[Галушко Дмитрий]

В рамках чего это надзор установил? Проверка какая-то была? Плановая/внеплановая? Основание есть, процедура была соблюдена?

"Мероприятия систематического наблюдения в сети Интернет"

Так всех операторов связи проверить могут.

И на это не нужно согласование прокуратуры. .

[Денис Лукаш]

Для операторов связи - телематиков соответствующая публикация Политики нужна практически всегда, ведь почти у всех есть доступ в личный кабинет через интернет или просто общение с клиентом через интернет (абонент же представляется надлежаще).

Абонент при входе в ЛК представляется совершенно обезличенно - логин и пароль.

 

Внутри билинга есть его ФИО, номер договора, адрес и т.п.? Как вариант почистить биллинг, но не всегда это возможно, те же платежи абонентов через интернет.

 

К политике еще полагаются ЛНА

Что за зверь?

PS. Прокурорские направили дело в мировой суд: привлечение директора к адм.ответственности.

 

Например, приказ о назначении ответственного.

 

Условно документы по ПДн можно поделить на внутренние и внешние. Внешние, это те, по которым нарушение правил обработки ПДн можно определить дистанционно, например, не опубликована или не соответствует НПА политика обработки.

Внутренние - приказ о назначении ответственного и т.п., его могут выявить только при во взаимодействии.

Подробнее здесь (2 раздел)

За внешними в первую очередь нужно следить.

Изменено 20 марта, 2017 пользователем Информправо.рф

[Andrei]

Внутри билинга есть его ФИО, номер договора, адрес и т.п.? Как вариант почистить биллинг, но не всегда это возможно, те же платежи абонентов через интернет.

Так то внутри. Мы ж не показываем эти данные свободно кому попало.

Платежи через интернет - абонент вводит только обезличенный логин и сумму, дальше переходит на сайт платежного агрегатора.

 

К политике еще полагаются ЛНА

Условно документы по ПДн можно поделить на внутренние и внешние. Внешние, это те, по которым нарушение правил обработки ПДн можно определить дистанционно, например, не опубликована или не соответствует НПА политика обработки.

Внутренние - приказ о назначении ответственного и т.п., его могут выявить только при во взаимодействии.

Подробнее здесь (2 раздел)

За внешними в первую очередь нужно следить.

Внутренние есть, а внешние считали, что нам не надо публиковать.

[winter2211]

Внутри билинга есть его ФИО, номер договора, адрес и т.п.? Как вариант почистить биллинг, но не всегда это возможно, те же платежи абонентов через интернет.

Так то внутри. Мы ж не показываем эти данные свободно кому попало.

Платежи через интернет - абонент вводит только обезличенный логин и сумму, дальше переходит на сайт платежного агрегатора.

 

К политике еще полагаются ЛНА

Условно документы по ПДн можно поделить на внутренние и внешние. Внешние, это те, по которым нарушение правил обработки ПДн можно определить дистанционно, например, не опубликована или не соответствует НПА политика обработки.

Внутренние - приказ о назначении ответственного и т.п., его могут выявить только при во взаимодействии.

Подробнее здесь (2 раздел)

За внешними в первую очередь нужно следить.

Внутренние есть, а внешние считали, что нам не надо публиковать.

 

К сожалению и прежде и, тем более, сейчас нужно публиковать. Благо не все доки, только политику (или Положение об обработке, как угодно). С другой стороны, как кто-то верно подметил, никто не может обязать оператора создавать сайт, если нет сайта - обязательно вывесить на стенде в местах работы с абонентами (по Правилам оказания ТУС)

[svcons]

Политику на сайте обязательно нужно публиковать тогда, когда обработка ПД осуществляется с помощью сайта.

[Денис Лукаш]

Политику на сайте обязательно нужно публиковать тогда, когда обработка ПД осуществляется с помощью сайта.

 

 

 

Из ст. 18 ФЗ О ПДН

"Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети."

1. Это значит не только с помощью сайта (в смысле доступным через веб-браузер), но и при использовании API, email и т.п.

2. Не обязательно публиковать на своем сайте, главное, что бы в той же сети.

[Галушко Дмитрий]

Политику на сайте обязательно нужно публиковать тогда, когда обработка ПД осуществляется с помощью сайта.

обоснуйте!

[svcons]

п.2 ст.18.1. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

 

Про сайт - конечно частный случай.

[Галушко Дмитрий]

п.2 ст.18.1. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

 

Иными словами, учитывая, что львиная доля Операторов, собирая заявки на подключение,

осуществляет сбор ПеДн,

хошь не хошь, а политику (документ, содержащий сведения о реализуемых требованиях к защите персональных данных ) на сайте опубликуй!

Иначе с 1 июля попадешь по ч.3 ст. 13.11. КоАП РФ на штраф 15-30 Круб.

Кстати http://www.ordercom.ru/PeDn.htm

[Денис Лукаш]

п.2 ст.18.1. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

 

Иными словами, учитывая, что львиная доля Операторов, собирая заявки на подключение,

осуществляет сбор ПеДн,

хошь не хошь, а политику (документ, содержащий сведения о реализуемых требованиях к защите персональных данных ) на сайте опубликуй!

Иначе с 1 июля попадешь по ч.3 ст. 13.11. КоАП РФ на штраф 15-30 Круб.

 

Также, если в опубликованной политике есть упоминания (признаки) того, что данные обрабатываются, например с согласия, а не на основании договора, да и просто некорректно написана может потребоваться уведомление РКН по ст. 22 ФЗ О ПДн об обработке. Иначе политика опубликована, а все-равно претензии предъявят.

Вообще нужно подумать над тем, что бы иметь фул-комплект (включая внутренние акты) хотя бы по минимуму.

Изменено 23 марта, 2017 пользователем Информправо.рф

[Галушко Дмитрий]

п.2 ст.18.1. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

 

Иными словами, учитывая, что львиная доля Операторов, собирая заявки на подключение,

осуществляет сбор ПеДн,

хошь не хошь, а политику (документ, содержащий сведения о реализуемых требованиях к защите персональных данных ) на сайте опубликуй!

Иначе с 1 июля попадешь по ч.3 ст. 13.11. КоАП РФ на штраф 15-30 Круб.

 

Также, если в опубликованной политике есть упоминания (признаки) того, что данные обрабатываются, например с согласия, а не на основании договора, да и просто некорректно написана может потребоваться уведомление РКН по ст. 22 ФЗ О ПДн об обработке. Иначе политика опубликована, а все-равно претензии предъявят.

Вообще нужно подумать над тем, что бы иметь фул-комплект (включая внутренние акты) хотя бы по минимуму.

да, с 1 июля минимальный комплект Оператору связи необходим!

[Денис Лукаш]

да, с 1 июля минимальный комплект Оператору связи необходим!

 

И это еще не все. Если даже политика есть, уведомление в РКН написано, ответственный назначен и т.д. нужно все-равно нести издержки по поддержанию документов по ПДн в актуальности и сопоставлять некоторые договоры с политикой.

Например, договор с ДЦ, на сервере которого хранятся ПДн абонентов (биллинг, и т.п). Тот же договор с абонентами-юрлицами по которому идет ежеквартальный сбор ПДн работников абонента (п. 22(1) Правил).

 

Вообщем, гайки закручиваются.

[Галушко Дмитрий]

да, с 1 июля минимальный комплект Оператору связи необходим!

 

И это еще не все. Если даже политика есть, уведомление в РКН написано, ответственный назначен и т.д. нужно все-равно нести издержки по поддержанию документов по ПДн в актуальности и сопоставлять некоторые договоры с политикой.

Например, договор с ДЦ, на сервере которого хранятся ПДн абонентов (биллинг, и т.п). Тот же договор с абонентами-юрлицами по которому идет ежеквартальный сбор ПДн работников абонента (п. 22(1) Правил).

 

Вообщем, гайки закручиваются.

Да, 152-ФЗ каждый год меняется,

причем меняется существенно...

Кстати повеселило: https://rkn.gov.ru/news/rsoc/news43271.htm

[Tau]

https://roem.ru/05-04-2017/247019/otkrytka-rkn-personal/

Роскомнадзор выписал компании штраф за нарушение закона о персональных данных из-за — внимание — формы обратной связи на сайте (стандартного состава «имя-тема-текст сообщения», причем имя является необязательным полем). Оспорить решение не удалось, — пишет Бородкин.

[Andrei]

http://sudact.ru/regular/doc/TRz3NsNQuVWy/

Точь-в-точь наша ситуация.

Ходил в мировой суд - цирк с конями. На заседании даже судьи не было! :) Решение, кстати, до сих пор так и не принято.

[ALaddin]

Точь-в-точь наша ситуация.

 

Андрей, спасибо за поднятую тему. Знать не знал, что эту политику на сайте надо разместить. А теперь она у нас там есть. еще раз благодарю за своевременное предупреждение.

[Andrei]

Ходил в мировой суд - цирк с конями. На заседании даже судьи не было! :) Решение, кстати, до сих пор так и не принято.

По итогу выдали предупреждение вместо штрафа.

 

Точь-в-точь наша ситуация.

 

Андрей, спасибо за поднятую тему. Знать не знал, что эту политику на сайте надо разместить. А теперь она у нас там есть. еще раз благодарю за своевременное предупреждение.

Политику тоже надо вдумчиво написать. В этой ветке давали ссылки на политики Ростелекома и МТТ, не думаю, что их можно тупо под себя скопировать.

[Дятел]

Андрей, спасибо за поднятую тему. Знать не знал, что эту политику на сайте надо разместить. А теперь она у нас там есть. еще раз благодарю за своевременное предупреждение.

+1

[ayf]

Хм. По закону, насколько я понял, любая контора, в которой есть сотрудники ( а следовательно в ней хранятся их ПД) должна быть в реестре операторов персональных данных РКН. Правильно?

[Andrei]

Хм. По закону, насколько я понял, любая контора, в которой есть сотрудники ( а следовательно в ней хранятся их ПД) должна быть в реестре операторов персональных данных РКН. Правильно?

Не правильно. См. ст.22.2 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных"

[Галушко Дмитрий]

Хм. По закону, насколько я понял, любая контора, в которой есть сотрудники ( а следовательно в ней хранятся их ПД) должна быть в реестре операторов персональных данных РКН. Правильно?

присоединяюсь к Андрею,

кстати, прошу ответить на мой вопрос Вам в др. теме!

[Andrei]

http://www.ixbt.com/news/2017/04/06/roskomnadzor-mozhet-oshtrafovat-ljubuju-kompaniju-s-formoj-obratnoj-svjazi-na-sajte.html

 

Роскомнадзор может оштрафовать любую компанию с формой обратной связи на сайте

Директор по продуктам Notamedia Алексей Бородкин опубликовал на своей страничке в социальной сети Facebook информацию, которая касается всех компаний со своими интернет-сайтами.

Даже если на сайте вашей компании находится всего несколько страниц, вы можете быть оштрафованы Роскомнадзором. Главное условие — наличие формы обратной связи. Роскомнадзор объясняет свои действия тем, что такие компании нарушают закон о персональных данных. Причем даже если форма обратной связи на сайте состоит из стандартных полей «имя-тема-текст сообщения», при этом первое поле не является обязательным для заполнения.

Первые случаи вынесения судами постановлений и признания компаний виновными в совершении административных правонарушений были зафиксированы в Тамбове и Астрахани. Обжаловать решения судов не удалось. Наказание в виде административного штрафа в размере 1000 руб. не является таким уж страшным, важен сам прецедент.

Алексей Бородкин, который поднял данную тему в Facebook, добавил, что форма обратной связи на сайте самого Роскомнадзора не оформлена соответствующим образом.

[ayf]

Начинаю думать о том, что сайт вообще убрать.

[Andrei]

Я уже убрал все формы обратной связи и закрыл на нашем сайте форум.

[YuryD]

Я уже убрал все формы обратной связи и закрыл на нашем сайте форум.

Как быть с колокаторами или использующими наш хостинг ?