Как изменить персональные данные в соцсетях

Приводим сайт в соответствие с законом о персональных данных

С 1 июля вступили в силу поправки в КоАП о нарушениях в работе с персональными данными. Штрафы за нарушения стали на порядок больше, и теперь эти штрафы реально будут накладывать.

Это касается всех владельцев сайтов — юридических и физических лиц. Если вы собираете хоть какие-то персональные данные не в соответствии с законом 152-ФЗ, Роскомнадзор может наказать рублём.

В этой статье мы расскажем, как сделать всё правильно и избежать штрафов. Она будет полезна, если вы раскручиваете сайты клиентов или собственные проекты, продаёте что-то с лендингов или ведёте личный блог.

Немного теории: персональные данные и что о них надо знать

Персональные данные (ПД) — это любая информация, по которой можно прямо или косвенно определить человека:

  • ФИО;
  • дата рождения;
  • телефон;
  • адрес;
  • электронная почта;
  • ИНН;
  • фотографии;
  • сведения о работе;
  • ссылки на аккаунты в соцсетях или личный сайт;
  • метрики сайта (ip-адрес, геотеги, cookies и т.д.);
  • и очень многое другое.

Проблема вот в чём: в самом законе нет точного и исчерпывающего объяснения, что и при каких условиях считать персональными данными.

По отдельности большинство перечисленных данных не считаются персональными. Нельзя определить человека ТОЛЬКО по дате рождения или ТОЛЬКО по email-адресу. И даже по ФИО нельзя — есть же полные тёзки. А вот если от человека обязательно требуется указать на сайте имя и email — это уже персональные данные.

Персональные данные — почти всегда совокупность нескольких разных данных о человеке.

Но есть исключения. Например, номер телефона. Обычно SIM-карты в салонах связи продают по паспорту, а паспортные данные вносят в базу. А значит, если у вас есть доступ к базе оператора — теоретически вы можете установить личность человека по одному только номеру.

Закон не может регламентировать каждую мелочь и каждый частный случай. Приходится руководствоваться здравым смыслом. Если вы абсолютно уверены, что нельзя установить личность человека по данным, которые собираете на сайте — хорошо. Если не уверены — лучше сразу считайте, что всё-таки собираете персональные данные.

Посмотрите на примеры. Здесь посетитель должен ввести только email, чтобы подписаться на рассылку. Email в этом случае — обезличенные данные:

А здесь обязательно нужно указать и имя, и адрес почты. Это уже персональные данные:

Если сайт собирает персональные данные — его владелец считается оператором персональных данных. Операторами могут быть и юридические, и физические лица.

Как понять, оператор вы или нет

Иногда владелец сайта и сам не знает, что он — оператор персональных данных. Вот распространённые «сборники» ПД:

  • формы подписки на рассылку (имя + email, телефон и т.д.);
  • личный кабинет интернет-магазина (имя + адрес, телефон и т.д.);
  • форма заявки или обратной связи (имя + email или телефон);
  • системы онлайн-чат, онлайн-консультант (имя + email, телефон и т.д.);
  • форма размещения комментариев в блоге (имя + email или адрес сайта).

Если что-то из этого есть на сайте и требует от посетителей ввода персональных данных, то владелец автоматически признаётся оператором. И это только частные случаи. Возможно, вы собираете данные каким-то другим образом.

Важно. Если человек сам проявляет инициативу и выкладывает свои ПД на сайте, хотя вы его об этом не просили — вы не становитесь оператором. В комментариях к статье посетитель может выложить хоть скан паспорта и фотографию банковской карты. Вы не несёте за это ответственность.

Как видим, почти все коммерческие сайты попадают под действие закона. Но не обязательно управлять интернет-магазином, чтобы быть оператором — даже сайты с информационными рассылками и блоги собирают персональные данные.

Что делать, если вы собираете персональные данные

Законодатель предъявляет 3 главных требования:

  1. Составить политику конфиденциальности и разместить её на сайте.
  2. Уведомить Роскомнадзор, что вы собираете персональные данные.
  3. При сборе данных брать согласие с посетителей сайта.

Обо всём по порядку.

Как составить политику конфиденциальности

Вот что нужно прописать в политике:

  1. Наименование компании-оператора. Если сайт принадлежит ИП или просто физическому лицу — ФИО.
  2. Адрес оператора: юридический (для юрлиц) или фактический (для физлиц).
  3. Список собираемых данных: имя, почта, телефон, cookies, геометки и т.д. Список должен быть максимально полным. Посмотрите, какие данные попадают в системы аналитики (и CRM-систему, если пользуетесь).
  4. Цель сбора данных. Вы должны объяснить, для чего будете использовать персональные данные. Например, для доставки товара, рассылки рекламных писем, отправки СМС-сообщений с напоминанием о конференции и т.д. Собирайте и обрабатывайте только нужные для работы данные — иначе могут выписать штраф.
  5. Действия с данными: это сбор, уточнение, хранение и т.д.
  6. Сроки обработки данных. Нельзя хранить ПД вечно — после «использования по назначению» их надо удалять. Интернет-магазин взял email, чтобы присылать уведомления о заказе? Когда человек примет товар — его почту следует стереть из базы. Исключение — если вы собираете данные для регулярной рассылки.
  7. Факт привлечения третьих лиц к обработке данных.

Источник: http://lead-academy.ru/poleznye-materialy/privodim-sajt-v-sootvetstvie-s-zakonom-o-personalnyx-dannyx/

Собирать данные о пользователях «ВКонтакте» Роскомнадзор запретил

Личная информация о клиентах соцсетей может быть общедоступной, если сами пользователи помещают ее на своих страницах. Но такую информацию всем желающим использовать нельзя.

Сторонним компаниям теперь запрещено собирать «ВКонтакте» и использовать персональную информацию пользователей этой соцсети. Роскомнадзор направил разъяснение в адрес фирмы, которая занималась сбором таких данных. Эту информацию «Известиям» подтвердили в пресс-службе ведомства.

В Роскомнадзоре объясняют, что обрабатывать разрешается те персональные данные (ПД), которые стали доступны по желанию самого их владельца. Это не противоречит Федеральному закону «О персональных данных». Но этот же закон в ст. 6 разрешает обработку только при согласии субъекта ПД.

В ведомстве считают, что волеизъявление граждан отсутствует, поэтому их персональные данные не должны сторонними компаниями собираться, храниться, обрабатываться и кому-то передаваться – это должно быть прекращено, даже если допускалось раньше.

Сергей Копылов, замдиректора Координационного центра национального домена сети интернет по правовым вопросам, считает, что если использование открытых ПД нарушает закон, то следовало бы сразу доступ к таким данным в соцсетях ограничивать.

Потому что администрации электронных ресурсов не могут полноценно контролировать, кто занимается сбором личных данных их пользователей. А сторонние компании общедоступные сведения могут легко получать, и они, эти компании, не связаны никакими соглашениями с теми же соцсетями.

Следовательно, персональную информацию эти компании использовать смогут.

Источник: http://lawinweb.ru/sobirat-dannye-o-polzovatelyax-vkontakte-roskomnadzor-zapretil/

Роскомнадзор запретил свободную обработку данных из «ВКонтакте»: чем это грозит бизнесу

По мнению юристов, новая позиция Роскомнадзора может помешать интернет-компаниям.

Поделиться

Поделиться

Твитнуть

31 июля 2017 года «Известия» рассказали о запрете Роскомнадзора на свободную обработку данных из открытых профилей в соцсетях — по мнению ведомства, для таких действий любым компаниям нужно получать индивидуальные разрешения от пользователей. Опрошенные редакцией vc.ru юристы считают, что новая позиция регулятора может доставить неприятности предпринимателям, чей бизнес связан со сбором данными из соцсетей.

О чём речь

Согласно статье «Известий», Роскомнадзор объяснил свою позицию одной из компаний, которая занималась сбором открытых данных пользователей «ВКонтакте». По мнению ведомства, это нарушает закон «О персональных данных», так как перед обработкой персональной информации нужно получить прямое согласие пользователя.

Согласно рекомендациям ведомства, персональные данные — это любая информация, относящаяся прямо или косвенно к физическому лицу, субъекту персональных данных. В этот список входят фамилия, имя, отчество, физический адрес, электронная почта, дата рождения, номер телефона, фотография и другие данные.

Если компания собирает, записывает, хранит, обезличивает или передаёт данные, то такие действия считаются обработкой. Выходит, если компания скопировала в свою базу пользователя без прямого разрешения от пользователя, то она нарушила закон о персональных данных.

Представитель Роскомнадзора Вадим Ампелонский на момент написания заметки не ответил на сообщения и звонки vc.ru и не смог подтвердить, действительно ли ведомство готово придерживаться такой точки зрения.

Позиция «ВКонтакте»

Представитель соцсети Евгений Красников рассказал vc.ru, что в правилах сервиса не описано разрешение для других компаний на использование любых данных из открытых профилей.

Он отметил, что соцсеть отдельно запрещает автоматизированный сбор информации о пользователях (пункты 6.3.9 и 6.3.11 пользовательского соглашения).

У сторонних компаний есть возможность получить данные пользователей официальным путём, добавил Красников.

«Во «ВКонтакте» долгие годы существует форма авторизации для сторонних сайтов, использование которой подразумевает согласие пользователя на обработку данных о нем», — пояснил он.

Позже компания, получившая доступ к данным, может использовать их по своему усмотрению, так как соцсеть уже не несёт за них ответственности, заметил Красников.

«ВКонтакте» уже протестовала против сбора, обработки и продажи открытых данных пользователей. В начале 2017 года она подала в суд на компанию Double Data, которая разработала сервис для оценки кредитоспособности клиентов банков по профилям в соцсетях. Решение по этому делу ещё не принято.

Компании не ждут проблем

Основатель проекта FindFace Максим Перлин рассказал vc.ru, что его сервису, который позволяет находить пользователей во «ВКонтакте» по фотографии, новые нормы не угрожают.

Представители «Яндекса» отказались от комментариев.

Юристы ждут действий от Роскомнадзора

По словам основателя и эксперта по защите персональных данных юридического сервиса «Б-152» Максима Лагутина, открытые для всего интернета данные из «ВКонтакте» попадают под статью 6 (часть 1, пункт 10) закона «О персональных данных» и считаются общедоступными, но новая позиция Роскомнадзора делает их бесполезными для бизнеса.

Юрист Севан Авалян считает, что позиция Роскомнадзора противоречит законодательству — открытые данные из «ВКонтакте» прямо относятся к общедоступным, что позволяет их свободно обрабатывать.

Авалян заметил, что разъяснение Роскомнадзора хоть и не совпадает с законом, но может доставить неприятности проектам, чья работа связана с данными из профилей «ВКонтакте».

Управляющий партнёр сервиса по защите интернет-бизнеса E-docs​ Максим Филиппович заметил, что хоть данные из «ВКонтакте» действительно должны считаться общедоступными, у Роскомнадзора может быть ещё одно обоснование для выпущенного запрета.

Источник: https://vc.ru/25542-rkn-vk-rules

Работаем с персональными данными

Бизнес

Читайте также:  Как повышать и понижать напряжение

Текст Татьяна Благовидова

Фото Firestock.ru

С 1 июля 2017 года значительно увеличились штрафы за нарушение закона о персональных данных. В этой статье рассказываем, как закон касается владельцев сайтов/лендингов и как привести свое «онлайн-представительство» в соответствие с требованиями закона.

В начале апреля Тамбовский суд оштрафовал ООО «ТГЮК» за отсутствие согласия на обработку персональных данных в форме обратной связи на сайте. Об этом в соцсетях написал Александр Бородкин, директор по продукту Notamedia, клиентом которой и была компания, получившая штраф.

Вокруг этой темы в соцсетях тут же поднялась волна обсуждений.

Несмотря на то, что закону N 152-фз «О персональных данных» уже более 10 лет и в него вносятся постоянные изменения, многие владельцы сайтов по-прежнему не знают о его существовании или просто не задумываются о выполнении требований. И если раньше штрафы были не столь крупными и редко назначались, то с 1 июля 2017 года все изменится: 

— для владельцев сайтов общая сумма штрафов может доходить до 250 000 рублей; 

— и самое главное: проводить проверки сайтов и составлять протоколы сможет Роскомнадзор без участия прокуратуры. Дело пойдет быстрее и почти наверняка закончится штрафом, — так говорят юристы.

Дмитрий Мачихин

Старший партнер юридической компании GMT Legal

Раньше конечный материал для суда формировала прокуратура. Теперь процедура не будет занимать много времени: если нарушения есть, специалисты Роскомнадзора составят протокол об административном нарушении и направят его в суд. 

Это почти всегда означает, что штраф будет обязательно, так как в России любой материал по публичному обвинению (КоАП или УК РФ), попавший в суд, считается истинным: суды выносят приговоры почти не глядя.

Если нарушений будет несколько, штрафы суммируются. 

Персональные данные — любые данные о человеке,

по которым его можно идентифицировать.

Разместить политику конфиденциальности

Вы обязаны опубликовать на сайте документ, в котором объясняете посетителям, для чего вам их персональные данные, где и как будете их хранить, собираетесь ли передавать кому-то еще, какие обязательства берете на себя. 

Документ может называться по-разному: 

Источник: https://womenbz.ru/articles/rabotaem-s-personalnymi-dannymi/

Как использовать персональные данные: советы для НКО

Что некоммерческим организациям нужно знать при обработке персональных данных, в центре «Благосфера» рассказали юристы московского офиса Latham & Watkins Ольга Пономаренко, Ксения Королева и Александра Самсонова.

Персональные данные: основные понятия

Персональные данные — это любая информация, которая позволяет идентифицировать человека. Это могут быть как фамилия, имя, отчество, так и фотографии. Персональными данными может считаться даже место работы, если оно упоминается вместе с именем человека и позволяет определить конкретного сотрудника.

Все, что вы делаете с этой информацией, называется обработкой персональных данных. Тот, кто определяет цели и способы обработки, называется оператором. Именно он получает согласие на обработку. Работу с персональными данными регулирует Роскомнадзор.

Как использовать персональные данные

  • Для обработки необходимо получить согласие граждан, чьи данные вы используете.

Из-за широкого и обобщенного определения таких данных в законе, не всегда можно с уверенностью сказать, относятся ли к ним те или иные сведения и нужно ли получать согласие на их использование и передачу.

Простое согласие на обработку данных представляет собой проставление «галочки» в веб-форме или сам факт использования сайта, на котором размещена политика обработки данных (об этом ниже).

  • О намерении осуществлять обработку персональных данных лучше уведомлять Роскомнадзор.

Есть исключения, которые позволяют этого не делать. Например, при обработке персональных данных участников общественного объединения, если вы получили их согласие. Или если человек сам сделал эти данные общедоступными.

Многие стараются не уведомлять Роскомнадзор, чтобы не привлекать к себе внимание. Юристы на всякий случай советуют отправлять такие уведомления.

  • Публикуйте политику обработки персональных данных в открытом доступе.

Политика содержит описание данных, которые может обрабатывать сайт организации. Человек, который пользуется сайтом НКО, таким образом, соглашается на обработку данных. Образец обращения, например, можно найти на сайте «ВКонтакте».

  • Биометрические и специальные персональные данные требуют более сложной процедуры согласия.

Форма согласия в этом случае представляет собой подписанный на бумажном носителе документ (или электронный документ с электронной подписью) с перечислением данных, которые вы обрабатываете, действий, которые вы планируете с ними делать, цели и сроков использования. К специальным категориям относятся, например, сведения о расовой, национальной принадлежности, вероисповедании, состоянии здоровья.

  • Человек, передающий вам персональные данные другого человека, должен иметь его согласие.

Согласие на обработку персональных данных вам может дать их владелец, для недееспособных — законный представитель, в случае смерти лица — его наследники. Все остальные люди, предоставляющие данные о своих родственниках или знакомых, не могут дать согласие на их обработку. Для передачи данных они должны сами получить согласие на передачу данных.

  • Согласие на обработку данных лучше давать в письменной форме.

Согласие в устной форме напрямую не указано в законе, поэтому его лучше получать только в присутствии свидетелей. Но самый безопасный вариант — согласие в письменной форме.

  • При передаче персональных данных в другие страны, необходимо отдельное согласие.

Без ограничений можно передавать данные в страны ЕС и страны из перечня Роскомнадзора. Для всех остальных стран от человека необходимо получить согласие, которое напрямую упоминает эту страну.

  • Вы должны обеспечить безопасность при обработке персональных данных.

Если доступ к данным закрыт, вы можете доказать Роскомнадзору, что обеспечиваете безопасность данных — это необходимое условие при их обработке.

  • Получать повторное согласие на использование данных человека после совершеннолетия не нужно.

Если вы получили согласие на обработку персональных данных от законного представителя несовершеннолетнего человека, то у вас нет обязанности получать повторное согласие после наступления совершеннолетия.

В идеальном варианте согласие должно предусматривать период, на которое оно принимается.

В нем можно указать, что человек может отозвать согласие после совершеннолетия, но если этого не произошло, согласие продолжает действовать.

  • Согласие для обработки данных нужно получать для каждого юридического лица, которое их использует.

Если согласие получает одна организация, а обрабатывает другая (пусть и дружественная или подведомственная первой), то данные обрабатываются незаконно. В согласии нужно упомянуть все организации, которые будут заниматься обработкой.

  • Получать согласие на обработку персональных данных нужно и при съемке.

Изображение, которое позволяет идентифицировать человека, тоже рассматривается как персональные данные. Если человек не основной объект съемки и попал в кадр случайно, то согласие не требуется. Согласие на использование изображений не нужно получать при съемке на публичных мероприятиях.

Если вы сомневаетесь, что ваше событие публичное (например, вход по приглашениям или по регистрации), лучше получить согласие на обработку персональных данных его участников.

Санкции

На организацию может быть наложен штраф, если данные обрабатываются не с той целью, что была указана в согласии, или другими нарушениями, если на сайте не опубликована политика о персональных данных, если человеку не предоставили информацию о том, каким образом будут использованы его данные. Кроме того, санкции накладываются, если оператор не удалил или не изменил персональные данные по просьбе их владельца. Человек может отказаться от согласия на обработку персональных данных в любой момент.

Круглый стол проводился в медиацентре «АСИ-Благосфера» по инициативе Благотворительного фонда «Дорога вместе». Запись доступна здесь.

Медиацентр «АСИ-Благосфера» — это совместный проект центра «Благосфера» и Агентства социальной информации. Его цель – продвижение в обществе идей благотворительности и социальной ответственности, социальной активности граждан с использованием различных медиаформатов.

Источник: https://www.ASI.org.ru/news/2018/02/28/personalnye-dannye-nko/

Изменение в законе о персональных данных: что нужно знать владельцам сайтов

30 июня 2017  |  Истории  |  

1011

С 1 июля вступают в силу изменения в ФЗ № 152 «О персональных данных», которые включают в себя расширение перечня оснований для привлечения организаций к административной ответственности в области защиты персональных данных, а также увеличение размеров административных штрафов.

В законе вместо единственного вида административной ответственности появится семь видов правонарушений, а сумма штрафов за одно правонарушение с 10 000 руб возрастает до 75 000 руб. (для юридических лиц). При этом привлекать к ответственности могут по разным составам правонарушений и, соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

В этой статье мы расскажем подробнее о новых видах правонарушений, штрафах и о том, как их избежать.

Кого коснутся изменения

Операторов персональных данных, то есть любые организации и физ. лица, которые осуществляют обработку (сбор, хранение, использование, передачу и тд) персональных данных, например, через веб-сайт.

К операторам персональных данных относятся владельцы сайтов, которые собирают персональные данные, например, в виде заявки на сайте с именем и номером телефона, электронные адреса для рассылки, данные для регистрации в сервисе и т.д.

Какая информация относится к персональным данным

«Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ “О персональных данных».

Примерами такой информации могут быть фамилия, имя, отчество, дата и место рождения, место проживания, email, телефон, ссылки на профиль в соцсетях и тд.

Сбор персональных данных на сайте

В соответствии с законом “О персональных данных”, любая организация, осуществляющая сбор персональных данных в Интернете обязана опубликовать на сайте документ, определяющий её политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. (п. 2 ст. 18.1 № 152-ФЗ.)

Читайте также:  Как подсушить свое тело

Таким образом, во всех формах и заявках на сайте должно находится поле со ссылками на такие документы, как «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п.

Также ссылки на данные документы должны всегда находится в неограниченном доступе на сайте.

Невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите влечет наложение административного штрафа:

  • на граждан — от 700 до 1500 руб.;
  • на должностных лиц (например, директора или главбуха) — от 3000 до 6000 руб.;
  • на индивидуальных предпринимателей — от 5000 до 10 000 руб.;
  • на организации — от 15 000 до 30 000 руб.

Что необходимо сделать, чтобы избежать штрафов:

Перечень требований как для юридических лиц и ИП, так и физ. лиц прописаны в 152-ФЗ. Необходимо, чтобы на вашем сайте были соблюдены следующие условия:

  • Под каждой формой сбора данных на сайте необходимо разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» с обязательной ссылкой на документы — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

В форме обратного звонка Calltouch мы реализовали возможность добавить в виджет строчку «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» с указанием ссылки на соглашение об обработке персональных данных.

Гиперссылка «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» в виджете обратного звонка будет стоять по умолчанию. В настройках обратного звонка необходимо только разместить ссылку на текст соглашения об обработке персональных данных.

Также в настройках обратного звонка мы разместили образец соглашения об обработке персональных данных. Ссылка на образец

Данный документ необходимо разместить на сайте в общем доступе. Ссылка на политику организации в отношении обработки персональных данных на сайте должна находится в постоянном доступе на сайте, например, в подвале.

Обязательная информация в документе (в соответствии ч. 4 ст. 9 ФЗ «О персональных данных»)

  • наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • все цели обработки персональных данных;
  • перечень персональных данных, которые в целом обрабатывает организация, включая описание персональных данных сотрудников и кандидатов на вакантную должность;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).

Другие требования закона для владельцев сайта  

  • Если вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта необходимо показывать всем новым пользователям сайта предупреждение с текстом.
  • Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт Роскомнадзора.

Мы попросили эксперта по информационной безопасности, руководителя проекта Б-152, Максима Лагутина, дать основные рекомендации по подготовке уведомления:

  1. Указывайте реальные цели обработки персональных данных по всем категориям физических лиц (пользователи сайта, покупатели, работники, близкие родственники работников, кандидаты на вакантную должность и тд). Используйте четкие формулировки целей, чтобы нельзя было их трактовать по-разному. Иначе Роскомнадзор может трактовать их иначе и предположить, что часть данных обрабатывается незаконно или они являются избыточными по отношению к целям обработки.
  2. В перечне информационных систем указывайте обезличенно все системы, в которых в организации могут обрабатываться персональные данные (сайт, 1С, CRM и другое). При проверке это может быть важно.
  3. Не указывайте трансграничную передачу персональных данных, если по факту вы ее не используете.
  4. В полях, где нужно указать контакты лица, ответственного за организацию обработки персональных данных, указывайте общий телефон компании, ни в коем случае не ставьте реальный мобильный ответственного.

Обратите внимание, что подготовки согласий для сайта, политики и подачи уведомления недостаточно, чтобы полностью исключить риск. Кроме этого требуется разработать некоторые внутренние документы. И крайне желательно, чтобы процесс изменений контролировал специалист. В связи с этим мы рекомендуем вам обратиться к профессионалам для комплексной подготовки к новому законодательству.

 

Источник: https://blog.calltouch.ru/izmenenie-v-zakone-o-personalnyh-dannyh-chto-nuzhno-znat-vladeltsam-sajtov/

Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа

С 1 июля 2017 г. возбуждать дела об административных правонарушениях будут органы Роскомнадзора, а не прокуратура, как это делается сегодня. Уже сейчас понятно, что данные дела будут возбуждаться проще и быстрее, так как это будет делать сам орган, выявивший правонарушение.

В настоящее время за нарушение закона №152 ФЗ «О защите персональных данных» (сколько бы таких нарушений за 1 раз не было выявлено) можно привлечь только 1 раз. Начиная с 1 июля 2017 г. Роскомнадзор за один «визит» может составить сколько угодно протоколов об административном правонарушении по каждому нарушению. О размере возможно штрафа в таком случае можно только догадываться.

Расположение хостинга сайта

В соответствии с ФЗ № 152, все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации.

С учётом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса.

За нарушение этого требования Роскомнадзор их блокирует.

Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, к примеру, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.

Что нужно сделать на сайте, чтобы избежать штрафов

Мы составили список работ, которые стоит сделать на своём сайте прямо сейчас. Это тот необходимый минимум, который позволит вам избежать проблем в случае проверок Роскомнадзора.

1.    Добавить текст согласия на обработку персональных данных

Под каждой формой ввода данных на сайте (регистрация, заявки на услугу, обратный звонок) разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ. Примеры документов вы можете посмотреть на федеральных сайтах, например, ozon.ru и tinkoff.ru. 

Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

2.    Составить документ «Политика в отношении обработки персональных данных»

Этот документ нужно разместить на сайте в свободном доступе. В данном документе должны быть описаны процедуры сбора, обработки и хранения персональных данных пользователей сайта. Хорошо проработанный документ о политике в отношении обработки персональных данных есть на ikea.com. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.

3.    Узнать, где находится хостинг сайта

Узнать у хостинг-провайдера, где физически находится ЦОД, в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Сделать это вы можете, отправив запрос в техническую поддержку сайта.

4.    Указать email для обращений пользователей по персональным данным

Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше.

Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.

5.    Подать уведомление об обработке персональных данных в Роскомнадзор

Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.

6.    Заключить соглашение о безопасности персональных данных с разработчиком сайта

В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных.

7.    Поставить на сайте дисклеймер

До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay.ru и bmw.ru. В противном случае это будет являться согласием на обработку его персональных данных.

Список внушительный, но не стоит бояться этих изменений. Специалисты Мэйка в течение 5 рабочих дней внесут изменения, которые обезопасят ваш сайт от штрафов Роскомнадзора

Мы оказываем эту услугу как нашим клиентам в рамках технического обслуживания, так и сторонним сайтам

Источник: https://makeagency.ru/blog/kak-vladeltsam-saytov-rabotat-s-personalnymi-dannymi-chtoby-izbezhat-shtrafa

К вопросу защиты персональных данных в социальных сетях

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» №1/2016 ISSN 2410-700Х_

УДК 004.056

Сухова Алина Рашитовна, Гатиятуллин Тимур Радикович

студенты 4 курса

Института управления и безопасности предпринимательства ФГБОУ ВПО Башкирский государственный университет

г. Уфа, Российская Федерация E-mail: lynn.malino@gmail.com

К ВОПРОСУ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В СОЦИАЛЬНЫХ СЕТЯХ

Аннотация

В статье рассмотрены проблемы безопасности персональных данных участников социальных сетей и предложены меры по защите.

Читайте также:  Как получить сертификат медсестры

Ключевые слова

Персональные данные, безопасность, социальные сети, защита данных.

На сегодняшний день социальные сети являются мощнейшим инструментом для различных коммуникаций, продвижения товаров и услуг. Участники соцсетей ежедневно, помимо сообщений, обмениваются аудио-, видео- и фотоматериалами.

Однако любой подобный онлайн-сервис предполагает, что пользователь, получивший аккаунт или личную страницу, предоставляет некоторую информацию о себе, которая может относиться к персональным данным (ПДн). Спектр такой информации весьма широк: от фамилии, имени, отчества до религиозных и политических убеждений.

Помимо этого беспечные молодые люди в последнее время часто выкладывают в сеть фотографии с правами, паспортами, электронными билетами, чеками. Известен случай, когда девушка потеряла выигрыш, выложив селфи, где был запечатлен чек со штрих-кодом, позволяющим получить деньги.

Один из подписчиков воспользовался ее невнимательностью и забрал деньги, поднеся штрих-код к автомату, который выдает выигрыши [2]. В связи с этим становится актуальным вопрос защиты персональных данных.

Источник: https://cyberleninka.ru/article/n/k-voprosu-zaschity-personalnyh-dannyh-v-sotsialnyh-setyah

Как подготовить сайт к требованиям 152-ФЗ «О персональных данных» 73

Здравствуйте, уважаемые друзья. Как подготовить сайт к требованиям 152-ФЗ «О персональных данных»? Этот вопрос уже интересует многих владельцев сайтов, а 1 июля 2017 года, когда вступят в силу изменения в законе, будет волновать абсолютно всех владельцев сайтов. Поэтому следует подумать об этом заранее.

Итак, 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Эти изменения коснутся буквально всех, кто так или иначе работает с персональными данными физических лиц, в том числе, владельцев сайтов, которые собирают персональные данные посетителей.

То есть если у вас на сайте есть:

  • форма обратной связи,
  • форма подписки на рассылку,
  • форма комментирования.

Вы автоматически подпадаете под действие этого закона. А если вы ещё и что-то продаёте или оказываете услуги, тогда тем более должны побеспокоиться о приведении сайта в соответствии с требованиями 152-ФЗ «О персональных данных».

А учитывая тот факт, что даже в законе термин «персональные данные» приведён очень обобщённо, и более не будет требоваться согласование проверки с прокуратурой, это может существенно осложнить жизнь многих владельцев сайтов.

За что могут наказать владельца сайта

На самом деле нарушений может быть много, это сбор данных без согласия (штраф для граждан 3000-5000 рублей), передача данных третьим лицам (штраф для граждан 1000-3000 рублей) и, конечно же, отсутствие доступа к политике конфиденциальности (штраф для граждан 750-1500 рублей).

Поэтому в первую очередь на ваших сайтах должна появиться политика конфиденциальности, так как закон гласит:

И обязательно под всеми формами сбора данных нужно упомянуть о согласии на обработку персональных данных.

Как создать политику конфиденциальности и пользовательское соглашение

Можно прогуляться в сети и найти множество примеров, взять за основу понравившийся образец и переделать под себя.

А можно не тратить время, и за 5 минут сделать политику конфиденциальности совершенно бесплатно, юридически правильно, в соответствии с требованиями 152-ФЗ.

Для этого нужно перейти на сайт 152ФЗ.РФ.

Здесь можно проверить сайт на соответствие ФЗ.

Но, можете не тратить время, ведь и так понятно, что сайт не соответствует.

Сразу можно переходить к созданию нужных документов для сайта.

Для обычного сайта подойдёт бесплатный тариф. Выполнив простые пошаговые инструкции, вы получите два pdf-документа:

  1. политика конфиденциальности;
  2. пользовательское соглашение.

Если что-то не получится или заполните неправильно, всегда можно повторить процедуру. Это бесплатно.

В качестве примера предлагаю посмотреть видео по созданию документов для моего блога.

Что делать с готовыми документами для сайта

Созданные документы нужно будет разместить на сайте. Размещают такие ссылки обычно в подвале сайта. Сделать это можно самому, или используя код, который предоставит сервис после создания документов.

Я создал отдельные страницы, где и разместил содержимое этих документов со ссылкой на сервис. А ссылки на эти страницы разместил в подвале.

А также под формами на сайте нужно добавить текст, примерно такого вида:

В качестве образца смотрите, как это сделано на моём блоге.

Заключение

Этих действий будет достаточно, для того чтобы привести сайт в соответствии с требованиями 152-ФЗ «О персональных данных».

Конечно, есть ещё требование ФЗ-242 о том, что хостинг и база данных с персональными данными должны располагаться на территории РФ. Но для многих это не проблема, так как хостинги и БД и так находятся в РФ.

Создавайте свою политику, приводите сайты в порядок и спите спокойно. Всем желаю удачи!

С уважением, Максим Зайцев

Друзья, поддержите блог! Поделитесь статьёй в социальных сетях:

Подписывайтесь на новые статьи!

Источник: https://1zaicev.ru/kak-podgotovit-sajt-k-trebovaniyam-152-fz/

Персональные данные на сайте. Что нужно знать владельцу интернет-ресурса

01 июля 2017 г. вступают в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.

Ранее предусматривался один состав правонарушения — нарушение законодательства о персональных данных. Сейчас перечень нарушений будет состоять из 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.

Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому не понятна паника, которую раздувают некоторые СМИ.

Для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные аспекты, которые необходимо учесть.

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.11 КоАП РФ гласит: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —

  • влечет предупреждение или
  • наложение административного штрафа:
  • на граждан в размере от 700 до 1 500 рублей;
  • на должностных лиц — от 3 000 до 6 000 рублей;
  • на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 15 000 до 30 000 рублей.

Минимум, что нужно сделать сейчас — разместить на сайте политику обработки персональных данных.

Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику поместить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.

Цель и объем сбора персональных данных

Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением:

пункт 1 статьи 13.11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, —

  • влечет предупреждение или
  • наложение административного штрафа:
  • на граждан в размере от 1 000 до 3 000 рублей;
  • на должностных лиц — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 30 000 до 50 000 рублей.

Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними.

Поэтому в политике обработки персональных данных обязательно указывайте цель обработки и объем.

Пример

Самый частый случай сбора данных на сайте — заказ обратного звонка.

В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.

Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, клиенту достаточно указать телефон и адрес доставки.

Определившись с целями и объемом сбора персональных данных, составьте свою политику их обработки, и разместите на сайт.

Кстати говоря. Я направлял такой запрос в Роскомнадзор:

и вот какой ответ получил: 

По сути это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменят необходимости изучения этого вопроса для каждого сайта индивидуально.

Что еще нужно сделать

В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина — администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП:

  • предупреждение или наложение административного штрафа
  • на граждан в размере от 100 до 300 рублей;
  • на должностных лиц — от 300 до 500 рублей;
  • на юридических лиц — от 3 000 до 5 000 рублей.

Форма и содержание уведомления, порядок его заполнения есть на сайте Роскомнадзора.  Правда представители Роскомнадзора пока никого за это не штрафуют, и не факт, что будут штрафовать.

Выводы

Если на сайте не размещена политика обработки персональных данных, но эти данные собираются, то его владелец не выполняет требования Закона «О персональных данных».

Указанные выше рекомендации относятся к владельцам любых сайтов, которые так или иначе поддерживают обратную связь со своими посетителями.

Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т. п. Про использование персональных данных в СМИ я напишу отдельно.

Внимательно внимательно отнеситесь к разработке политики обработки персональных данных, не используйте «типовые формы», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.

Полезно знать!

Источник: http://mediapravo.com/ilaw/personalnye-dannye-na-sajte-chto-nuzhno-znat-vladeltsu-sajta.html

Оценка статьи:
1 звезда2 звезды3 звезды4 звезды5 звезд (нет голосов)
Загрузка...
Поделиться с друзьями:
Ссылка на основную публикацию
Похожие публикации
Adblock
detector