Все это — онлайн, с заботой о вас и по отличным ценам.
Обработка персональных данных на собственном сайте
Есть свой сайт с формой обратной связи в которой собираются персональные данные, такие как: имя телефон, город, комментарий, @username. Все данные попадают в собственную crm, которая размещена (вместе с базой данных) на российском хостинге, приходят технические уведомления в Телеграм и Gmail о новых заявках (без персональных данных), связываться планирую в мессенджерах вроде Telegram, Whatsapp, соответственно буду брать номер телефона из CRM и писать в мессенджер человеку. Сайт ещё не использовался и не продвигался, сторонние люди на него не заходили, но он был в открытом доступе больше месяца, я и пару моих друзей пользовались формой для тестирования (вводили свои данные), после я все данные удалил. Знаю что нужно подать уведомление в Роскомнадзор об обработке персональных данных. Но назрели следующие вопросы: 1. Могу ли я начать привлекать людей и обрабатывать данные сразу после подачи уведомления или мне обязательно нужно дождаться внесения в реестр обработчиков и ответа Роскомнадзора? 2. Есть ли в моей ситуации трансграничная передача данных? 3. Нарушил ли я порядок уведомления тем, что сайт был в открытом доступе и я тестировал его форму, если да, то всплывёт ли это при подаче уведомления и что будет за это?
Здравствуйте.
Начало обработки персональных данных:
Вы можете начать привлекать пользователей и обрабатывать персональные данные сразу после подачи уведомления в Роскомнадзор. Закон № 152‑ФЗ требует только, чтобы уведомление было подано до начала обработки данных. Сам факт подачи уведомления является основанием для внесения сведений в реестр; ждать ответа Роскомнадзора не требуется.
Трансграничная передача данных:
Пока все персональные данные хранятся в вашей CRM на российском хостинге, трансграничной передачи нет. Однако при использовании мессенджеров (Telegram, WhatsApp) для связи с клиентами следует учитывать, что их серверы могут находиться за пределами РФ. В этом случае обмен номерами телефонов и другими персональными данными через эти сервисы может квалифицироваться как трансграничная передача, и необходимо обеспечить соблюдение требований ст. 18‑19 Закона № 152‑ФЗ.
Тестирование сайта и соблюдение порядка уведомления:
Сам факт того, что сайт был в открытом доступе и вы с друзьями тестировали форму, не нарушает порядок уведомления, если обработка реальных персональных данных сторонних пользователей ещё не началась. Так как вы удалили тестовые данные и сайт не привлекал посторонних лиц, Роскомнадзор при подаче уведомления не будет считать это нарушением. Нарушение возникает только если обработка персональных данных началась до подачи уведомления.
Что это означает по сути:
После подачи уведомления вы можете легально начать сбор и обработку персональных данных новых пользователей.
Использование мессенджеров для связи с клиентами требует оценки риска трансграничной передачи и, при необходимости, оформления согласия или иных процедур в соответствии с Законом № 152‑ФЗ.
История тестирования сайта и удаления данных не повлияет на внесение вашего оператора в реестр и не повлечёт административной ответственности.
Практические последствия и риски:
При нарушении порядка уведомления или трансграничной передачи без соблюдения требований закона возможны административные штрафы (ст. 13.11 КоАП РФ).
Рекомендуется фиксировать дату подачи уведомления и вести учет действий по обработке персональных данных.
Если нужно — могу подготовить пошаговую инструкцию, как правильно начать работу сайта с обработкой персональных данных, с учётом уведомления, трансграничной передачи и работы через мессенджеры.
Если мой ответ был полезен, вы можете поддержать консультацию:
pravoved.ru/pay/lawyer-reward/id/4362307/