Перейти к основному содержимому

Инструкция по подаче уведомления в РКН для клиентов Restoplace

Зачем нужно подать уведомление?

С 30 мая значительно увеличиваются штрафы за несвоевременную подачу уведомления в Роскомнадзор (РКН) о начале обработки персональных данных.

Это касается вас, если вы:

  • нанимаете сотрудников, которые передают вам свои контакты
  • ведёте переписку со своими клиентами
  • гости оставляют вам свои данные в соцсетях, на сайте, в Restoplace или иных сервисах
  • ведете какую- то маркетинговую или иную активность, где вы собираете персональные данные людей,

Штраф за несвоевременную подачу — до 300 тысяч рублей.

❗Заведения в любом случае обрабатывают персональные данные сотрудников и гостей, т.е. вам в любом случае нужно подавать уведомление, даже если Рестоплейс вы не используете. У нас есть общая статья как заведению подать уведомление

⚠️ Вероятнее всего вы уже подали уведомление, но если вы используете сервис бронирования Restoplace проверьте соответствует ли ваше уведомление и дозаполните его при необходимости. Если вы дополнительно обрабатываете персональные данные через другие сервисы или программы (например: сайт, системы лояльности и т.д.), вам нужно отдельно указать эту информацию в уведомлении.

Заполните реквизиты в Restoplace

Если вы используете сервис бронирования Рестоплейс, помимо подачи уведомления в Роскомнадзор, для полного соблюдения закона о персональных данных вашему заведению необходимо иметь правильно оформленные локальные акты и документы: в частности, Политику конфиденциальности и Пользовательское соглашение на вашем сайте или виджете бронирования. Сервис Restoplace предоставляет шаблоны необходимых документов, но их необходимо дозаполнить данными.

Важно: заполните реквизиты вашей организации в Restoplace.

Их нужно заполнить на стороне сервиса, чтобы переменные вставились в текст политики конфиденциальности и соглашения.

Где заполнить реквизиты в Рестоплейс?

Авторизуйтесь в админ панели с правами доступа «Создатель» или «Управляющий». Перейдите в адрес, в котором будете заполнять реквизиты, в раздел «Настройки адреса». На вкладке «Реквизиты» введите основные данные о вашей организации: полное наименование юрлица, юридический адрес, ИНН, ОГРН, контактный e-mail и т.д. Процесс упрощен – можно воспользоваться автозаполнением по ИНН: начните вводить свой ИНН, и система сама предложит вашу организацию из базы

Зачем это нужно?

  1. Во-первых, эти реквизиты требуются для подключения платёжной системы и интернет-эквайринга в вашем виджете онлайн-бронирования Restoplace (без них вы не сможете принимать предоплату депозитов за столики, онлайн-оплату билетов и т.п.).
  2. Во-вторых, введённые данные автоматически подставляются в шаблоны Политики конфиденциальности и Пользовательского соглашения для вашего заведения. Restoplace использует введённые вами название компании, адрес, контакты и другие сведения, чтобы сгенерировать тексты документов, соответствующие вашей организации.

Если вы не заполните реквизиты до публикации документов, шаблонные Политика и Соглашение не будут содержать корректных данных о вашей компании (там могут остаться пустые места или общие фразы). Это сделает документы недействительными с точки зрения закона. Например, в Политике конфиденциальности обязательно должно быть указано, кто является оператором персональных данных (название организации, адрес, ответственное лицо и контакты).

Как подать уведомление в Роскомнадзор?

Уведомление направляется через сайт Роскомнадзора по ссылке: 🔗 https://pd.rkn.gov.ru/operators-registry/notification/form/

На сайте доступны следующие способы подачи уведомления:

  • Заполнить и отправить уведомление в бумажном виде (почтой или лично).
  • Заполнить и отправить уведомление онлайн, используя усиленную квалифицированную электронную подпись.
  • Заполнить и отправить уведомление онлайн с использованием учётной записи на портале Госуслуги (ЕСИА).
  • Форма уведомления во всех случаях единая, различается только способ её передачи.

Блок 1: Информация о операторе

  • Регион регистрации: в котором зарегистрировано ваше юр.лицо (например, «Москва» или «Республика Татарстан»)
  • Тип оператора: выберите «Юридическое лицо» или «ИП»
  • Наименование оператора — полное название вашего юр. лица или ИП, например: Общество с ограниченной ответственностью «Рыба и Мясо» / Индивидуальный предприниматель Петров Иван Сергеевич
  • Сокращенное наименование — например: ООО «Рыба и Мясо» / ИП Петров И.С..
  • Адрес оператора — укажите ваш юридический адрес компании, либо ваш адрес регистрации, если вы ИП
  • Почтовый адрес — укажите почтовый адрес, либо поставьте галочку «совпадает с адресом местонахождения»
  • Телефон / Факс — укажите при наличии
  • Адрес электронной почты — используемый вами email (для связи с РКН)
  • Регионы обработки — регион, в котором фактически осуществляется деятельность (например, «г. Казань»)
  • ИНН и ОГРН — в соответствии с ЕГРЮЛ (ЕГРИП)
  • ОКВЭД — например, 56.10 (деятельность ресторанов и кафе)
  • ОКПО, ОКФС, ОКОГУ, ОКОПФ — при наличии
  • Филиалы — укажите название и адрес, при наличии

⚠️ Примечание: Restoplace — инструмент обработки, но оператор данных — ВАША организация.

Блок 2. Цели обработки персональных данных

☝️ Здесь вы должны выбрать цели, для которых осуществляете обработку персональных данных.

Для сервиса бронирования Restoplace подходят цели: ✅ «Продвижение товаров, работ, услуг на рынке», а также ✅ «Подготовка, заключение и исполнение гражданско-правового договора» (эти цели покрывают обработку данных для онлайн-бронирования столов, продажи билетов, сбора обратной связи от гостей и исполнения договорных обязательств перед ними).

Выбрать сразу несколько целей обработки персональных данных не получится. Действуйте поэтапно:

  1. Сначала выберите первую цель обработки и укажите все необходимые сведения:

🔹 категории персональных данных, 🔹 категории субъектов, 🔹 правовое основание обработки, 🔹 перечень действий, 🔹 способы обработки.

  1. Если у вас несколько целей, внизу нажмите кнопку «Добавить цель обработки персональных данных», затем укажите следующую цель и аналогично заполните все данные.

Порядок заполнения информации об обработке персональных данных представлен ниже.

Блок 3. Категории обрабатываемых данных

Отметьте данные, которые вы собираете через виджет Restoplace:

  • фамилия, имя, отчество
  • номер мобильного телефона;
  • адрес электронной почты (email);
  • история запросов и просмотров на сайтах restoplace.cc и restoplace.ws и их сервисах (поддоменов);
  • файлы cookie, сведения о местоположении пользователя, сведения о действиях пользователя на Сайте, сведения об оборудовании пользователя, дата и время сессии.

⚠️ Не указывайте банковские данные, так как Restoplace не хранит их — обработку платежей производит платёжная система (интернет-эквайринг).

Категории субъектов: ✅клиенты, ✅посетители сайта.

Основание обработки: ✅согласие пользователей, ✅исполнение договора.

Перечень действий. Отметьте все стандартные: ✅сбор, ✅хранение, ✅использование, ✅обновление, ✅передача, ✅удаление, ✅обезличивание, ✅уничтожение и т.д.

Способ обработки: ✅смешанный, с передачей данных через интернет.

Блок 4. Меры безопасности

📌 Пример описания мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных», если данные пункты актуальны для вас:

  1. Разработаны и утверждены локальные нормативные акты, регулирующие порядок обработки персональных данных, включая политику в отношении обработки персональных данных и регламент работы с информационными системами.
  2. Сотрудники, участвующие в обработке персональных данных, ознакомлены с требованиями Федерального закона №152-ФЗ, а также локальными актами и инструкциями.
  3. Назначено ответственное лицо за организацию обработки персональных данных, его обязанности и полномочия зафиксированы в должностной инструкции.
  4. Осуществляется внутренний контроль за соответствием обработки персональных данных законодательным требованиям.
  5. Выявлены и классифицированы угрозы безопасности персональных данных при их обработке в информационных системах
  6. Исключен неконтролируемый доступ в помещения, где осуществляется обработка персональных данных, за счет системы контроля доступа
  7. Применяются сертифицированные средства защиты информации, соответствующие требованиям законодательства Российской Федерации, включая программно-аппаратные комплексы для предотвращения несанкционированного доступа к информационным системам
  8. Аутентификация сотрудников осуществляется с применением многофакторной проверки, включая использование уникальных учетных записей и двухфакторной авторизации
  9. Выданы доступны только сотрудникам, уполномоченным на их обработку в рамках исполнения трудовых обязанностей
  10. Регулярно проводится оценка эффективности средств защиты информации в соответствии с внутренними процедурами безопасности и требованиями законодательства
  11. Доступ к данным ограничен паролями
  12. Персональные данные обрабатываются в зашифрованном виде
  13. Серверы размещены в центрах обработки персональных данных на территории Российской Федерации
  14. Средства обеспечения безопасности: межсетевой экран, антивирус, разграничение прав доступа. Хранение данных на защищенных серверах согласно требованиям ФСТЭК
  15. Использование шифровальных средств. Здесь вы указываете средства шифрования, которые используете локально — скорее всего, это будет ваша ЭЦП. Сведения о классе СКЗИ, а также серийном номере средства шифрования вы можете уточнить через используемое вами программное обеспечение для работы с ЭЦП (например, через КриптоПро, вкладка "Сервис", кнопка "Посмотреть сертификаты")
  16. Ответственное лицо. Тип: физическое лицо. Укажите данные уполномоченного сотрудника: ФИО, адрес, контактный телефон и email. Если сотрудников нет — укажите свои данные
  17. Дата начала обработки персональных данных. Укажите дату, с которой вы начали собирать персональные данные (можно взять дату запуска сайта или подключения виджета Restoplace, если сбор идет только через Restoplace.cc)
  18. Срок или условие прекращения обработки. Выберите «условие окончания» и укажите: «по истечении 5 лет с даты последнего взаимодействия с субъектом»
  19. Трансграничная передача. Ставите «нет» (если передача персональных данных идет только через Restoplace)

Блок 5: Местонахождение базы данных

  • Страна: Россия
  • Адрес ЦОДа: город Санкт-Петербург, Цветочная ул, д. 19
  • Собственный ЦОД: нет
  • Сведения об организации, ответственной за хранение данных:
  • Тип организации: Юридическое лицо
  • Организационно-правовая форма: Акционерное общество
  • Наименование организации: АО "Селектел"
  • ОГРН 1247800067790
  • ИНН 7810962785
  • Страна местонахождения организации, ответственной за хранение данных: Россия
  • Адрес местонахождения организации, ответственной за хранение данных: 196006, город Санкт-Петербург, Цветочная ул, д. 21 литера А
  • Сведения о лицах, осуществляющих обработку персональных данных, содержащихся в государственных и муниципальных информационных системах Если блок для вас не актуален — его не заполняем, т.к. сама платформа Restoplace.cc не имеет доступа к персональным данным, содержащимся в государственных и муниципальных информационных системах.

⚠️ Выше указан адрес дата-центра, который использует сервис Restoplace.cc. Если помимо нашего сервиса вы работаете с персональными данными в других программах, укажите адреса местонахождения всех баз данных

Блок 5: Местонахождение базы данных

📌 Частично здесь будут дублироваться сведения из блока 4

  1. Определён уровень защищённости персональных данных – установлен второй уровень защищённости, исходя из характера обрабатываемых данных, количества субъектов персональных данных и актуальных угроз безопасности информации (угрозы 2-го типа).
  2. Назначено должностное лицо, ответственное за обеспечение безопасности персональных данных при их обработке в информационных системах. Утверждён перечень лиц, допущенных к обработке персональных данных, с разграничением прав доступа в соответствии с занимаемыми должностями и должностными обязанностями.
  3. Организован контроль доступа к информационной системе персональных данных. Реализовано разграничение доступа пользователей по ролям и уровням доступа, обеспечен индивидуальный учёт действий пользователей.
  4. Обеспечено ведение и контроль электронных журналов регистрации событий безопасности, доступ к которым имеют исключительно уполномоченные сотрудники, обладающие соответствующими полномочиями в рамках исполнения трудовых обязанностей.
  5. Использованы сертифицированные средства защиты информации, прошедшие процедуру оценки соответствия требованиям безопасности информации в соответствии с законодательством Российской Федерации (при наличии необходимости нейтрализации актуальных угроз).
  6. Обеспечено шифрование персональных данных при их передаче по сетям передачи данных, а также при хранении в базах данных. Используются актуальные криптографические протоколы.
  7. Организовано резервное копирование и восстановление данных, а также реализован режим обеспечения устойчивости и сохранности персональных данных при возникновении инцидентов информационной безопасности.
  8. Проведено обучение и инструктаж сотрудников, имеющих доступ к персональным данным, по вопросам обеспечения информационной безопасности и соблюдения требований законодательства о персональных данных.
  9. Обеспечена защита серверных мощностей и технической инфраструктуры, в том числе за счёт размещения информационных систем в дата-центрах на территории Российской Федерации, соответствующих требованиям по обеспечению безопасности информации.
  10. Разработаны и утверждены локальные нормативные акты, регламентирующие обработку персональных данных, порядок взаимодействия с третьими лицами, а также порядок реализации прав субъектов персональных данных.
  11. Обеспечен защищенный обмен данными с внешними системами.