Meniul
AcasăTehnică

Evaluarea nivelului de alfabetizare digitală. Evaluarea nivelului de alfabetizare digitală Notificare către Roskomnadzor

Mikhail Khokholkov, INTELLECT-S: „Minimul pe care trebuie să-l facă proprietarul site-ului este să posteze o politică de prelucrare a datelor cu caracter personal pe site.”

La 1 iulie 2017, au intrat în vigoare modificări la articolul 13.11 din Codul contravențiilor administrative (CAO RF), care reglementează responsabilitatea pentru respectarea legislației privind datele cu caracter personal.

Anterior a fost avută în vedere o infracțiune - încălcarea legislației privind datele cu caracter personal. Acum această listă este extinsă în 7 puncte. Mărimea amenzilor este, de asemenea, în creștere. Cazurile de abateri administrative în domeniul datelor cu caracter personal vor fi luate în considerare de către oficiile teritoriale ale Roskomnadzor.

Legea „Cu privire la datele cu caracter personal” în sine este în vigoare de 10 ani fără a se schimba fundamental. Prin urmare, panica pe care o stârnesc unele mass-media este de neînțeles. Cu toate acestea, pentru proprietarii oricăror site-uri care colectează date despre utilizatori, am evidențiat următoarele puncte importante.

Politica de prelucrare a datelor cu caracter personal pe site

Clauza 3 a articolului 13.11 din Codul de infracțiuni administrative al Federației Ruse: neîndeplinirea de către operator a obligației prevăzute de legislația Federației Ruse în domeniul datelor cu caracter personal de a publica sau de a oferi în alt mod acces nerestricționat la un document care definește politica operatorului cu privire la prelucrarea datelor cu caracter personal, sau informații despre cerințele implementate pentru protecția datelor cu caracter personal - presupune o avertizare sau impunerea unei amenzi administrative:

  • pentru cetățeni în valoare de 700 până la 1.500 de ruble;
  • pentru funcționari - de la 3.000 la 6.000 de ruble;
  • pentru antreprenorii individuali - de la 5.000 la 10.000 de ruble;
  • pentru persoanele juridice - de la 15.000 la 30.000 de ruble.

Minimul care trebuie făcut acum este plasați politica de prelucrare a datelor cu caracter personal pe site.

Legiuitorul nu stabilește nicio cerință specială pentru locație, dar vă recomand să instalați un link către politică pe pagina principală și, de asemenea, să îl duplicați în locurile în care sunt plasate formulare de colectare a datelor cu caracter personal. Politica de prelucrare a datelor cu caracter personal trebuie să fie accesibilă oricărui utilizator.

Lista de verificare pentru elaborarea unei politici de prelucrare a datelor cu caracter personal (PD) pe site

Lucruri de verificat:

  • orice formulare pentru trimiterea de mesaje precum „puneți o întrebare” și câmpuri care trebuie completate. Acestea vor trebui specificate în politica de procesare PD în secțiunea „Volum PD”;
  • înregistrarea utilizatorului/contul personal/autorizarea prin intermediul rețelelor sociale. Verificați câmpurile obligatorii. Indicați-le în politica de procesare a PD în secțiunea „Scopul PD”;
  • formular de comandă de apel invers - care câmpuri trebuie să fie completate. Aceste date vor trebui indicate în politica de prelucrare a PD în secțiunile „Scopul PD” și „Scopul PD”;
  • buletin informativ. Dacă există un formular de abonare pentru newsletter, atunci este necesar să depuneți consimțământul pentru procesarea PD și acordul pentru primirea newsletter-ului (totul se poate face într-un singur document). Buletinul informativ trebuie să fie menționat și în secțiunea „Obiectivele PD”;
  • feedback de la vizitatori/clienți/parteneri cu PD (scrisori de recunoștință etc.). Dacă utilizatorul scrie el însuși o recenzie, atunci consimțământul pentru procesarea PD trebuie postat. Dacă sunt postate scanări ale scrisorilor de mulțumire, trebuie mai întâi să discutați cu partenerul dumneavoastră despre posibilitatea de a obține un astfel de consimțământ;
  • posibilitatea de a trimite un CV. În acest caz, este necesar acordul pentru prelucrarea datelor cu caracter personal în scopuri de angajare.

Baza de date a site-ului web cu datele personale ale utilizatorilor trebuie să fie localizată în Rusia.

Dacă o politică de procesare a PD (documentul poate fi numit „politică de confidențialitate” sau similar) este deja pe site-ul web, verificați lista de verificare în scopul colectării PD și volumul PD. Nu ar trebui să existe informații inutile acolo. Principiul „mai bine indicăm mai multe date, în cazul în care ne este la îndemână” este inacceptabil. Este important de reținut că cantitatea de date colectată trebuie să corespundă scopului prelucrării. Nu există criterii universale pentru o astfel de conformitate, așa că trebuie să ne ghidăm după principiile rezonabilității și suficienței.

  • Pentru a comanda bilete de avion aveți nevoie de informații despre pașaport, pentru a livra pizza - nu;
  • Pentru a livra o comandă prin curierul unui magazin online, aveți nevoie de o adresă de livrare, dar pentru ridicare - nu;
  • Pentru a rezerva un bilet de film, nu aveți nevoie de nimic decât dacă plătiți online.

Dacă nu există formulare de feedback pe site, nu există nicio modalitate de a comanda un apel înapoi etc. - datele cu caracter personal nu sunt prelucrate, prin urmare, nu este nevoie să postați o politică de prelucrare a PD.

Scopul și scopul colectării datelor cu caracter personal

Colectarea excesivă a datelor de la un utilizator poate constitui o încălcare în sine. Clauza 1 a articolului 13.11 din Codul contravențiilor administrative: prelucrarea datelor cu caracter personal în cazurile care nu sunt prevăzute de legislația Federației Ruse în domeniul datelor cu caracter personal sau prelucrarea datelor cu caracter personal incompatibile cu scopurile colectării datelor cu caracter personal, cu excepția pentru cazurile prevăzute la partea 2 a prezentului articol, dacă aceste acțiuni nu conțin infracțiuni faptă pedepsită - atrage avertisment sau aplicarea unei amenzi administrative:

  • pentru cetățeni în valoare de 1.000 până la 3.000 de ruble;
  • pentru funcționari - de la 5.000 la 10.000 de ruble;
  • pentru persoanele juridice - de la 30.000 la 50.000 de ruble.

Astfel, colectate datele personale trebuie să fie relevante pentru scop prelucrarea lor și să nu fie redundante.

Prin urmare, politica de prelucrare a datelor cu caracter personal trebuie să indice scopul și domeniul de aplicare al prelucrării.

Exemplu

Cel mai frecvent caz de colectare a datelor pe un site web este comandarea unui apel înapoi.

În acest caz, este suficient să ceri utilizatorului să furnizeze doar un număr de telefon. Dacă, pentru un apel înapoi, cereți să vă indicați adresa de e-mail, numele complet, adresa, locul de muncă, funcția, atunci aceste date sunt considerate inutile și nu corespund scopurilor prelucrării și, prin urmare, colectarea lor este o încălcare. .

Nu colectați date de pașaport decât dacă este absolut necesar. Cel mai adesea nu sunt necesare. Pentru a finaliza o comandă, de exemplu, într-un magazin online, trebuie doar să indicați numărul de telefon și adresa de livrare.

După ce ați hotărât asupra scopurilor și domeniului de aplicare a prelucrării personale, elaborați politica dvs. de prelucrare și postați-o pe site.

Apropo. Am trimis următoarea cerere către Roskomnadzor:

Este necesar să se posteze o politică de prelucrare a datelor cu caracter personal pe un site de livrare de mărfuri dacă utilizatorul furnizează doar un număr de telefon pentru a plasa o comandă? Operatorul site-ului sună cumpărătorul la numărul specificat, clarifică detaliile comenzii și adresa de livrare. Pe viitor (după livrarea comenzii), numărul de telefon, numele și prenumele cumpărătorului și adresa de livrare nu sunt salvate și nu sunt procesate de proprietarul site-ului.

Și acesta este răspunsul pe care l-am primit:

Potrivit informațiilor cuprinse în contestație, nu se poate face o apreciere juridică asupra fondului chestiunii ridicate.

În esență, aceasta înseamnă că nu orice caz de colectare a datelor cu caracter personal implică necesitatea publicării unei politici de prelucrare a acestor date, ceea ce nu anulează necesitatea studierii acestei probleme pentru fiecare site în parte.

Consimțământ pentru prelucrarea datelor cu caracter personal

Când este necesar un formular de consimțământ scris pentru procesarea PD?

Un formular scris este un document în formă tipărită cu semnătura originală (nescanată, nu facsimilă) a subiectului. Forma scrisă nu va fi respectată dacă este primită prin email ca document scanat. Consimțământul sub forma unui document electronic poate fi semnat cu o semnătură electronică în conformitate cu Legea federală „Cu privire la semnătura electronică”. Cerințele pentru conținutul formularului scris sunt stabilite de paragraful 4 al articolului 9 din Legea federală „Cu privire la datele cu caracter personal”.

O formă scrisă de consimțământ pentru prelucrarea datelor cu caracter personal este necesară numai în cazurile prevăzute expres de lege. Există cinci astfel de cazuri în total și sunt descrise în articolele 8, 10, 11, 12 și 16 din Legea federală „Cu privire la datele cu caracter personal”:

  • Articolul 8 se referă la cazurile de creare a unor surse de informații disponibile public (directoare, agende etc.). Puteți include informații despre persoane în aceste directoare, care au primit în prealabil consimțământul scris al acestora pentru prelucrarea datelor cu caracter personal.
  • Articolul 10 - categorii speciale de date cu caracter personal referitoare la rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, sănătate, viață intimă.
  • Articolul 11 ​​vorbește despre prelucrarea datelor cu caracter personal biometrice: imagini foto și video, amprente, ADN. Fotografiile și videoclipurile sunt considerate procesări de date cu caracter personal dacă sunt folosite pentru a identifica o persoană. Filmarea de la o cameră de supraveghere obișnuită într-un birou, supermarket sau pe stradă nu constituie prelucrare de date cu caracter personal.
  • Articolul 12 se referă la transferurile transfrontaliere de date cu caracter personal.
  • Articolul 16 interzice adoptarea, bazată exclusiv pe prelucrarea automată a datelor cu caracter personal, a unor decizii care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime - numai cu acordul scris al subiectului datelor cu caracter personal. sau în cazurile prevăzute de legile federale.

Există cazuri în care datele cu caracter personal pot fi prelucrate fără consimțământul subiectului - acestea sunt paragrafele 2-11 din partea 1 a articolului 6, partea 2 a articolului 10 din Legea federală „Cu privire la datele cu caracter personal”.

În toate celelalte cazuri (adică, în cazul în care nu există o cerință de a obține consimțământul în scris sau în care consimțământul nu este necesar), consimțământul poate fi obținut în orice formă care permite dovezile unui astfel de consimțământ. Operatorul de prelucrare a datelor cu caracter personal trebuie să confirme existența unui astfel de consimțământ.

Vă recomandăm să instalați un hyperlink pentru a consimți la prelucrarea datelor cu caracter personal lângă butoanele „trimite”, „următorul”, „abonare la newsletter” și similare, însoțit de textul: „Făcând clic pe butonul TRIMITE, confirm că am am citit politica de prelucrare a datelor cu caracter personal si dau consimțământul pentru prelucrarea datelor cu caracter personal", unde textul cu caractere cursive reprezintă hyperlinkuri către documente relevante.

Notificare către Roskomnadzor

În anumite cazuri, este necesară depunerea unei notificări către Roskomnadzor la locul înregistrării (persoană juridică, antreprenor sau cetățean - administrator de site) pentru a fi inclusă în registrul de prelucrare a datelor cu caracter personal. Dacă nu este furnizată o astfel de notificare, atunci este posibilă urmărirea penală în temeiul articolului 19.7 din Codul contravențiilor administrative - un avertisment sau impunerea unei amenzi administrative.

  • pentru cetățeni în valoare de 100 până la 300 de ruble;
  • pentru funcționari - de la 300 la 500 de ruble;
  • pentru persoanele juridice - de la 3.000 la 5.000 de ruble.

La paragraful 2 al art. 22 din Legea federală „Cu privire la datele cu caracter personal” enumeră cazurile în care nu este necesară o notificare către Roskomnadzor. Sunt nouă astfel de cazuri în total. Cel mai frecvent este ca datele cu caracter personal să fie obținute în legătură cu încheierea unui contract, dacă datele cu caracter personal nu sunt distribuite sau furnizate unor terți fără acordul subiectului datelor cu caracter personal. Aceste date trebuie utilizate exclusiv pentru executarea contractului specificat și încheierea unui acord cu subiectul datelor cu caracter personal.

Concluzie

Dacă site-ul web nu conține o politică de prelucrare a datelor cu caracter personal, atunci proprietarul acestuia nu respectă cerințele Legii „Cu privire la datele cu caracter personal”.

Cerințe suplimentare pot fi impuse magazinelor online, serviciilor de selecție a personalului, serviciilor de rezervare a biletelor, serviciilor de acceptare a plăților, publicațiilor online (media) etc. Voi scrie separat despre utilizarea datelor personale în mass-media.

Prin urmare, vă rog să pregătiți documentele cu atenție, fără a utiliza „forme standard de politică de prelucrare a datelor cu caracter personal”, întrucât acestea nu există. Pentru ajutor, contactați avocații specializați în această industrie.

P.S

Știați că cerințele suplimentare pentru informațiile postate pe orice site web sunt, de asemenea, stabilite de Legea federală „Cu privire la informații”?

Clauza 2 din articolul 10 din Legea federală din 27 iulie 2006 nr. 149-FZ (modificată la 6 iulie 2016) „Cu privire la informații, tehnologiile informației și protecția informațiilor”:

Informațiile difuzate fără utilizarea mass-media trebuie să includă informații de încredere despre proprietarul său sau despre o altă persoană care difuzează informațiile, într-o formă și în măsura suficientă pentru a identifica persoana respectivă.

Proprietarul unui site web pe internet este obligat să posteze pe site-ul pe care îl deține informații despre numele, locația și adresa sa, adresa de e-mail pentru trimiterea cererii specificate la articolul 15.7 din prezenta lege federală (măsuri preliminare pentru a opri încălcarea drepturilor de autor) , și are, de asemenea, dreptul de a prevedea posibilitatea de a trimite această cerere prin completarea unui formular electronic de pe site-ul Internet.

Mihail Khokholkov despre datele personale

Pe 28 iulie, Mihail Khokholkov, avocatul principal al INTELLECT-S, a vorbit în studioul canalului TV Malina.Am despre modificările aduse legii privind datele personale.

Imaginează-ți situația.

Clientul tău potențial a auzit despre compania ta, dar nu știe adresa site-ului tău web, unde te afli sau cum să te contacteze.

Ce va face în acest caz?

Răspunsul este simplu: va merge pe Google și va începe să caute informații despre tine. Iar sarcina ta este să faci căutarea cât mai ușoară pentru un potențial client. Aceasta înseamnă că compania dumneavoastră, pe lângă propriul site web, trebuie să fie reprezentată în toate resursele online populare.

Care?

Despre asta vom vorbi azi!

Pregătirea

Înainte de a începe să vă înregistrați activ pe resursele online, trebuie să colectați cât mai multe informații despre compania dvs. pentru a vă completa profilul complet.

Gândiți-vă la termenii de căutare pe care un potențial client i-ar putea folosi pentru a vă găsi.

De exemplu, clienții potențiali pot căuta o curățătorie chimică situată în centrul Kievului folosind interogarea „ Centru de curățătorie chimică Kiev" sau " Unde pot spăla un costum Kiev».

Trebuie să vă asigurați că identificați toate interogările de căutare populare și adăugați cât mai multe la descrierea companiei dvs. Pentru a face acest lucru, utilizați serviciul Wordstat de la Yandex sau AdWords de la Google.

De asemenea, aveți grijă de recenziile clienților reali, colectați fotografii și videoclipuri de înaltă calitate care vă pot arăta afacerea într-o lumină bună.

Vă recomand să creați un document separat care va stoca toate informațiile necesare despre compania dumneavoastră. Acest lucru va face înregistrarea mult mai ușoară - tot ce trebuie să faceți este să copiați și să lipiți informațiile din document în profilul online al companiei dvs.

După ce am terminat cu pregătirea, trecem la studiul celor mai populare resurse online unde compania dumneavoastră trebuie să fie reprezentată.

10 resurse online în care compania ta trebuie să fie reprezentată

Acum vom trece la considerarea celor mai populare resurse online în care trebuie neapărat să vă înregistrați compania. Evaluarea site-urilor se bazează pe ratingul companiei internaționale de cercetare Alexa (puteți vedea rezultatele ratingului), care analizează popularitatea și influența site-urilor din întreaga lume.

ÎN Facebook pentru afaceri sunt mult mai multe oportunități decât în ​​același In contact cu. Puteți crea o pagină de comunitate, o pagină personală, o pagină pentru o companie sau pentru mărcile acesteia.

Odată ce ați creat o pagină, nu uitați să o actualizați în mod regulat. Dacă un utilizator vă vizitează pagina și vede că informațiile de pe aceasta au fost actualizate ultima dată acum 3 luni, acest lucru va da motive să credeți că compania dvs. nu este suficient de populară.

nr 6 – Prom.ua

Prom.ua este o resursă online în care puteți crea un profil complet al companiei dvs., puteți face o descriere a produselor și serviciilor dvs. și, de asemenea, puteți publica un catalog de produse împreună cu o listă de prețuri. Astfel, un potential client poate obtine imediat informatii atat despre produsul in sine, cat si despre pretul acestuia.

Resursa este mai potrivită pentru companiile comerciale ucrainene.

Nr. 7 – Allbiz

Allbiz este un analog internațional al Prom.ua ucraineană. Cu Allbiz puteți găsi cu ușurință parteneri și cumpărători străini.

Audiența anuală a Allbiz a ajuns la peste 220 de milioane de oameni, ceea ce a permis resursei să devină lider în spațiul internetului. Astăzi, catalogul online Allbiz conține peste 20 de milioane de produse și servicii de la peste 1,3 milioane de companii din 90 de țări.

Prin urmare, asigurați-vă că vă alăturați acestei resurse.

#8 – Patrat

Foursquare este o resursă foarte populară în rândul tinerilor. Cu ajutorul înregistrărilor, evaluărilor, recenziilor și fotografiilor, puteți atrage cu ușurință atenția asupra companiei dvs. Adăugați un mic bonus pentru înregistrare și vi se garantează un flux de vizitatori.

În ceea ce privește încălcările legii cu privire la datele cu caracter personal. Acestea vor intra în vigoare la 1 iulie 2017 și vor afecta toți cei care colectează, prelucrează și stochează orice date cu caracter personal.

Amenzile au fost împărțite în funcție de tipul de încălcare și mărite de zece ori. De exemplu, dacă nu publicați o politică de confidențialitate pe site-ul web, antreprenorii individuali pot fi amendați cu 10 mii de ruble, iar compania - 30 mii. Și dacă procesați date personale fără consimțământul unui client al unui magazin online sau al unui abonat la un curs de informare, atunci amenda pentru o persoană juridică va fi de până la 75 de mii de ruble. Directorul unei companii sau antreprenor va trebui să plătească până la 20 de mii. Dacă există mai multe încălcări, atunci vor fi mai multe amenzi.

Trebuie urgent să vă puneți în ordine site-urile web. Verificările sunt deja în curs 💻

În prezent, doar procuratura poate emite protocoale de încălcări. Amenda nu depinde de tipul de încălcare și este pentru un antreprenor sau director individual de maximum 1000 de ruble, iar pentru o persoană juridică - 10 mii de ruble. Procedura durează mult, amenzile sunt mici, așa că rar verifică și nu toată lumea.

Cum aflu dacă sunt operator de date cu caracter personal?

Datele personale sunt orice date despre o persoană prin care aceasta poate fi identificată. Legea nu conține o listă cu astfel de date, așa că trebuie să ghiciți singur. De exemplu, după nume sau autentificare, este imposibil să înțelegeți ce fel de persoană este, dar după nume și număr de telefon sau după nume și e-mail - puteți.

Cel mai probabil, sunteți un operator de date personale dacă primiți cumva următoarele informații de la orice persoană în orice combinație:

  • nume
  • nume de familie,
  • o adresă fizică,
  • e-mail,
  • telefon,
  • data sau locul nașterii,
  • fotografie,
  • link către un site web personal sau o rețea socială,
  • profesie,
  • educaţie,
  • nivelul venitului,
  • Statusul familiei.

Aceasta înseamnă că toți proprietarii de site-uri care au conturi personale, formulare de feedback, abonamente sau înregistrări, de unde puteți cumpăra ceva, plasați un anunț sau completați un formular, sunt operatori de date personale. Chiar dacă site-ul are doar un buton pentru a comanda un apel sau a trimite un mesaj, aceasta este și prelucrarea datelor cu caracter personal.

Și dacă înregistrez numărul de telefon al unui prieten sau e-mailul unei fete pe un site de întâlniri, trebuie să respect această lege?

Nu, nu e nevoie. Legea nu se aplică datelor pentru nevoi personale și familiale. Dar dacă predați numărul de telefon al unui prieten colecționarilor sau publicați un anunț cu adresa de e-mail a unei fete pe un forum misogin, aceasta este deja o încălcare.

Cum să lucrezi corect cu datele personale pentru a nu încălca legea?

Cel puțin aveți nevoie de:

  • să obțină consimțământul scris de la fiecare vizitator, client sau abonat pentru prelucrarea, stocarea și distribuirea datelor cu caracter personal;
  • publică în domeniul public informații despre tot ce ține de datele personale ale clienților și vizitatorilor;
  • Solicitați doar datele necesare pentru un anumit scop. De exemplu, nu puteți cere adresa dvs. de domiciliu sau informații despre pașaport pentru a vă abona la un buletin informativ prin e-mail;
  • utilizați datele numai în scopurile specificate în documente și despre care persoana a fost avertizată;
  • informați, la solicitarea unei persoane, ce date aveți despre aceasta, cum și de ce sunt prelucrate și cui le-ați transferat;
  • sterge, la cerere, datele care sunt folosite pentru a trimite informatii despre reduceri si promotii;
  • stocați bazele de date într-un loc sigur, protejați-le de hacking și scurgeri;
  • instruirea angajaților să lucreze cu date personale;
  • înregistrează-te la Roskomnadzor.

Ce? Ar trebui să mă înregistrez în altă parte?

Da, prin lege, operatorii de date cu caracter personal trebuie să notifice Roskomnadzor. Mai mult, acest lucru trebuie făcut înainte de începerea procesării datelor sau cât mai curând posibil. Roskomnadzor va introduce informații despre operator în registrul general și le va emite la cerere.

Notificarea nu poate fi transmisă dacă:

  • Sunt prelucrate doar datele angajaților;
  • datele cu caracter personal au fost obținute doar pentru executarea unui anumit contract cu o anumită persoană și nu vor fi utilizate în niciun fel, cu atât mai puțin diseminate;
  • persoana însăși a publicat aceste date în domeniul public;
  • aveți doar numele complet al clientului și nimic altceva.

Am un site web și primesc date personale. Ce ar trebuii să fac?

Dacă nu ați făcut încă nimic, atunci încălcați deja legea și s-ar putea să fiți amendat acum. Chiar dacă site-ul dvs. este întreținut de un studio web sau de un specialist IT la distanță, amenda va fi în continuare emisă companiei sau antreprenorului individual listat pe site.

Pregătiți documente publice și postați-le pe site, astfel încât să fie accesibile pe toate paginile. Acesta ar putea fi un acord de utilizare, cum ar fi Lamoda, reguli de vânzare, o notificare oficială, cum ar fi M-Video, o politică de confidențialitate, cum ar fi Restaurant, Adidas sau Ozone. Puteți specifica condițiile de prelucrare a datelor cu caracter personal într-un contract sau o ofertă obișnuită, așa cum face Sberbank.

Nu folosiți documentele altor persoane. Le puteți lua ca ghid, dar trebuie să vă scrieți propria listă de date și scopuri de utilizare. Ceea ce are nevoie o bancă pentru a emite un împrumut sau un magazin online pentru a livra mărfuri nu va fi necesar pentru un buletin informativ sau un buletin informativ prin e-mail. Solicitarea de date inutile este o încălcare a legii și un motiv de amendă.

Implementați o soluție care să stabilească în mod clar că persoana respectivă a fost de acord cu prelucrarea datelor cu caracter personal. Aceasta poate fi o bifă pe formularul de înregistrare sau un avertisment la plasarea unei comenzi. Pentru a fi în siguranță, cereți-vă paginile web certificate de către un notar.

Întocmește documente interne privind stocarea datelor cu caracter personal și responsabilitatea angajaților care lucrează cu acestea. Comenzile, regulamentele și fișele postului nu trebuie să fie făcute publice.

Dacă este necesar, trimiteți o notificare către Roskomnadzor. Dacă sunteți sigur că notificarea nu trebuie trimisă, întocmește documentele în așa fel încât să fie clar în timpul verificării. De exemplu, scrieți în politică că utilizați datele personale numai pentru executarea unui anumit contract. Sau indicați că creați o resursă pentru care datele sunt puse la dispoziția publicului la cererea utilizatorului.

Este adevărat că datele personale pot fi stocate doar pe serverele rusești? Dacă găzduiesc în Europa, încalc legea?

Există multă incertitudine în lege cu privire la această chestiune. Pe de o parte, bazele de date trebuie colectate, procesate și stocate pe serverele rusești. Dar există un articol separat despre transferul transfrontalier de date. Explicații pe această temă au fost publicate pe site-ul Ministerului Telecomunicațiilor și Comunicațiilor de Masă, dar conțin și multe contradicții.

Trageți propriile concluzii despre unde să stocați datele. Dacă nu știți ce să faceți, trimiteți o solicitare către Roskomnadzor sau Ministerul Telecomunicațiilor și Comunicațiilor de Masă. De asemenea, puteți contacta hosterul dvs.: cel mai adesea astfel de companii au soluții gata făcute.

Calmează-te, toată lumea! Nimeni nu va fi amendat din cauza unor formulare de pe site și a documentelor inutile.

În regiunea Tambov, procuratura a amendat o firmă de avocatură pentru completarea unui formular de feedback fără acordul utilizatorului pentru prelucrarea datelor cu caracter personal. Instanțele au susținut-o.

Directorul societății de administrare a fost amendat pentru transmiterea datelor debitorilor către avocați în vederea întocmirii declarațiilor de creanță. Nu a obținut consimțământul pentru prelucrarea datelor cu caracter personal de la rezidenți. Curtea Constituțională nu l-a ajutat.

În Astrakhan, procurorii amendează proprietarii de site-uri web pentru formularele de feedback alfabetic.

Pe lângă amenzile în favoarea statului, pentru încălcarea regulilor de prelucrare a datelor cu caracter personal, acestea pot face obiectul unor despăgubiri pentru prejudicii morale și chiar cu închisoarea.

Există multe lucruri neclare în legea datelor cu caracter personal. Ne-am dat seama și am răspuns

În special, a extins lista de motive pentru atragerea răspunderii administrative pentru prelucrarea ilegală a datelor cu caracter personal (PD) și amenzile majorate.

Date personale: amenzi

Baza Valoarea amenzii
Individual Oficialii Entitate legală IP
Prelucrarea datelor cu caracter personal în cazuri neprevăzute de legislația Federației Ruse; prelucrarea datelor cu caracter personal incompatibile cu scopurile colectării datelor cu caracter personal avertisment sau amendă - de la 1000 la 3000 de ruble. avertisment sau amendă - de la 5000 la
10.000 de ruble.		 avertisment sau amendă - de la 30.000 la 50.000 de ruble.
Prelucrarea datelor cu caracter personal fără acordul scris al subiectului lor de la 3000 la 5000 de ruble. de la 10.000 la 20.000 de ruble. de la 15.000 la 75.000 de ruble.
Neîndeplinirea obligației de a publica sau de a oferi acces la un document care definește politica de prelucrare a datelor cu caracter personal sau informații privind protecția datelor cu caracter personal de la 700 la 1500 de ruble. de la 3000 la 6000 de ruble. de la 15.000 la 30.000 de ruble. de la 5.000 la 10.000 de ruble.
Nefurnizarea subiectului datelor cu caracter personal cu informații privind prelucrarea acestora avertisment sau amendă - de la 1000 la 2000 de ruble. avertisment sau amendă - de la 4.000 la 6.000 de ruble. avertisment sau amendă - de la 20.000 la 40.000 de ruble. avertisment sau amendă - de la 10.000 la 15.000 de ruble.
Nerespectarea de către operator a solicitării subiectului PD sau a reprezentantului acestuia de a clarifica, bloca sau distruge (dacă PD-ul este incomplet, depășit, inexact, obținut ilegal sau nu este necesar pentru scopul declarat al prelucrării) avertisment sau impunerea unei amenzi în valoare de la 1000 la 2000 de ruble. avertisment sau amendă - de la 4000 la
10.000 de ruble.		 avertisment sau amendă - de la 25.000 la 45.000 de ruble. avertisment sau amendă - de la 10.000 la 20.000 de ruble.
Neasigurarea de către operator a siguranței datelor cu caracter personal la prelucrarea datelor cu caracter personal fără mijloace de automatizare, care a condus la accesul neautorizat sau accidental la datele cu caracter personal și a cauzat distrugerea, modificarea, blocarea, copierea acestora de la 700 la 2000 de ruble. de la 4000 la
10.000 de ruble.		 de la 25.000 la 50.000 de ruble. de la 10.000 la 20.000 de ruble.
Neîndeplinirea de către operator (organism de stat sau municipal) a obligației de anonimizare a datelor cu caracter personal; nerespectarea cerințelor de depersonalizare a datelor cu caracter personal avertisment sau impunerea unei amenzi administrative - de la 3.000 la 6.000 de ruble.

Vă rugăm să rețineți: tocmai acest motiv, cum ar fi prelucrarea datelor cu caracter personal fără a obține consimțământul subiectului său, prevede cele mai mari amenzi pentru toate categoriile de contravenienți - până la 75.000 de ruble.

În acest sens, apar multe întrebări, cele mai frecvent adresate:

  • Sunt controlor de date?
  • Mi se aplică Legea datelor cu caracter personal?
  • Cum se anunță Roskomnadzor despre prelucrarea datelor cu caracter personal?
  • Ce ar trebui să facă proprietarul unui site web pentru a evita amenzile?

Să ne ocupăm de toate întrebările în ordine.

Legea „Cu privire la datele cu caracter personal” a fost adoptată în urmă cu câțiva ani. În cazul în care site-ul nu are o politică de confidențialitate, nu a fost obținut consimțământul pentru prelucrarea datelor cu caracter personal, sunt prevăzute amenzi, putând fi cumulative.

- aceasta este orice informație direct sau indirect legată de o anumită entitate fizică. față.

Ce anume se încadrează pe site în datele personale:

  • Formular de abonare când utilizatorul își introduce porecla și e-mailul.
  • În formularul de feedback, utilizatorul indică și un nume (deseori fictiv) și un e-mail. În practica judiciară, există un caz în care datele personale au fost clasificate ca un formular de feedback care conținea doar un nume și un mesaj.
  • Comentarii și mesaje pe site atunci când trebuie să vă furnizați numele și adresa de e-mail.
  • Înregistrare pe site, date din contul dumneavoastră personal (adresă, oraș de reședință, nume complet, e-mail, anul nașterii).
  • Atunci când comandă mărfuri prin intermediul unui site web, cumpără dintr-un magazin online fără înregistrare, utilizatorul oferă un nume și un număr de telefon și uneori un e-mail.
  • Un formular de apel invers în care trebuie să furnizați numele și numărul dvs. de telefon.
  • Rambursarea banilor, adică rambursare pentru bunurile achiziționate. Utilizatorul își indică numele complet și detaliile bancare.
  • Chestionare, teste și chestionare bazate pe rezultatele trainingurilor, achizițiilor efectuate - nume complet și e-mail.
  • Aplicații pentru evenimente offline: sărbători, petreceri, nunți etc. Aici utilizatorul introduce informațiile sale de contact.
  • Recenzii pe site. Fotografie utilizator, e-mail – colectare de date personale.
  • Informații personale dintr-un articol despre o persoană, de exemplu, în timpul unui interviu atunci când sunt întrebați despre detaliile vieții sale personale.
  • Cerere de publicare a unei reclame - pe site-ul de publicitate, mass-media.

Pe resursa dvs. de internet, trebuie să determinați unde sunt punctele dvs. de colectare a datelor personale. Chiar dacă ești fizic. Faceți față și dețineți site-ul, sunteți încă operator de date cu caracter personal, ceea ce înseamnă că vă încadrați sub incidența Legii federale „Cu privire la datele cu caracter personal” și sunteți responsabil. Singurul plus este amenzile pentru persoane fizice. persoanele sunt mici, spre deosebire de antreprenorii individuali și persoanele juridice. persoane

Roskomnadzor monitorizează conformitatea cu legile relevante pe toate site-urile. Proprietarul site-ului trimite o notificare despre prelucrarea datelor cu caracter personal acolo. Pe baza notificărilor se ține un registru al operatorilor. De asemenea, biroul ia în considerare toate plângerile utilizatorilor cu privire la utilizarea ilegală a informațiilor lor personale. Unii utilizatori depun chiar procese.

Cum se prelucrează datele personale?

Pe site:

Este mai bine să faceți consimțământul un document separat. Dacă aveți mai multe locuri pe site pentru introducerea datelor cu caracter personal (înregistrare, comentarii, recenzii, abonament), atunci ar trebui să existe mai multe opțiuni de consimțământ - pentru fiecare caz.

Consimțământul trebuie să indice domeniul specific al datelor cu caracter personal care sunt prelucrate, în ce formă și în ce scopuri vor fi prelucrate. Obiectivele pot fi diferite: publicitate țintită, liste de corespondență, feedback-ul clienților, cercetări de marketing, rambursări pentru mărfuri dacă este un magazin online.

Textul consimțământului pe site

Îmi dau consimțământul Administrației Site-ului pentru _______ (modalități de prelucrare) a următoarelor date personale: _______ (nume și e-mail), în scopul _______ (de exemplu, trimiterea de informații despre noutățile site-ului, noi servicii, oferte speciale, alte informații utile de la Administrația resurselor sau de la partenerii săi).

Consimțământul pentru prelucrarea datelor cu caracter personal nu este nelimitat, acesta poate fi retras în orice moment.

Notificare Roskomnadzor. Notificarea poate fi trimisă prin email, simplă scrisoare recomandată, iar tu vei fi inclus în registrul unificat ca operator de date cu caracter personal.

Nu este nevoie să trimiteți o notificare dacă utilizați doar numele complet al utilizatorului, dacă datele acestuia sunt disponibile public, dacă acționați în cadrul unui acord încheiat anterior (pe site) și nu distribuiți informații către terți.

Datele personale ale cetățenilor ruși pot fi stocate numai pe teritoriul Federației Ruse. Prin lege, puteți utiliza găzduirea numai în interiorul țării.

Trebuie să ștergeți sau să modificați datele personale la solicitarea proprietarului acestora. Este mai bine să faceți acest lucru la prima solicitare, altfel o persoană se poate plânge la Roskomnadzor cu privire la site sau poate merge în instanță. Sau la finalizarea contractului cu utilizatorul.

Politica de confidențialitate. Este mai bine să îl faceți un document separat și să plasați linkul în subsolul site-ului, astfel încât să poată fi accesat din toate paginile resursei.

Politica de confidențialitate

Principalele prevederi ale documentului:

  • in ce cazuri utilizatorul ofera datele sale personale Administratiei site-ului;
  • Sunt colectate 2 tipuri de informații: informații pe care utilizatorul le-a furnizat el însuși și informații tehnice (adresă ip, browser, software, rezoluție ecran, sex, vârstă, locație etc.);
  • ce date primim de la utilizator și în ce loc de pe site (formular de abonare, înregistrare, comentarii);
  • indicarea datelor cu caracter personal la utilizarea oricăror servicii de pe site; la completarea unui formular pe o anumită pagină, la redactarea unei reclamații;
  • Detaliile cardului la plata pentru bunuri pe administrarea site-ului nu sunt disponibile și sunt procesate de un integrator de plăți (Interkassa, de exemplu);
  • reglementări privind înregistrarea pe site prin intermediul rețelelor de socializare;
  • dacă site-ul folosește un sistem de identificare a utilizatorilor prin Cookie-uri, trebuie să spuneți despre acesta;
  • garantarea securității datelor cu caracter personal ale utilizatorilor și netransferarea datelor către terți fără acordul utilizatorilor; să prevadă acele cazuri de transfer de date cu caracter personal, acolo unde este posibil;
  • în ce scopuri sunt colectate datele cu caracter personal;
  • perioada de prelucrare a datelor: de la înregistrarea utilizatorului până la ștergerea contului său de pe site;
  • unde să meargă dacă utilizatorul dorește să-și ștergă datele personale, indicați adresa de e-mail de administrare;
  • utilizatorul își poate modifica, completa sau șterge parțial datele - cum se face acest lucru;
  • informații despre newsletter către utilizatori, posibilitatea de a se dezabona de la newsletter.

Înregistrarea utilizatorilor pe site-ul _______ poate fi efectuată prin intermediul rețelei de socializare ______. Această metodă de înregistrare este aleasă de către utilizator însuși prin efectuarea de acțiuni pe site în momentul înregistrării.

La înregistrarea printr-o rețea de socializare, site-ul _____, pentru a completa automat date similare despre utilizator, precum și pentru a optimiza funcționarea filtrului site-ului conform criteriului corespunzător, colectează următoarele informații despre utilizator din rețeaua socială. rețea: nume complet, porecla, sex, loc de reședință (oraș, localitate).

Amenzi

Amenzi în vigoare de la 1 ianuarie 2017 pentru încălcarea legislației în domeniul datelor cu caracter personal.

După cum se vede din tabel, amenzi pentru persoane fizice. persoanele fizice sunt mici, așa că mulți webmasteri nu se deranjează să respecte legea privind colectarea și stocarea datelor cu caracter personal.

Notificare către Roskomnadzor

Notificarea este transmisă înainte de începerea procesării datelor cu caracter personal. Se depune simultan prin Internet (e-mail) și se trimite prin poștă recomandată cu o listă de atașamente și o notificare de livrare către organul teritorial Roskomnadzor (adrese pe site-ul oficial).

Notificarea se trimite o singură dată, dar dacă orice informație s-a modificat, este necesar să trimiteți o scrisoare de informare despre modificările informațiilor din registru de către operatorul de date cu caracter personal.

După ce îl completați pe site, veți primi un număr de notificare și o cheie secretă. Îți va spune când vei fi inclus în registrul operatorilor de date cu caracter personal.

Dacă vă aflați într-o relație contractuală cu cineva sau furnizați servicii pe site, nu trebuie să anunțați Roskomnadzor.

  • Unde trimiți această notificare?
  • Tip operator:
    • fizic persoana (indicați numele complet);
    • legale persoană (nume complet, nume prescurtat, ramuri).
  • Adresa operatorului: adresa legală și poștală pentru persoane juridice, INN, OGRN sau OGRNIP pentru întreprinzătorii individuali, link-uri către codurile OKVED.
  • Temeiul legal pentru prelucrarea datelor cu caracter personal. Indicăm legile pe baza cărora colectăm date personale.
  • În ce scopuri prelucrăm datele personale?
  • Ale căror date cu caracter personal le prelucrăm: angajați, clienți, abonați, utilizatori ai site-ului.
  • Dacă colectați date online, ar trebui să publicați o politică de confidențialitate pe site-ul dvs. web.
  • Ce date cu caracter personal procesați și în ce mod (cu sau fără transfer către terți, cu sau fără transfer prin Internet, cu sau fără transfer în cadrul unei persoane juridice, fie un sistem automatizat sau unul manual).
  • Termeni si conditii pentru incetarea prelucrarii datelor cu caracter personal.

Alternativ, poate fi luată în considerare o altă abordare. Ce oferă site-ul dvs.? servicii de informare gratuite. Acest lucru ar trebui menționat în politica de confidențialitate. În acest caz, nu este nevoie să vă faceți griji cu privire la stocarea datelor personale și la notificarea Roskomnadzor.

De exemplu, oferiți spatiu pe site-ul tau de inchiriat: o persoană a scris o recenzie - ați publicat-o pe site, ați postat o fotografie și i-ați indicat numele complet cu e-mail - ați publicat-o pe site, utilizatorul s-a abonat la newsletter - a primit materiale (serviciu) gratuite.

Prelucrarea datelor cu caracter personal ale persoanelor juridice. persoane și întreprinzători individuali

Datele personale ale angajaților:

  • pot fi prelucrate in scopuri strict limitate: asistenta in angajare, avansare in cariera, asigurarea securitatii personale, monitorizarea muncii efectuate, asigurarea securitatii bunurilor companiei;
  • toate datele pot fi obținute direct de la angajatul însuși;
  • Este interzisă prelucrarea datelor cu privire la național afilieri, opinii religioase și filozofice, viață intimă, stare de sănătate, apartenență la organizații;
  • Datele cu caracter personal nu pot fi transferate fără acordul scris, cu excepția cazului în care acest lucru este necesar pentru a-și proteja viața și sănătatea sau în cadrul legii.

Director de companie trebuie să aprobe regulamentul privind datele personale ale angajaților și să-l familiarizeze pe toți angajații împotriva semnării. Este necesar să se întocmească o listă cu persoanele care au acces la aceste informații. De obicei, acesta este un director, contabil, avocat și manager de resurse umane. Dar aici este important să diferențiem la ce date personale are acces un anumit angajat și de ce are nevoie în munca sa. Aceste date pot fi apoi furnizate angajatului însuși la cerere.

Muncitor are dreptul de a obține informații despre cine altcineva are acces la datele sale, unde și pentru cât timp sunt stocate aceste date și cum sunt prelucrate.

Angajații autorizați să prelucreze date, trebuie să semneze un angajament de nedivulgare a informațiilor care conțin date cu caracter personal. Poate fi realizat ca document separat sau realizat ca un capitol separat din contractul de munca sau fisa postului.

Angajati responsabili:

  • Persoana responsabilă cu prelucrarea datelor cu caracter personal (desemnată prin ordin) monitorizează respectarea de către toți angajații a procedurii de prelucrare a datelor cu caracter personal.
  • Administratorul de securitate al sistemelor informatice de date cu caracter personal (desemnat prin ordin) asigură securitatea datelor cu caracter personal în organizație și menține jurnalele. Acesta poate fi unul sau mai multe persoane. Este mai bine să scrieți aceste instrucțiuni ca o completare la contractul de muncă.
  • Angajații trebuie să ia măsuri pentru a împiedica accesul la datele personale ale persoanelor neautorizate și trebuie să înregistreze toate faptele de încălcare.

Societatea trebuie să adopte o reglementare privind prelucrarea datelor cu caracter personal: ce date sunt prelucrate, în ce scop, procedura de prelucrare.

Documente pentru persoane juridice și întreprinzători individuali

Toate modelele de documente necesare pentru prelucrarea datelor cu caracter personal pentru persoane juridice. persoane pe care le puteți descărca mai jos.