[Andrei]

Надзор прислал письмо о том, что нами не приняты меры по "опубликованию на официальном сайте организации документов, определяющих политику в отношении обработки персональных данных" в соответствии с ч.2 ст.18.1 152-ФЗ о защите перс.данных.

Что за документы?

[pashashtepa]

Не хранишь ли случаем ПД на буржуйских серверах. Согласно ФЗ обрабатываешь ПД. Верную ли политику ведёшь внутри организации по ПД.

MTT пример

Ростелек

Изменено 13 марта, 2017 пользователем pashashtepa

[Барагоз]

Что за документы?

Я готовил много лет назад по этим образцам: http://zpdn-day.ru/

 

btw, а где-то в НПА сказано, что это должно быть опубликовано на сайте? И вообще что должен быть сайт у оператора?

[Галушко Дмитрий]

Надзор прислал письмо о том, что нами не приняты меры по "опубликованию на официальном сайте организации документов, определяющих политику в отношении обработки персональных данных" в соответствии с ч.2 ст.18.1 152-ФЗ о защите перс.данных.

Что за документы?

 

странно ФЗ с 1 июля вступает в действие...

кому ещё пришёл запрос?

[YuryD]

btw, а где-то в НПА сказано, что это должно быть опубликовано на сайте? И вообще что должен быть сайт у оператора?

Пару лет назад была интересная ситуация. Пришла к нам проверка то-ли роспотребнадзора, то-ли еще какая, но федералы. Проверяли - а достоверно ли мы информируем клиентов :) Потребовали на сайт выложить тексты законов, на основании которых мы работаем :) Сработал неожиданно аргумент, что мы не РГ и не оффсайты РФ, и права копировать их документы и распространять - не имеем :) Старое образование о том, что копировать и распространять госты - нельзя, сработало. Они убрали это из актов проверки, а я просто ссылки на законы на сайте повесил.

[Andrei]

btw, а где-то в НПА сказано, что это должно быть опубликовано на сайте? И вообще что должен быть сайт у оператора?

Указано на ч.2 ст 18.1 152-ФЗ:

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

 

В запросе РСОК указано, что запрос связан с тем, что на нашем сайте размещена форма заявки на подключение, но сведения в этой форме по-моему вообще не подпадают под определение ПДн: имя, контактный телефон и желаемый адрес подключения. По этим данным нельзя идентифицировать человека (ст.3 152-ФЗ):

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

...

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

 

Не хранишь ли случаем ПД на буржуйских серверах. Согласно ФЗ обрабатываешь ПД.

Не храним у буржуев. Обрабатываем без уведомления РСОК в соответствии со ст.22.2 152-ФЗ:

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

(п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

[kirill bezrukavnikov]

в свое время - было достаточно намекнуть проверяющим что со всеми собственниками ПД у оператора заключен действующий договор оказания услуг, и согласно закону - информировать никого не надо.

[Andrei]

в свое время - было достаточно намекнуть проверяющим что со всеми собственниками ПД у оператора заключен действующий договор оказания услуг, и согласно закону - информировать никого не надо.

Именно так в свое время (лет 5 назад) в надзор и написали. А тут снова.

[svcons]

в свое время - было достаточно намекнуть проверяющим что со всеми собственниками ПД у оператора заключен действующий договор оказания услуг, и согласно закону - информировать никого не надо.

Именно так в свое время (лет 5 назад) в надзор и написали. А тут снова.

Так это 5 лет назад!!! Они почти всем в ЧО разослали.

[Галушко Дмитрий]

в свое время - было достаточно намекнуть проверяющим что со всеми собственниками ПД у оператора заключен действующий договор оказания услуг, и согласно закону - информировать никого не надо.

Именно так в свое время (лет 5 назад) в надзор и написали. А тут снова.

Так это 5 лет назад!!! Они почти всем в ЧО разослали.

Ну да, за 5 лет воды утекло ФЗ О ПДн меняли уже больше 5 раз существенно...

+ ответственность в 13.11 КоАП вместо о штрафа до 10 тр и одного пункта стало 15-75 и 7 пунктов...

"Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

 

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, -

влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -

влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния -

влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.

[kirill bezrukavnikov]

Дмитрий, одни штрафы, причем хрен пойми за что... никакой конкретики одно "бросание говна на вентилятор" в нашем провайдере всегда было так: будущий абонент САМ звонит в офис, и оставляет заявку на подключение, соотв оператор по своей воле ничего не собирает лишнего, на все имеющиеся ПДн - у оператора есть действующий договор об оказании услуг, оплата - онлайном по карточкам/банкинг через личный кабинет в который без пароля не зайти. данные хранятся в биллинге, сертификат на него в наличии.

[Галушко Дмитрий]

Дмитрий, одни штрафы, причем хрен пойми за что... никакой конкретики одно "бросание говна на вентилятор" в нашем провайдере всегда было так: будущий абонент САМ звонит в офис, и оставляет заявку на подключение, соотв оператор по своей воле ничего не собирает лишнего, на все имеющиеся ПДн - у оператора есть действующий договор об оказании услуг, оплата - онлайном по карточкам/банкинг через личный кабинет в который без пароля не зайти. данные хранятся в биллинге, сертификат на него в наличии.

Кирилл, в моей цитате конкретно указано за что!

Надо озаботиться, чтоб к 1 июля все документы были!

[kirill bezrukavnikov]

чтот я из этого "потока сознания" не понял что нарушает оператор при соблюдении следующего:

1. оператор сам данные не собирает, ему их приносят юзвери

2. со всеми юзверями есть действующий договор оказания услуг

3. ПД хранятся в биллинге имеющем нужные сертификаты.

4. доступ к биллингу есть у тех кого надо и никак иначе.

5. "ворох макулатуры" утвержден начальством и с ним сотрудники ознакомлены.

[winter2211]

чтот я из этого "потока сознания" не понял что нарушает оператор при соблюдении следующего:

1. оператор сам данные не собирает, ему их приносят юзвери

2. со всеми юзверями есть действующий договор оказания услуг

3. ПД хранятся в биллинге имеющем нужные сертификаты.

4. доступ к биллингу есть у тех кого надо и никак иначе.

5. "ворох макулатуры" утвержден начальством и с ним сотрудники ознакомлены.

 

1. ну так-то даже если не цепляться к формулировке "собирает", оператор в любом случае эти данные обрабатывает, хранит, а значит подпадает под все требования законодательства по персональным данным.

2. Договор означает только то, что не нужно дополнительное отдельно оформленное согласие абонента на обработку его ПД

3. если в биллинге - значит ещё и автоматизированная обработка ПД, требования строже

4. а как это доказать надзору при проверке? не думаю, что тут все озабочены защитой персональных данных во благо субъектов ПД

5. если под "ворохом макулатуры" понимать актуальные документы, предусмотренные законодательством - то всё в порядке, оператор ничего не нарушает (если соблюдены требования по п. 3), а если есть только договор и сертификат на биллинг - то велик риск непрохождения проверки, это если вкратце

[kirill bezrukavnikov]

ворох макулатуры - именно они самые.. регламент обработки ПД, ответственность сотрудника за ненадлежащую обработку с обязательной росписью товарища в журнале... в старой формулировке было сказано что если у оператора ПД с их владельцем есть действующий договор на оказание услуг - никого уведомлять не надо и никакие данные в контору из 3 букв передавать не надо. если это на месте - оператор спит спокойно или не?

[Галушко Дмитрий]

ворох макулатуры - именно они самые.. регламент обработки ПД, ответственность сотрудника за ненадлежащую обработку с обязательной росписью товарища в журнале... в старой формулировке было сказано что если у оператора ПД с их владельцем есть действующий договор на оказание услуг - никого уведомлять не надо и никакие данные в контору из 3 букв передавать не надо. если это на месте - оператор спит спокойно или не?

только раньше,

учитывая штраф макс. 10 тр.

РКН ворох не проверял, у них был и другие хлебные статьи...

А теперь будет выцеплять ошибки и щемить. Ибо если не п. 2 с 75 тр., то хотя бы п.3 с 15 до 30

[kirill bezrukavnikov]

скиппед много мата.... мдя.. наша власть разучилась делать чтолибо кроме закручивания гаек и сбора штрафов... сцуки.

[ALaddin]

чтот я из этого "потока сознания" не понял что нарушает оператор при соблюдении следующего:

1. оператор сам данные не собирает, ему их приносят юзвери

2. со всеми юзверями есть действующий договор оказания услуг

3. ПД хранятся в биллинге имеющем нужные сертификаты.

4. доступ к биллингу есть у тех кого надо и никак иначе.

5. "ворох макулатуры" утвержден начальством и с ним сотрудники ознакомлены.

 

Помимо абонентов, есть ваши сотрудники штатные, есть нештатные, есть договорники, есть учредители, есть алиментщики, есть военнообязанные, есть родственники (дети - налоговые вычеты) и т.д. и т.п. При желании накопать кого-нибудь, кто не дал вам письменное согласие на обработку своих ПДн, можно.

 

Как говорит надзор, сейчас любое юридическое лицо является оператором по обработке ПДн, без вариантов.

Изменено 15 марта, 2017 пользователем ALaddin

[Галушко Дмитрий]

скиппед много мата.... мдя.. наша власть разучилась делать чтолибо кроме закручивания гаек и сбора штрафов... сцуки.

https://rkn.gov.ru/news/rsoc/news43533.htm

[Andrei]

скиппед много мата.... мдя.. наша власть разучилась делать чтолибо кроме закручивания гаек и сбора штрафов... сцуки.

А когда-то было по-другому?

[Andrei]

Надзор прислал письмо о том, что нами не приняты меры по "опубликованию на официальном сайте организации документов, определяющих политику в отношении обработки персональных данных" в соответствии с ч.2 ст.18.1 152-ФЗ о защите перс.данных.

Что за документы?

Оказывается надзор еще и в прокуратуру передал материал - заява на директора. Завтра назначено рандеву с прокурорскими.

[Денис Лукаш]

Надзор прислал письмо о том, что нами не приняты меры по "опубликованию на официальном сайте организации документов, определяющих политику в отношении обработки персональных данных" в соответствии с ч.2 ст.18.1 152-ФЗ о защите перс.данных.

Что за документы?

 

 

Для операторов связи - телематиков соответствующая публикация Политики нужна практически всегда, ведь почти у всех есть доступ в личный кабинет через интернет или просто общение с клиентом через интернет (абонент же представляется надлежаще).

 

 

Согласно ст. 2 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" практически любое действие с персональными данными подразумевает их обработку.

Факт обработки персональных данных с использованием сети Интернет или иной информационно - телекоммуникационной сети требует публикации политики в той же сети.

Некоторые случаи при которых однозначно требуется публикация политики:

1. Сбор персональных данных клиентов с использованием веб-форм сайта.
2. Хранение персональных данных сотрудников во внутрикорпоративной информационной системе.
3. Обмен сайта данными с платежными системами.
4. Использование сервисов электронной почты для осуществления коммуникаций между работниками компании.
5. Публикация персональных данных работников или иных лиц на сайте в независимости от законности такой публикации.

Подробнее

 

К политике еще полагаются ЛНА

[Andrei]

Для операторов связи - телематиков соответствующая публикация Политики нужна практически всегда, ведь почти у всех есть доступ в личный кабинет через интернет или просто общение с клиентом через интернет (абонент же представляется надлежаще).

Абонент при входе в ЛК представляется совершенно обезличенно - логин и пароль.

 

К политике еще полагаются ЛНА

Что за зверь?

 

PS. Прокурорские направили дело в мировой суд: привлечение директора к адм.ответственности.

[Барагоз]

Кстати вот еще интересно.

 

Надзор прислал письмо о том, что нами не приняты меры по "опубликованию на официальном сайте организации документов, определяющих политику в отношении обработки персональных данных" в соответствии с ч.2 ст.18.1 152-ФЗ о защите перс.данных.

 

В рамках чего это надзор установил? Проверка какая-то была? Плановая/внеплановая? Основание есть, процедура была соблюдена?

[Andrei]

В рамках чего это надзор установил? Проверка какая-то была? Плановая/внеплановая? Основание есть, процедура была соблюдена?

"Мероприятия систематического наблюдения в сети Интернет"