Перейти к содержимому
Калькуляторы

Политика в отношении обработки персональных данных

Да, если вводятся реальное имя и телефон (майл). Так видится надзору.

А кто может заранее знать и наверняка утверждать, что вводятся реальные данные? Существует презумпция, что все сомнения трактуются в пользу обвиняемого, пока не доказано иное. А сомнения на 100%, идентифицировать юзера только по этим данным физически невозможно.

В прошлом это уже мусолилось в других форумах.

Имя и email - Пдн. Это позиция РКН + Прокуратуры + мирового суда + районного + областного. Ссылка http://sudact.ru/regular/doc/TRz3NsNQuVWy/

Реальные - нереальные ПДн никого не интересовало.

ПДн оператора одно из самых уязвимых мест, но если знать принципы работы РКН в этом направлении, можно здорово экономить на документации.

так у них принципы работы простые: если ты в реестре, будут проверять планово...

Если нет -так главное, чтоб Политика обработки ПеДн висела на сайте... Иначе штраф 15-30 кРуб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, если вводятся реальное имя и телефон (майл). Так видится надзору.

А кто может заранее знать и наверняка утверждать, что вводятся реальные данные? Существует презумпция, что все сомнения трактуются в пользу обвиняемого, пока не доказано иное. А сомнения на 100%, идентифицировать юзера только по этим данным физически невозможно.

В прошлом это уже мусолилось в других форумах.

Имя и email - Пдн. Это позиция РКН + Прокуратуры + мирового суда + районного + областного. Ссылка http://sudact.ru/reg...c/TRz3NsNQuVWy/

Реальные - нереальные ПДн никого не интересовало.

ПДн оператора одно из самых уязвимых мест, но если знать принципы работы РКН в этом направлении, можно здорово экономить на документации.

 

Кстати на принципах работы Роскомнадзора нами разработан риск-ориентированный подход к документам по ПДн. Защищает от штрафов.

 

так у них принципы работы простые: если ты в реестре, будут проверять планово...

Если нет -так главное, чтоб Политика обработки ПеДн висела на сайте... Иначе штраф 15-30 кРуб.

 

Поверхностный взгляд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, если вводятся реальное имя и телефон (майл). Так видится надзору.

А кто может заранее знать и наверняка утверждать, что вводятся реальные данные? Существует презумпция, что все сомнения трактуются в пользу обвиняемого, пока не доказано иное. А сомнения на 100%, идентифицировать юзера только по этим данным физически невозможно.

В прошлом это уже мусолилось в других форумах.

Имя и email - Пдн. Это позиция РКН + Прокуратуры + мирового суда + районного + областного. Ссылка http://sudact.ru/reg...c/TRz3NsNQuVWy/

Реальные - нереальные ПДн никого не интересовало.

ПДн оператора одно из самых уязвимых мест, но если знать принципы работы РКН в этом направлении, можно здорово экономить на документации.

 

Кстати на принципах работы Роскомнадзора нами разработан риск-ориентированный подход к документам по ПДн. Защищает от штрафов.

 

так у них принципы работы простые: если ты в реестре, будут проверять планово...

Если нет -так главное, чтоб Политика обработки ПеДн висела на сайте... Иначе штраф 15-30 кРуб.

 

Поверхностный взгляд.

Поверхностный взгляд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скажите, если на сайте в комментариях (гостевая) оставить только поле "имя" (ник, псевдоним), а емейл убрать, это будет считаться обработкой ПД?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так выше уже был комментарий, помимо эл.почты еще служебная информация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так выше уже был комментарий, помимо эл.почты еще служебная информация.

 

Дополнительно Вот пример привлечения за форму без эл.. почты с полями "Ваше имя, тема сообщения, сообщение"

http://sudact.ru/regular/doc/TRz3NsNQuVWy/

 

Если хочется Имя оставить, для снижения рисков лучше исключить как основание обработки согласие об обработке персональных данных (о законности исключения), кроме политики подготовить оправдательное соглашение, реализуемые сведения, все сопоставить с ФЗ.

Еще что-то может быть в "Уголке потребителя", абоненты жалуются иногда прикладывая договоры или еще что-нибудь. Это все тоже нужно сопоставлять чистить. По сути это и есть риск-ориентированный подход.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

РКН уже начал активно проверять сайты Операторов связи и окучивать штрафами по ч.3 ст. 13.11 за неразмещение политики. И уже с новой санкцией...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если хочется Имя оставить,

Ну а как вы себе представляете обзначение писателя в ленте сообщений?

У меня при отключенном имени, сообщения от всех пользователей отображаются как guest (гость). Со стороны будто один и тот же персонаж пишет. Смешно. Хоть псевдоним (ник) но его нужно оставить. Блин, какая всё же это бредятина, никому нафиг не нужная. Театр абсурда, не устаю повторять.

Изменено пользователем Novossyol

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня есть письмо Минкомсвязи, где сказано что Роскомнадзор может включить любой сайт компании в реестр организаторов распространения информации, у кого есть любая тикет система система, личные сообщения, включая интернет-магазины. Так что сделать документы по ПДн вроде как в абсурдной ситуации это еще не вершина абсурда.

Изменено пользователем Информправо.рф

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Требуется ли размещение политики на сайте оператора, если никаких форм ввода каких бы то ни было данных на нём нет?

 

Единственное исключение - ссылка на сайт банка-эквайера, на котором действует форма оплаты картой.

И та доступна только абонентам - для посетителей извне не видна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня есть письмо Минкомсвязи, где сказано что Роскомнадзор может включить любой сайт компании в реестр организаторов распространения информации, у кого есть любая тикет система система, личные сообщения, включая интернет-магазины. Так что сделать документы по ПДн вроде как в абсурдной ситуации это еще не вершина абсурда.

А вот такая форма обратной связи (как пример) не попадает под ПД?

http://market-br.ru/kontakty

Я всё хочу понять как это лучше, а главное проще без заморочек оформить, чтобы комар в лице РКН носа не подточил...

Изменено пользователем Novossyol

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня есть письмо Минкомсвязи, где сказано что Роскомнадзор может включить любой сайт компании в реестр организаторов распространения информации, у кого есть любая тикет система система, личные сообщения, включая интернет-магазины. Так что сделать документы по ПДн вроде как в абсурдной ситуации это еще не вершина абсурда.

А вот такая форма обратной связи (как пример) не попадает под ПД?

http://market-br.ru/kontakty

Я всё хочу понять как это лучше, а главное проще без заморочек оформить, чтобы комар в лице РКН носа не подточил...

 

Попадает, документация на сайте по ПДн не соответствует ФЗ, уведомление о cookie лишнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попадает, документация на сайте по ПДн не соответствует ФЗ, уведомление о cookie лишнее.

Приведите плз. пример такой формы на каком-либо сайте, чтобы мой вебдизанер смог аналогично оформить мою форму обратной связи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попадает, документация на сайте по ПДн не соответствует ФЗ, уведомление о cookie лишнее.

Приведите плз. пример такой формы на каком-либо сайте, чтобы мой вебдизанер смог аналогично оформить мою форму обратной связи.

 

Отличный вариант

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а как идентифицировать пользователя, как к нему обращаться на вашей форме с сайта?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я уже отвечал выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если человек захочет что бы его называли по имени, напишет в теле сообщения или будет видно потом в заголовке электронной почты.

В заголовке сообщения всегда пишется Guest (Гость), мне это не очень нравится. А если будет отображаться и гость и имя одновременно то это некрасиво как-то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, сходили на конференцию https://rkn.gov.ru/news/rsoc/news47822.htm весьма информативно. Рассказывали много интересного, в т.ч.про правоприменение с 1 июля

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С 01.07.2017 ввели ответственность за непубликацию политики по обработке ПД

http://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/ :

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -

влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

 

"обеспечение неограниченного доступа к документу" - повесить бумажку в абон.отделе, любой может прийти и ознакомиться. Выполнена обязанность?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С 1 июля ещё много обязанностей вступило в действие. Там 6 составов адм.правонарушений ввели. Про политику-это только один из них. Подробности указывал в этой теме, не буду повторяться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

День добрый.

Подскажите уважаемые, кто сталкивался: Роскомнадзор прислал письма во все юр.лица холдинга с требованием отправить Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных на основании отсутствия "Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации". Собственно написать адрес БД на основе готовой формы проблем естественно нет, вопрос больше о возможных последствиях для компаний холдинга, консультант в местном Роскомнадзоре не смог внятно ответить на эти вопросы.

 В двух словах - в форме есть поле "Адрес БД.." и кнопка "Собственный ЦОД" или "Нет". Соответственно если выбрать "Нет" где кнопка ЦОД, форма расширяется и появляются поля с данными о том юр.лице где как бы должен быть ЦОД. Реально в холдинге централизованный отдел ИТ для всех компаний (в штате головной компании) и единая инфраструктура хранения и обработки баз данных (мы так понимаем что в трактовке Роскомнадзора это ЦОД, хотя откуда этот термин у них в письме, ссылки мы не нашли). Т.е. по нашей версии мы должны в письмах Роскомнадзору от всех компаний, кроме головного юр. лица, указать почтовый адрес головного предприятия и указать данные этого юр.лица в поле "Сведения об организации, ответственной за хранение данных". Для чего собственно весь сыр-бор?! Дело в том что в 152 Ф.З. есть ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, и выполнение этих требований представляет собой весьма нетривиальный процесс со всеми вытекающими (разработать модель угроз, отклассифицировать, ответственные, журналы, ввести в эксплуатацию систему ИСПДн и пр.). Соответственно чтобы все это выполнять у юр.лица должен быть ЦОД, отдел ИТ-шников и прочее. Потом Роскомнадзор естественно должен прийти с плановой проверкой "оператора персональных данных" смотреть все эти разукрашки, может чего не понаписано.

 Моделирую ситуацию: если конторы тупо пишут "собственный ЦОД" и к ним приходит Роскомнадзор - пишет бумаги о недостоверных данных, отсутствии вороха бумаг и журналов и т.п. Если пишут "ЦОД там у них...", к конторам вопросов почти нет, идут в головную контору, ну а в ней есть штат и т.п. и если нужны разукрашки, то хотя бы в одном варианте.

 Звоню в Роскомнадзор с запросом о консультации, рассказываю консультанту свои выводы по этому запросу, он начинает рассказывать, что если в конторах персональные данные обрабатывают (там же есть расчетчики, бухгалтера, кадровики, у них же есть ПД в бумажном виде и рабочие станции с помощью которых извлекаются персональные данные...) то у них есть собственный ЦОД(!) и если вы централизованно обрабатываете персональные данные данные, то должны в Информационное письмо добавить еще одну "Информационную систему" и указать там реквизиты вашей головной конторы... Мы говорит (Роскомнадзор) при проверках  вообще не проверяем как вы там обеспечиваете хранение, обработку и пр.., это все для ФСТЭК! "Вы им передаете данные об операторах? - нет, мы ни чего не передаем..." Видимо для чего у оператора ПД может быть несколько Информационных систем и для чего тогда поле "Сведения об организации, ответственной за хранение данных" консультанты в Роскомнадзоре не очень понимают. Мы же в свою очередь не нашли ответы на вопросы:

 - что такое ЦОД в отношении 152-ФЗ и 242-ФЗ

 - ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ: где эти нормативные акты от ФСТЭКа для коммерческих предприятий?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Приходило аналогичное письмо от Роскомнадзора. Мы им задали аналогичные вопросы. Но у нас неавтоматизированная обработка ПДн. Нам ответили, что у вас /нас/ трудовые книжки хранятся в сейфе по месту нахождения предприятия. Это и есть база данных. Вот и пишите свой адрес. Мы упираться не стали и указали свой адрес.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 28.09.2017 в 14:33, term-it сказал:

День добрый.

Подскажите уважаемые, кто сталкивался: Роскомнадзор прислал письма во все юр.лица холдинга с требованием отправить Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных на основании отсутствия "Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации". Собственно написать адрес БД на основе готовой формы проблем естественно нет, вопрос больше о возможных последствиях для компаний холдинга, консультант в местном Роскомнадзоре не смог внятно ответить на эти вопросы.

 В двух словах - в форме есть поле "Адрес БД.." и кнопка "Собственный ЦОД" или "Нет". Соответственно если выбрать "Нет" где кнопка ЦОД, форма расширяется и появляются поля с данными о том юр.лице где как бы должен быть ЦОД. Реально в холдинге централизованный отдел ИТ для всех компаний (в штате головной компании) и единая инфраструктура хранения и обработки баз данных (мы так понимаем что в трактовке Роскомнадзора это ЦОД, хотя откуда этот термин у них в письме, ссылки мы не нашли). Т.е. по нашей версии мы должны в письмах Роскомнадзору от всех компаний, кроме головного юр. лица, указать почтовый адрес головного предприятия и указать данные этого юр.лица в поле "Сведения об организации, ответственной за хранение данных". Для чего собственно весь сыр-бор?! Дело в том что в 152 Ф.З. есть ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, и выполнение этих требований представляет собой весьма нетривиальный процесс со всеми вытекающими (разработать модель угроз, отклассифицировать, ответственные, журналы, ввести в эксплуатацию систему ИСПДн и пр.). Соответственно чтобы все это выполнять у юр.лица должен быть ЦОД, отдел ИТ-шников и прочее. Потом Роскомнадзор естественно должен прийти с плановой проверкой "оператора персональных данных" смотреть все эти разукрашки, может чего не понаписано.

 Моделирую ситуацию: если конторы тупо пишут "собственный ЦОД" и к ним приходит Роскомнадзор - пишет бумаги о недостоверных данных, отсутствии вороха бумаг и журналов и т.п. Если пишут "ЦОД там у них...", к конторам вопросов почти нет, идут в головную контору, ну а в ней есть штат и т.п. и если нужны разукрашки, то хотя бы в одном варианте.

 Звоню в Роскомнадзор с запросом о консультации, рассказываю консультанту свои выводы по этому запросу, он начинает рассказывать, что если в конторах персональные данные обрабатывают (там же есть расчетчики, бухгалтера, кадровики, у них же есть ПД в бумажном виде и рабочие станции с помощью которых извлекаются персональные данные...) то у них есть собственный ЦОД(!) и если вы централизованно обрабатываете персональные данные данные, то должны в Информационное письмо добавить еще одну "Информационную систему" и указать там реквизиты вашей головной конторы... Мы говорит (Роскомнадзор) при проверках  вообще не проверяем как вы там обеспечиваете хранение, обработку и пр.., это все для ФСТЭК! "Вы им передаете данные об операторах? - нет, мы ни чего не передаем..." Видимо для чего у оператора ПД может быть несколько Информационных систем и для чего тогда поле "Сведения об организации, ответственной за хранение данных" консультанты в Роскомнадзоре не очень понимают. Мы же в свою очередь не нашли ответы на вопросы:

 - что такое ЦОД в отношении 152-ФЗ и 242-ФЗ

 - ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ: где эти нормативные акты от ФСТЭКа для коммерческих предприятий?

 

 

По первой части вопроса (как именно указывать адрес(а) обработки ПД) вряд ли кто-то что-то может пояснить, это процедурные моменты и лучше долбать ими надзор т.к. для них это в конечном итоге нужно. Судя по описанию ситуации - весь сыр-бор не в информационных системах, а в том, что все ПД обязательно надо хранить на территории РФ и, судя по всему, Роскомнадзор хочет видеть подтверждение этого в своём реестре. 

Информационные системы ПД к деятельности Роскомнадзора действительно никак не относятся в том плане, что он их проверять не имеет полномочий, а те, кто имеют, к простым смертным редко захаживают. Требования к ИСПД закреплены в Постановлении Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Что касается ЦОД - никакие акты в сфере ПД, насколько мне известно, не содержат такого понятия, даже на бытовом уровне такого термина в отношении сферы ПД не встречал.. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тем временем пошли первые штрафы по Политике(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот потому и убрал все формы, форумы и т.п. у себя с сайта. Абонентам неудобств немного (формой заказа услуги за год воспользовалось человек 10), а мне спокойней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.