Добрый день.
Мы организуем платные рассылки на физические адреса.
Пользователь заходит на сайт, жмакает кнопку "оплатить", попадает на сайт яндекс.денег. Там заполняет адрес доставки, ФИО и производит оплату. Далее яндекс через свой api отправляет нам совершенные платежи и данные "подписчиков". Мы заносим их в базу данных и ежемесячно делаем запрос в cvs адреса и ФИО для конвертов. Количество подписчиков в ближайшее время не превысит 1000 человек.
Вопрос
1) Нужно ли получать лицензию у регуляторов?
2) Как нужно обеспечить процедуру хранения и обработки ПД для того, чтобы удовлетворять 152-ФЗ ?
1) Вы являетесь оператором персональных данных - подайте Уведомление в РосКомНадзор.
2) Вы должны иметь подтверждение того, что пользователь согласился на те виды обработки данных, которые Вы осуществляете.
3) Подсистема безопасности может быть разработана Вами самостоятельно на основании Приказа ФСТЭК №21 (если Вы - коммерческая структура), либо заказана у любого лицензиата ФСТЭК "под ключ"
-----
Лицензия ФСТЭК лично Вашей организации - не нужна, т.к. Вы не оказываете услуг по защите перс.данных другим лицам.
Во первых, на таких количествах достаточно уведомления
Во вторых, ФИО и адрес не позволяет идентифицировать личность
Для успокоения совести достаточно уведомить регулятора
