Галушко Дмитрий Опубликовано 19 июля, 2017 · Жалоба Да, если вводятся реальное имя и телефон (майл). Так видится надзору. А кто может заранее знать и наверняка утверждать, что вводятся реальные данные? Существует презумпция, что все сомнения трактуются в пользу обвиняемого, пока не доказано иное. А сомнения на 100%, идентифицировать юзера только по этим данным физически невозможно. В прошлом это уже мусолилось в других форумах. Имя и email - Пдн. Это позиция РКН + Прокуратуры + мирового суда + районного + областного. Ссылка http://sudact.ru/regular/doc/TRz3NsNQuVWy/ Реальные - нереальные ПДн никого не интересовало. ПДн оператора одно из самых уязвимых мест, но если знать принципы работы РКН в этом направлении, можно здорово экономить на документации. так у них принципы работы простые: если ты в реестре, будут проверять планово... Если нет -так главное, чтоб Политика обработки ПеДн висела на сайте... Иначе штраф 15-30 кРуб. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Лукаш Опубликовано 19 июля, 2017 · Жалоба Да, если вводятся реальное имя и телефон (майл). Так видится надзору. А кто может заранее знать и наверняка утверждать, что вводятся реальные данные? Существует презумпция, что все сомнения трактуются в пользу обвиняемого, пока не доказано иное. А сомнения на 100%, идентифицировать юзера только по этим данным физически невозможно. В прошлом это уже мусолилось в других форумах. Имя и email - Пдн. Это позиция РКН + Прокуратуры + мирового суда + районного + областного. Ссылка http://sudact.ru/reg...c/TRz3NsNQuVWy/ Реальные - нереальные ПДн никого не интересовало. ПДн оператора одно из самых уязвимых мест, но если знать принципы работы РКН в этом направлении, можно здорово экономить на документации. Кстати на принципах работы Роскомнадзора нами разработан риск-ориентированный подход к документам по ПДн. Защищает от штрафов. так у них принципы работы простые: если ты в реестре, будут проверять планово... Если нет -так главное, чтоб Политика обработки ПеДн висела на сайте... Иначе штраф 15-30 кРуб. Поверхностный взгляд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 19 июля, 2017 · Жалоба Да, если вводятся реальное имя и телефон (майл). Так видится надзору. А кто может заранее знать и наверняка утверждать, что вводятся реальные данные? Существует презумпция, что все сомнения трактуются в пользу обвиняемого, пока не доказано иное. А сомнения на 100%, идентифицировать юзера только по этим данным физически невозможно. В прошлом это уже мусолилось в других форумах. Имя и email - Пдн. Это позиция РКН + Прокуратуры + мирового суда + районного + областного. Ссылка http://sudact.ru/reg...c/TRz3NsNQuVWy/ Реальные - нереальные ПДн никого не интересовало. ПДн оператора одно из самых уязвимых мест, но если знать принципы работы РКН в этом направлении, можно здорово экономить на документации. Кстати на принципах работы Роскомнадзора нами разработан риск-ориентированный подход к документам по ПДн. Защищает от штрафов. так у них принципы работы простые: если ты в реестре, будут проверять планово... Если нет -так главное, чтоб Политика обработки ПеДн висела на сайте... Иначе штраф 15-30 кРуб. Поверхностный взгляд. Поверхностный взгляд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Novossyol Опубликовано 19 июля, 2017 · Жалоба Скажите, если на сайте в комментариях (гостевая) оставить только поле "имя" (ник, псевдоним), а емейл убрать, это будет считаться обработкой ПД? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Лукаш Опубликовано 19 июля, 2017 · Жалоба Так выше уже был комментарий, помимо эл.почты еще служебная информация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Лукаш Опубликовано 20 июля, 2017 · Жалоба Так выше уже был комментарий, помимо эл.почты еще служебная информация. Дополнительно Вот пример привлечения за форму без эл.. почты с полями "Ваше имя, тема сообщения, сообщение" http://sudact.ru/regular/doc/TRz3NsNQuVWy/ Если хочется Имя оставить, для снижения рисков лучше исключить как основание обработки согласие об обработке персональных данных (о законности исключения), кроме политики подготовить оправдательное соглашение, реализуемые сведения, все сопоставить с ФЗ. Еще что-то может быть в "Уголке потребителя", абоненты жалуются иногда прикладывая договоры или еще что-нибудь. Это все тоже нужно сопоставлять чистить. По сути это и есть риск-ориентированный подход. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 20 июля, 2017 · Жалоба РКН уже начал активно проверять сайты Операторов связи и окучивать штрафами по ч.3 ст. 13.11 за неразмещение политики. И уже с новой санкцией... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Novossyol Опубликовано 20 июля, 2017 (изменено) · Жалоба Если хочется Имя оставить, Ну а как вы себе представляете обзначение писателя в ленте сообщений? У меня при отключенном имени, сообщения от всех пользователей отображаются как guest (гость). Со стороны будто один и тот же персонаж пишет. Смешно. Хоть псевдоним (ник) но его нужно оставить. Блин, какая всё же это бредятина, никому нафиг не нужная. Театр абсурда, не устаю повторять. Изменено 20 июля, 2017 пользователем Novossyol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Лукаш Опубликовано 20 июля, 2017 (изменено) · Жалоба У меня есть письмо Минкомсвязи, где сказано что Роскомнадзор может включить любой сайт компании в реестр организаторов распространения информации, у кого есть любая тикет система система, личные сообщения, включая интернет-магазины. Так что сделать документы по ПДн вроде как в абсурдной ситуации это еще не вершина абсурда. Изменено 20 июля, 2017 пользователем Информправо.рф Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 20 июля, 2017 · Жалоба Требуется ли размещение политики на сайте оператора, если никаких форм ввода каких бы то ни было данных на нём нет? Единственное исключение - ссылка на сайт банка-эквайера, на котором действует форма оплаты картой. И та доступна только абонентам - для посетителей извне не видна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Novossyol Опубликовано 21 июля, 2017 (изменено) · Жалоба У меня есть письмо Минкомсвязи, где сказано что Роскомнадзор может включить любой сайт компании в реестр организаторов распространения информации, у кого есть любая тикет система система, личные сообщения, включая интернет-магазины. Так что сделать документы по ПДн вроде как в абсурдной ситуации это еще не вершина абсурда. А вот такая форма обратной связи (как пример) не попадает под ПД? http://market-br.ru/kontakty Я всё хочу понять как это лучше, а главное проще без заморочек оформить, чтобы комар в лице РКН носа не подточил... Изменено 21 июля, 2017 пользователем Novossyol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Лукаш Опубликовано 21 июля, 2017 · Жалоба У меня есть письмо Минкомсвязи, где сказано что Роскомнадзор может включить любой сайт компании в реестр организаторов распространения информации, у кого есть любая тикет система система, личные сообщения, включая интернет-магазины. Так что сделать документы по ПДн вроде как в абсурдной ситуации это еще не вершина абсурда. А вот такая форма обратной связи (как пример) не попадает под ПД? http://market-br.ru/kontakty Я всё хочу понять как это лучше, а главное проще без заморочек оформить, чтобы комар в лице РКН носа не подточил... Попадает, документация на сайте по ПДн не соответствует ФЗ, уведомление о cookie лишнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Novossyol Опубликовано 21 июля, 2017 · Жалоба Попадает, документация на сайте по ПДн не соответствует ФЗ, уведомление о cookie лишнее. Приведите плз. пример такой формы на каком-либо сайте, чтобы мой вебдизанер смог аналогично оформить мою форму обратной связи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Лукаш Опубликовано 21 июля, 2017 · Жалоба Попадает, документация на сайте по ПДн не соответствует ФЗ, уведомление о cookie лишнее. Приведите плз. пример такой формы на каком-либо сайте, чтобы мой вебдизанер смог аналогично оформить мою форму обратной связи. Отличный вариант Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Novossyol Опубликовано 22 июля, 2017 · Жалоба а как идентифицировать пользователя, как к нему обращаться на вашей форме с сайта? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Лукаш Опубликовано 22 июля, 2017 · Жалоба Я уже отвечал выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Novossyol Опубликовано 23 июля, 2017 · Жалоба Если человек захочет что бы его называли по имени, напишет в теле сообщения или будет видно потом в заголовке электронной почты. В заголовке сообщения всегда пишется Guest (Гость), мне это не очень нравится. А если будет отображаться и гость и имя одновременно то это некрасиво как-то. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 27 июля, 2017 · Жалоба Кстати, сходили на конференцию https://rkn.gov.ru/news/rsoc/news47822.htm весьма информативно. Рассказывали много интересного, в т.ч.про правоприменение с 1 июля Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 1 августа, 2017 · Жалоба С 01.07.2017 ввели ответственность за непубликацию политики по обработке ПД http://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/ : 3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей. "обеспечение неограниченного доступа к документу" - повесить бумажку в абон.отделе, любой может прийти и ознакомиться. Выполнена обязанность? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 2 августа, 2017 · Жалоба С 1 июля ещё много обязанностей вступило в действие. Там 6 составов адм.правонарушений ввели. Про политику-это только один из них. Подробности указывал в этой теме, не буду повторяться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
term-it Опубликовано 28 сентября, 2017 · Жалоба День добрый. Подскажите уважаемые, кто сталкивался: Роскомнадзор прислал письма во все юр.лица холдинга с требованием отправить Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных на основании отсутствия "Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации". Собственно написать адрес БД на основе готовой формы проблем естественно нет, вопрос больше о возможных последствиях для компаний холдинга, консультант в местном Роскомнадзоре не смог внятно ответить на эти вопросы. В двух словах - в форме есть поле "Адрес БД.." и кнопка "Собственный ЦОД" или "Нет". Соответственно если выбрать "Нет" где кнопка ЦОД, форма расширяется и появляются поля с данными о том юр.лице где как бы должен быть ЦОД. Реально в холдинге централизованный отдел ИТ для всех компаний (в штате головной компании) и единая инфраструктура хранения и обработки баз данных (мы так понимаем что в трактовке Роскомнадзора это ЦОД, хотя откуда этот термин у них в письме, ссылки мы не нашли). Т.е. по нашей версии мы должны в письмах Роскомнадзору от всех компаний, кроме головного юр. лица, указать почтовый адрес головного предприятия и указать данные этого юр.лица в поле "Сведения об организации, ответственной за хранение данных". Для чего собственно весь сыр-бор?! Дело в том что в 152 Ф.З. есть ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, и выполнение этих требований представляет собой весьма нетривиальный процесс со всеми вытекающими (разработать модель угроз, отклассифицировать, ответственные, журналы, ввести в эксплуатацию систему ИСПДн и пр.). Соответственно чтобы все это выполнять у юр.лица должен быть ЦОД, отдел ИТ-шников и прочее. Потом Роскомнадзор естественно должен прийти с плановой проверкой "оператора персональных данных" смотреть все эти разукрашки, может чего не понаписано. Моделирую ситуацию: если конторы тупо пишут "собственный ЦОД" и к ним приходит Роскомнадзор - пишет бумаги о недостоверных данных, отсутствии вороха бумаг и журналов и т.п. Если пишут "ЦОД там у них...", к конторам вопросов почти нет, идут в головную контору, ну а в ней есть штат и т.п. и если нужны разукрашки, то хотя бы в одном варианте. Звоню в Роскомнадзор с запросом о консультации, рассказываю консультанту свои выводы по этому запросу, он начинает рассказывать, что если в конторах персональные данные обрабатывают (там же есть расчетчики, бухгалтера, кадровики, у них же есть ПД в бумажном виде и рабочие станции с помощью которых извлекаются персональные данные...) то у них есть собственный ЦОД(!) и если вы централизованно обрабатываете персональные данные данные, то должны в Информационное письмо добавить еще одну "Информационную систему" и указать там реквизиты вашей головной конторы... Мы говорит (Роскомнадзор) при проверках вообще не проверяем как вы там обеспечиваете хранение, обработку и пр.., это все для ФСТЭК! "Вы им передаете данные об операторах? - нет, мы ни чего не передаем..." Видимо для чего у оператора ПД может быть несколько Информационных систем и для чего тогда поле "Сведения об организации, ответственной за хранение данных" консультанты в Роскомнадзоре не очень понимают. Мы же в свою очередь не нашли ответы на вопросы: - что такое ЦОД в отношении 152-ФЗ и 242-ФЗ - ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ: где эти нормативные акты от ФСТЭКа для коммерческих предприятий? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALaddin Опубликовано 28 сентября, 2017 · Жалоба Приходило аналогичное письмо от Роскомнадзора. Мы им задали аналогичные вопросы. Но у нас неавтоматизированная обработка ПДн. Нам ответили, что у вас /нас/ трудовые книжки хранятся в сейфе по месту нахождения предприятия. Это и есть база данных. Вот и пишите свой адрес. Мы упираться не стали и указали свой адрес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
winter2211 Опубликовано 29 сентября, 2017 · Жалоба В 28.09.2017 в 14:33, term-it сказал: День добрый. Подскажите уважаемые, кто сталкивался: Роскомнадзор прислал письма во все юр.лица холдинга с требованием отправить Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных на основании отсутствия "Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации". Собственно написать адрес БД на основе готовой формы проблем естественно нет, вопрос больше о возможных последствиях для компаний холдинга, консультант в местном Роскомнадзоре не смог внятно ответить на эти вопросы. В двух словах - в форме есть поле "Адрес БД.." и кнопка "Собственный ЦОД" или "Нет". Соответственно если выбрать "Нет" где кнопка ЦОД, форма расширяется и появляются поля с данными о том юр.лице где как бы должен быть ЦОД. Реально в холдинге централизованный отдел ИТ для всех компаний (в штате головной компании) и единая инфраструктура хранения и обработки баз данных (мы так понимаем что в трактовке Роскомнадзора это ЦОД, хотя откуда этот термин у них в письме, ссылки мы не нашли). Т.е. по нашей версии мы должны в письмах Роскомнадзору от всех компаний, кроме головного юр. лица, указать почтовый адрес головного предприятия и указать данные этого юр.лица в поле "Сведения об организации, ответственной за хранение данных". Для чего собственно весь сыр-бор?! Дело в том что в 152 Ф.З. есть ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, и выполнение этих требований представляет собой весьма нетривиальный процесс со всеми вытекающими (разработать модель угроз, отклассифицировать, ответственные, журналы, ввести в эксплуатацию систему ИСПДн и пр.). Соответственно чтобы все это выполнять у юр.лица должен быть ЦОД, отдел ИТ-шников и прочее. Потом Роскомнадзор естественно должен прийти с плановой проверкой "оператора персональных данных" смотреть все эти разукрашки, может чего не понаписано. Моделирую ситуацию: если конторы тупо пишут "собственный ЦОД" и к ним приходит Роскомнадзор - пишет бумаги о недостоверных данных, отсутствии вороха бумаг и журналов и т.п. Если пишут "ЦОД там у них...", к конторам вопросов почти нет, идут в головную контору, ну а в ней есть штат и т.п. и если нужны разукрашки, то хотя бы в одном варианте. Звоню в Роскомнадзор с запросом о консультации, рассказываю консультанту свои выводы по этому запросу, он начинает рассказывать, что если в конторах персональные данные обрабатывают (там же есть расчетчики, бухгалтера, кадровики, у них же есть ПД в бумажном виде и рабочие станции с помощью которых извлекаются персональные данные...) то у них есть собственный ЦОД(!) и если вы централизованно обрабатываете персональные данные данные, то должны в Информационное письмо добавить еще одну "Информационную систему" и указать там реквизиты вашей головной конторы... Мы говорит (Роскомнадзор) при проверках вообще не проверяем как вы там обеспечиваете хранение, обработку и пр.., это все для ФСТЭК! "Вы им передаете данные об операторах? - нет, мы ни чего не передаем..." Видимо для чего у оператора ПД может быть несколько Информационных систем и для чего тогда поле "Сведения об организации, ответственной за хранение данных" консультанты в Роскомнадзоре не очень понимают. Мы же в свою очередь не нашли ответы на вопросы: - что такое ЦОД в отношении 152-ФЗ и 242-ФЗ - ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ: где эти нормативные акты от ФСТЭКа для коммерческих предприятий? По первой части вопроса (как именно указывать адрес(а) обработки ПД) вряд ли кто-то что-то может пояснить, это процедурные моменты и лучше долбать ими надзор т.к. для них это в конечном итоге нужно. Судя по описанию ситуации - весь сыр-бор не в информационных системах, а в том, что все ПД обязательно надо хранить на территории РФ и, судя по всему, Роскомнадзор хочет видеть подтверждение этого в своём реестре. Информационные системы ПД к деятельности Роскомнадзора действительно никак не относятся в том плане, что он их проверять не имеет полномочий, а те, кто имеют, к простым смертным редко захаживают. Требования к ИСПД закреплены в Постановлении Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Что касается ЦОД - никакие акты в сфере ПД, насколько мне известно, не содержат такого понятия, даже на бытовом уровне такого термина в отношении сферы ПД не встречал.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
winter2211 Опубликовано 20 октября, 2017 · Жалоба Тем временем пошли первые штрафы по Политике( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 22 октября, 2017 · Жалоба Вот потому и убрал все формы, форумы и т.п. у себя с сайта. Абонентам неудобств немного (формой заказа услуги за год воспользовалось человек 10), а мне спокойней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...