Инструкция по подаче уведомления в РКН для клиентов Restoplace

Если вы используете сервис бронирования Рестоплейс, помимо подачи уведомления в Роскомнадзор, для полного соблюдения закона о персональных данных вашему заведению необходимо иметь правильно оформленные локальные акты и документы: в частности, Политику конфиденциальности и Пользовательское соглашение на вашем сайте или виджете бронирования. Сервис Restoplace предоставляет шаблоны необходимых документов, но их необходимо дозаполнить данными.

Важно: заполните реквизиты вашей организации в Restoplace.
Их нужно заполнить на стороне сервиса, чтобы переменные вставились в текст политики конфиденциальности и соглашения.

Где заполнить реквизиты в Рестоплейс?
Авторизуйтесь в админ панели с правами доступа «Создатель» или «Управляющий». Перейдите в адрес, в котором будете заполнять реквизиты, в раздел «Настройки адреса». На вкладке «Реквизиты» введите основные данные о вашей организации: полное наименование юрлица, юридический адрес, ИНН, ОГРН, контактный e-mail и т.д. Процесс упрощен – можно воспользоваться автозаполнением по ИНН: начните вводить свой ИНН, и система сама предложит вашу организацию из базы

Зачем это нужно?

1. Во-первых, эти реквизиты требуются для подключения платёжной системы и интернет-эквайринга в вашем виджете онлайн-бронирования Restoplace (без них вы не сможете принимать предоплату депозитов за столики, онлайн-оплату билетов и т.п.).
2. Во-вторых, введённые данные автоматически подставляются в шаблоны Политики конфиденциальности и Пользовательского соглашения для вашего заведения. Restoplace использует введённые вами название компании, адрес, контакты и другие сведения, чтобы сгенерировать тексты документов, соответствующие вашей организации.

Если вы не заполните реквизиты до публикации документов, шаблонные Политика и Соглашение не будут содержать корректных данных о вашей компании (там могут остаться пустые места или общие фразы). Это сделает документы недействительными с точки зрения закона. Например, в Политике конфиденциальности обязательно должно быть указано, кто является оператором персональных данных (название организации, адрес, ответственное лицо и контакты).

Уведомление направляется через сайт Роскомнадзора по ссылке: 🔗 https://pd.rkn.gov.ru/operators-registry/notification/form/

На сайте доступны следующие способы подачи уведомления:

• Заполнить и отправить уведомление в бумажном виде (почтой или лично).
• Заполнить и отправить уведомление онлайн, используя усиленную квалифицированную электронную подпись.
• Заполнить и отправить уведомление онлайн с использованием учётной записи на портале Госуслуги (ЕСИА).
• Форма уведомления во всех случаях единая, различается только способ её передачи.

• Регион регистрации: в котором зарегистрировано ваше юр.лицо (например, «Москва» или «Республика Татарстан»)
• Тип оператора: выберите «Юридическое лицо» или «ИП»
• Наименование оператора — полное название вашего юр. лица или ИП, например: Общество с ограниченной ответственностью «Рыба и Мясо» / Индивидуальный предприниматель Петров Иван Сергеевич
• Сокращенное наименование — например: ООО «Рыба и Мясо» / ИП Петров И.С..
• Адрес оператора — укажите ваш юридический адрес компании, либо ваш адрес регистрации, если вы ИП
• Почтовый адрес — укажите почтовый адрес, либо поставьте галочку «совпадает с адресом местонахождения»
• Телефон / Факс — укажите при наличии
• Адрес электронной почты — используемый вами email (для связи с РКН)
• Регионы обработки — регион, в котором фактически осуществляется деятельность (например, «г. Казань»)
• ИНН и ОГРН — в соответствии с ЕГРЮЛ (ЕГРИП)
• ОКВЭД — например, 56.10 (деятельность ресторанов и кафе)
• ОКПО, ОКФС, ОКОГУ, ОКОПФ — при наличии
• Филиалы — укажите название и адрес, при наличии

⚠️ Примечание: Restoplace — инструмент обработки, но оператор данных — ВАША организация.

☝️ Здесь вы должны выбрать цели, для которых осуществляете обработку персональных данных.

Для сервиса бронирования Restoplace подходят цели: ✅ «Продвижение товаров, работ, услуг на рынке», а также ✅ «Подготовка, заключение и исполнение гражданско-правового договора» (эти цели покрывают обработку данных для онлайн-бронирования столов, продажи билетов, сбора обратной связи от гостей и исполнения договорных обязательств перед ними).

Выбрать сразу несколько целей обработки персональных данных не получится. Действуйте поэтапно:

1. Сначала выберите первую цель обработки и укажите все необходимые сведения:

🔹 категории персональных данных,
🔹 категории субъектов,
🔹 правовое основание обработки,
🔹 перечень действий,
🔹 способы обработки.

2. Если у вас несколько целей, внизу нажмите кнопку «Добавить цель обработки персональных данных», затем укажите следующую цель и аналогично заполните все данные.

Порядок заполнения информации об обработке персональных данных представлен ниже.

Отметьте данные, которые вы собираете через виджет Restoplace:

• фамилия, имя, отчество
• номер мобильного телефона;
• адрес электронной почты (email);
• история запросов и просмотров на сайтах restoplace.cc и restoplace.ws и их сервисах (поддоменов);
• файлы cookie, сведения о местоположении пользователя, сведения о действиях пользователя на Сайте, сведения об оборудовании пользователя, дата и время сессии.

⚠️ Не указывайте банковские данные, так как Restoplace не хранит их — обработку платежей производит платёжная система (интернет-эквайринг).

Категории субъектов: ✅клиенты, ✅посетители сайта.

Основание обработки: ✅согласие пользователей, ✅исполнение договора.

Перечень действий. Отметьте все стандартные: ✅сбор, ✅хранение, ✅использование, ✅обновление, ✅передача, ✅удаление, ✅обезличивание, ✅уничтожение и т.д.

Способ обработки: ✅смешанный, с передачей данных через интернет.

📌 Пример описания мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных», если данные пункты актуальны для вас:

1. Разработаны и утверждены локальные нормативные акты, регулирующие порядок обработки персональных данных, включая политику в отношении обработки персональных данных и регламент работы с информационными системами.
2. Сотрудники, участвующие в обработке персональных данных, ознакомлены с требованиями Федерального закона №152-ФЗ, а также локальными актами и инструкциями.
3. Назначено ответственное лицо за организацию обработки персональных данных, его обязанности и полномочия зафиксированы в должностной инструкции.
4. Осуществляется внутренний контроль за соответствием обработки персональных данных законодательным требованиям.
5. Выявлены и классифицированы угрозы безопасности персональных данных при их обработке в информационных системах
6. Исключен неконтролируемый доступ в помещения, где осуществляется обработка персональных данных, за счет системы контроля доступа
7. Применяются сертифицированные средства защиты информации, соответствующие требованиям законодательства Российской Федерации, включая программно-аппаратные комплексы для предотвращения несанкционированного доступа к информационным системам
8. Аутентификация сотрудников осуществляется с применением многофакторной проверки, включая использование уникальных учетных записей и двухфакторной авторизации
9. Выданы доступны только сотрудникам, уполномоченным на их обработку в рамках исполнения трудовых обязанностей
10. Регулярно проводится оценка эффективности средств защиты информации в соответствии с внутренними процедурами безопасности и требованиями законодательства
11. Доступ к данным ограничен паролями
12. Персональные данные обрабатываются в зашифрованном виде
13. Серверы размещены в центрах обработки персональных данных на территории Российской Федерации
14. Средства обеспечения безопасности: межсетевой экран, антивирус, разграничение прав доступа. Хранение данных на защищенных серверах согласно требованиям ФСТЭК
15. Использование шифровальных средств. Здесь вы указываете средства шифрования, которые используете локально — скорее всего, это будет ваша ЭЦП. Сведения о классе СКЗИ, а также серийном номере средства шифрования вы можете уточнить через используемое вами программное обеспечение для работы с ЭЦП (например, через КриптоПро, вкладка “Сервис”, кнопка “Посмотреть сертификаты”)
16. Ответственное лицо. Тип: физическое лицо. Укажите данные уполномоченного сотрудника: ФИО, адрес, контактный телефон и email. Если сотрудников нет — укажите свои данные
17. Дата начала обработки персональных данных. Укажите дату, с которой вы начали собирать персональные данные (можно взять дату запуска сайта или подключения виджета Restoplace, если сбор идет только через Restoplace.cc)
18. Срок или условие прекращения обработки. Выберите «условие окончания» и укажите: «по истечении 5 лет с даты последнего взаимодействия с субъектом»
19. Трансграничная передача. Ставите «нет» (если передача персональных данных идет только через Restoplace)

• Страна: Россия
• Адрес ЦОДа: город Санкт-Петербург, Цветочная ул, д. 19
• Собственный ЦОД: нет
• Сведения об организации, ответственной за хранение данных:
• Тип организации: Юридическое лицо
• Организационно-правовая форма: Акционерное общество
• Наименование организации: АО "Селектел"
• ОГРН 1247800067790
• ИНН 7810962785
• Страна местонахождения организации, ответственной за хранение данных: Россия
• Адрес местонахождения организации, ответственной за хранение данных: 196006, город Санкт-Петербург, Цветочная ул, д. 21 литера А
• Сведения о лицах, осуществляющих обработку персональных данных, содержащихся в государственных и муниципальных информационных системах Если блок для вас не актуален — его не заполняем, т.к. сама платформа Restoplace.cc не имеет доступа к персональным данным, содержащимся в государственных и муниципальных информационных системах.

⚠️ Выше указан адрес дата-центра, который использует сервис Restoplace.cc. Если помимо нашего сервиса вы работаете с персональными данными в других программах, укажите адреса местонахождения всех баз данных

📌 Частично здесь будут дублироваться сведения из блока 4

1. Определён уровень защищённости персональных данных – установлен второй уровень защищённости, исходя из характера обрабатываемых данных, количества субъектов персональных данных и актуальных угроз безопасности информации (угрозы 2-го типа).
2. Назначено должностное лицо, ответственное за обеспечение безопасности персональных данных при их обработке в информационных системах. Утверждён перечень лиц, допущенных к обработке персональных данных, с разграничением прав доступа в соответствии с занимаемыми должностями и должностными обязанностями.
3. Организован контроль доступа к информационной системе персональных данных. Реализовано разграничение доступа пользователей по ролям и уровням доступа, обеспечен индивидуальный учёт действий пользователей.
4. Обеспечено ведение и контроль электронных журналов регистрации событий безопасности, доступ к которым имеют исключительно уполномоченные сотрудники, обладающие соответствующими полномочиями в рамках исполнения трудовых обязанностей.
5. Использованы сертифицированные средства защиты информации, прошедшие процедуру оценки соответствия требованиям безопасности информации в соответствии с законодательством Российской Федерации (при наличии необходимости нейтрализации актуальных угроз).
6. Обеспечено шифрование персональных данных при их передаче по сетям передачи данных, а также при хранении в базах данных. Используются актуальные криптографические протоколы.
7. Организовано резервное копирование и восстановление данных, а также реализован режим обеспечения устойчивости и сохранности персональных данных при возникновении инцидентов информационной безопасности.
8. Проведено обучение и инструктаж сотрудников, имеющих доступ к персональным данным, по вопросам обеспечения информационной безопасности и соблюдения требований законодательства о персональных данных.
9. Обеспечена защита серверных мощностей и технической инфраструктуры, в том числе за счёт размещения информационных систем в дата-центрах на территории Российской Федерации, соответствующих требованиям по обеспечению безопасности информации.
10. Разработаны и утверждены локальные нормативные акты, регламентирующие обработку персональных данных, порядок взаимодействия с третьими лицами, а также порядок реализации прав субъектов персональных данных.
11. Обеспечен защищенный обмен данными с внешними системами.