реклама
разместить
Инструкция: как уберечь компанию от штрафов по закону о персональных данных

Рекомендации от юриста, основателя сервиса по защите интернет-бизнеса E-docs Анара Костенко.

Инструкция: как уберечь компанию от штрафов по закону о персональных данных
1313
реклама
разместить

После этой статьи хочется удалить не только свои сайты, но и расторгнуть договор с провайдером и забыть о существовании интернета нагуй.
Ведь все это не смешно, т.к. года полтора назад наблюдал как черти из Роспотребнадзора разводили директора агентства на 35 килорублей за то, что в моем интернет-справочнике, о существовании которого он и не знал, значилось что агентство продавало путевки в Турцию и Египет.

11

Защита персональных данных во всем мире становится все более актуальной, так что необходимо удовлетворять запросам населения и государства, так сказать)

Операторы и агентства также забывали убирать указанные страны из "каталога стран" на сайте, из новостей на сайтах - убирали из меню, но оставляли страницы стран в доступе (с заказанной и осуществленной оптимизацией, т.е. на них переходили по ссылкам из поисковиков).

На практике показало, что спрятать/скрыть какую-либо информацию можно только частично, и далеко не сразу - а с учетом тормозов Яндекса в обновлении индекса так и вовсем очень не сразу.

Меня интересует возможность выполнения двух заведомо исключающих друг друга требования (для сайтов и сервисов, предоставляющих возможность обмена сообщениями):
- Предоставление пользователям возможности удалить свои персональные данные при обращении;
- Необходимость хранения информации о пользователях, чтобы потом эти данные сливать по запросу.

5

Сообщения != персональные данные, поидее.

Т.е. по запросу вы должны будете удалить его ПД, но сами сообщения должны остаться в обезличенном виде.

И как быть с cloudflare?
Хостинг то в РФ, но вот домен ведет на cloudflare. Реальный IP роскомнадзор не сможет узнать. Что они будут делать в этом случае?

4

Тоже интересен этот вопрос.

Напишите про COPPA внятный чек-лист, если можно
А то в последнем сезоне "Силиконовой долины" тема отрисовалась довольно жуткой, как и цены на консультации с тамошними лоерами

Думаю, про COPPA должен знать каждый стартапер, как и про обработку персональных данных в Штатах

1

Про COPPA постараемся написать в скором времени, после чек-листа по GDPR для рынка ЕС!

1

Берешь и делаешь. Лоеры и коппа это вот именно, что для стартаперов.

Можно посмотреть на "больших братьев", например вк. Никаких галочек при регистрации, но в пользовательском соглашении есть пункт 5.8, в котором в конце идёт "Поскольку Администрация Сайта осуществляет обработку персональных данных Пользователя в целях исполнения настоящих Правил, в силу положений законодательства о персональных данных согласие Пользователя на обработку его персональных данных не требуется."

1

На самом деле очень интересный вариант.
Ссылка для ленивых: https://vk.com/terms

можно в двух словах об основных отличиях от похожего закона в ЕС?

Два главных отличия:
1) Штрафы в несколько раз больше;
2) Усиленная защита персональных данных детей;
3) Упрощение системы информирования пользователей (отход от browser-wrap соглашений)
P.S. GDPR вступает в силу 25-го мая 2018 года

2

Большое спасибо за подробную инструкцию, стало гораздо понятнее что и как делать.

Всегда рады помочь, следите за новыми публикациями;)

1

Можно ли политику об обработке ПД добавить в общее пользовательское соглашение, а юзеру при регистрации нужно будет только подтвердить согласие с пользовательским соглашением?

Я так и сделал. И многие.

1

Не понимаю в чем кипишь?
Такой закон и в ЕС есть.
Под кнопкой "отправить" форме обратной связи, ставишь такой текст:
"Нажимая на кнопку, Вы соглашаетесь на обработку персональных данных в соответствии с Условиями"
Слово "Условиями" делаешь ссылку на такой текст на сайте:
https://avtogsm.ru/terms-of-confidentiality-s1129.html
Все кто хотите можете его скопировать, я не против.

И да хостинг в России должен быть, но для сайта это только в плюс так как пинг меньше, а значит поисковики будут вас больше любить так как скорость загрузки сайта уже фактор ранжирования, так с лихвой окупите разницу в цене хостинга у нас - там.

Ваша политика была создана индивидуально для вашей деятельности и сайта. Она подходит только для интернет-магазинов, у которых есть личный кабинет и которые собирают определенные вами персональные данные в определенных вами целях. Невозможно написать одну политику для всех.

При этом политика - это не панацея от всех бед. Помимо информирования своих пользователей оператор должен позаботиться о безопасности и это касается безопасности не только самих данных, но и безопасности информационных систем, при помощи которых данные обрабатываются.

Условно, Политика конфиденциальности и соглашение на сайте - front, локальные акты, в которых предусмотрены организационные и технические меры - back. Роскомнадзор проверяет все документы.
P.S. да, это все условности, но таковы требования регулятора.

​Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера.

То есть Amazon Web Services и тому подобные сервисы теперь запрещены?

Запрещена обработка (хранение, распространение, сбор и т.д) персональных данных граждан России вне территории РФ.

1. Создаем mega-site.ru, пишем в контактах ООО "Конкурент" и ставим форму обратной связи без условий обработки.
2. Пишем жалобу на злобных конкурентов, нарушающих закон.

И это будет работать? Или по какому принципу они выясняют кого штрафовать?

Можно не создавать сайт. Можно просто написать жалобу как физическое лицо, чьи данные были собраны без разрешения и надлежащих документов

Для тупых поясните плс.
Если мы говорим про обычные массовые форумы и блоги, и там есть формы комментов, и регистрация на сайте для получения внутреннего кабинета, но вообще нет цели собирать данные (просто техническая процедура для регистрации кабинета), нужно ли волноваться?
И хватит ли поменять название поля Имя, на Псевдоним (если кроме этого еще собирается email)?

В этом и состоит проблема, так как правоприменительный орган может посчитать даже такую информацию идентифицирующей.

Если так дела и дальше пойдут, то скоро появится статья УК "за ложь в интернете" и можно будет повышать производительность труда бесплатной рабочей силой.

> А с недавних пор Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies.

Я так понимаю Google с их Google Analytics уже оштрафовали? Или как говорит Клименко, закон у нас избирательно работает?

С 1 июля все вступает в силу. Сейчас штрафы никому не интересны и роскомнадзор не может их выписывать.

Анар, вопрос: для двух разных доменов одной компании можно использовать одно соглашение на основном домене?

P.S. поправьте на вашем сайте нумерацию пунктов в п. 8
РАЗРЕШЕНИЕ СПОРОВ, в Политике

На каждом сайте должна быть своя Политика, так как это отдельный ресурс, на котором происходит сбор персональных данных.
P.S. Там не должно быть нумерации, так как это рекомендации по заполнению

Комментарий недоступен

1) Запрещена обработка (хранение, распространение, сбор и т.д) персональных данных граждан России вне территории РФ. Хранение лишь малая часть регламентируемых действий.
2)Требования Закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории РФ.
Вопрос о том, являются ли сайты представительствами - спорный, но с 1 сентября 2015 года в Законе введены новые требования (главным является требование о локализации данных). В соответствии с требованиями, иностранный ресурс, который обрабатывает персональные данные российских граждан с нарушениями (например, не имеет серверов в РФ для хранения баз данных с персональными данными) может быть заблокирован по решению суда. Данные требования, как пример, были выставлены РКН для LinkedIn

"​Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера."
Это относится и к негосударственным сайтам?

Это относится ко всем сайтам, собирающим персональные данные граждан РФ

Анар, а какой порядок ответственности в случае нарушения? Компании выписывают штраф и все? Или блокируют ресурс до выполнения всех необходимых пунктов? Если компания заплатила штраф и ничего не изменила, что происходит тогда?

Будет ли правомерно написать в соглашении на сайте - Принимая данное соглашение, вы обязуетесь отправить туда-то согласие на признание ваших персональных данных используемых на сайте общедоступными?

Имеется в виду письменное согласие на реальный адрес.

Роман, порядок следующий: Роскомнадзор направляет администратору домена предписание, которое содержит примерно следующее:
... в рамках реализации службой (Роскомнадзором) возложенных полномочий были выявлены признаки нарушения положений ФЗ "О персональных данных" таким-то интернет-ресурсом. Далее констатируется факт обработки персональных данных и излагаются требования, которые оператор обязан выпонить, иными словами направить в Роскомнадзор документы, которые подтвержают выполнение требований. Для оператора - администратора домена такие требования изложены в статье 18 и 18.1 указанного закона.

Выполнение данных требований подтверждается локальными актами, иными документами и сведениями. Например, для администратора домена актуальным является предоставление в Роскомнадзор информации о том, что обработка персональных данных осуществляется с использованием баз данных на территории РФ (требование о локализации). Важным является также предоставление локальных актов, которыми подтверждаются меры по статье 18.1.

Особнностью является то, что протоколы по административным нарушениям составляет сам Роскомнадзор. Неустранение в срок нарушения указанного в предписании, влечет наложение штрафа.

Что касается блокировки ресурса, то за непредоставление, несвоевременное предоставление (срок 30 дней) или предоставление в неполном объеме она возможна, но только по решению суда.

А гугл бац и письмо рлскомнсдзора в спам кладет. И вы не знаете ни чего

Комментарий недоступен

Комментарий недоступен

Вот мне тоже интересно. Реальный IP спрятан за cloudflare. РКН присылает свои требования. Я пишу, да все ок, мамой клянусь все на серверах РФ лежит. И все? Или РКН начнет спрашивать про хостера или попросит root доступ к серверу? Как они все это проверяют?

Авторизация пользователей в системах комментирования (типа hypercomments) попадает под закон? Ведь при этом пользователь идентифицирует себя однозначно, и владелец сайта, работая с комментариями, обрабатывает персональные данные, так?

Не совсем понятно как будут определять владельца сайта, в случае нарушений? По домену, хостингу или данным на самом сайте?

У нас скромное маркетинговое агентство.
Сайт на домене com.
Я гражданин Украины и агентство зарегистрировано в Украине.
Работаем по всему миру и рунет в том числе.

Этот закон имеет какое-либо отношение к нашей фирме?
У каждой страны свои законы.
Так закон какой страны нам нужно выполнить по поводу сбора персональных данных?

И какие в принципе санкции к нам могут быть?

а почему яндекс еще не оштрафовали??? почти на каждом сайте есть яндекс метрика и они собирают просто туеву хучу персональных данных и причем без моего на то ведома (как посетителя сайта) и мало того передают эти данные третьим лицам (владельцам сайтов и прочим)

Добрый день!
1. В форме уведомления на сайте Роскомнадзора в первой графе "Наименование ТО Роскомнадзора *", а она обязательна к заполнению, нет в выпадающем списке
г. Москва и Московской области. Что делать в этом случае? (Приложение 1)
2. Для оформления заказа на сайте клиент в "форме заказа" заполняет только имя,
е-mail и телефон. В форме уведомления на сайте Роскомнадзора в графе "Категории персональных данных *", таких пунктов нет. Что делать в этом случае? (Приложение 2)

[]