Что нужно знать о персональных данных, чтобы не заплатить 300 000 рублей штрафа

Рассказываем в подробностях, почему закон о персональных данных касается всех сайтовладельцев и как привести сайт в соответствие с требованиями закона.

Своим опытом делится Максим Лагутин, основатель и ведущий эксперт сервиса Б-152 (сервис по выполнению требований о персональных данных).

Введение

На позапрошлой неделе после поста директора по продуктам Notamedia Алексея Бородкина, что Тамбовский суд оштрафовал одного из клиентов их агентства за отсутствие согласия на обработку персональных данных в форме обратной связи на сайте, — среди участников digital-рынка поднялся серьёзный хайп.

Никто и подумать не мог, о том, что закон N 152-фз «О персональных данных» доберётся до сайтов. Хотя, на самом деле, такие случаи уже были. В феврале этого года случился инцидент с астраханскими сайтами с формой обратной связи, в которых не было согласия на обработку персональных данных. Компании-владельцы сайтов были оштрафованы на 10 000 рублей каждая.

И это еще цветочки, ягодки начнутся 1 июля 2017 года, когда произойдёт серьёзное ужесточение законодательства в области персональных данных, которое затронет владельцев сайтов и агентства, их разрабатывающие и обслуживающие.

Почему это важно для digital-рынка?

Роскомнадзор отдельным блоком проверяет интернет-сервисы, сайты и мобильные приложения, а также договоры и взаимоотношения с разработчиками сайта и рекламными агентствами.

И он считает, что если вы имеете обрабатываете данные пользователей и имеете доступ к администрируемому сайту, то вы обработчик персональных данных и должны их правильно обрабатывать и защищать.

Если ничего не делать, то ваш клиент или попадёт «благодаря» вам, или проверка может затронуть лично вас.

Ужесточение законодательства по персональным данным

Не смотря на то, что закону N 152-фз «О персональных данных» уже более 10 лет и многие успели о нем позабыть, в нём происходили постоянные изменения. Все они обусловлены не столько изменением политической обстановки, сколько общим мировом трендом на более плотное регулирование этого вопроса (например, в Евросоюзе с 25 мая 2018 года вступят новые, более жёсткие требования по обработке и защите персональных данных GDPR).

Какие изменения законодательства и позиции регулятора (Роскомнадзора) и судов уже влияют и повлияют в будущем на digital-рынок:

1. Суды стали относить данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес к персональным данным. Из-за этого уже попали LinkedIn и МГТС. Роскомнадзор того же мнения и в списке запрашиваемой информации у проверяемых организаций добавил трактовку того, что он относит к пользовательским (персональным) данным.

2. Через 3 месяца, а именно 1 июля 2017 года, будут кратно увеличены число и размер штрафов за нарушения требований обработки персональных данных. Если раньше сумма штрафов в большинстве случаев не превышала 10 000 рублей, то теперь она может спокойно доходить до 300 000 рублей.

Теперь штрафовать Роскомнадзор может не по одной статье 13.11 Кодекса об административных правонарушениях (КоАП), а по семи:


Номер статьи Текст статьи Возможный штраф В каких случаях накладывается штраф
ч.1 ст.13.11 КоАП Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных До 50 000 рублей на юридических лиц
  1. Когда через сайт собираются сканы паспортов и иных документов. Роскомнадзор считает именно сканы документов избыточной информацией.
  2. Обработка не в тех целях, когда это требуется (например, взяли для исполнения договора, но попутно рассылаем email-рассылки)
ч.2 ст.13.11 КоАП Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных До 75 000 рублей для юридических лиц
  1. Сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и тд) на сайте без явного согласия на обработку таких данных.
  2. Проведение онлайн-скоринга его данных (включая IP, cookie и сведения из аккаунтов в соц.сетях) без явного согласия на обработку персональных данных в целях скоринга
  3. Отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные
  4. Неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 152-ФЗ (пруфлинк)
ч.3 ст.13.11 КоАП Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных До 30 000 рублей для юридических лиц
  1. Отсутствие на сайте или странице мобильного приложения общедоступной ссылки на Политику организации в отношении обработки персональных данных.
ч.4 ст.13.11 КоАП Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных До 40 000 рублей для юридических лиц
  1. Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных.
  2. Ответ на запрос в сроки, превышающие установленные законом
  3. Предоставление ложной информации
ч.5 ст.13.11 КоАП Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки До 45 000 рублей для юридических лиц
  1. Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении
  2. Нарушение сроков предоставления ответов на поступившие запросы
ч.6 ст.13.11 КоАП Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния До 50 000 рублей для юридических лиц
  1. Отсутствие списка лиц, допущенных к такой обработке
  2. Отсутствие раздельного хранения данных
ч.7 ст.13.11 КоАП Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных до 6 000 рублей для должностных лиц
  1. Сабж

3. Роскомнадзор получил право выносить административные дела по вышеперечисленным статьям нарушений без Прокуратуры. То есть теперь от штрафа точно не отделаться.

Помимо этого, ещё с 1 сентября 2015 года проверки по соответствию закону «О персональных данных» вышли из под действия закона 294-ФЗ «О защите бизнеса при проверках».

К чему это привело:

  • Роскомнадзор теперь не уведомляет о плановых проверках коммерческих организаций и ИП Прокуратуру, поэтому в сводном плане проверок на сайте Прокуратуре не найти проверок по персональным данным;

  • закон защищал бизнес от частых проверок и «маски шоу». Теперь при проверках Роскомадзор регулирует свою деятельность только своим внутренним административным регламентом;

  • Роскомнадзор может блокировать сайты, которые незаконно собирают персональные данные (случай с Linkedin — явный тому пример).

4. Все базы персональных данных должны первоначально собираться и обрабатываться на территории Российской Федерации. С учётом того, что Роскомнадзор считает персональными данными также и данные посетителей сайта, то это касается практически любого сайта. За нарушение этого требования Роскомнадзор их блокирует.

Что является персональными данными?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Так выглядит трактовка термина в законе 152-ФЗ «О персональных данных» и она более чем размытая.

Исходя из позиции судов и Роскомнадзора, персональными данными является информация вплоть до пользовательских данных. Именно на позицию судов за неимением более чётких трактовок необходимо ссылаться.

Если в форме обратной связи есть поле «Имя» или «Представьтесь», то вкупе с автоматически передаваемыми cookie и другими метаданными это будет являться персональными данными.

Что делать игроку digital-рынка и владельцу сайта?

Чтобы не лить воду, опишу то, что как минимум нужно сделать агентствам, студиям и владельцам сайтов, чтобы не попасть на штрафы и не получить блокировку сайта.

  1. Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. В качестве примера согласия можно посмотреть наше согласие. Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы в случае чего доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

  2. Владельцу сайта необходимо утвердить приказом Политику в отношении обработки персональных данных и разместить её в своём офисе, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.

  3. Перенести сайт на территорию РФ и узнать у технической поддержки хостинг-провайдера или ЦОДа адрес месторасположения вашего сервера (узнать вплоть до здания). Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи, обмануть его не получится.

  4. Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще куда он может задать вопрос по персональным данным. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся персональных данных, будет отфильтровано и не проигнорировано.

  5. Агентству и владельцу сайтов необходимо подать уведомление об обработке персональных данных (форма тут) и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в ней содержатся.

  6. Агентству/студии и владельцу сайта, в случае если агентство имеет доступ к персональным данным из заявок, БД или просто привлекает клиентов, необходимо заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные агентство/студия может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных, но защиту у частных компаний не проверяют.

  7. До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и если он не согласен, то должен покинуть сайт. В противном случае это будет являться согласием на обработку его персональных данных.

Сразу хочу сказать, что это только 10% требований Роскомнадзора к компаниям (полный перечень тут), но его достаточно, чтобы начать решать вопрос и в случае проблем не подставить клиента и себя.

Материал подготовлен на основании опыта работы компании Б-152 и лично Максима Лагутина.

Читать по теме: Закон «О персональных данных» — что нужно знать агентству

Мнение редакции может не совпадать с мнением автора. Если у вас есть, что дополнить — будем рады вашим комментариям. Если вы хотите написать статью с вашей точкой зрения — прочитайте правила публикации на Cossa.



Комментарии:

- 0 +
Антон Теплоухов #
20.04.2017 06:48
Проще вообще убрать форму с сайта — пусть клиенты сами звонят или на мыло пишут.
Ответить
- 0 +
Максим Лагутин #
20.04.2017 11:37
Большинство Заказчиков, как мне кажется, не пойдут на это.
Ответить
- +1 +
Денис Шаяхметов #
20.04.2017 09:34
Пункт 2 статьи 9 152 ФЗ: В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Итого: Кнопка или текст "даю согласие..." не прокатят. Выход - надо уходить от персональных данных. Заменять ФИО на нейтральное "Как к вам обратиться", и.т.д.
Ответить
- 0 +
Максим Лагутин #
20.04.2017 11:39
Денис, аналогом собственной подписи является и простая электронная подпись, которой может выступать проставление галочки или ввод одноразового пароля, высланного на email или телефон.

Уйти от обработки персональных данных нельзя, т.к. Роскомнадзор и суды считают персональными данными и cookie. Если уходить от cookie, то можно и сайт не делать, это плоха логика.
Ответить
- 0 +
Денис Шаяхметов #
20.04.2017 13:17
Даже простая электронная подпись и та должна быть заверена ЭЦП:
>подписанного в соответствии с федеральным законом электронной подписью.

В куках можно и паспортные данные пользователя сохранять при заполнении сложных форм. Куки это только инструмент для хранения любых данных. Вопрос в том, насколько данные в куках обезличены.

Уточню свою формулировку выше. Выход - надо уходить от персональных данных в сторону обезличенных данных. Тогда проблем с законом не будет.
Ответить
- 0 +
Евгений Ефимов #
04.07.2017 17:51
Обезличенные персональные данные - это термин обозначающий конкретное действие по обработке персональных данныз - их обезличивание после сбора. Возможно, вы хотели сказать - уходить в сторону общения БЕЗ сбора ПДн?
Ответить
- 0 +
// ... Даже простая электронная подпись и та должна быть заверена ЭЦП
** Это как понимать такую абракадабру? ЭЦП должна быть заверена ЭЦП?????
Вам же Максим внятно объяснил! Почитайте закон об ЭЦП!
Ответить
- 0 +
Сергей Мекеда #
20.04.2017 10:10
Если человек через заказ обратного звонка оставляет только телефон, это является персональными данными?
И еще, я так понимаю, размещения соглашения на сайте недостаточно - необходимо еще подать заявку в Роскомнадзор. В общем для небольших компаний проще вообще убрать все возможные формы.
Ответить
- 0 +
Денис Шаяхметов #
20.04.2017 13:49
Просто номер телефона это обезличенные персональные данные.
Ответить
- 0 +
Максим Лагутин #
27.04.2017 10:16
По номеру телефона можно в FB аккаунт найти.
Я всегда исхожу из позиции, что номер мобильного телефона это не обезличенные персональные данные.
Ответить
- 0 +
Сергей Мекеда #
02.05.2017 17:45
Один клиент предложил писать "Укажите свой рабочий телефон". Т. е. рабочий телефон и без имени не являются персональными данными. Если человек указал личный - значит он считает его рабочим. Это логично? Или не факт?
Ответить
- 0 +
Сергей Мекеда #
20.04.2017 10:41
Кстати те же Disqus - дают данные об имени, e-mail, ip комментатора. Как с ним быть? Да и хранят они не факт что в РФ.
Ответить
- 0 +
Максим Лагутин #
20.04.2017 11:39
Приводить в соответствие.
Рано или поздно Роскомнадзор до всех дотянется ;(
Ответить
- 0 +
Сергей Мекеда #
20.04.2017 11:52
Почитал закон - понял, что надо отключать на всех сайтах, они у меня информационные,  логи, куки, формы, комментарии... Потому, что привести в соответствие нереально.
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)"

"обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью."

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных"

"оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации"
Ответить
- 0 +
Максим Лагутин #
20.04.2017 13:20
Ну это паранойя уже :)Помимо данных на сайте компании и даже ИП часто имеют собственных работников, поэтому обрабатывают и их данные и также попадают под закон.
Ответить
- 0 +
Сергей Мекеда #
20.04.2017 13:40
Там для трудовых отношений исключения сделаны.  
Ответить
- 0 +
Максим Лагутин #
27.04.2017 10:21
Для трудовых отношений сделаны исключения только в части подачи уведомления в Роскомнадзор, в остальном исключений мало, но есть доп.требования, прописанные в ТК РФ
Ответить
- 0 +
Джаудат Ганиев #
21.04.2017 13:01
Кстати, если уж совсем углубляться, тут ещё есть момент хранения этих самых данных. Ладно, собрать их правильно, взять согласие на обработки и хранение. А потом нужно обеспечить их сохранность. Допустим если эти данные в excel-ке где-то лежат или в CRM. Определить типы угроз, уровень защищенности.
Ответить
- 0 +
Максим Лагутин #
27.04.2017 09:59
Да, защита персональных данных необходима, но у частных компаний ее согласно закону ФСТЭК России (ответственный за проверку технической защиты) не проверяет.
Ответить
Кто сказал, что РКН имеет право подавать в суд без прокуратуры? Вот только что в феврале прокуратура заLупалась на инет магазин нашего клиента. Я спросил еще: а что РКН сам не может что ли оповестить? Ответ: у него нет полномочий. Цирк да и только. ИП отделался предупреждением. Макс. штраф - 1000 рублей. Обращаю внимание на то, что скажем уфимский РКН в качестве доказательства приводит бумажные ч/б скриншоты, что как бэ намекает нам, что это не сколь-нибудь весомые доказательства. Поржали в суде в общем. Им просто галку и палку надо выполнять. Вот и весь цирк.
Ответить
- 0 +
aevdokimov #
21.04.2017 15:48
Можно уже сегодня заблокировать, для начала, сайты во всех зонах кроме ру и рф (потом с ними уже разбираться)? Если теоретически я могу передать свои данные всем этим злодеям, которые не зарегистрировались в базе роскомнадзора. А сайты в зонах отличных от ру и рф с большей вероятностью не на российских серверах хостятся.PSЧет на сайте роскомнадзора в форме отправки ошибки с сайта поля имя и почта есть, а вот галочки с соглашением нет... Как же так?..
Ответить
- 0 +
hurmoed #
21.04.2017 17:41
Подскажите, файл с требованиями ("Перечень документов, представление которых необходимо для достижения целей и задач проведения проверки") - это приложение к чему и откуда? не могу разобраться.
Ответить
- 0 +
Максим Лагутин #
21.04.2017 19:00
Это приложение к приказу о проведении плановой проверки, который также представители Роскомнадзора показывают перед проверкой.
Ответить
- +1 +
Тимур Клуев #
23.04.2017 15:30
У меня другой вопрос.. А как гос.органы собираются определять кому принадлежит сайт? Скажем домен зарегистрирован на физ.лицо, сайт сделан, предположим, в пресловутом WIX, соответственно хостинг от них, заявки попадают к юр.лицу, которое собственно по ним и отзванивается и осуществляет продажу своих услуг/продуктов. Кого штрафовать-то в этом случае?
Ответить
- 0 +
Максим Лагутин #
27.04.2017 09:58
Вопрос будет задан в первую очередь владельцу сайта.
Если владелец скажет, что на сайте не его продукт, контент и договора, то пойдут к тому, кому это принадлежит.
Ответить
- 0 +
Максим, а если нет на сайте договоров и реквизитов, просто формы для сбора лидов, кого оштрафует в этом случае Роскомнадзор?
Ответить
- +1 +
Антон Соловьёв #
25.04.2017 12:32
Спасибо за статью. Возникли вопросы:

1. До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и если он не согласен, то должен покинуть сайт. В противном случае это будет являться согласием на обработку его персональных данных."
> Есть ли примеры, как это должно выглядеть? Это должно быть какое-то всплывающее окно при первой загрузке сайта? Есть ли это на вашем сайте и если да, то где?

2. "Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще куда он может задать вопрос по персональным данным. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся персональных данных, будет отфильтровано и не проигнорировано."
> А где должен быть указан этот мейл? В дисклеймере? Футере? Отдельно в контактах?
Ответить
- 0 +
Максим Лагутин #
27.04.2017 10:10
Антон, спасибо за интересные вопросы.
1. Посмотрите на сайтах philips и lacoste
2. Лучше в раздел Конфиденциальность добавить раздел, где будет описываться, как обрабатываются персональные данные и где будет описана процедура реагирования на запросы Физлиц на email
Ответить
- 0 +
Malev #
15.06.2017 12:44
Максим, спасибо за статью. Я вот посмотрел примеры, но к сожалению не понял где там дисклеймеры присутствуют, есть возможность скрином указать или просто описать где там это?

Итого, резюмирая выходит, что:
1. Установить дисклеймер;
2. В форме, где пользователь оставляет данные, припилить ссылку на статью о защите данных (можете указать, пожалуйста, ссылку на статью или тот же пример, где это реализовано хорошо?);
Ответить
- 0 +
Тамара Папкова #
26.04.2017 15:24
Это бред. В федеральном законе написано что персональные данные это обязательно паспортные данные. И в двух проектах, которые в будущем на рассмотрении будут выносить ни слова ни полслова. сделайте на сайте галочку с согласием на обработку данных и документ прикрепите
Ответить
- 0 +
Сергей Мекеда #
27.04.2017 09:06
Ну "О защите персональных данных" вообще-то имеет статус закона. Именно закона а не постановления или указа. Читаем текст:
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)"

Если есть сомнения - обращаемся к судебной практике - штрафуют и за формы  "имя, тема сообщения, текст сообщения" и за обычную передачу телефона без согласия другому человеку.

Так что не вводите людей в заблуждение.
Ответить
- 0 +
Максим Лагутин #
27.04.2017 10:00
Тамара, дайте, пожалуйста, ссылку на Федеральный закон, где это написано.
Буду признателен.
Ответить
- 0 +
Тамара Папкова #
26.04.2017 15:26
И Роскомнадзор не имеет отношения к защите персональных данных...это курирует ФСБ
Ответить
- 0 +
Сергей Мекеда #
27.04.2017 09:12
Ага отношения не имеет но штрафы выписывает и суды выигрывает)))
Ответить
- 0 +
Максим Лагутин #
27.04.2017 10:08
В материале разобрана информация по штрафам, которые накладывают по итогам проверки или систематического наблюдения Роскомнадзора. Роскомнадзор не отвечает за проверку защиты ПДн (за это отвечает ФСТЭК и ФСБ России)
Ответить
- 0 +
Александр Дудин #
28.04.2017 13:00
Всем ли обязательно уведомлять РКН? А какие с 1 июля новые штрафы за неуведомление? Из житейского опыта ведения бизнеса - лучше по возможности всё содержать в норме и без нарушений, а вот о своём существовании лишний раз структурам не напоминать ))
Ответить
- 0 +
Айрат Зайниев #
30.04.2017 11:12
Конкуренты напомнят))
Ответить
- 0 +
Александр Дудин #
30.04.2017 12:06
А о чём напоминать, если на сайте всё в норме? (мы сейчас говорим только в рамках сайта, раз речь об РКН)
Ответить
- 0 +
roman.juno #
02.05.2017 12:00
Подскажите а насколько вот такое корректно, увидел на сайте одном в футере кнопку, по ней текст:

Во исполнение требований Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 г. Все персональные данные, полученные на этом сайте, не хранятся, не передаются третьим лицам, и используются только для отправки товара и исполнения заявки, полученной от покупателя. Все, лица, заполнившие форму заявки, подтверждают свое согласие на использование таких персональных данных, как имя, и телефон, указанные ими в форме заявки, для обработки и отправки заказа.
Хранение персональных данных не производится.
Ответить
- 0 +
lyosha #
13.06.2017 16:29
А что нормальный текст по моему, жаль я не юрист а то бы ответил как юрист. Но как вебмастер я думаю что как то надо оправдать желания клиента, как то сделать так что бы он сэкономил свой рубль и написал или заказал обратный звонок. Что придераться то начали не пойму.
Ответить
- 0 +
lyosha #
13.06.2017 16:17
Возник такой вопрос:
-А можно просто форму обратной связи делать так что человек может не писать своего имени, номера телефона, а просто написать сообщение  ИЛИ сделать поля имя, номер телефона не обязательными (они присутствуют) а только поле сообщение обязательным. Опять пободает под закон?

Другой вопрос:
можно в поле имя написать "Введите любое имя" или как к Вам обратиться (может кто-то представиться аллигатором)))) а имя не напишет свае), в поле номер телефона написать напишите любой номер для связи с вами (он может там написать номер бабушки или соседа), а в поле сообщение в поле сообшения, как обычно, написать "Введите сообщение". Тут тоже первые 2 поля сделать не обязательным.

И другой вопрос если поставить просто поле Сообщения и все так же не кто не просит некаких данных, просто есть сайты что люди могу задать вопрос : "то или иное можно заказать у вас..., вы можете сделать или помочь с кое каким вопросом..., а вы случайно не знаете где найти то или иное ...., Привет я Маша и я хочу воспользоваться вашими услугами вот мой номер телефона ...." Тут же веб мастер или админ не заставляет писать имени или номера телефона, да и вообще если человек представляется через интернет он может соврать может назвать свае имя ну и что что по имени это означает иденфецировать так можно и в реальной жизни судить когда представляешся или обмениваешся номеров телефона , а в реале намного все точней чем через интернет ....

Одним словом в конце есть суды где есть справедливость если тебя оштрафуют на 300 тыс. то ты точно пойдешь на европейский и оштрафуешь их по больше!!!! Россия тоже подписала международные права человека так что местные суды еще не "вечер" ...
Ответить
- 0 +
Денис Зотов #
13.06.2017 22:07
Благодарю, Максим.
Вот что значит, статья написана по-человечески и для людей!
Очень были полезны ссылки на вспомогательные материалы.

Спасибо.
Ответить
- 0 +
Gray #
16.06.2017 08:12
Если РКН будет штрафовать по информации об организации на сайте, это же возможность подставить конкурентов. Создал копию чужого сайта или вообще новый сделал быстренько, вписал туда все реквизиты чужие, форму с кучей полей вплоть до паспорта и сам стучишь в РКН... Как они будут определять, чей сайт?
Ответить
- 0 +
Булат Файзуллин #
20.06.2017 09:02
Всё же не совсем понял про дисклеймер. На одном сайте появляется баннер, в котором говорится, что если не согласны, то уходите с сайта) Но если это лендинг цель которого получение заявок, то конверсия сайта крайне низкой будет.Или можно считать под формой обратной связи чек-бокс с галочкой и соглашением обработки персональных данных?
Ответить
- 0 +
zaqwsx #
21.06.2017 13:06
а можно подробнее про приложение "Перечень документов, представление которых необходимо для достижения целей и задач проведения проверки". Это приложение к приказу,который издается перед проверкой конкретной организации? или есть общий приказ о проведении плановой проверки, тогда подскажите, пожалуйста, номер и дату публикации?
Ответить
- 0 +
Андрей Гусев #
21.06.2017 14:06
Интересно, а если сотрудник юрлица, выполняя должностные обязанности на работе, заходит на сайт партнёра (поставщика) и, оформляя заказ, вводит в форме своё ФИО, ФИО директора и телефоны организации - это тоже персональная информация?
Ответить
- 0 +
Александр Рябов #
25.06.2017 10:21
Подскажите пожалуйста как быть владельцам сайтов  - физлицам?
Что грозит им?
Ответить
- 0 +
Yury Kovrigin #
26.06.2017 12:16
если стоит онлайн-консультант, вставленный на сайт через script, то кто отвечает за обработку данных?
сайт технически никак не взаимодействует с данными
Ответить
- 0 +
Sergey Popov #
27.06.2017 17:17
Подстава, увернуться не получится никак. Регаемся в Роскомнадзоре и ставим политику конфиденциальности на сайт - этого будет достаточно, чтобы не попасть в первые ряды. Если начнут шерстить, то придираться к компаниям, присутствующим в реестре, будут в последнюю очередь. Просто Имя спрашивать не получиться, как только человек заходит на сайт, вы получаете информацию о его ip, браузере, и т.д. А если пользователю дать заполнить только сообщение, он только его и заполнит и не повернется в его голове, что вам нужен контакт, чтобы с вами связаться. Конечно можете отрубить все формы, все счетчики и обработчики, но тогда зачем нужен сайт? Да и даже так без форм, вам будут звонить, представляться и рассказывать о компании, чтобы вы оказали им услуги. То есть вам уже сообщают персональные данные. Телефон сохранен в контактах и т.п. А дальше как я понимаю будет хуже. Конечно обидно, что не отточив системы и сами ничего не зная, вводят такие штрафы и законопроекты, но пора привыкать, у нас в России все так))
Ответить
- 0 +
Benjamin Trepachko #
28.06.2017 17:58
А если на всем сайте только одна форма и в ней только одно поле — «Текст вашего вопроса», и все. С этим проблемы могут быть?
Ответить
- 0 +
В Joomla добавил в форму комментариев следующим образом:

Компонет - JCjmments - Настройки - Сообщения - Правила добавления комментариев - вставляем

Важно! Нажимая на кнопку <ОТПРАВИТЬ>, Я даю <a href="privacy" target="_blank" >СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ</a>. Ваши персональные данные обрабатываются на сайте в целях его функционирования и если Вы не согласны, то просим Вас не отправлять комментарии.

Пример: http://xn--c1aepdqs.xn--p1ai/dozhdeprijomniki/montazh-dozhdeprijomnikov-livneprijomnikov

Также добавил в форму авторизации на сайте и Контакты - форма обратной связи.
В файл PDF добавил Приказ и приложение об обработке данных. Собрал из нескольких источников (не юрист). Если у кого есть текст близкий к веб-студиям или владельцам сайтов буду признателен.

Всё функционирует. Осталось зарегистрироваться в Роскомнадзоре. Сергей Попов наверное прав. Пост. 27.06.2017 17:17. Спасибо cossa.ru за информирование и материалы.
Ответить
- 0 +
Следующий вопрос: файлы cookie являются персональными данными? В файле присутствует IP-адрес (что является персональными данными для РФ). В других станах напр. Италия считают IP не персон. данными: https://olirussia.ru/policy/ Как технически получить согласие с физического лица, при условии что он может войти на любую ! страницу сайта из поиска первый раз. Какие мысли?
Ответить
- 0 +
Егор Галкин #
08.07.2017 12:46
В виджете, который можно сгенерировать через https://xn--152-1dd8d.xn--p1ai/ можно включить показ дисклеймера при первом визите посетителя на любую страницу. Это типа всплывашки, где юзер соглашается с политикой и соглашением, либо покидает сайт.
Ответить
- 0 +
Ilyashenko Alexander #
30.06.2017 00:20
На сайте kremlin.ru ничего подобного не увидел. Вернее есть подпись, что данные будут храниться "как положено". Согласия на обработку не запрашивают. Вот им достанется от РКН)

Вопрос в другом: кто нибудь подавал уведомление в РКН, ну и соответственно создавал приказ в рамках предприятия об обработке этих данных?
Ответить
- 0 +
Игорь Ходырев #
03.07.2017 14:51
Так там мало того, что нужно подать форму, так еще всю эту лабуду распечатать и нести в территориальное РКН или почтой отправить, типа они не могут свою задницу поднять и распределить по своим филиалам все. Там прямо и написано под формой, что каждый обязан уведомить территориальный РКН. Полная ахинея. Какие приказы могут быть, если оператор физ. лицо? Самому себе сидеть писать приказы на свои инфо-сайты? Нет, ну я конешн уже чокнулся в этой стране, но еще не до такой степени.
Ответить
- 0 +
Поставил всплывающее окно на СОГЛАСИЕ использования файлов «cookie». Пример: http://xn--c1aepdqs.xn--p1ai/lotki/lotki-ekonom-klassaОбразец:  https://www.yoyohose.ru
Ответить
- 0 +
ivan_ims #
03.07.2017 12:25
Максим, вы уверены, что достаточно добавить надпись перед кнопкой в каждой форме? Или лучше все-таки сделать чек-бокс? И если его делать, то можно ли по умолчанию проставлять там галку?
Ответить
- 0 +
Егор Галкин #
08.07.2017 12:39
Как мне объяснили на сервисе https://xn--152-1dd8d.xn--p1ai/ , текста недостаточно. Нужно, чтобы юзер сам инициировал какое-то действие, подтверждающее согласие. Т.к. текст или уже отмеченный чекбокс можно не заметить, а если юзер сам его ставит - это значит, что действительно выражает согласие.
Ответить
- 0 +
Важно! Запрос в Роскомнадзор, в ответе было сказано, что просто e-mail не является персональными данными. Вот ссылка пост 49 http://www.instantcms.ru/forum/thread27502-4.html

Руководствуясь п. 1 ст. 3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – Федеральный закон № 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Сведения об адресе электронной почты при отсутствии другой информации о субъекте персональных данных не позволяют определить их принадлежность конкретному субъекту персональных данных, то есть определить на их основании конкретное физическое лицо. Соответственно раскрытие указанных сведений без указания на дополнительные данные о лицах, зарегистрированных на сайте, не приведет к идентификации субъекта персональных данных.

Однако в случае, если при работе с сайтом предусмотрено указание иных сведений, которые при всей совокупности позволят идентифицировать владельца адреса электронной почты (ФИО, адрес, телефон и др.), то в таком случае будет иметь место сбор персональных данных, а владелец сайта будет признаваться Оператором персональных данных, по смыслу ст. 3 Федеральный закон № 152-ФЗ. Согласно указанной норме, Оператором признается юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. При этом законодательством не установлена унифицированная форма для данного документа.

Кроме того, в соответствии с ч. 1 ст. 18.1 Закона о персональных данных Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. При этом, указанная статья закрепляет за Оператором право самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения возложенных обязанностей.

Дополнительно сообщаем, что на основании ч. 2 ст. 5 Федерального закона № 152-ФЗ обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

В добавлении к предыдущему посту: В форме Форма уведомления-Сведения об информационной системе-Персональные данные Email НЕ ПРИСУТСТВУЕТ! Только ФИО. Адрес: http://pd.rkn.gov.ru/operators-registry/notification/form/

Т.е. осталось заменить Имя физического лица на псевдоним или цифровой код и отпадёт необходимость во всяких Соглашения, уведомлениях и т.д.
Ответить
- 0 +
Eugeniana #
06.07.2017 00:49
Все таки согласно вышеприведенной логике Роскомнадзора, только Имя + мэил не позволяют идентифицировать физ.лицо. Например, указал человек: Ирина denis@mail.ru - как по этим данным можно кого-то идентифицировать (т.е. конкретно ткнуть пальцем)? Мэил может быть зарегистрирован на совершенно другое лицо - на сына например.  
Ответить
- 0 +
alexandro145 #
12.07.2017 12:29
А если имеем следующее:

1) Сайт в доменной зоне net иди com. Территориально расположен в РФ. Трафик идет с РФ. Но владелец сайта не является гражданином РФ и не находится на территории РФ. В таком случае также все это нужно соблюдать и подавать уведомление в РКН?

или

2) Сайт в доменной зоне net иди com. Территориально НЕ расположен в РФ. Но трафик идет с РФ в том числе. Владелец сайта не является гражданином РФ и не находится на территории РФ. В таком случае также все это нужно соблюдать и подавать уведомление в РКН?
Ответить
- 0 +
ivan_ims #
18.07.2017 17:51
Прошу пояснить, как можно будет доказать, что отправляя свои персональные данные через форму на сайте пользователь дал согласие на их обработку? Если в форму вставлена ссылка на документ
Ответить
- 0 +
ivan_ims #
18.07.2017 17:51
Прошу пояснить, как можно будет доказать, что отправляя свои персональные данные через форму на сайте пользователь дал согласие на их обработку? Если в форму вставлена ссылка на документ
Ответить
- +3 +
protopop #
16.08.2017 17:47
Я думаю, не все так серьезно, не будут всех подряд штрафовать. Добавьте просто в форму галочку, что, мол, согласен с обработкой персональных данных, ссылку на документ. Политику обработки персональных данных можно скачать, можно даже сгенерировать под себя вот тут например: https://advegital.com/solutions/politika-obrabotki-personalnykh-dannykh-obrazets.html
При соблюдении этих требований вряд ли кто будет смотреть, собираете вы куки или нет. Понятно, что все собирают, но никто в футере про это не пишет.
Ответить
- 0 +
vadimkhannanov #
17.08.2017 16:14
Мне вот что интересно. У вас на сайте при прохождении регистрации не было ссылки на согласие на обработку данных. И политику конфеденциальности не видно нигде.

Вы не привели в соответствие свой сайт?))
Ответить
- 0 +
Gilberto R Melo #
06.09.2017 11:39
Я с радостью дам вам свое свидетельство. Я женился на муже три года назад, после двух лет проблем с браком мы закончили спать на одной кровати и сражались за мелочи, которые он всегда приходил домой поздно вечером, пили слишком много, а с другими я никогда не был мужчиной моя жизнь, кроме него, он отец моих двух детей, и я не хочу его потерять, потому что мы так много работали, что есть у нас и сегодня, несколько месяцев назад он теперь решил жить со мной и детьми , так как это может быть мать-одиночка, и поэтому у меня нет никого, к кому я могу обратиться, я был сильно разбит. Я позвонил маме и объяснил ей все, мама сказала мне о д-р Эмуа, помогая ей решить проблемы между ней и отцом, мой отец всегда снег ночью, когда он спит по ночам, его снегопад даже проснется наши соседи, это стало большой проблемой в моем капюшоне, что привело к тормозу между моими родителями, мне было удивительно, когда моя мама сказала мне, что доктор Эмуа помог ему остановить его снег и собрал их вместе, я был удивлен тот факт, что они были без друг друга в течение трех с половиной лет, и было чудом, как они пришли друг к другу, и мой отец прекратил храпеть меня, что я нахожусь у доктора Эмуа, и я рассказал ему все, поэтому он пообещал мне не беспокоиться о том, чтобы бросить заклинание и вернуть вещи, так как мы так любим там и что это была другая дама, которая наложила на него заклинание, которая контролировала моего мужа, он сказал мне, что моя проблема должна быть решена в течение 30 часов, если я верю, что я сказал «да», поэтому он произнес заклинание для меня, и через 18 часов моя любовь вернулся и попросил меня простить его, теперь я так счастлив, поэтому почему я решил поделиться своим опытом и свидетельством с каждым телом, у которого есть такие проблемы, не давайте надеяться на скорое с ним. Если вам нужна его помощь, вы можете отправить ему по электронной почте @ dremuahelphome@outlook.com или dremuahelphome@gmail.com для простой и быстрой коммуникации, вы также можете позвонить или добавить его в whats-app с номером ser +2347063628174, и я уверен, что он также поможет вам, вы также можете связаться с ним, если у вас есть какие-либо проблемы, упомянутые ниже, все мои друзья и отношения, которые я ему навещал, есть отзывы, поделиться, попробовать и увидеть его.

ПОЛУЧИТЕ СВОЮ ЛЮБОВНИКУ.
ПОТЕРЯННЫЕ ЛОТЕРЕИ.
ДЕТСКИЕ ОСНОВЫ.
РАЗВЛЕЧЕНИЕ КУРСА ГЕНЕРАЦИИ
GOT BY JOB
ПРОДВИЖЕНИЕ.
ДЕНЬГИ.
ДУХОВНАЯ ЗАЩИТА.
ГЕРБАЛЬНАЯ ПОМОЩЬ
КРАСОТА КРАСОТЫ
заклинание смерти
И еще много. Свяжитесь с ним по его электронной почте и объясните, что вы хотите от него сделать. Я заверяю вас, что он поможет. Его электронная почта: dremuahelphome@outlook.com или dremuahelphome @ gmail. ком
Ответить
Ответить?

Самые интересные статьи, обзоры и размышления —
в рассылке!

Email *


Подпишись!


Вход на cossa.ru

Уже есть аккаунт?
Выбирай любой вариант входа:
Facebook Twitter Vkontakte

Используйте свой аккаунт в социальной сети Facebook или Twitter, чтобы пользоваться сайтом

Не забудьте написать email на странице своего профиля для управления рассылкой