Адрес для входа в РФ: exler.world

Обработка персональных данных

29.06.2017 10:44  8596   Комментарии (43)

Если вы - юридическое лицо и на вашем сайте каким-то образом обрабатываются данные пользователей, то я вам очень рекомендую прочитать статью "Галочка на сайте всего через две недели станет стоить 300 000 рублей". Потому что галочка уже не через две недели станет стоить много-много денег, а послезавтра.

Между тем, с 1 июля 2017 г. в силу вступят изменения, значительно ужесточающие закон о персональных данных.

«Несмотря на то, что 152-ФЗ уже более 10 лет, примеров его действия практически нет. Привлекать к ответственности раньше могла только прокуратура, которой, по большому счету, делать это было некогда. К тому же штрафы за нарушения с точки зрения бизнеса были смешными — до 10 тыс. рублей. Однако скоро все изменится», — рассказывает Онегина Галичина, маркетолог РА «Карась».

С 1 июля 152-ФЗ переходит в зону ответственности Роскомнадзора, а выявлять нарушения станет выгоднее — штраф увеличился до 75 тыс. рублей. Этих изменений Роскомнадзор ждал давно. Теперь РКН может штрафовать не по одной статье 13.11 КоАП, а по семи. Совокупный штраф легко может составить несколько сотен тысяч рублей.

Ну и там в конце статьи приводится семь рекомендаций, цитирую:

Что же уже сегодня необходимо сделать владельцу сайта?

1 | На каждой форме сайта необходимо разместить текст следующего содержания: «Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных». Текст «согласие на обработку персональных данных» должен быть гиперссылкой собственно на документ согласия или публичной оферты.

2 | Утвердить политику в отношении обработки персональных данных и разместить ее в открытом доступе — прямо на своем сайте.

3 | Убедиться, что сайт находится на территории РФ — узнать адрес сервера. В противном случае его придется переносить.

4 | Указать на сайте электронный адрес, на который пользователь сможет обратиться с вопросом о своих персональных данных, в том числе об их удалении.

5 | Подать уведомление о намерении обрабатывать персональные данные в Роскомнадзор. Изначально форму нужно заполнить на сайте, потом заполненную форму распечатать, подписать и направить в соответствующий территориальный орган Роскомнадзора.

6 | Заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные и в каких целях оператор может обрабатывать, и какие действия с ними он может выполнять.

7 | Установить на сайт дисклэймера, уведомляющего посетителей о том, что их персональные данные обрабатываются. В случае несогласия посетитель должен покинуть сайт.

«Эти семь шагов едва ли перекроют 15% требований Роскомнадзора, но их достаточно для того, чтобы обезопасить свой бизнес и выиграть время на более тщательную проработку вопроса о защите персональных данных пользователей», — резюмировала Онегина Галичина.

Меня это, в общем, вроде не особенно касается, я не юридическое лицо, однако на форуме из персональных данных собираются адреса e-mail, поэтому я, на всякий случай, все рекомендации выполнил.

А если вы юридическое лицо и собираете какие-то данные, то данным вопросом вам нужно озаботиться как можно быстрее.

29.06.2017 10:44
Комментарии 43

Я помолюсь.

Как неверующий.

Мне не жалко...
04.07.17 03:18
0 0

В сухом остатке вместо законов регулирующих сферу имеем законы эту сферу убивающих наглухо. И пофиг что ничего не работает, главное - не отдали e-mail Прасковьи Палны из Нижних Пердыщ супостату в дата-центре басурмановском. Раздавили попытку его спереть аки гуся санкционного.

"Поздравляю, Шарик, ты балбес!" (С) Кот Матроскин




Хотели запустить в РФ систему по сбору данных о нежелательных реакциях на лекарства. (Везде есть, уже даже в абстрактной Уганде - и то давно работают). Дабы, так сказать, не отставать, улучшить и углубить. Но... идите-ка вы в dev null с такими законами.

Итог: персональные данные не пострадали, левые лекарства тем более.




Пафнутий Залипако:
идите-ка вы в dev null с такими законами.






Залупако, чой-то те законы не нравятся, отстающие от остального мира на пару лет? Иль ты из Антарктиды?

Какая гадкая штука этот ваш Интернет: позволяет искать правонарушителей, не выходя с рабочего места. Нет чтобы зайти в любой офисный центр и попросить показать "согласие на обработку ПД от тех, кого вахтер только что записал в журнал".
30.06.17 07:02
0 0

Она засмеялась. Он - упал. Дисклайминг.

===

Интеренсно, а если РКН потребует уж я не знаю что... ну, чтобы в 9 нуль нуль, вы отжимались.

Что, тоже повинуетесь?
30.06.17 01:43
0 0



"Установить на сайт дисклэймера, уведомляющего..."

В этой фразе прекрасно всё! А если Дисклэймер будет занят, скеджул разве не надо прочекать.


30.06.17 01:24
0 0

George Dosraki:


"Установить на сайт дисклэймера, уведомляющего..."

В этой фразе прекрасно всё! А если Дисклэймер будет занят, скеджул разве не надо прочекать.




😄)))
30.06.17 01:38
0 0

Не могу не рассказать, сэры, как я, поясеяв права, их восстановил.

Короче. Я - нажрался, чего делал - не помню, очнулся - прав... нет. Писец.

ок.

Зашел в МФЦ - типа они там права восстанавливают. Да, Петенька (не вирус!!!), пожалйста, приходитет к нам, вы нам заплатите две тыщи, за что фото и налог.

Щаз!

Полез в Госуслуги. Там интереснее. Вроде все заполнил, ан - нет! не дает дальше. Дальше - что, спрашиваю. А дальше, говорят мне Госуслуги, вы должны подтвердить свою личность. А то - хуй вам!

Мне не надо и еду подтверждать личность. В ПФ. Подтвердил! В Щелково. За 15 мин.

===

Короче, моя личность была подтверждение за полчаса, еще час - оплатил онлайн, записался в ЛЮБУЮ ГИБДД (мне пешком в Воронке понравилась), провел там 50 минут и получил права.

Ахренеть.

====

А! Еще. Если вы платите в терминале в ГИБДД, то с вас берут 10%....

Т.е. вы платите 2000+200 руб.

Через ГУ - всего 1400. Все!


30.06.17 00:41
0 0

"Группа крови - на рукаве."

Господа... Куда мы катимся?

Да щаз! Мои перс. данные. Кто умеет, тот достанет. А митрофанушкам от силовиков - хуй!

Тоже мне, бином Ньютона...
30.06.17 00:25
0 0

Гм.

Интересно, а какие "персональные данные" представляют никнейм и отфонарная email на gmail, скажем?

Могу понять верифицируемые имя, адрес, номер телефона, скажем, для онлайн-магазина.



Но никнейм и email?
























29.06.17 23:36
0 0

AshShor :

Меня вот тоже это интересует...

А то есть форум с никами и мылами и никакого юрлица. И ээ.. в общем непонятно.
30.06.17 00:01
0 0

Физлиц это тоже касается, к слову. Последнюю неделю все свои сайты и интернет-магазины перелопачивал 😡

Есть ощущение, что сделано это все для того, чтобы стало ясно, кто за каждым сайтом стоит. А если не зарегистрировался в РКН, то и основания прикрыть (пусть и на время) будут.

ps. Ну и вариант про "ничего не делать, вас вряд ли найдут" в той же коммерции (а даже частный бложек для кого-то будет коммерция, ибо трафик) не сработает, ибо конкуренты с радостью будут стучать на всех, кого только можно.

Ну и все это фигня на фоне того, что они с онлайн-кассами замутили тоже с 1 июля. Такой геморрой для малого бизнеса (про затраты уже молчу), особенно в случае онлайн-платежей, что ужас. Причем, идея по сути своей неплохая (как для государства, которое хочет повысить собираемость налогов, так и для бизнеса при грамотном подхоже), но реализация у нас, как всегда... Хотя, Атолл, наверное, несколько миллиардов заработал уже ))
29.06.17 22:12
0 0

MoonwalkerRu: Физлиц это тоже касается, к слову.

А ведь верно! Собираешь в телефоне контакты — регистрируйся как оператор персональных данных. Тем более, что эти данные дублируются в каком-нибудь iCloud на нескрепном Западе.
30.06.17 07:31
0 0

Я не гуру. Это просто частное мнение человека, чья профессия - защита информации. Если я где-то ниже записделся, профи поправьте, плиз.

Для оператора ИС - он же оператор ИСПДн (не гос. орган, обычный частный сайт, где обработка ПДН является просто частью функционала, то есть, оператор обрабатывает ПДн только для статистики или чего-то вроде этого).

ЕстьТри варианта.

1. Не делать ничего. Не светить нигде в сети форму ввода ПДн.
Вас наверное никогда не найдут и не придут с проверкой. У РКН очень мало ресурсов, чтобы проверять всякие мелкие/средние организации.
Если все-таки придут, то всегда можно сказать, что обработка ПДн только планируется. Сейчас она не ведётся. Это отсрочка позволит что-то сделать из варианта 2 или 3.

2. Купить услугу "под ключ". Рынок услуг по защите информации находится ровно в таком же стагнирующем состоянии как и все в России. От 400 до 1 000 тыс. руб. (Без учета стоимости СЗИ). И ваши проблемы решат. Это с учетом аттестатции, которую, поскольку она необя]зательна, можно и не проводить. В общем, это D&G - дорого и глупо, но у кого денег много, безопасники всегда рады таким клиентам.

3. Делать все самим. По уму. Во-первых, воспользоваться советами подобных статей. Но нужно подходить творчески, осознавая следующее:
- РКН, в основном, проводит документарные проверки. Есть бумажка - ок. Не пойдут они смотреть настройки файрвола на их соответствие ОРД и МУ.
- У РКН, нет четкого перечня документов, который им нужно предъявить, при проверке. Каждый оператор сам решает какие ОРД внедрять, поэтому они ищут ответы на вопросы поставленные ФЗ и приказами ФСТЭК/ФСБ. Главное понимать на какой вопрос конкретный ОР документ отвечает, для этого нужно все-таки ознакомиться с законодательством.
- Так как оператор сам решает, какие угрозы он считает актуальными, какие ПДн он обрабатывает, то с помсощью орг. мер можно закрыть большинство угроз и затраты на СЗИ свести к минимуму. Главное все обосновать с помощью ОРД.
- И тут самый цимес. Если задача стоит только прикрыться перед РКН, то можно просто тупо все ОРД скопипастить из сети. Полно разных вариантов валяется. Да, РКН поймёт, что подход поверхностный, но если все будет правильно оформлено, и на все вопросы будут даны, пусть тупые, но ответы, то оснований для санкций быть не должно. Главное покажите ему минимум. Одна система, минимальный перечень ПДн. И вуаля.

А так как РКН будет смотреть только то, что вы ему покажете, то он и не узнает о том, что вы ему не покажете. А сам он искать не должен - нет ресурсов и квалификации проверяющих.
29.06.17 22:07
0 0

Bamboliny

Зачем аттесовываать ИСПДн? Это обязательно только для ГИС. Поэтому все требования регуляторов по вопросам соответствия их требованиям нужно посылать лесом. У нас основополонающий документ 152-ФЗ. Эти ебаные ГИСы идут по 149-ФЗ. И как следствие 17-й приказ. Простым комерсам, не ФОИВ, не муниципалам, эти ебаные требования по соответтсвию нахер не нужны. Тупо 152-фз исполните в первом приближении, и все. По опыту, РКН так радуется, когда хоть что-то по закону сделано, что после значительно лояльнее проверка идет.




29.06.17 20:24
0 0

Underkhaan:
Bamboliny

Зачем аттесовываать ИСПДн? Это обязательно только для ГИС. Поэтому все требования регуляторов по вопросам соответствия их требованиям нужно посылать лесом. У нас основополонающий документ 152-ФЗ. Эти ебаные ГИСы идут по 149-ФЗ. И как следствие 17-й приказ. Простым комерсам, не ФОИВ, не муниципалам, эти ебаные требования по соответтсвию нахер не нужны. Тупо 152-фз исполните в первом приближении, и все. По опыту, РКН так радуется, когда хоть что-то по закону сделано, что после значительно лояльнее проверка идет.






Любой разумный человек сначала изучит все возможности, что бы все эти Ф и прочую хрень вообще никогда не знать. Типа или онлайн бизнес на забугор переориентировать или самому свалить нафиг.

Эти козлы хоть кому нибудь когда нибудь отчитались о результатах защиты? сколько людей было спасено от "потери персональных данных" с помощью их дряни? Вопрос риторический конечно.
02.07.17 19:13
0 0

Короче, Жаров с жаром агитирует россиян голосовать за Навального. 😄
29.06.17 18:54
0 0

Слов нет, как они задолбали.
29.06.17 16:58
0 0

Alex Exler: Меня это, в общем, вроде не особенно касается, я не юридическое лицо, однако на форуме из персональных данных собираются адреса e-mail, поэтому я, на всякий случай, все рекомендации выполнил.



ст. 23 ГК РФ



---



3. К предпринимательской деятельности граждан, осуществляемой без образования юридического лица, соответственно применяются правила настоящего Кодекса, которые регулируют деятельность юридических лиц, являющихся коммерческими организациями, если иное не вытекает из закона, иных правовых актов или существа правоотношения.

---

Алекс, Вы, насколько я помню из постов о размещении рекламы, зарегистрированы как ИП, т.ч. эта хрень тоже вполне может на Вас распостраняться






29.06.17 12:38
0 0

dark_stranger: Алекс, Вы, насколько я помню из постов о размещении рекламы, зарегистрированы как ИП, т.ч. эта хрень тоже вполне может на Вас распостраняться

Да, вполне возможно.
29.06.17 13:52
0 0

Слушайте, так это что ж получается? Алиэкспресс все? Что то я сомневаюсь что попытка убедиться, что их сервера расположены в Росси приведет к неожиданному результату.
29.06.17 12:07
0 0

d.gray:
Слушайте, так это что ж получается? Алиэкспресс все? Что то я сомневаюсь что попытка убедиться, что их сервера расположены в Росси приведет к неожиданному результату.


Тот же вопрос. И не только алиэкспресс, а вообще все иностранные - да и частью отечественные - интернет-магазины.

Хотя 152ФЗ в принципе, с оговорками допускает передачу ПД на территорию иностранных государств.


aag
29.06.17 14:26
0 0

У нас только форма для обратной связи. Думаю, проще убрать ее и оставить только e-mail.
29.06.17 11:55
0 0

Йоп! Надо убрать форму обратной связи с персонального сайта. Я, конечно, не юрик, но бегать по судам и доказывать это нет никакого желания. Как и выполнять чокнутую бумажную камасутру.
29.06.17 11:54
0 0

d.gray:
Йоп! Надо убрать форму обратной связи с персонального сайта. Я, конечно, не юрик, но бегать по судам и доказывать это нет никакого желания. Как и выполнять чокнутую бумажную камасутру.


Кажется, лучше так и сделать. Мне на эту форму и так пишут 1 раз в год, если не реже.
29.06.17 12:36
0 0

Так это касается ИП или нет?
29.06.17 11:48
0 0

null

cyrus:
Так это касается ИП или нет?


Я думаю, что лучше выполнить все, что рекомендуется. Я, например, выполню.
29.06.17 11:58
0 0



Alex Exler: Меня это, в общем, вроде не особенно касается, я не юридическое лицо

Мне кажется (ключевое слово "кажется", я не очень в теме), это касается не только юридических лиц по двум причинам:

- У нас очень мало законов такого типа, которые относятся к юридическим лицам, но не относятся к индивидуальным предпринимателям.

- В законе оператор определен так "2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие"

Но если знающие люди уточнят - будет еще лучше.


29.06.17 11:37
0 0

sbat: Мне кажется (ключевое слово "кажется", я не очень в теме), это касается не только юридических лиц по двум причинам:

Мне тоже кажется, что вздрючить могут кого угодно.
29.06.17 11:58
0 0

Не самый плохой вариант. Честно говоря тот пофигизм, что творится с ПДн в России - зеркальное отражение закручивания гаек сегодня. Ну и все-таки обработка и защита ПДн неплохо методизированы. И чтобы не попасть под РКН нужно просто исполнить по пунктам 152ФЗ, приказы 21, 378 (при необходимости), пп 1119. Да, нормальную модель угроз самостоятельно написать сложновато будет. Но можно привлечь лицензиата ФСТЭК (если денег много). Или сделать на отъебись. Модель будет херня, но на штраф не попадешь. Итого все расходы будут только на ср-ва защиты по 3-му УЗ, которые и так у нормального оператора должны быть. Это, если на отъебись делать.
29.06.17 11:27
0 0

Alex Exler: Я думаю, что лучше выполнить все, что рекомендуется. Я, например, выполню.

Конечно, можно выполнить эти почти бесполезные рекомендации, но на твоем сайте ведь не обрабатываются и не хранятся никакие перс.данные кроме твоих собственных (фото с именем и фамилией). А если начнешь делать вид, что заинтересован в защите ПДн, вот этот как раз автоматом и дает понять, что какие-то ПДн на сайте обрабатываются. Наоборот, надо уверять, что ПДн сайт не собирает целенаправленно для какой-то последующей обработки.

Underkhaan:
Но можно привлечь лицензиата ФСТЭК (если денег много). Или сделать на отъебись. Модель будет херня, но на штраф не попадешь.


Одна модель бесполезна. Надо аттестовать систему, иначе модель, даже написанная лицензиатом и согласованная со ФСТЭК, будет просто бумажкой.
29.06.17 12:27
0 0

Underkhaan: И чтобы не попасть под РКН нужно просто исполнить по пунктам 152ФЗ, приказы 21, 378 (при необходимости), пп 1119.

Вы забыли перечислить анальный зонд.
29.06.17 17:57
0 0

Underkhaan:
Не самый плохой вариант. Честно говоря тот пофигизм, что творится с ПДн в России - зеркальное отражение закручивания гаек сегодня. Ну и все-таки обработка и защита ПДн неплохо методизированы. И чтобы не попасть под РКН нужно просто исполнить по пунктам 152ФЗ, приказы 21, 378 (при необходимости), пп 1119. Да, нормальную модель угроз самостоятельно написать сложновато будет. Но можно привлечь лицензиата ФСТЭК (если денег много). Или сделать на отъебись. Модель будет херня, но на штраф не попадешь. Итого все расходы будут только на ср-ва защиты по 3-му УЗ, которые и так у нормального оператора должны быть. Это, если на отъебись делать.


Бляяя, что это было? Если это сарказм, то высшего пилотажу. Если нет... Не знаю, но все равно не буду гуглить половину слов из вашего комментария. В любом случае восхищен.
29.06.17 20:04
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 441
видео 3992
вино 359
еда 499
ЕС 60
игры 114
ИИ 29
кино 1580
попы 190
СМИ 2758
софт 930
США 131
шоу 6