Роскомнадзор будет штрафовать за обработку данных?

Question

[webov_web]

Прочитал в интернете, что с 1 июля 2017 года вступают в силу изменения в законе о персональных данных. Написано, что будут штрафовать на десятки тысяч рублей. Есть здесь знающие люди?

Вот, что прочитал. Это правда?

Все в курсе, что с 1 июля 2017 года вступают в силу изменения в законе о персональных данных?

Если на Вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных. Например, если в форме обратной связи на сайте нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить штраф 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

В связи с этим необходимо подготовить печатные версии документа с печатями и подписями:
Политика в отношении обработки персональных данных;
Правила обработки персональных данных;
Приказ о назначении ответственного за организацию обработки персональных данных;
Должностная инструкция ответственного за организацию обработки персональных данных;

На сайте необходимо сделать следующее:
Указать реквизиты Вашей организации (ИНН, ОГРН, Адрес);
Разместить активную гиперссылку на политику организации в отношении обработки персональных данных;
Под формой отправки заказа / обратной связи разместить:
Согласие на использование персональных данных для выполнения запроса;
Согласие на обработку и хранение персональных данных и уведомление о понимании процедуры отзыва своих персональных данных;
Если физическое расположение сервера находится вне РФ, то необходимо согласие на трансграничную передачу персональных данных.

Помимо этого нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).

Далее по закону операторы персональных данных, а это любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки должны уведомить Роскомнадзор.

Comments

[nirvimel]

Астрологи предсказывают неделю подобных вопросов: Какие изменения в российском законодательстве о персональных данных вступают в силу 1 июля 2017?

[Boris Köln]

nirvimel: Подобные вопросы будут чередоваться с вопросами про онлайн-кассы

[x67]

MS WIN: Если он официально никак не работает с Россией(не предоставляет никакие сервисы гражданам России как отдельной группе в том числе), то думаю ничего. Просто наплевать на законы. Если таки работает, то когда его заметят или придется прикрывать лавочку или выполнять требования. В общем-то надеюсь, что какая-нибудь общемировая конвенция по регулированию интернета появится и ратифицируется у нас до того, как железный занавес опустят.

[pashted]

скоро за ПД будут принимать куки, ip, комментарии. любой чих и ты идентифицирован.... остановите поезд, я сойду здесь.

Answer 1

[ТыжСисАдмин]

Будут, это-же "живое бабло", а так в общем это дальнейшие действия по деанонимизации, на ПДН там всем начхать.

Answer 2

[Boris Köln]

Да.
Во всех формах на сайте, где указывают ПД (например, имя и email) надо добавить галочку с согласием на обработку ПД и описанием политики конфиденциальности (то есть для чего именно вы будете использовать эти данные).
Например, я сделал так: https://путевые-заметки.рф/feedback/oferta/

Comments

[Виктор]

Что то я не пойму. Раньше вроде email сам по себе не относился к персональным данным. Или я ошибаюсь?
Если вспомнить про запрет хранить персональные данные россиян за рубежом то получается вообще любой сайт в котором можно указать емаил (а таких наверное большинство) по идее должен перенести свои сервера в Россию.

[Boris Köln]

Формально - да. LinkedIn за это уже заблокировали.

[GTRxShock]

Boris Korobkov prntscr.com/fpi84a

[fatrasie]

Виктор: Раньше не относился. ПД считался набор данных позволяющих однозначно идентифицировать личность.
У нас на форуме при регистрации запрашивается связка ник-e-mail - это не расценивалось, как ПД. Один нехороший гражданин-нарушитель правил форума, пытался наехать на нас в Роскомнадэор, разбирались. РКН подтвердил нам, что ПД у нас нет. И сам этому гражданину по башке настучал. Единственное, мы аккуратнее прописали, что ник - "как к вам обращаться" и т.п., и добавили в правила, что аккаунты нарушителей не удаляются во избежание повторной регистрации.

А теперь, похоже, придется кучу всего добавлять на сайт. Мало того, регистрироваться как оператор ПД. Вот это совсем засада..

[Boris Köln]

Вот статья, разжевывающая многие нюансы: https://journal.tinkoff.ru/slozhno/personal-data/

[Boris Köln]

GTRxShock: исправил

Answer 3

[res2001]

ИМХО, если вы не запрашиваете в форме ФИО и паспортные данные, то вся остальная информация не будет ПД, т.к. нет идентификации конкретного человека - ник, никак не указывает на человека.
Почитайте закон и тематические форумы если эта проблема сильно волнует.

Comments

[freeExec]

К сожалению практика такова, что за е-майлой стоит один человек и его признают ПД.

[Виктор]

freeExec: email вроде как можно и без паспорта зарегистрировать. То есть ник формата gfnfgnfgg это не персональные данные а ник формата gfnfgnfgg@mail.ru персональные данные? Но ведь нет идентификации конкретного человека который регистрировал эту почту. И зная один лишь email не как нельзя точно сказать кому он принадлежит.

Так же интересно что если регистрация требет только указать емаил, но не требует его подтвердить то нет гарантии что емаил будет принадлежать тому человеку который у нас зарегистрирован. А значит это опять таки не персональные данные.

[freeExec]

Виктор: Всё не так. Вот представь gfnfgnfgg@mail.ru зарегистрирован на госуслугах, сколько человек за ним стоит или могут зарегистрироваться как дубликаты - всего один. Т.е. идентификация однозначная. А сколько на госуслугах Ивановых Иванов Ивановичей, да сотни. Так что в этом случае ФИО менее персональнее чем мыло. Поэтому вроде даже просто ФИО без дополнительных параметров не считается ПД.
Ещё раз, главная суть, не вычислить по IP адрес и набить морду, а зная что человеку свойственны одни персональные данные быть уверенным, что они не принадлежат кому-то ещё.

[Виктор]

freeExec: Но тогда если email это персональные данные, а их надо хранить на серверах находящихся в России, то почему у нас ещё не весь интернет заблокирован, а только несколько сотен сайтов в числе которых linkedin

[res2001]

Ну храните вы e-mail чей-то у себя для рассылки спама, зарегистрированные у гугла, например, больше ничего о человеке (и человеке ли) вы не знаете. Может быть гугл знает - почта то на его серверах зарегистрирована, у гугла, возможно есть другие данные, по которым можно провести идентификацию, а может и нет. Пусть гугл и заморачивается с выполнением законодательства - перс.данные у него, а не у вас.

Сам по себе e-mail не ПД, на гос.услугах, кроме мыла хотят много другой информации - СНИЛС, номер телефона, а дальше и паспорт понадобится - это уже полный комплект для идентификации человека, мыло - вообще дело десятое. И вот когда человека идентифицировали, то и мыло становится перс.данными, в комплекте со всем остальным.
А вот адрес почтовый, например - перс. данные или нет? Адрес то по круче мыла будет, как думаете. Да я с ходу сто адресов вам назову правильных в городах в которых ни разу не был и что - это перс.данные?
Все то же самое - если он идет в пачке с данными идентифицирующими человека, то адрес - перс.данные, если он сам по себе адрес - не перс.данные.
Я вам больше скажу - коммунальщики предоставляют банкам (для приема платежей) информацию о начислениях коммуналки и там нет перс.данных, хотя там есть сумма, предыдущие показания счетчиков, лицевые счета, адрес. И это не перс. данные, потому что никакого конкретного человека вся эта информация не идентифицирует. А вот привяжи все это к паспортным данным - все перс.данные. Специально убирают всю идентифицирующую информацию, чтобы не иметь сложностей при передаче. Правда сейчас, наверное, уже перешли на работу через ГИС ЖКХ, но дела это не меняет.
И еще - вот есть у вас база где хранится куча инфы, в т.ч. идентифицирующая людей - это будет ИСПДН, которая должна защищаться определенным образом, регистрироваться и т.п.
А если это сетевая, распределенная система, где гигабайты информации, то выполнить все требования становится проблематично и затратно. Убирают из этой системы идентифицирующую информацию, оставляют некий безликий ID - все система не ИСПДН. Всю идентифицирующую информацию переносят в другую систему, маленькую, локальную и не распределенную, связь между ними по ID. Для этой мелкой системы выполнить требования законодательства гораздо проще.

[Saboteur]

freeExec: "Всё не так. Вот представь gfnfgnfgg@mail.ru зарегистрирован на госуслугах, сколько человек за ним стоит или могут зарегистрироваться как дубликаты - всего один."

Зачем что-то представлять?
Суд может доказать, что емайл всегда идентифицирует конкретного человека?
Не в этом частном случае, а вообще?
Нет.
Значит это НЕ персональные данные, и если кто-то будет возникать - в суде это легко выигрывается.

ПД должны ОДНОЗНАЧНО идентифицировать человека. Не в конкретном случае, а в общем.

[freeExec]

Saboteur: Суд доказывает не идентификацию по мылу, а относится оно к данному лицу или нет. Читайте определение, а не умозаключения.

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Если он грубо говоря подтвердил кодом по мылу, то мыло относится к пользователю и является его ПД.

[Saboteur]

freeExec: Вам стоит обратиться к юристу, чтобы выяснить что такое "однозначная идентификация абонента".

Грубо говоря, вас ловят на улице, предявляют вам емайл и говорят - ты точно пользователь этого емайла? А ты можешь сказать что угодно, и никто не докажет.
Вот паспорт если предъявят - то можно провести опознание, поскольку другой человек НЕ может законно пользоваться вашим паспортом. А емайлом - да хоть пароль на тостере опубликуйте, пусть все пользуются.

[freeExec]

Saboteur: Нет ни одного вхождения "однозначно" в законе.

[Saboteur]

freeExec: Вы видимо путаете какая информация о пользователе является его персональной информацией, и какие персональные данные пользователя считаются таковыми в контексте закона об обработке данных.
Емайл - не является, о чем есть ответ например Жарова, который отвечая в интервью, упомянул, что ни телефон ни емайл в отдельности не является персональными данными.
Только совокупность данных, над списком которых в каждом конкретном случае лучше пусть поработает юрист.

[Никита]

Виктор: т.е. вы не считаете нарушением ваших прав, когда вы вводите e-mail в форме регистрации на каком-нибудь сайте, а потом ящик оказывается в спам-базах и заваливается ежедневно "письмами счастья"? Считаете, что за сохранность контактных данных (e-mail, телефон) не нужно нести никакой ответственности?

Возможно, какому-нибудь gfnfgnfgg будет и пофиг на такие мелочи, а вот Серафима Кузьминична 1949 г.р. может и всю пенсию спамерам отдать, и сердечный приступ получить...а всё начиналась мило - зарегистрировалась на интересном сайте))

[BBmike]

закон о ПД (что наш, что ЕС) оставляет открытым перечень и признаки ПД.
более-менее понятно с биометрическими ПД.
в остальном, надо быть крайне аккуратными.
тоже самое с получением согласия на обработку ПД.

[Сергей]

Ваш IP уже персональные данные. Если вы собираете посещаемость сайта, то уже храните персональные данные

[zooks]

Виктор: имхо, полные ФИО + телефон или почта = персональные данные. А вообще надо закон смотреть.