Важно: Всё ниже написанное является актуальным если между пользователем и компанией ООО Инфопуш (сервис БонусПлюс) заключен договор. Договор является основанием для "ПОРУЧЕНИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ".
В этой статье мы рассмотрим алгоритм подачи уведомления об обработке персональных данных ваших клиентов только с целью Продвижения товаров, работ, услуг на рынке, в контексте работы в сервисе программы лояльности, то есть при использовании БонусПлюс.
Если договора нет, то при запросе Роскомнадзора мы не сможем подтвердить на каком основании указаны данные об ответственном за организацию обработки персональных данных "стороняя организация ООО Инфопуш".
Важно: в одном поле — только одна цель обработки.
Закон №152-ФЗ регулирует обращение с персональными данными и затрагивает любые сведения о физических лицах, включая: Имя, фамилию и отчество; Контактные телефоны; Электронную почту; Домашние и юридические адреса; Личные фотографии; Паспортные и иные документальные данные и т.д. С 30 мая 2025 года увеличены штрафы за неисполнение федерального закона № 152 "О персональных данных", поэтому ООО, ИП и самозанятым, которые собирают персональных данные своих клиентов надо обратить внимание на отправку уведомлений в Роскомнадзор для включения в реестр операторов ПД (ОПД). Если вы собираете контактные данные своих клиентов в рознице, на сайте, соцсети, мессенджерах — вы обрабатываете персональные данные. Следовательно, должны подать уведомление в Роскомнадзор. Закон о персональных данных распространяется абсолютно на всех, независимо от формы вашей деятельности.
Вам необходимо разработать положение об обработке и защите персональных данных. Информация в документе должна соответствовать тому, что вы укажете в уведомлении. Между этими документами не должно быть расхождений.
Универсального шаблона или единого образца Положения об обработке и защите персональных данных на законодательном уровне не установлено. Содержание документа может отличаться в зависимости от предприятия или фирмы.
Примерная форма Положения об обработке персональных данных находится по ссылке, можно использовать её.
Далее необходимо издать приказ, в котором необходимо назначить ответственного за организацию обработки персональных данных в компании и утвердить ранее разработанное положение об обработке и защите персональных данных и ввести его в действие.
Образец Приказа можно скачать по ссылке.
Данный приказ можно скачать по ссылке.
Также разработать «Форму Согласия на обработку и передачу третьим лицам персональных данных». Данная форма должна быть доступна для ознакомления вашему клиенту при регистрации в программе лояльности.
Образец Формы можно скачать по ссылке.
Необходимо собрать информацию обо всех сторонних сервисах, в которых вы размещаете личные данные клиентов. Соберите название сервиса, владельца, адреса серверов (ЦОД), где хранятся данные, а также тип обрабатываемых данных и цели их обработки. Эта информация будет необходима для указания в уведомлении.
Для начала перейдите на сайт Роскомнадзора в соответствующий раздел, по следующей ссылке.
Рассмотрим пример подачи обращения в электронном виде, с помощью авторизации через Госуслуги, таким образом заявка будет рассмотрена максимально оперативно по сравнению со всеми другими способами.
В самом начале нужно выбрать тип уведомления: первичное (если подаёте впервые) или корректирующее (если вносите изменения).
Если вы нажмете кнопку «Заполнить уведомление данными из ранее составленного письма», то откроется форма, где нужно ввести номер и ключ предыдущего уведомления. В этом случае все ранее заполненные данные автоматические подтянутся.
Если вы первый раз подаёте уведомление, то выбирайте первичное.
Регион. Укажите фактический регион местонахождения, даже если ведёте деятельность в другом или нескольких регионах.
В разделе Сведения об операторе заполняйте поля согласно реквизитам вашего юрлица.
Адрес электронной почты. Обязательное поле, нужен для оперативного взаимодействия с вами по вопросам подачи уведомлений. Пока рассматривается уведомление периодически проверяйте электронную почту.
Регионы обработки. Регионы обработки – это та территория, на которой вы работаете как оператор с персональными данными своих клиентов. Это может быть и несколько территорий. Если у вас сайт или интернет-магазин и вы обрабатываете заказы со всей страны, то укажите регион «Российская Федерация». На сегодня нет судебной практики, когда Роскомнадзор привлек бы к ответственности за то, что в Регионах обработки была указана Российская Федерация, а не конкретный субъект.
ИНН и другие поля заполняйте согласно реквизитам юрлица.
В следующем разделе уведомления нужно указать каждую отдельную цель, с которой вы планируете обрабатывать персональные данные. Это один из самых важных блоков, поэтому стоит подойти к нему внимательно.
На портале Роскомнадзора есть справочник с более чем 30 типовыми целями. Вы можете выбрать подходящие из списка или ввести свою — если деятельность специфическая.
Если вы одновременно ведёте кадровый учёт, заключаете договора с клиентами и организуете пропускной режим в офис — это уже три отдельные цели, и для каждой из них нужно будет заполнить информацию отдельно. В зависимости от объемов обработки данных у организации может быть различное количество целей. Указать в одном поле несколько целей через запятую нельзя.
Чем точнее вы укажете цели и соответствующие категории, тем меньше вероятность, что у Роскомнадзора появятся вопросы при проверке.
В нашем случае необходимо указать цель «Продвижение товаров, работ, услуг на рынке».
Рекомендуем указать следующие персональные данные, это минимальный необходимый набор для работы сервиса лояльности: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; номер телефона; иные персональные данные.
Для интернет-магазинов: адрес места жительства, реквизиты банковской карты.
Если планируете или уже работаете с юрлицами: ИНН, адрес регистрации, номер расчетного счета, номер лицевого счета.
Остальные пункты на ваше усмотрение.
В данном разделе необходимо указать субъектов, с которыми планируете работать в рамках применения программы лояльности: Контрагенты, Представители контрагентов, Клиенты, Посетители сайта, Выгодоприобретатели по договорам.
Здесь следует выбрать следующие пункты:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных,
Здесь стоит отметить практически все пункты, так как сервис БонусПлюс осуществляет все отмеченные действия, кроме распространения.
Иные действия – если планируете что-то делать с собранными ПДн дополнительно, то отметьте это пункт тоже, в открывшейся форме более подробно распишите вид действий.
Обработка данных может осуществляться в автоматическом, неавтоматическом или смешанном режимах. Для каждой цели необходимо указать соответствующий способ обработки. Редко встречаются компании, которые используют исключительно автоматизированные методы, поэтому указание смешанной обработки для всех целей будет уместным. Кроме того, важно уточнить, осуществляется ли передача данных через интернет, в рамках внутренней сети или используются оба варианта. Это актуально, когда вы собираете в магазине бумажные анкеты и параллельно с этим используете регистрацию клиентов на своём сайте.
В контексте использования программы лояльности укажите следующие данные: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети интернет.
В данному пункте укажите следующий текст:
Разработаны локальные акты, по вопросам обработки персональных данных. Лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Назначен ответственный за организацию обработки персональных данных. На стенде (и (или) сайте) размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных. Разработаны модели угроз безопасности персональным данным в информационных системах. В информационных системах установлен 3 уровень защищенности персональных данных. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации. Для обеспечения безопасности персональных данных применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия.
В данному пункте укажите следующий текст:
Средства антивирусной защиты; средства межсетевого экранирования; средства поиска уязвимостей; средства защиты среды виртуализации.
Выбирите пункт не используется.
Выбирите пункт Стороння организация.
Далее заполняем следующие поля:
Наименование организации:
ООО “ИнфоПУШ”
Почтовый адрес:
630015, г.Новосибирск, Дзержинского пр-т, 1/3, оф.1107
Номера контактных телефонов:
8-800-333-50-99
Адрес электронной почты
support@bonusplus.pro
В итоге у вас должно получиться следующее:
В качестве даты начала обработки персональных данных следует указать день регистрации компании или индивидуального предпринимателя в Росреестре.
Если с момента регистрации юрлицо не занималось обработкой ПДн то можно указать дату когда начали пользоваться сервисом БонусПлюс, то есть дату когда был заключён договор с компанией ИнфоПУШ.
В качестве завершения обработки персональных данных следует указать не конкретную дату, а событие, такое как ликвидация юридического лица или прекращение регистрации индивидуального предпринимателя.
В данном пункте следует выбрать «не осуществляется», так как данные не передаются за границу органу власти иностранного государства, иностранной компании или иностранному физическому лицу (п. 11 ст. 3 закона о персональных данных).
В данном разделе заполняйте поля следующим образом:
Страна:
Россия
Адрес ЦОДа:
Москва Город, Берзарина Улица, дом 36, стр.3
Собственный ЦОД: нет
Тип организации: юридическое лицо
Организационно-правовая форма: Общество с ограниченной ответсвенностью
Наименование организации:
ООО “ИнфоПУШ”
ОГРН:
1135476031217
ИНН:
5405470236
Страна местонахождения организации, ответственной за хранение данных: Россия
Адрес местонахождения организации, ответственной за хранение данных:
630015, г. Новосибирск, Дзержинского пр-т, 1/3, оф.1107
В итоге у вас должно получиться следующее:
Нажмите кнопку «Удалить», так цель вашей коммерческой деятельности с высокой вероятностью не преследует обработку ПДн содержащихся в государственных и муниципальных информационных системах.
В данный пункт укажите следующий текст:
В соответствии с постановлением Правительства от 01.11.2012 № 1119 для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных; утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; назначено должностное лицо, ответственный за обеспечение безопасности персональных данных в информационной системе. В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных.
В последние три поля укажите данные сотрудника, сформировавшего уведомление.
После завершения процесса формирования и отправки уведомления вам будет предоставлен номер и ключ документа. Эти данные следует сохранить, так как они понадобятся для последующей подачи корректирующих сведений.
Если номер и ключ документа были утеряны, необходимо обратиться в территориальный орган Роскомнадзора, куда вы подавали уведомление, и уточнить у сотрудников возможные способы восстановления утерянной информации. Восстановить эти данные самостоятельно на портале уже не представляется возможным.