Сбор контактных данных для ресторанов и онлайн доставки.

В вашем случае вы выступаете оператором персональных данных (или, как минимум, их обработчиком по поручению клиента-ресторана), и на вас распространяются все требования закона о персональных данных. Ниже — конкретно, что нужно сделать в связи с новыми требованиями с 30 мая 2025 года, если вы обрабатываете email, телефоны и другие данные пользователей ресторанов.

1. Уведомление в Роскомнадзор

• Если вы (ваша компания) сами являетесь оператором — обязательно подайте уведомление об обработке персональных данных от своей компании.

• Если вы обрабатываете данные по поручению ресторана (а он является оператором) — ресторан подаёт уведомление, а вы оформляете с ним договор поручения обработки ПДн (обязательное требование статьи 6 и 9 ФЗ-152).

2. Договор с ресторанами (ДПО — договор поручения обработки)

Вы обязаны заключить с каждым рестораном, чьи сайты вы ведете, договор на обработку ПДн по поручению с чётким описанием:

• какие данные вы обрабатываете (телефон, email, имя, адрес доставки и т. д.);

• какие действия вы выполняете (сбор, хранение, передача службе доставки и т. д.);

• где и как данные хранятся;

• как обеспечена их защита;

• кто несет ответственность за утечку.

3. Форма согласия на сайте

На всех сайтах должна быть:

• отдельная форма согласия на обработку персональных данных (отдельный чекбокс);

• ссылка на политику обработки ПДн (на каждом сайте);

• согласие должно быть однозначно выражено (например, чекбокс “Я даю согласие…”, который не стоит по умолчанию).

Если используется email для маркетинга (рассылки, уведомления) — согласие должно отдельно охватывать это.

4. Cookie-баннер

Если сайты собирают cookie (в том числе через Google Analytics или рекламные пиксели):

• отображать cookie-баннер с возможностью выбора (обязательные, функциональные, маркетинговые);

• реализовать возможность отказа от сбора необязательных cookie;

• вести лог согласий (для доказательства, если будет проверка).

5. Локализация данных

Все собранные данные (телефон, email, имя и т. д.) должны:

• сохраняться на территории РФ (сервер или облако должно находиться физически в РФ);

• не передаваться за границу без согласия и уведомления Роскомнадзора.

6. Сроки хранения данных

Установите и документируйте, сколько времени храните данные (например: “до исполнения заказа + 30 дней”).

По окончании срока — данные нужно удалить или обезличить.

7. Штрафы за несоблюдение (с 30 мая)

• За отсутствие уведомления — до 300 тыс. руб.

• За отсутствие согласия или неправильную форму — до 500 тыс. руб.

• За утечку — до 20 млн руб.

• Повторные нарушения — до 3% годовой выручки

Что можно сделать прямо сейчас:

1. Проверить, кто является оператором ПДн — вы или ресторан.

2. Подготовить и подписать договор поручения (если вы не оператор).

3. Убедиться, что все сайты содержат согласие и политику ПДн.

4. Настроить cookie-баннеры, если используется аналитика/реклама.

5. Подать уведомление в Роскомнадзор, если вы — оператор.

6. Провести аудит хранения и защиты данных на серверах.