Сообщений в теме: 11

[vuk]

коллеги, уже почти месяц, как блогосфера вебдева (владельцы, разработчики сайтов, хостинг и т.п.) бродит и булькает на тему обработки ПД в интернете, мол с 01.07.2017 г. вступил в силу некий закон (видимо о внесении изменений в 152-ФЗ) по которому на любом сайте в интернет, должно быть предупреждение о сборе технической информации (IP, сооkie, местоположение), которая теперь якобы тоже отнесена к ПД, а так же размещена в открытом доступе политика конфиденциальности и соглашение об обработке ПД, под каждой формой ввода (имя, телефон, заказ и т.п.) должно быть поле, подтверждающее согласие лица на обработку ПД. и всех пугают, что страшно-страшно, придет Роскомнадзор и всех покарает.

апофеозом стал вот этот распространяемый в сети список документов, который якобы должен быть в организации, чтобы соответствовать "новому закону". 

(хотя документ "инструкция о проведении инструктажа" наводит на мысль, что это фейк)

 

при этом, я сколько не мучал консультант с гарантом, так и не нашел никаких изменений, а также каких-то новых требований. максимум -  ст. 18.1 закона о ПД, повесить политику конфиденциальности. а уж против бреда "нажимая на эту кнопку я даю свое согласие на обработку ПД" юрист во мне и вовсе бунтует, ибо невозможно заключить юридически значимое соглашение без идентификации сторон, а пока в интернет вход не по паспорту - идентифицировать как владельца сайта (запись в ДНС "private person", которая по запросу суда раскроется как ivanov ivan) так и конкретного пользователя (кто там за компом сидит?) невозможно в принципе, не говоря уже о подтверждении доставки (вручения) сторонам оферты и акцепта, а так же обеспечения неизменности этих документов. нет, конклюдентные действия сюда тоже не натянешь, по тем же причинам.

кто-нибудь сталкивался? что за фигня?

Сообщение отредактировал vuk: 21 July 2017 - 12:56

[Дед_Антип]

что за фигня?

Фигня огромная, но сталкивались...  

 

Закон слишком "широкий" в трактовке определения ПД. Это "любая информация, .... к определенному или определяемому физ. лицу ...". Обратите внимание на слова: "любая" и "определяемому".

Если чел выходит в сеть со своего компа (со "своего IP-адреса") и никто иной "этим" не пользуется - это "определяемый" физик? (для  ФСБ - определяемый...). Ну а тогда вся это инфа - IP-адрес, файлы "куки", местоположение и пр. - это ПД. 

 

Из приведенных Вам доков - нужны не все, но процентов 30 иметь надо всем. Остальное - "по специфике ПД".

 

(к примеру, уже проблема: вы принимаете заказ на <мебель, авто, сан-кур путевку...>  и направляете доки по заказу - хотя бы ФИО чела  и марку/комплектацию авто - кому-то там на завод, в санаторий, в свою головную структуру ... Передача ПД через И-нет - это уже, сорри, "задница"...)

[fanilyatut]

Если коротко, с 01.07.2017 введены новые составы в ст. 13.11 КоАП и органом который штрафует теперь является РКН (вместо прокуратуры). Т.е. если раньше штрафы были по 10 000 руб. и прокуратуру особо эти вопросы не интересовали - то теперь штрафы серьезные и по нескольким составам одновременно для Роскомнадзора пополнять бюджет на куче интернет-магазинов очень будет выгодно - все ждут массовых проверок.

 

Действительно, нужен определенный состав внутренних документов (локальных-нормативных актов), определенная система размещения (публикации их на сайте) и так далее. 

 

Можем профессионально помочь с их оформлением и составлением - пишите в личку или на znaki_rf@mail.ru

Сообщение отредактировал fanilyatut: 24 July 2017 - 22:18

[Izverg]

Можем профессионально помочь с их оформлением и составлением - пишите в личку

Вроде, и состав спама есть, а жалобу писать-рука не поднимается. Ибо, действительно, список всей этой нормативки внутренней надо делать срочно и оперативно.

Так что прошу Админов- не удалять!

[vuk]

Можем профессионально помочь с их оформлением и составлением - пишите в личку или на znaki_rf@mail.ru

коллега, я напомню первое правило юр.клуба "Конференция ЮрКлуба – профессиональный ресурс, то есть ресурс, предназначенный в первую очередь для общения юристов между собой."

и я даже не против чтобы аутсорсить непрофильные вопросы по возможности, поэтому Ваша рекалама не вызывает ярости, но если уж мы профессионально общаемся, Вы мне как юрист юристу может быть дадите наводку на нормативную базу из которой можно почерпнуть "определенный состав внутренних документов" - письма РКН, разъяснения Прокуратуры, может быть знаковую судебную практику, ибо профессионально оформить и составить мы умеем, не знаем только где и что копать (ибо всего на свете знать невозможно), а так же не ведаем особенностей правоприменения ввиду непрофильности вопроса - для этого как бы и нужно общение юристов между собой, чтобы делиться тонкостями по профилю.

[Дед_Антип]

наводку на нормативную базу

Закон 152-ФЗ "О ПД"

 

Постановление Правительства РФ от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при обработке в информационных системах персональных данных".

 

Приказ Федеральной службы по техническому и экспортному контролю, ФСБ  РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".

 

Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. № 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных".

 

(Предупреждение: проверяйте через К+, возможно, что-то отменено, а что-то принято "взамен".)

 

 

Я пытался разобраться лет пять назад и даже что-то разработал "для внутреннего употребления", но потом нормативка существенно изменилась. То, что разрабатывал - "коту под хвост".

Мое личное мнение - это аналог "пенсионного законодательства", когда без бутылки не разобраться.

 

Совет обратиться к специалистом (независимо от элементов рекламы) - поверьте, не самый плохой...

[Concrescere]

Есть закон:

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

 

 

 

И есть ответственность за невыполнение этого предписания:

 

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -

влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

 

 

 

 

Также есть мнение, что если на сайте есть форма обратной связи, в которую посетитель сайта может ввести какие-то имя, номер телефона, имэйл и т.п., то на сайте надо размещать политику конфиденциальности.

 

Но так ли это, если на сайте есть форма обратной связи и только (нет никаких интернет-магазинов с оформлением заказов онлайн и т.п., а есть только форма связи как способ отправки какого-то вопроса например в адрес юридической фирмы)?

 

Вот например смотрю у именитых коллег никаких политик нет (и даже флажка типа "Даю согласие на обработку персональных данных", без которого сообщение в форме просто не отправится): http://kkplaw.ru/contact/ 

 

 

А в стандартных политиках на сайтах встречаю слова типа:

 

3.3. Сайт защищает Данные, которые автоматически передаются в процессе

просмотра рекламных блоков и при посещении страниц:

 IP адрес;

 информация из сооkies;

 информация о браузере (или иной программе, которая осуществляет

доступ к показу рекламы);

 время доступа;

 адрес страницы, на которой расположен рекламный блок;

 реферер (адрес предыдущей страницы).

 

...

 

5.5. Администрация сайта принимает необходимые организационные и

технические меры для защиты персональной информации Пользователя от

неправомерного или случайного доступа, уничтожения, изменения,

блокирования, копирования, распространения, а также от иных неправомерных

действий третьих лиц.

5.6. Администрация сайта совместно с Пользователем принимает все

необходимые меры по предотвращению убытков или иных отрицательных

последствий, вызванных утратой или разглашением персональных данных

Пользователя.

 

 

 

Но зачем обычному администратору домена подписываться под подобным, если на самом деле технические аспекты функционирования сайта как места размещения информации зависят от хостера?

 

Владелец сайта как совокупности контента может только обещать, что из полученных писем ничего не разгласит.

 

Форма обратной связи на сайте это всего лишь средство отправки текстовых сообщений. Наряду с такими способами, как связь по указанным на сайте номерам телефонов или адресам электронной почты, можно "эсэмэсить" прямо через сайт, направив текстовое сообщение с каким-либо вопросом, предложением и т.п.

Заключение каких-либо договоров через форму обратной связи на сайте на осуществляется. Всё это только в реале потом.

Сообщение отредактировал Street Racer: 29 June 2018 - 01:08

[Roadjack]

К слову, раз уж подняли эту тему, то с 25 мая этого года вступил в силу General Data Protection Regulation, который распространяется на многие российские организации. И штрафы за нарушение этого регламента до 20 млн евро в отличие от КоАП РФ. 

[Дед_Антип]

Почему бы не разместить "обтекаемую" политику?

Ссылка на политику есть, а содержание - это уже другой вопрос.

 

Видел много политик "никого ни к чему не обязывающих". Набор слов. Минимально необходимых и не более того.

[Concrescere]

К слову, раз уж подняли эту тему, то с 25 мая этого года вступил в силу General Data Protection Regulation, который распространяется на многие российские организации. И штрафы за нарушение этого регламента до 20 млн евро в отличие от КоАП РФ. 

Прошу пояснить, каким образом Россия здесь замешана?

 

Регламент GDPR заменил директиву Data Protection Directive^[en] от 1995 года. Постановление было принято 27 апреля 2016 года, вступило в силу 25 мая 2018 года после двухлетнего переходного периода и, в отличие от директивы, не требует от правительств стран — участниц ЕС никаких изменений в локальных законодательствах и, таким образом, является непосредственно обязательным к исполнению.

 

 

Кстати, хотя понятие ПД очень широкое, но как можно включать в него например

 информация о браузере (или иной программе, которая осуществляет

доступ к показу рекламы);

 время доступа;

 адрес страницы, на которой расположен рекламный блок;

 реферер (адрес предыдущей страницы).

 

??

[Roadjack]

 

К слову, раз уж подняли эту тему, то с 25 мая этого года вступил в силу General Data Protection Regulation, который распространяется на многие российские организации. И штрафы за нарушение этого регламента до 20 млн евро в отличие от КоАП РФ. 

Прошу пояснить, каким образом Россия здесь замешана?

 

 

А Вы оригинальный текст откройте.

Сам я далек от этой темы, но есть друзья-юристы, которые трудятся в российских банках и, например, в крупных компаниях, разрабатывающих игры для мобильных устройств. Так они еще год назад начали готовиться к этой теме.

Раз не в курсе, то для интереса скину часть новостной рассылки, которая периодически мне приходит от разных организаций (наименование конечно же уберу, чтобы случайно не сделать им рекламу):

 

Юридическая фирма ..... LLP напоминает, что 25 мая 2018 в Евросоюзе начинает действовать Общий регламент по защите данных (GDPR) – результат самой масштабной реформы в сфере персональных данных последних десятилетий в ЕС, который имеет экстерриториальное действие и должен исполняться некоторыми компаниями за пределами ЕС.

К ключевым положениям GDPR, на которые следует обратить внимание российским компаниям, можно отнести следующие:

1. Сфера территориального действия

GDPR применяется к компаниям, которые:

(а) ведут деятельность в ЕС через стабильную структуру (establishment, stable arrangement) (например, российские компании, которые имеют филиалы, представительства или дочерние общества на территории ЕС);

(б) не присутствуя в ЕС, предлагают товары или услуги лицам на территории ЕС (например, интернет-магазины, которые позволяют осуществлять покупки из ЕС);

(в) не присутствуя в ЕС, осуществляют мониторинг действий лиц на территории ЕС (например, банки и сотовые операторы).

Важно отметить, что GDPR не оперирует понятием «гражданство» и защищает персональные данные всех лиц, находящихся на территории ЕС, в том числе и россиян, которые оказались на территории ЕС временно. Поэтому российские банки, которым приходит информация о транзакциях клиентов, находящихся в отпуске или в командировке в ЕС, а также сотовые операторы, отслеживающие действия абонентов в роуминге, скорее всего будут связаны требованиями GDPR.

2. Основные положения и требования GDPR:

Расширен перечень данных, которые относятся к персональным (ПДн) (включая, например, IP-адрес)

Расширены и детализированы права субъектов ПДн
(на перенос данных, на забвение, на доступ и т.д.)

Введены особые требования к согласиям субъектов и иным основаниям обработки ПДн

Требование о наличии понятных для субъектов, прозрачных и полностью контролируемых компанией процедур обработки ПДн

Требование об уведомлении об инцидентах в течение 72 часов

Требование о создании и актуализации реестра ПДн

“Privacy by Design” – учет требований конфиденциальности на этапе проектирования новой технологии/продукта

Необходимость проведения оценки воздействия на конфиденциальность данных (DPIA) в определенных случаях

Необходимость назначения уполномоченного по защите данных (DPO) в определенных случаях

Требование о назначении представителя в ЕС, если нет фактического присутствия в ЕС

Уточнены условия и порядок поручения обработки ПДн другим лицам

Конкретизированы требования к трансграничной передаче ПДн

Расширены права контролирующих органов

Введены штрафы за нарушения: до 20 млн. евро
(или 4% годового оборота)

 

 

 

[Izverg]

этой темы

Сенкс!