия при отправке данных (в том числе через мессенджеры);
– подать уведомление в Роскомнадзор при начале обработки, в случае если её цели не подпадают под исключения, предусмотренные ч. 2 ст. 22 Закона № 152-ФЗ.

Здравствуйте, Мария!

1. « прежде чем запускать сайт Надо зарегистрироваться в Роскомнадзоре Обязательна Политика персональных данных

Согласно ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор персональных данных (юридическое или физическое лицо, ИП) обязан уведомить Роскомнадзор до начала обработки персональных данных, если обработка не подпадает под исключения (например, обработка только для исполнения договора с конкретным клиентом без передачи данных третьим лицам).

Штраф до 50 мл для юр лиц

Штрафы за отсутствие уведомления регулируются ст. 13.11 КоАП РФ:

КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

Как звучит этот закон? Можно на него ссылку? 

Федеральный закон «О персональных данных»

2. Что значит запустить сайт?

Под «запуском сайта» понимается начало сбора персональных данных (например, через формы обратной связи, регистрацию, подписку).

Если на сайте есть:

— форма заказа,
— комментарии с регистрацией,
— сбор email для рассылки,

то уведомление в Роскомнадзор обязательно (если нет исключений по ст. 22 ФЗ-152).

Нам так же пишут, оставляют свои данные в соц сетях. Как быть? Нам пишут с целью приобрести товар, мы работаем с данными людей, как быть в этом случае, если коммуникация идет в соц сетях?

Если клиенты пишут вам в соцсетях, то:

— Если переписка носит разовый характер (например, клиент спрашивает о товаре, вы отвечаете и не храните его данные) – уведомление не требуется.

— Если вы систематически храните данные (например, ведете базу клиентов из соцсетей, используете CRM, рассылаете рекламу) – уведомление обязательно.