Вопрос: как собирать согласия на обработку ПДн, данные пользователями сайта при регистрации?
Ответ: верных ответов несколько. Зависит от ситуации и оформления.
Ответ №1: Если описать процедуру обработки персональных данных в условиях использования сайта и через чек-бокс в форме регистрации знакомить с ними, а так же с политикой обработки ПДн, то согласия в принципе не требуются. Будет работать основание обработки из п.5 ч.1 ст.6 ФЗ152 - субъект как сторона договора. В этом случае договором и будут правила использования сайта (оферта).
Ответ №2: Можно и собирать согласия через отдельный от всего остального чек-бокс. Главное сделать кнопку регистрации неактивной до выставления пользователем отметки в чек-боксе с согласием. В этом случае... Снова собирать согласие не обязательно. Ведь согласно ч.1 ст.9 ФЗ152 согласие может быть в любой форме, позволяющей подтвердить факт его получения. В этой схеме подтверждением будет невозможность отправить данные до простановки галочки о согласии.
Ответ №3: Ок, самое железобетонное - записать в базу сайта, что пользователь дал согласие. Но это просто расширение ответа №2. Где к регистрационным данным всегда будет добавляться признак "Субъект дал согласие". Можно, но нужно ли?
Важно: это работает только для тех случаев, когда согласие не требуется в письменном виде, т.е. для: работников организации-владельца сайта, сбора биометрических ПДн, специальных категорий; согласия на полностью автоматическую обработку ПДн с принятием решений по ч.2 ст.16 ФЗ152 (без такого согласия не получится отказывать в трудоустройстве на основе диалога с ботом, например).
Безусловно нужно записывать все регистрационные данные пользователя, включая время и ip адрес подключения.
#Согласие_на_обработку_ПДн
Ответ: верных ответов несколько. Зависит от ситуации и оформления.
Ответ №1: Если описать процедуру обработки персональных данных в условиях использования сайта и через чек-бокс в форме регистрации знакомить с ними, а так же с политикой обработки ПДн, то согласия в принципе не требуются. Будет работать основание обработки из п.5 ч.1 ст.6 ФЗ152 - субъект как сторона договора. В этом случае договором и будут правила использования сайта (оферта).
Ответ №2: Можно и собирать согласия через отдельный от всего остального чек-бокс. Главное сделать кнопку регистрации неактивной до выставления пользователем отметки в чек-боксе с согласием. В этом случае... Снова собирать согласие не обязательно. Ведь согласно ч.1 ст.9 ФЗ152 согласие может быть в любой форме, позволяющей подтвердить факт его получения. В этой схеме подтверждением будет невозможность отправить данные до простановки галочки о согласии.
Ответ №3: Ок, самое железобетонное - записать в базу сайта, что пользователь дал согласие. Но это просто расширение ответа №2. Где к регистрационным данным всегда будет добавляться признак "Субъект дал согласие". Можно, но нужно ли?
Важно: это работает только для тех случаев, когда согласие не требуется в письменном виде, т.е. для: работников организации-владельца сайта, сбора биометрических ПДн, специальных категорий; согласия на полностью автоматическую обработку ПДн с принятием решений по ч.2 ст.16 ФЗ152 (без такого согласия не получится отказывать в трудоустройстве на основе диалога с ботом, например).
Безусловно нужно записывать все регистрационные данные пользователя, включая время и ip адрес подключения.
#Согласие_на_обработку_ПДн
РКН считает логин и никнейм персональными данными. Такие дела. Но! Скорее всего эту информацию нужно считать ПДн только в совокупности с другими данными. Например, в связке с названием сайта, где используется этот логин/никнейм.
#ПДн #виды_ПДн #Заключение_РКН
#ПДн #виды_ПДн #Заключение_РКН
👍1
Вопрос: Согласно части 3 статьи 6 152-ФЗ Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Верно ли, что согласие субъекта на поручение требуется прямо всегда, даже если в принципе для обработки перс.данных оно не требуется (в целях заключения договора )?
Ответ: Согласие субъекта нужно на передачу и обработку третьему лицу. Поручение возникает только тогда, когда нет других оснований для обработки, например когда договор заключается по инициативе субъекта (п.5 ч.1 ст.6) Но даже в этом случае могут быть оговорки. Согласие субъекта не нужно для поручения обработки в рамках оказания услуг связи. Там прям явно это прописано. Поручение заключать нужно между оператором связи и подрядчиком. А согласие на передачу и обработку не требуется.
#Поручение_на_обработку_ПДн
Верно ли, что согласие субъекта на поручение требуется прямо всегда, даже если в принципе для обработки перс.данных оно не требуется (в целях заключения договора )?
Ответ: Согласие субъекта нужно на передачу и обработку третьему лицу. Поручение возникает только тогда, когда нет других оснований для обработки, например когда договор заключается по инициативе субъекта (п.5 ч.1 ст.6) Но даже в этом случае могут быть оговорки. Согласие субъекта не нужно для поручения обработки в рамках оказания услуг связи. Там прям явно это прописано. Поручение заключать нужно между оператором связи и подрядчиком. А согласие на передачу и обработку не требуется.
#Поручение_на_обработку_ПДн
В ответе на запрос Минцифры высказало позицию, что если оператор отправит персональные данные через иностранный мессенджер субъекту-гражданину РФ, то это не будет трансграничной передачей персональных данных
#Трансграничка #Позиция_Минцифра
#Трансграничка #Позиция_Минцифра
Алексей Лукацкий в своем канале опубликовал ответ РКН, в котором они относят хэширование к криптографической защите и говорят, что хэшированные ПДн все равно остаются персональными. Алексей кроме всего прочего не согласился с этим. Чем вызвал бурную дискуссию в комментариях. Выскажу свое мнение на этот счет.
Но для начала общая вводная:
Хэширование это математическое преобразование неких данных по алгоритму и одностороннее. Т.е. нет алгоритма, который бы позволит восстановить хэшированные данные обратно в читаемый вид. "Фарш невозможно провернуть назад" если по простому. Получается, если данные пропустим через алгоритм хэширования, их нельзя будет обработать? Не все так просто.
Хэширование практически всегда используется при применении постоянного пароля. Пользователь вводит начальный пароль, система его преобразует и сохраняет. В следующий раз когда пользователь вводит пароль система опять его хэширует и сверяет с имеющимся эталоном. Совпадает? Пускаем внутрь.
Точно по таким же принципам устроены многие промо-акции в стиле "Дорогой клиент! Купи первый раз товар у наших партнеров и получи бонус от нас" Новых или старых клиентов определяют именно по сравнению хэшированных номеров клиентов обоих организаций. И в этом кроется тот самый тонкий момент - напрямую восстановить из хэшей данные нельзя. А вот сопоставить можно.
Как сопоставить? Несложно в общем то для подкованного человека: просто взять возможные значения, захешировать их и сохранить соответствие "было-стало". И вот уже результат сравнить с имеющейся реальной базой хэшей. Пароли так и подбирают, готовый набор комбинаций сравнивают с краденным. Телефоны или другие ПДн в хэшах аналогично можно раскрыть.
Но если с паролями все понятно, негодяй ищет действующие, то в чем смысл таких операций с ПДн? В первую очередь сопоставить номер телефона, ФИО или еще что-то с конкретным оператором. Из просто набора цифр получится вполне понятная информация, прямо или косвенно относящаяся ... В новых реалиях статьи 13.11 КоАП публикация базы телефонов клиентов Оператора, восстановленной из хэшей, очень неприятная перспектива.
Так что хэши ПДн это тоже ПДн. Их надо беречь. Конечно же, учитывая разные нюансы.
Но для начала общая вводная:
Хэширование это математическое преобразование неких данных по алгоритму и одностороннее. Т.е. нет алгоритма, который бы позволит восстановить хэшированные данные обратно в читаемый вид. "Фарш невозможно провернуть назад" если по простому. Получается, если данные пропустим через алгоритм хэширования, их нельзя будет обработать? Не все так просто.
Хэширование практически всегда используется при применении постоянного пароля. Пользователь вводит начальный пароль, система его преобразует и сохраняет. В следующий раз когда пользователь вводит пароль система опять его хэширует и сверяет с имеющимся эталоном. Совпадает? Пускаем внутрь.
Точно по таким же принципам устроены многие промо-акции в стиле "Дорогой клиент! Купи первый раз товар у наших партнеров и получи бонус от нас" Новых или старых клиентов определяют именно по сравнению хэшированных номеров клиентов обоих организаций. И в этом кроется тот самый тонкий момент - напрямую восстановить из хэшей данные нельзя. А вот сопоставить можно.
Как сопоставить? Несложно в общем то для подкованного человека: просто взять возможные значения, захешировать их и сохранить соответствие "было-стало". И вот уже результат сравнить с имеющейся реальной базой хэшей. Пароли так и подбирают, готовый набор комбинаций сравнивают с краденным. Телефоны или другие ПДн в хэшах аналогично можно раскрыть.
Но если с паролями все понятно, негодяй ищет действующие, то в чем смысл таких операций с ПДн? В первую очередь сопоставить номер телефона, ФИО или еще что-то с конкретным оператором. Из просто набора цифр получится вполне понятная информация, прямо или косвенно относящаяся ... В новых реалиях статьи 13.11 КоАП публикация базы телефонов клиентов Оператора, восстановленной из хэшей, очень неприятная перспектива.
Так что хэши ПДн это тоже ПДн. Их надо беречь. Конечно же, учитывая разные нюансы.
Telegram
Пост Лукацкого
Хорошо, что в свое время Роскомнадзор, алчущий порегулировать еще и тему технической защиты ПДн у негосударственных операторов ПДн получил по рукам от ФСТЭК и ФСБ. А то он бы еще и в этой сфере нарегулировал бы так, что "мама, не горюй".
Если посмотреть…
Если посмотреть…
Трансграничная передача персональных данных!
Как много в этих 4 словах слилось. Самое интересное, что не всегда понятно, что под этим подразумевается. Казалось бы, есть определение в ФЗ152. Но даже на этом уровне возникают разночтения и недопонимания.
Итак, что такое трансграничная передача ПДн (ТГП)? Пересказывая определение ФЗ это когда ПДн передаются иностранному лицу на территорию иностранного государства. Тут важно исполнение обоих условий. И иностранцу и за границу. Если иностранец будет получать их в РФ (филиал) или российский ИП на удаленке в далекой теплой стране - это все не ТГП.
Следующий важный момент - что такое передача. Обращаясь к ФЗ - распространение, предоставление, доступ. И вот тут начинаются вопросы с толкованием.
Самое очевидное с предоставлением. Взяли персональные данные, приложили их к сообщению, отправили куда-нибудь в Зимбабве в электроном письме. Классика.
Распространение как ТГП? Можно себе представить соцсеть на иностранном хостинге. Предположим, это кому то понадобилось.
Доступ? С ним самое интересное. По той трактовке, что я знаю, доступ это любая обработка персональных данных без извлечения ее из ИСПДн. Т.е. следствием будет отсутствие ТГП при обработке ПДн иностранцами. Данные то остаются на территории РФ. Но это теоретическая часть. Практика же - современные технологии не позволяют отобразить что-либо на конечном устройстве не передавая данные в том или ином виде. Пусть и в сложноупотребляемом виде (типа изображения экрана в RDP клиенте), но таки с ПДн.
Итого: я все-таки буду считать, что доступ к ПДн иностранцами и из-за границы не является ТГП. И включать в договора с такими лицами (или в иные условия) только соответствующий набор действий.
P.S.: Хотел использовать в посте выдержку из решения, когда признали такой вот доступ ТГП. Которая и послужила поводом к размышлению. Но автор комментария почему-то ее удалил. Подозрительно это...
#Трансграничная_передача_данных #ПДн
Как много в этих 4 словах слилось. Самое интересное, что не всегда понятно, что под этим подразумевается. Казалось бы, есть определение в ФЗ152. Но даже на этом уровне возникают разночтения и недопонимания.
Итак, что такое трансграничная передача ПДн (ТГП)? Пересказывая определение ФЗ это когда ПДн передаются иностранному лицу на территорию иностранного государства. Тут важно исполнение обоих условий. И иностранцу и за границу. Если иностранец будет получать их в РФ (филиал) или российский ИП на удаленке в далекой теплой стране - это все не ТГП.
Следующий важный момент - что такое передача. Обращаясь к ФЗ - распространение, предоставление, доступ. И вот тут начинаются вопросы с толкованием.
Самое очевидное с предоставлением. Взяли персональные данные, приложили их к сообщению, отправили куда-нибудь в Зимбабве в электроном письме. Классика.
Распространение как ТГП? Можно себе представить соцсеть на иностранном хостинге. Предположим, это кому то понадобилось.
Доступ? С ним самое интересное. По той трактовке, что я знаю, доступ это любая обработка персональных данных без извлечения ее из ИСПДн. Т.е. следствием будет отсутствие ТГП при обработке ПДн иностранцами. Данные то остаются на территории РФ. Но это теоретическая часть. Практика же - современные технологии не позволяют отобразить что-либо на конечном устройстве не передавая данные в том или ином виде. Пусть и в сложноупотребляемом виде (типа изображения экрана в RDP клиенте), но таки с ПДн.
Итого: я все-таки буду считать, что доступ к ПДн иностранцами и из-за границы не является ТГП. И включать в договора с такими лицами (или в иные условия) только соответствующий набор действий.
P.S.: Хотел использовать в посте выдержку из решения, когда признали такой вот доступ ТГП. Которая и послужила поводом к размышлению. Но автор комментария почему-то ее удалил. Подозрительно это...
#Трансграничная_передача_данных #ПДн
🔥3❤1🤩1
Вообще в свое время готовил такое вот описание действий с ПДн для коллег из ИТ. Чтобы понимали, что они делают с точки зрения закона. Возможно не точно, но близко к практике и понятно людям :)
Сбор – любые действия, приводящие к появлению персональных данных нового физического лица или дополнение новыми имеющихся данных.
Запись – сохранение в базы данных, таблицы, файлы, на материальные носители полученных ПДн.
Хранение – обеспечение наличия персональных данных в базах данных или файлах на срок, необходимый для достижения цели обработки.
Копирование – создание дубликатов ПДн в базах данных, таблицах, файлах и т.п.
Накопление – дополнение одних ПДн субъекта другими.
Уточнение – подтверждение актуальности ПДн или изменение имеющихся.
Систематизация – запись и хранение ПДн в соответствии с определенными критериями и алгоритмами
Использование – действия с ПДн, которые необходимы для достижения цели обработки.
Передача – распространение, предоставление, доступ к ПДн
Распространение – раскрытие ПДн неограниченному кругу лиц, отключение контроля доступа по авторизации.
Предоставление – раскрытие ПДн строго ограниченному кругу лиц, назначение прав доступа конкретным пользователям.
Доступ – разрешение обработки ПДн ограниченному кругу лиц без передачи из мест хранения ПДн вовне.
Обезличивание – искажение ПДн в целях невозможности определения их владельца.
Блокирование – временное прекращение обработки ПДн, за исключением уточнения, хранения.
Удаление – исключение части ПДн субъекта из обработки, без возможности восстановления.
Уничтожение – полное и безвозвратное удаление всех ПДн субъекта из информационной системы или с материальных носителей с ПДн (вместе с материальными носителями).
Трансграничная передача – передача ПДн за пределы территории РФ и иностранному лицу.
Сбор – любые действия, приводящие к появлению персональных данных нового физического лица или дополнение новыми имеющихся данных.
Запись – сохранение в базы данных, таблицы, файлы, на материальные носители полученных ПДн.
Хранение – обеспечение наличия персональных данных в базах данных или файлах на срок, необходимый для достижения цели обработки.
Копирование – создание дубликатов ПДн в базах данных, таблицах, файлах и т.п.
Накопление – дополнение одних ПДн субъекта другими.
Уточнение – подтверждение актуальности ПДн или изменение имеющихся.
Систематизация – запись и хранение ПДн в соответствии с определенными критериями и алгоритмами
Использование – действия с ПДн, которые необходимы для достижения цели обработки.
Передача – распространение, предоставление, доступ к ПДн
Распространение – раскрытие ПДн неограниченному кругу лиц, отключение контроля доступа по авторизации.
Предоставление – раскрытие ПДн строго ограниченному кругу лиц, назначение прав доступа конкретным пользователям.
Доступ – разрешение обработки ПДн ограниченному кругу лиц без передачи из мест хранения ПДн вовне.
Обезличивание – искажение ПДн в целях невозможности определения их владельца.
Блокирование – временное прекращение обработки ПДн, за исключением уточнения, хранения.
Удаление – исключение части ПДн субъекта из обработки, без возможности восстановления.
Уничтожение – полное и безвозвратное удаление всех ПДн субъекта из информационной системы или с материальных носителей с ПДн (вместе с материальными носителями).
Трансграничная передача – передача ПДн за пределы территории РФ и иностранному лицу.
❤8
Ответ_РКН_по_трансграничке_в_мессенджерах.pdf
367.1 KB
Теперь и РКН порадовал аналогичным ответом про трансграничную передачу ПДн пользователям мессенджеров на территории РФ. Тоже считают, что это не ТГП. Конечно с учетом всех возможных ограничений и условий.
Спасибо Анастасии @Nastya77854 за предоставленный ответ.
Остается только осторожно радоваться, что одним риском стало меньше.
#Позиция_РКН #Трансграничная_передача
Спасибо Анастасии @Nastya77854 за предоставленный ответ.
Остается только осторожно радоваться, что одним риском стало меньше.
#Позиция_РКН #Трансграничная_передача
И снова про трансграничную передачу. И мессенджеры.
Хочу высказать свое мнение по следам ответов Минцифры и РКН. Их признание, что оператор передавая ПДн субъекту-россиянину не совершает ТГП беусловно прекрасно. И сильно облегчает жизнь простому бизнесу ( я не говорю про тех, кому было запрещено их использовать в силу деятельности - финансы, госкорпорации, госорганы). Но технически все не так просто. Для примера возьму популярный из-за средств автоматизации Telegram.
В этом прекрасном, но безусловно иностранном мессенджере есть два способа обработки ПДн: когда представитель оператора сам вступает в контакт с субъектом и пишет что-то, и когда есть некий бот, с которым работает физическое лицо. Любая из схем согласно документации Tg исключительно клиент-серверная. Т.е. оператор и субъект передают данные только через сервера Телеграм. Они там сохраняются и далее предоставляются получателю. Обработка иностранным лицом на территории иностранного государства есть. Хотя логически данные от российского лица передаются российскому лицу. О чем и говорят регуляторы.
Почему могло возникнуть такое мнение?
Тут можно только гадать. Не знать об архитектуре мессенджера они не могли. Вряд ли считают, что технология peer-to-peer, мертвая со времен оригинального Skype, вдруг там применяется. Вероятно есть какое то сочетание факторов - распространенность среди бизнеса, отсутствие отечественных альтернатив, применение формального подхода - есть CoreAPI (технология Tg, позволяющая запускать боты на собственных серверах, но которая не меняет схему передачи данных), есть российские пользователи и вроде все у нас.
Что теперь делать?
Ну как минимум не собирать данные через иностранные мессенджеры. Логика выше - данные пользователь сначала отправил в Tg на обработку. Слишком серьезное наказание. 1-6 млн. только за первичное нарушение. Доказывается элементарно. И я бы не стал строить ключевые сервисы на базе мессенджеров собственной реализации. Скорее всего как только разовьют сервис Макс о старых выводах забудут. Тут проще использовать отечественные коммуникационные платформы, которые реализуют логику общения на собственных мощностях и подключают мессенджеры в качестве витрин по желанию клиента. Но, повторюсь, сбор и тут крайне рискован.
Хочу высказать свое мнение по следам ответов Минцифры и РКН. Их признание, что оператор передавая ПДн субъекту-россиянину не совершает ТГП беусловно прекрасно. И сильно облегчает жизнь простому бизнесу ( я не говорю про тех, кому было запрещено их использовать в силу деятельности - финансы, госкорпорации, госорганы). Но технически все не так просто. Для примера возьму популярный из-за средств автоматизации Telegram.
В этом прекрасном, но безусловно иностранном мессенджере есть два способа обработки ПДн: когда представитель оператора сам вступает в контакт с субъектом и пишет что-то, и когда есть некий бот, с которым работает физическое лицо. Любая из схем согласно документации Tg исключительно клиент-серверная. Т.е. оператор и субъект передают данные только через сервера Телеграм. Они там сохраняются и далее предоставляются получателю. Обработка иностранным лицом на территории иностранного государства есть. Хотя логически данные от российского лица передаются российскому лицу. О чем и говорят регуляторы.
Почему могло возникнуть такое мнение?
Тут можно только гадать. Не знать об архитектуре мессенджера они не могли. Вряд ли считают, что технология peer-to-peer, мертвая со времен оригинального Skype, вдруг там применяется. Вероятно есть какое то сочетание факторов - распространенность среди бизнеса, отсутствие отечественных альтернатив, применение формального подхода - есть CoreAPI (технология Tg, позволяющая запускать боты на собственных серверах, но которая не меняет схему передачи данных), есть российские пользователи и вроде все у нас.
Что теперь делать?
Ну как минимум не собирать данные через иностранные мессенджеры. Логика выше - данные пользователь сначала отправил в Tg на обработку. Слишком серьезное наказание. 1-6 млн. только за первичное нарушение. Доказывается элементарно. И я бы не стал строить ключевые сервисы на базе мессенджеров собственной реализации. Скорее всего как только разовьют сервис Макс о старых выводах забудут. Тут проще использовать отечественные коммуникационные платформы, которые реализуют логику общения на собственных мощностях и подключают мессенджеры в качестве витрин по желанию клиента. Но, повторюсь, сбор и тут крайне рискован.
🔥4
ПДн не ПНД
Video
Прислали видео из одного популярного канала в Tg. Прекрасная иллюстрация до чего довели страну демократы согласия. Но я понимаю, если в магазин прибегает взмыленный клиент и вопит «Хочу вашу акцию, вот мои персональные данные, дайте подписать согласие». Простым людям простительно не сильно разбираться в основаниях обработки ПДн, это могут «не только лишь все» ©. Но когда дичь про согласия начинает нести юрист и обещает еще что с ним проблем не будет…
Для начала – а ситуация с парнем, который взял контакт девушки в мессенджере и написал ей там, она вообще про ФЗ152? Вот как раз нет. Как гласит п.1 ч.2 ст.1 ФЗ152 – все что про ПДн в личных и семейных нуждах, оно не про этот закон. Конечно, если ничьи права не нарушаются.
Ну хорошо, натянем хорошенько сову на глобус и представим себе девушку в роли оператора ПДн, которая обрабатывает их в целях оказания услуг платного общения. Парень увидел все предупреждения, написал, заплатил. И? Причем тут согласия? П.5 ч.1 ст.6 – договорные отношения в полный рост. Прекрасное основание для обработки. А юрист с экрана выглядит… Нелепо. Тем более когда обещает, что с ним таких проблем не будет. Ага.
На самом деле то проблемы могли быть у девушки, натянись сова на глобус. Но по другим причинам.
Что точно можно сказать – в наличии горячо любимый сбор ПДн с использованием иностранных ресурсов. Парень наверняка бы что то поведал новое про себя. КоАП 13.11, ч. 8 – 30-50 тысяч рублей если частное лицо, и от 1 до 6 млн если признают юридическим. Отсутствие ссылки на политику обработки ПДн в месте сбора ПДн уже мелочь – ч.3 ст.13.11 предусматривает немного. 1.5-3 тысячи для частников и до 50 тысяч остальным. Наверняка девушка о себе ничего и не рассказывала РКН как об операторе. Ч.10 ст.13.11 – граждане платят 5-10 т.р. (к вопросу о том, кто может быть оператором, граждане по КоАП тоже операторы), остальные 100-300 т.р.
Но в целом, чем больше таких вот юристов в роликах, тем ценнее я, как специалист :)
Для начала – а ситуация с парнем, который взял контакт девушки в мессенджере и написал ей там, она вообще про ФЗ152? Вот как раз нет. Как гласит п.1 ч.2 ст.1 ФЗ152 – все что про ПДн в личных и семейных нуждах, оно не про этот закон. Конечно, если ничьи права не нарушаются.
Ну хорошо, натянем хорошенько сову на глобус и представим себе девушку в роли оператора ПДн, которая обрабатывает их в целях оказания услуг платного общения. Парень увидел все предупреждения, написал, заплатил. И? Причем тут согласия? П.5 ч.1 ст.6 – договорные отношения в полный рост. Прекрасное основание для обработки. А юрист с экрана выглядит… Нелепо. Тем более когда обещает, что с ним таких проблем не будет. Ага.
На самом деле то проблемы могли быть у девушки, натянись сова на глобус. Но по другим причинам.
Что точно можно сказать – в наличии горячо любимый сбор ПДн с использованием иностранных ресурсов. Парень наверняка бы что то поведал новое про себя. КоАП 13.11, ч. 8 – 30-50 тысяч рублей если частное лицо, и от 1 до 6 млн если признают юридическим. Отсутствие ссылки на политику обработки ПДн в месте сбора ПДн уже мелочь – ч.3 ст.13.11 предусматривает немного. 1.5-3 тысячи для частников и до 50 тысяч остальным. Наверняка девушка о себе ничего и не рассказывала РКН как об операторе. Ч.10 ст.13.11 – граждане платят 5-10 т.р. (к вопросу о том, кто может быть оператором, граждане по КоАП тоже операторы), остальные 100-300 т.р.
Но в целом, чем больше таких вот юристов в роликах, тем ценнее я, как специалист :)
👏3😁3
Forwarded from КиберТопор
Стало известно, что команда мессенджера намерена выполнить все требования закона «о приземлении» и открыть полноценный филиал.
🕹КиберТопор — Подписаться
Please open Telegram to view this post
VIEW IN TELEGRAM
Скоро сентябрь. И вот такое творчество наконец-то уйдет в прошлое. Никто не сможет (хочется верить) на основании обычного договора подписать меня на тысячи рассылок и спамить мегатоннами рекламы. Или продавать мои контакты. Но это радость простого человека. Которому, кстати, РКН всего год назад заявил, что такой вот договор нормально и поводов возбуждаться нет. Как ни жалуйся.
Но что делать очень ответственному за обработку персональных данных?
Смотрим в ч.1 ст.9 ФЗ152, которое вступит в силу с 1 сентября:
«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.»
Тут сразу можно выделить два направления, в которые придется копать:
1. Документы, которые подписываются. Нужна инвентаризация или проверка документов, где могут быть вшиты зачем-то согласия на обработку персональных данных. Там где согласия «на всякий случай» нужно будет их удалить, но обязательно вписать условия работы с ПДн. Договор сам по себе основание для обработки. А вот те согласия, которые у нас оформляются по закону (на получение рекламы, на спецкатегории, на биометрию и т.п.) думать как оформлять отдельно. Как придумается, бежать собирать с действующих. Прерывать же бизнес-процесс никто не станет?
2. Информация и документы, которые подтверждаются. А тут все веселее. Если договора с вшитыми согласиями встречаются не часто, то формы на сайтах или приложениях с совмещенными «Подтверждаю ознакомление с … и даю согласие на …» сплошь и рядом. И их надо будет «расшивать». Т.е. провести инвентаризацию, поставить задачу, выделить ресурсы, доработать. И мало разделить такие формы (вот маркетинг будет ругаться), так надо еще не сломать хранение подтверждений факта получения согласий.
И да, не забываем про трудоустройство. Анкеты кандидатов, если они вдруг на бумаге или содержат общую кнопку подтверждаю и соглашаюсь, тоже должны разделиться.
Но что делать очень ответственному за обработку персональных данных?
Смотрим в ч.1 ст.9 ФЗ152, которое вступит в силу с 1 сентября:
«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.»
Тут сразу можно выделить два направления, в которые придется копать:
1. Документы, которые подписываются. Нужна инвентаризация или проверка документов, где могут быть вшиты зачем-то согласия на обработку персональных данных. Там где согласия «на всякий случай» нужно будет их удалить, но обязательно вписать условия работы с ПДн. Договор сам по себе основание для обработки. А вот те согласия, которые у нас оформляются по закону (на получение рекламы, на спецкатегории, на биометрию и т.п.) думать как оформлять отдельно. Как придумается, бежать собирать с действующих. Прерывать же бизнес-процесс никто не станет?
2. Информация и документы, которые подтверждаются. А тут все веселее. Если договора с вшитыми согласиями встречаются не часто, то формы на сайтах или приложениях с совмещенными «Подтверждаю ознакомление с … и даю согласие на …» сплошь и рядом. И их надо будет «расшивать». Т.е. провести инвентаризацию, поставить задачу, выделить ресурсы, доработать. И мало разделить такие формы (вот маркетинг будет ругаться), так надо еще не сломать хранение подтверждений факта получения согласий.
И да, не забываем про трудоустройство. Анкеты кандидатов, если они вдруг на бумаге или содержат общую кнопку подтверждаю и соглашаюсь, тоже должны разделиться.
🔥2❤1👍1
Очень интересный и всегда актуальный вопрос - кто оператор, а кто обработчик?
И ответ на вопрос часто упрощает жизнь. Или усложняет.
Итак, оператор согласно определению это тот, кто самостоятельно определяет цели обработки или для обработки есть требования закона. Часто сталкиваюсь (до сих пор) с мнением, что юридическое лицо обрабатывает только ПДн работников, по этому оно не оператор. Увы, это ошибка. Любая чуть более сложная организация, чем точка по продаже семечек на рынке, сталкивается с наймом. Это значит обработка ПДн соискателей (а там где соискатели, недалеко до их руководителей). Не забываем про родственников у работников, которые болеют, хотят подарков на новый год и разных материальных выплат. А ведение хозяйственной деятельности? Там заключение договоров, получение счетов, актов и т.п. В них есть ПДн. Их тоже нужно обрабатывать.
А чем обработчик отличается от оператора? Главное, это временная роль и в отношении части процессов обработки ПДн. Любой оператор может в каком-то процессе стать обработчиком. Потому что попадет в зависимость от другого оператора - он даст данные и скажет что с ними делать, как делать. Вся разница в наличии или отсутствии свободы выбора целей при отношениях с другими операторами.
Когда встает вопрос, заключать или нет с контрагентом поручение на обработку, всегда нужно задать вопрос - он сам с ними будет что-то делать, они ему нужны чтобы работать с субъектами ПДн вне рамок предмета договора? А тут возможны только варианты, когда есть прямой договор с субъектом (ну или выгодоприобретение и прочее по п.5 ч.1 ст.6 ФЗ152), когда есть требование закона или законные условия (научная работа, сми).
#Поручение #Оператор #Обработчик
И ответ на вопрос часто упрощает жизнь. Или усложняет.
Итак, оператор согласно определению это тот, кто самостоятельно определяет цели обработки или для обработки есть требования закона. Часто сталкиваюсь (до сих пор) с мнением, что юридическое лицо обрабатывает только ПДн работников, по этому оно не оператор. Увы, это ошибка. Любая чуть более сложная организация, чем точка по продаже семечек на рынке, сталкивается с наймом. Это значит обработка ПДн соискателей (а там где соискатели, недалеко до их руководителей). Не забываем про родственников у работников, которые болеют, хотят подарков на новый год и разных материальных выплат. А ведение хозяйственной деятельности? Там заключение договоров, получение счетов, актов и т.п. В них есть ПДн. Их тоже нужно обрабатывать.
А чем обработчик отличается от оператора? Главное, это временная роль и в отношении части процессов обработки ПДн. Любой оператор может в каком-то процессе стать обработчиком. Потому что попадет в зависимость от другого оператора - он даст данные и скажет что с ними делать, как делать. Вся разница в наличии или отсутствии свободы выбора целей при отношениях с другими операторами.
Когда встает вопрос, заключать или нет с контрагентом поручение на обработку, всегда нужно задать вопрос - он сам с ними будет что-то делать, они ему нужны чтобы работать с субъектами ПДн вне рамок предмета договора? А тут возможны только варианты, когда есть прямой договор с субъектом (ну или выгодоприобретение и прочее по п.5 ч.1 ст.6 ФЗ152), когда есть требование закона или законные условия (научная работа, сми).
#Поручение #Оператор #Обработчик
🔥3❤1
Продолжая тему оператор vs обработчик. Отличие не только в том, кто определяет цели обработки, но и кто определяет основания для обработки. Вернее не так, какие основания определены для каждой роли. И тут обработчик выявляется легко - у него единственное основание это согласие (хотя минимум одно исключение есть, необычайное и удивительное, как и все в законах о ПДн). Причем согласие должен получать оператор. Тот самый, который с данными работает и по закону, и по договору.
Но часты случаи, когда оператор передает ПДн другому оператору. Самое очевидное - работодатель отдает сведения в Налоговую, Соцстрах и т.п. Менее очевидное, когда работодатель передает данные работников для их обучения по охране труда, по медосмотрам, для брони гостиниц и покупок билетов. Это все те самые случаи обработки в силу закона. Да, гостиницам и транспортным компаниям (не агрегаторам - это важно!) нужны данные пользователей их услуг в силу регуляции их деятельности. Тут согласия не оформляются, не смотря на всю мощь и силу ст. 88 ТК РФ.
Но! Нельзя просто так взять и передать персональные данные™. При отношениях оператор-оператор действует ч.3 и ч.4 ст.18 ФЗ152 - или один или другой оператор обязаны уведомить об такой вот передаче и обработке. Если нет требований закона (кажется, про налоговую никому не надо рассказывать). Все как обычно. Ну и кто это должен сделать предполагается, что операторы разберутся сами. Хорошо бы, но не всегда получается определить что вообще и кто должен... :)
#Оператор #Передача_ПДн #ФЗ152
Но часты случаи, когда оператор передает ПДн другому оператору. Самое очевидное - работодатель отдает сведения в Налоговую, Соцстрах и т.п. Менее очевидное, когда работодатель передает данные работников для их обучения по охране труда, по медосмотрам, для брони гостиниц и покупок билетов. Это все те самые случаи обработки в силу закона. Да, гостиницам и транспортным компаниям (не агрегаторам - это важно!) нужны данные пользователей их услуг в силу регуляции их деятельности. Тут согласия не оформляются, не смотря на всю мощь и силу ст. 88 ТК РФ.
Но! Нельзя просто так взять и передать персональные данные™. При отношениях оператор-оператор действует ч.3 и ч.4 ст.18 ФЗ152 - или один или другой оператор обязаны уведомить об такой вот передаче и обработке. Если нет требований закона (кажется, про налоговую никому не надо рассказывать). Все как обычно. Ну и кто это должен сделать предполагается, что операторы разберутся сами. Хорошо бы, но не всегда получается определить что вообще и кто должен... :)
#Оператор #Передача_ПДн #ФЗ152
👍2