Вопрос следующий: обязана ли я подать заявление в Роскомнадзор до публикации сайта?

Здравствуйте, Татьяна!

В соответствии со статьями 18 и 19.1 федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ, уведомлять РКН об обработке персональных данных необходимо, если Вы каким-либо образом используете средства автоматизации. Исходя из статьи 3 под ним понимается даже домашний компьютер, в котором Вы ведете учет данных клиентов и их храните (конечно, об этом могут и не узнать, но по закону Вы обрабатываете данные и этот факт остается).

Поскольку Вы используете сайт и планируете собирать данные с использованием Яндекс.Метрики, а также использовать заявки по посетителям сайта (клиентам), то в Вашем случае уведомление обязательно.

При наличии ЭЦП и возможности подписать уведомление заполнить сведения можно на сайте РКН.

На Вашем сайте также должна быть размещена политика обработки персональных данных, а с клиентов необходимо получать согласие на их обработку.

С уважением,

Артем Гагикович!

Здравствуйте, Татьяна.

Да, необходимо уведомить РКН.

В соответствии со ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Если Вам потребуется помощь в подготовке Политики, формы согласия, иных необходимых локальных нормативных актов, помощь в заполнении самого заявления — Вы можете обратиться ко мне в чат за возмездными услугами, нажав кнопку «Общаться в чате». Имею наработки Политики, прошедшей согласование в РКН, готовил предпринимателя, который планировал организовывать участия клиентов мероприятиях.

Здравствуйте!

Обязанность появляется до того, как Вы фактически начнете обрабатывать персональные данные.

На основании ч. 1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Поэтому уведомление желательно подать до публикации сайта, если подключенные сервисы начнут собирать сведения о посетителях.

Исключение предусмотрено п. 8 ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

Работа сайта, счетчиков аналитики и электронных форм к такому исключению не относится.

Ждать, пока Роскомнадзор внесет Вас в реестр операторов, не нужно. Уведомление не является разрешением на работу. Закон требует направить его до начала обработки. После отправки уведомления Вы вправе запустить сайт, сохранив подтверждение отправки.

Политику обработки персональных данных также нужно разместить до начала сбора данных. На основании ч. 2 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

То есть закон обязывает оператора опубликовать на страницах сайта, с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных.

При этом Вам не нужно заранее перечислять в Политике все сервисы, которые, возможно, когда-нибудь будут подключены. Указывайте те способы обработки и организации, которые реально используются на момент запуска сайта. На основании ч. 5 ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Если позднее Вы подключите Яндекс.Метрику, СРМ или другой сервис, документы и сведения в Роскомнадзоре можно обновить. На основании ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ

В случае изменения сведений, указанных в части 3 настоящей статьи, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных.

Если сервис получает и обрабатывает данные по Вашему поручению, действует ч. 3 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ:

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее — поручение оператора)...

Нужно проверить условия сервисов, место хранения данных и перечень совершаемых ими операций.

Указывать в публичной Политике точные адреса всех центров обработки данных закон не требует. Однако сведения о месте нахождения базы данных российских граждан и лице, которое обеспечивает хранение данных, указываются в уведомлении Роскомнадзору.

В силу ч. 5 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

По Тильде есть информация с их сайта https://help-ru.tilda.cc/privacy-policy-notification

Если страной вашего профиля является Россия, персональные данные собираются и хранятся на российских серверах наших партнеров — Selectel и Яндекс Облако.

Но настройки своего аккаунта и каждого стороннего сервиса Вам необходимо проверить отдельно.

Для формы заявки отдельное согласие требуется не во всех случаях. Когда посетитель сам оставляет данные, чтобы получить предложение или заключить договор, обработка может проводиться по п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ, если она необходима для заключения договора по инициативе субъекта персональных данных.

Здравствуйте, Татьяна! Отвечу прямо: вы не обязаны подавать заявление в Роскомнадзор до публикации сайта, если на старте запустите его в чисто информационном режиме без форм обратной связи и метрик. Обязанность возникает только перед началом сбора данных.

Коллеги правы, что после поправок в 152-ФЗ уйти от уведомления РКН при сборе данных сложно. Но запуск пустой страницы не равен началу обработки данных. Если вы отключите в настройках Тильды сбор файлов куки и не будете ставить формы, вы ничего не собираете. По нормам статьи 22 закона О персональных данных, уведомить ведомство нужно именно до начала обработки. Насчет Политики: раздувать ее заранее не нужно, описывайте только реально работающие процессы. Адреса ЦОДов в публичной Политике указывать не требуется, это нужно только в самом заявлении.

Я советую начать со следующего:

1. Запустите сайт в режиме визитки, временно отключив в настройках сбор куки и формы обратной связи.

2. Подготовьте лаконичный текст Политики под минимальный сбор контактов (имя и телефон), когда решите добавить форму.

3. Подайте уведомление в Роскомнадзор через их портал с помощью ЭЦП вашего ИП перед включением форм.

4. Обновляйте Политику по мере роста бизнеса. При подключении новых сервисов у вас будет время до 15-го числа следующего месяца для отправки корректировки.

Коротко обо мне: я Дмитрий, практикующий юрист Parma Legal. Мой 30-летний опыт уникален: я работал внутри судов, в банковском секторе и службе судебных приставов (Советник юстиции 3-го класса). С 2013 года я руковожу собственным юридическим бизнесом, имею длительный и успешный опыт комплексного юридического обслуживания. Я знаю правоприменительную систему со всех сторон и понимаю, как судьи и органы власти смотрят на такие ситуации.

Основная опасность кроется в том, что Роскомнадзор активно штрафует за формальные ошибки в согласии и Политике по статье 13.11 КоАП РФ. Переходите в мой личный чат через кнопку рядом с моим фото.