Комментарии 44
Уфф, спасибо что предупредили. Придется подавать гребанное заявление, одних лишь политик на сайте недостаточно. Не знал.
А есть ли какие-то штрафы за отсутствие уведомления об использовании cookies?
И как оно должно быть реализовано? Юзер должен иметь возможность запретить использование кук? В таком случае ведь сайт становится нефункциональным, по крайней мере авторизацию не получится использовать.
Или достаточно просто плашки с предупреждением и одной кнопки «согласен»?
И по cloudflare. Еще не запрещено официально?
Клоудфлар доблестно заблокировали, но не запрещали. Впрочем, им "рекомендуют не пользоваться".
Здравствуйте! Можно предупредить об использовании куки и о возможности изменить настройки браузера (чтобы куки не устанавливались). Но также важно предупредить об использовании метрических программ и получить согласие на обработку данных метрическими программами. Согласие можно получить, например, следующим способом: при посещении сайта появляется всплывающее уведомление с указанием на использование метрических программ. Также во всплывающем уведомлении должна быть ссылка на текст согласия на обработку данных метрическими программами и кнопка "Соглашаюсь"
Вопрос знатокам.
Правильно понимаю, что если у тебя даже просто есть сотрудники и больше ничего, то ты все равно должен уведомить Роскомнадзор т.к. ты обрабатываешь их данные при приеме на работу?
Совершенно верно. Но скорее-всего у вас не только сотрудники. Вы же наверно прежде чем взять сотрудника на работу, хоть как-то обрабатывает информацию о нём? Значит у вас ещё и кандидаты есть. А это отдельная категория.
Рассмавайте по иному: у кого я беру ПД. Потом задайте вопрос: зачем я беру эти ПД.
Здравствуйте! Скорее всего данные работников вы обрабатываете в электронном виде (в 1С, храните в компьютере), в таком случае подавать уведомление обязательно. Уведомление можно не подавать только если все персональные данные хранятся на бумажных носителях и для их обработки никаким образом не используются компьютеры или интернет.
А что с физлицами / самозанятыми?
Всё таки за не уведомление - до 300 000₽. 3 млн - это штраф за утечку данных.
Т.е. если я вижу на сайте Google Analytics или т.п. - можно жаловаться на передачу ПД, на всякий случай? 0_0
Подскажите, пожалуйста, а ИП без сотрудников нужны ли какие-нибудь «внутрикорпоративные» документы, связанные с обработкой ПД — уставы, соглашения, политики?
Проверить, используются ли на сайте сервис Google Forms (для сбора данных) или иностранные метрические программы, например Google Analytics.
Получается, и гугл-шрифтами нельзя пользоваться? И никакими сторонними скриптами/библиотеками?
Имхо, не в ту степь куда-то всё пошло. Точно уверены, что куки - это персональные данные? Можете привести пример, как по куке можно точно идентифицировать личность (узнать ФИО, например)?
Просто из рассмотренной в статье логики следует следующее:
Например, домохозяйка разместила сайтик о котиках. Никаких регистраций пользователей нет, просто фотки котиков. Сайтик использует красивые гугл-шрифты. По вашей логике получается, что эта домохозяйка занимается сбором персональных данных и трансграничной передачей? Ей обязательно нужно подавать уведомление о сборе персональных данных в Роскомнадзор и соблюдать все требования (использование правильного софта, ведение журналов учета доступа к ПД, назначение ответственных лиц и т.д. и т.п)? Это всё на полном серьезе?
И если всё так, как вы пишете, то компании, которая на своем сайте разместила ролик ютюб, грозит штраф в 15 миллионов за трансграничную передачу кук?
Какой смысл об этом рассуждать, не мы же принимаем решения о том что является ПД а что нет. На практике тут важно знать что ими является с точки зрения законодательства.
На практике тут важно знать что ими является с точки зрения законодательства.
В том то и проблема, что законодательство четко это не определяет. Явно о куках, как я понимаю, в законодательстве не говорится, а говорится размыто о том, что может являтся всё, что позволяет однозначно идентифицировать физлицо. Поэтому каждый вид информации в каждом конкретном случае нужно еще натянуть на глобус как-то привязать к персональным данным. Чтобы куку привязать к конкретному человеку... это нужно очень постараться... нужно еще дополнительно насобирать много какой информации о человеке, и только после этого как-то притянуть куку.
Более того, если куку считать полноценным самостоятельным видом ПД, то тогда все эти рекомендации со всплывающими плашками с "согласием" тоже не спасут от нарушения, наоборот - его подтвердят. Ведь плашка о согласии с куками всплывет уже после того как ваш сайт засунет куку в браузер посетителя, т.е. без его согласия. Если уж считать куки ПД и всё буквально соблюдать, то на сайт вообще нельзя посетителя пускать до принятия им согласия с куками, гугл-шрифтами, разного рода js-скриптами и прочими вещами, загружаемыми со сторонних ресурсов... после чего... можно будет показать ему десяток соглашений, указанных в статье, и только после этого допустить к просмотру сайта...
Здравствуйте! Куки и метрические программы обрабатывают разные данные. Если создан сайт не для коммерческих, а для личных целей, то все же лучше использовать российские метрические программы. Не все иностранные сервисы обрабатывают данные. Если иностранные сервисы данные не обрабатывают (не собирают, не хранят), то их можно использовать. Уведомление нужно подавать в случае обработки данных в коммерческих целях.
Несколько моментов. Все программы (метрические и неметрические, если они хоть что-то делают) используют куки в качестве идентификации посетителя. Если куки считать персональными данными, то и их использование без согласия надо считать нарушением. И согласие надо брать до использования куки, а не после. Из этого следует, что рекомендуемая всплывающая плашка не защищает от нарушения.
Далее... не в метрических программах дело, а в том, что любые сторонние программы собирают ту или иную статистику, основанную на куках. И программы эти загружаются со сторонних ресурсов на большинстве сайтов. Я привел в качестве примера использование на сайте гугл-шрифтов. Для гугл-шрифтов используется гугловский загрузчик, который сам загружается и загружает шрифты (напрямую в браузер посетителя) с серверов гугла. А это и передача ip-адреса и куки. Если на сайте размещены ютюб-ролики, то же самое - трансграничная передача ip-адреса и кук. Это, получается, сбор персональных данных с трансграничной передачей? Можно прям почти любой сайт штрафовать на n-миллионов рублей за трансграничную передачу?
И главный вопрос: поясните, как с помощью куки (и только куки) можно однозначно идентифицировать физлицо?
Роскомнадзор при проверке сайтов уделяет значение установленным метрическим программам, так как метрические программы собирают данные о пользователях (персональные данные). Наличие или отсутствие на сайте сервисов со шрифтами Роскомнадзор пока не проверяет, насколько нам известно.
В нашей статье мы не говорим о том, что идентификация пользователей происходит с помощью файлов куки. Мы говорим про метрические программы, которые собирают данные.
Было много споров насчёт того являются или нет собранные для регистрации email-ы персональными данными? А что в итоге, являются или нет?
Очевидно, что и "да" и "нет" одновременно, ввиду расплывчатости законодательной формулировки. Как я понимаю, в таких случаях всё зависит от личного мнения проверяющего и от конкретной ситуации.
Примеры:
"Иван Петрович Сидоров" - объективно нельзя понять, кто это, их десятки тысяч.
"Лысый вождь мирового пролетариата" - а здесь сразу понятно, о ком речь, не смотря на то, что нет ни имен, ни фамилий.
Здравствуйте! Да, все же являются. Лучше получать согласие на обработку этих данных. Роскомнадзор расценивает адреса эл. почт как персональные данные так как многие почты выглядят подобным образом: ivanovanastya99@______.com.
Как всё же лучше поступить, если нужна форма обратной связи или система предмодерируемых комментариев, но персональные данные не нужны? Можно просить заполнить поле "Псевдоним"? И указать, чтоб не оставляли свои реальные данные.
И если на сайте фейковые комментарии или фейковые сотрудники с фейковыми фото (несуществующих людей), это будет нарушением? Или реальных людей, но только под псевдонимами (и тогда без фото).
Если собираются данные, которые необходимы только для осуществления действий по договору (условно: когда цифровой товар должен быть направлен по e-mail и другие данные не собираются), то уведомлять РКН вроде не надо было. Да, ты оператор, но без необходимости уведомления.
Сейчас что-то поменялось?
Такое было до марта 2023 года :)
Уточните, пожалуйста, каким документом это отменилось в марте 2023. Вижу только изменения по трансграничной передаче, по уничтожению персданных, по оценке вреда от утечки и форме уведомления при изменениях у оператора. Ну и по биометрии. Что-то пропустил, видимо. Подскажите, где именно смотреть об отмене необязательности уведомления.
Опечатался не до марта 2023 --> 2021. На основании Федерального закона от 30.12.2020 № 519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных".
Ранее в части 2 статьи 22 Федерального закона № 152-ФЗ существовало положение, согласно которому операторы, обрабатывающие ПДн в целях исполнения договора, стороной которого является субъект персональных данных, освобождались от обязанности уведомлять Роскомнадзор о такой обработке. Однако поправки, вступившие в силу с 1 марта 2021 года , отменили это исключение. Теперь все операторы, осуществляющие обработку персональных данных, независимо от целей и оснований обработки, обязаны уведомлять Роскомнадзор о начале такой обработки, если иное не предусмотрено законом.
Назначить ответственных это одно, но какой перечень документов должен быть утвержден в организации для 4-го уровня защищенности? В случае проверки - что будет проверять роскомнадзор?
Во всех организациях без исключения должен быть ответственный за обработку данных и должны быть утверждены документы, определяющие порядок обработки данных. Как правило это положение об обработке персональных данных. В нем указываются субъекты, перечень обрабатываемых данных, порядок уничтожения и т.д. Каждый оператор проанализировав фактический процесс обработки данных должен принять решение какие еще документы ему необходимы для того, чтобы обеспечить безопасную обработку. Возможно нужно назначить приказом лиц, которые имеют доступ в помещение, где хранятся данные или у которых есть доступ в базу данных. Это уже индивидуально
ИП существует с 2013 года.
С 2022 обязали уведомлять об обработке ПД.
Подаю сейчас.
РКН говорит, что надо указывать дату начала обработки ПД с даты открытия ИП (2013 г.).
Но при этом будет штраф за несвоевременное уведомление. Так?
Спасибо.
Эти штрафы навсегда отобьют желание вести бизнес: что должен успеть предприниматель до 30 мая, чтобы уменьшить риски