В чем отличие политики обработки персональных данных от положения о защите ПД?

Обновлённые правила обработки персональных данных

В чем отличие политики обработки персональных данных от положения о защите ПД?

17 июля 2018.

В мае 2018 года Европа перешла на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016), или GDPR — General Data Protection Regulation. В Нидерландах – Algemene verordening gegevensbescherming (AGV).

Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

Имеет ли это отношение к вам, если вы российская компания, зарегистрированная в РФ? – Да, если хотя бы один из ваших клиентов является резидентом ЕС.

По новому регламенту резиденты ЕС получают инструменты для полного контроля над своими персональными данными. Несоблюдение регламента со стороны компаний карается штрафами вплоть до 20 миллионов евро или 4% годового дохода компании.

Наш специалист юридического отдела компании N&K Profit Алина de Wolf,  проанализировала новые правила обработки персональных данных и дать рекомендации для российских компаний, подпадающих под действие GDPR.

В чем суть Генерального регламента о защите персональных данных?

Этот регламент является новым унифицированным сводом правил, регулирующим обработку персональных данных потребителя. Его главное отличие от предыдущего закона в том, что потребитель получает больше прав, а предприниматель больше обязанностей.

Например, потребитель имеет право в любой момент потребовать у предпринимателя удалить его данные или предоставить ему отчёт о том, как обрабатываются и как хранятся его персональные данные, а также каким третьим лицам они предоставляются.

На предпринимателя накладываются такие обязательства, как разрешение проблем, связанных с утечки информации. У него должен быть прописан план действий на случай обнаружения утечки. Также предприниматель обязан реагировать на просьбы потребителя относительно изменения данных.

В Нидерландах органом, осуществляющим надзор и налагающим штрафы, является Служба защиты персональных данных Нидерландов (Nederlandse Autoriteit Persoonsgegevens).

Почему вокруг нового регламента столько шума в прессе? И почему эта тема стала такой актуальной?

Ажиотаж вокруг этой темы возник по нескольким причинам. Во-первых, несмотря на огромное количество статей и репортажей в СМИ, предприниматели не очень хорошо понимают, какие обязанности на них налагает новый регламент. Как выяснилось, многие не знают, что такое Cookie.

Из-за большого количества новой информации и  сложных терминов как технических, так и юридических, возникает путаница и неразбериха. Во-вторых, под новый регламент попадают даже самые небольшие частные бизнесы. Имея интернет-магазин и продавая какую-либо продукцию, предприниматель считается обработчиком персональных данных.

Когда клиент оформляет онлайн заказ и расплачивается за него, он указывает свое имя, адрес и номер банковской карты. За утечку этой информации предприниматель несёт ответственность.

Ну и последняя причина и, пожалуй, самая важная, заключается в том, что, что несоблюдение правил влечёт за собой большие штрафы – до 20 миллионов евро!  
По новому закону предприниматель обязан иметь четкую политику конфиденциальности, опубликованную на своём сайте.

В эту политику конфиденциальности, как правило, входят определённые документы, такие как: Положение о конфиденциальности, Положение об использовании cookies, Договор об обработке персональных данных с третьими лицами и Регистр обработки персональных данных. Некоторые документы могут быть объедены в один. Тем не менее такое количество различных документов вызывает панику у предпринимателя.

Какие области и сферы бизнеса этот закон затронет напрямую?

Все коммерческие сферы бизнеса. Любой предприниматель, который так или иначе имеет дело с персональными данными клиентов, попадает под сферу действия нового закона.

Несет ли он положительные или отрицательные последствия для бизнеса?

Пока что у всех создается впечатление, что от новых правил больше вреда, чем пользы. Но связано это прежде всего с тем, что на практике предпринимателям не всегда понятно, что можно делать, а что нельзя. Отсутствие четкого понимания нового регламента, и как следствия, страх высоких штрафов – одна из главных проблем на сегодня.

А что означает введение нового закона для потребителей?

Потребитель благодаря этому регламенту очень хорошо защищён. Он имеет право в любой момент потребовать отчетности от предпринимателя в отношении обработки его личных данных. Не исключено, что такие большие возможности могут привести к большому количеству придирок и злоупотреблений со стороны потребителя.

Как это повлияет на бизнес непосредственно в Нидерландах?

Так как закон недавно вступил в силу, сложно что-то сказать о его влиянии на бизнес сейчас. О его последствиях можно будет говорить только спустя несколько лет.

Если вы входите в зону действия нового европейского регламента о защите персональных данных или планируете расширять спектр услуг вашей компании и выходить на рынки стран ЕС, то мы, NK Profit, поможем вам провести комплексную оценку применяемых в компании методов обработки персональных данных, чтобы привести их в соответствие с новыми правилами GDPR. Мы проконсультируем вас в отношении того, в каком направлении вам следует пересмотреть политику конфиденциальности и положения об обработке персональных данных на ваших сайтах и онлайн-сервисах, ориентированных на европейских потребителей и пользователей.

Несмотря на внешне негативные аспекты введения нового регламента, в нем есть большое количество положительных моментов для неевропейских компаний, стремящихся выйти на рынки Европы.

Если раньше вам нужно было бы учитывать национальные нюансы правил защиты и обработки данных каждой отдельной страны, сейчас вы должны придерживаться единого набора правил.

Более того, согласно закону штраф в 20 миллионов евро грозит далеко не каждой компании, и обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и прочих факторов.

Зачастую то, что мешает двигаться вперед вашему бизнесу, это нечеткое или неправильное понимание тех или иных аспектов законодательства. Консультация грамотных специалистов поможет вам не только разобраться в юридических нюансах, но и вывести свой бизнес на новые рынки.

Автор Наталия Комаровская.

Источник: https://nkprofit.nl/yur-uslugi/68-obnovljonnye-pravila-obrabotki-personalnykh-dannykh

Политика защиты и обработки персональных данных :: турагентство

В чем отличие политики обработки персональных данных от положения о защите ПД?

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г.

, а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Организация (далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.3. Изменение Политики

1.3.1. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Персональные данные, сделанные общедоступными субъектом персональных данных – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью “Полосатый рейс”, расположенное по адресу: 153012, г. Иваново, ул. Суворова, 39, оф. 444

3.1. Получение ПД.

3.1.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

3.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

3.1.3. Документы, содержащие ПД, создаются путем:

– копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

– внесения сведений в учетные формы;

– получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

3.2. Обработка ПД.

3.2.1. Обработка персональных данных осуществляется:

– с согласия субъекта персональных данных на обработку его персональных данных;

– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;

– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

3.2.2. Цели обработки персональных данных:

– осуществление трудовых отношений;

– осуществление гражданско-правовых отношений.

3.2.3. Категории субъектов персональных данных.

Обрабатываются ПД следующих субъектов ПД:

– физические лица, состоящие с Обществом в трудовых отношениях;

– физические лица, уволившиеся из Общества;

– физические лица, являющиеся кандидатами на работу;

– физические лица, состоящие с Обществом в гражданско-правовых отношениях.

3.2.4. ПД, обрабатываемые Оператором:

– данные, полученные при осуществлении трудовых отношений;

– данные, полученные для осуществления отбора кандидатов на работу;

– данные, полученные при осуществлении гражданско-правовых отношений.

3.2.5. Обработка персональных данных ведется:

– с использованием средств автоматизации;

– без использования средств автоматизации.

3.3. Хранение ПД.

3.3.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.3.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.3.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4. Уничтожение ПД.

3.4.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.4.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.

3.5. Передача ПД.

3.5.1. Оператор передает ПД третьим лицам в следующих случаях:

– субъект выразил свое согласие на такие действия;

– передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.5.2. Перечень лиц, которым передаются ПД.

Третьи лица, которым передаются ПД:

– Пенсионный фонд РФ для учета (на законных основаниях);

– налоговые органы РФ (на законных основаниях);

– Фонд социального страхования РФ (на законных основаниях);

– территориальный фонд обязательного медицинского страхования (на законных основаниях);

– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);

– банки для начисления заработной платы (на основании договора);

– органы МВД России в случаях, установленных законодательством.

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

4.4. Основными мерами защиты ПД, используемыми Оператором, являются:

4.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.

4.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.

4.5.3. Разработка политики в отношении обработки персональных данных.

4.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.

4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.

4.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Источник: https://www.polosaty.ru/politikapd.html

Персональные данные: информация для владельцев интернет-магазинов

В чем отличие политики обработки персональных данных от положения о защите ПД?

Нам поступает большое количество вопросов и обращений в связи с тем, что с 1 июля 2017 года повышается административная ответственность за нарушение порядка работы с персональными данными. Поэтому мы решили подробно рассказать вам о том:

  • какие данные считаются персональными;
  • относитесь ли вы к операторам персональных данных;
  • что меняется в законодательстве;
  • что делать интернет-магазину – оператору персональных данных, чтобы избежать проблем.

Государство не перестает подкидывать бизнесу задачи для нескучной жизни, что, конечно, не является новостью, а скорее правилами игры.

Тенденция на урегулирование и контроль со стороны государственных органов всего, что относится к информации о физических лицах, сохраняется.

В этом наша страна двигается параллельно европейскому законодательству, где давно работает защита персональных данных, что, в принципе, само по себе неплохо.

Самое главное, что нужно понять: даже если вы относитесь к операторам персональных данных, то с этим можно спокойно жить и продолжать работать в этом статусе при соблюдении нескольких условий:

  1. соблюдать принципы обработки данных (не запрашивать излишнюю информацию и не в целях сбора данных);
  2. получить согласие лица на обработку его персональных данных (технически реализовать несложно);
  3. опубликовать политику владельца сайта в отношении обработки персональных данных (технически реализовать несложно);
  4. предоставить доступ к персональным данным их владельцам  (если поступит запрос от клиента);
  5. уточнить, блокировать или уничтожить персональные данные по требованию владельца  (если попросит об этом);
  6. обеспечить безопасность персональных данных при их обработке (защита от неправомерного доступа третьих лиц, копирования и т.п.).
  7. серверы должны находиться на территории РФ.

Ниже мы расскажем подробности и что нужно делать сайтам и интернет-магазинам, чтобы работать дальше в нормальном режиме, когда можно не уведомлять Роскомнадзор об обработке персональных данных и дадим конкретные варианты шагов и готовые шаблоны документов.

Советуем не нарушать законодательство, не увеличивать риски для вашего бизнеса и все-таки соблюсти все нужные процедуры для операторов персональных данных, если вы понимаете, что есть совпадение хотя бы по нескольким пунктам, относящим сведения о ваших клиентах к персональным данным.

Современный маркетинг и успешная работа в интернет-бизнесе невозможны без сбора сведений о клиенте, его поведении и предпочтениях. Без этого не стоит рассчитывать на долгосрочный прибыльный интернет-проект. Поэтому, чтобы сайтам и интернет-магазинам спокойно работать после 1 июля, необходимо сделать несколько шагов, о которых пойдет речь ниже.

Какие данные считаются персональными?

Итак, какие сведения относятся к персональным данным в терминах Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»? 

Это – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные – это любые сведения о человеке, по которым можно его идентифицировать.

Закон не содержит полного и исключительного перечня таких сведений, отнесение данных к персональным и определение своего статуса (оператор или не оператор персональных данных) отдано на откуп владельцам сайтов.

Никакой проверки того, что данные относятся к конкретному физическому лицу закон не предусматривает. Поэтому получается, что владелец сайта фактически не знает вымышленные или нет данные ввел клиент, но от обязанностей по обработке персональных данных это его не освобождает.

И еще, нельзя забывать, что за нарушение норм Закона о персональных данных Роскомнадзор может привлечь к ответственности.

Судебная практика по этому вопросу разная, но тенденция прослеживается и она совпадает с разъяснениями Роскомнадзора относительного того, что относится к персональным данным:

  • фамилия
  • имя
  • отчество
  • паспортные данные
  • год, месяц, дата рождения
  • место рождения
  • адрес
  • семейное положение
  • социальное положение
  • имущественное положение
  • образование
  • профессия
  • доходы

На практике возникает множество вопросов: сайты при регистрации просят указать имя, электронную почту, иногда телефон (некоторые из этих полей могут быть необязательными*). Происходит ли сбор персональных данных при получении такой информации от пользователей? Однозначного ответа на вопрос нет – мнения специалистов в этой области расходятся.

Часть высказывается за то, что адрес электронной почты и номер телефона относятся к персональным данным, потому что с их помощью можно определить лицо. Другие говорят, что эти данные являются персональными только когда позволяют безошибочно идентифицировать человека, а отдельно взятый номер телефона или адрес электронной почты не являются персональными данными.

Судебная и административная практика склоняются к отнесению номера телефона к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, разрешать использовать номер для рассылки по нему какой-либо информации).

Пока без ясного ответа остается вопрос – относится ли к персональным данным адрес электронной почты, из которого видны имя, фамилия и место работы человека. Скорее да, чем нет. 

Относитесь ли вы к операторам персональных данных или нет?

Вы являетесь оператором персональных данных, если:

  • вы собираете на сайте вышеуказанную информацию о клиентах-физических лицах;
  • у вас есть форма обратной связи, подписки, регистрации;
  • у вас есть личный кабинет;
  • клиент может заполнить анкету на сайте; 
  • на сайте возможно размещение объявления;
  • на сайте размещена кнопка обратного звонка.

Определить ваш статус (являетесь ли оператором персональных данных или нет) вам нужно самостоятельно исходя из вашей конкретной ситуации, настроек сайта, интернет-магазина, программных и технических средств, которые у вас установлены.

Вы не являетесь оператором персональных данных, если никаким образом не получаете, не храните и не обрабатываете вышеуказанную информацию в любом ее сочетании. 

Что делать интернет-магазину – оператору персональных данных чтобы избежать проблем?

Есть и хорошие новости: 1.

В соответствии с пунктом 5 части 1 статьи 6 Закона «О персональных данных» допускается обработка персональных данных без согласия субъекта персональных данных, если она необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

2. Также оператор вправе без уведомления Роскомнадзора осуществлять обработку ПДн, полученных в связи с заключением договора, стороной которого является субъект ПДн (пп.2 п.2 ст.22 №152-ФЗ от 27.07.2006г. «О персональных данных»).

Для того, чтобы это применить на практике, нужно, чтобы обработке ПДн предшествовало заключение договора с покупателем или начало его оформления.

В реальности при регистрации или оформлении заказа покупатель оставляет на сайте персональные данные (то, что Роскомнадзор относит адрес, ФИО, телефон и е-mail к персональным данным, ведомство давно обозначило).

Получается, что такие ПДн обрабатываются на стороне интернет-магазина до заключения договора.

Поэтому владельцу магазина для того, чтобы сослаться на положения закона, которые его освобождают от:

  • получения согласия субъекта персональных данных на их обработку;
  • уведомления Роскомнадзора об обработке ПДн для включения в специальных реестр операторов ПДн

желательно сделать следующее – разделить публичную оферту на 3 документа:

  1. Пользовательское соглашение, где прописаны: общие условия использования сайта, ответственность владельца сервиса,  как защищаются права на сайт и его контент, разрешение рассылок пользователям различных уведомлений, порядок разрешения споров. Пользовательское соглашение – это договор присоединения, который принимается пользователем без оговорок в полном объеме. Пользовательское соглашение позволяет заранее урегулировать возможные конфликтные ситуации, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию.
  2. Публичная оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин – мы уверены, что этот документ у вас давно есть на сайте и с ним нет никаких проблем;
  3. Политика конфиденциальности, которая описывает порядок обработки ПДн в связи с заключением а) договора на использование сайта по пользовательскому соглашению и б) договора купли-продажи по оферте. Утверждается приказом владельца сайта и размещается в офисе на видном месте, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. 

Политика конфиденциальности должна включать следующие положения:

  • перечень информации, которую собирает и обрабатывает сайт: персональные данные, иные сведения (например, информация, собираемая в автоматическом режиме: IP, cookie и др.);
  • цель сбора персональных данных и для чего они будут использоваться (например, для маркетингового исследования и др.);
  • требования к защите ПДн, включая случаи, когда персональные данные могут быть переданы третьим лицам;
  • изменения персональных данных (пользователь должен иметь возможность редактировать свои данные);
  • изменение Политики (как правило, владелец вносит изменения без предварительного уведомления и одновременно для всех пользователей, поэтому последним следует периодически просматривать Политику).

То есть все просто и логично: под каждое действие физлица свой договор и условия обработки его ПДн. 

Если все-таки сбор ПДн происходит до заключения договора или у вас есть сомнения в какой момент происходи сбор ПДн (а эти нюансы важны в спорах с Роскомнадзором), то владельцу интернет-магазина и сайта нужно сделать следующее, чтобы не получить штраф:

Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.

) разместить текст «Нажимая на кнопку «УКАЗАТЬ НАЗВАНИЕ КНОПКИ», я даю свое согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. Смысл в том, чтобы пользователь не мог отправить свои персональные данные без согласия на их обработку.

В согласие нужно включить условия, которые установила часть 4 статьи 9 Закона о персональных данных. Например, наименование и адрес оператора, который получает согласие; цель обработки персональных данных; их перечень.

Что еще рекомендуется сделать, чтобы быть спокойными, что требования Закона о персональных данных выполнены?

1. Сайт и хостинг должны находиться на территории РФ. На этот счет беспокоиться не нужно, серверы InSales находятся в нашей стране, это уже давно реализовано.

2. На сайте указать e-mail, по которому физическое лицо может написать – обратиться с требованием об изменении, удалении его ПДн и задать любые вопросы по его ПДн.

Желательно, чтобы это был не общий почтовый ящик типа info, pochta, pishitepisma и т.п.

, а выделенный специально для этого адрес, куда будут приходить письма только по тематике ПДн (так меньше вероятность того, что они потеряются в общей куче, не попадут в СПАМ и вы не отследите ответы по ним). 

Чем мы можем помочь нашим клиентам, чтобы вы могли привести свои сайты в соответствие с новыми правилами? 

По ссылкам ниже вы можете скачать образцы документов для сайта:

– пользовательское соглашение

– политика конфиденциальности

– договор-оферта

Источник: https://www.insales.ru/collection/doc-other/product/personalnye-dannye-informatsiya-dlya-vladeltsev-internet-magazinov

Политика конфиденциальности для сайта и Положение о персональных данных

В чем отличие политики обработки персональных данных от положения о защите ПД?

Разберемся, кому нужно иметь на сайте Политику конфиденциальности, или Политику по обработке персональных данных, и кому лучше составить Положение об обработке персональных данных.

Закон называет оператором персональных данных любое лицо, которое осуществляет любые действия с персональными данными.

Закон

Статья 3 федерального закона от 27.07.2006 №152-ФЗ “О персональных данных”. Основные понятия, используемые в настоящем Федеральном законе

2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных…

Хочется верить, цель законодателя едва ли была настолько глупой и абсурдной, чтобы фактически любое лицо провозгласить оператором персональных данных (смысл тогда вводить отдельный термин “оператор персональных данных”).

Любое – это практически действительно любое лицо. Скажем, физическое лицо заключило договор с индивидуальным предпринимателем, в договоре, разумеется, содержатся персональные данные предпринимателя.

Выходит, физлицо тоже обрабатывает персональные данные.

Спасительным кругом от такого буквального толкования не совсем корректно сформулированных норм должна была бы стать сфера действия закона о персональных данных, которая в ст. 1 закона 152-ФЗ сводится к следующему:

отношения, связанные с обработкой персональных данных, осуществляемой… лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Однако то, что хорошо начиналось, заканчивается фразой о доступе, который лицо, получившее персональные данные, будет иметь всегда.

Из сферы действия закона выведены только физические лица, получившие персональные данные при личных и семейных нуждах, и то только в том случае, если не нарушают права субъекта персональных данных.

Выведены, да опять коряво, ибо какие права? Ведь лицо наделяется правами субъекта персональных данных именно этим законом.

Или речь как раз о других правах, в том числе на неприкосновенность частной жизни, например?

Так что пока закон о персональных данных не изменили, всем предпринимателям (от мала до велика) желательно принимать внутренний, локальный акт, регулирующий обработку персональных данных, называемый обычно “Положение об обработке персональных данных”, а при получении персональных данных через сайт – размещать на нем т.н. “Политику конфиденциальности”, и последнее уже в обязательном порядке.

Однако далеко не через каждую форму обратной связи собираются персональные данные и лишь в исключительных случаях может быть действительно необходимо получать согласие на обработку персональных данных, если они действительно собираются какой-то формой связи.

Подробнее о дезинформации в СМИ и составе персональных данных читайте в статье 152-ФЗ: Согласие на обработку персональных данных и пресловутая Политика конфиденциальности.

Тем не менее, Роскомнадзор, конечно, любит тянуть одеяло на себя, относя к персональным данным даже ту информацию, по которой лицо никак не установить, в суд не подать.

Роскомнадзор, кстати, нередко трактует положения закона так, что Положение об обработке персональных данных как локальный документ (для внутреннего использования) должен быть у любого оператора персональных данных, иными словами – фактически у каждого предпринимателя.

Закон

Статья 18.1 федерального закона от 27.07.2006 №152-ФЗ “О персональных данных”. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться…

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.

Статья 13.11 КоАП. Нарушение законодательства Российской Федерации в области персональных данных

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных –

влечет предупреждение или наложение административного штрафа на граждан в размере от 700 до 1.500 рублей; на должностных лиц – от 3.000 до 6.000 рублей; на индивидуальных предпринимателей – от 5.000 до 10.000 рублей; на юридических лиц – от 15.000 до 30.000 рублей.

Непринципиально, как документ назвать: Политика конфиденциальности, Положение об обработке персональных данных, Политика по обработке персональных данных или как-то иначе. Положения Политики конфиденциальности для сайта могут быть вообще частью Пользовательского соглашения, Правил сайта, договора-оферты или иного подобного документа.

Важно – содержание. К нему закон предъявляет целый ряд требований. Поэтому лучше получить консультацию юриста и заказать разработку документа именно юристу. Документ должен отражать действительное положение дел у вас.

Поэтому не ищите шаблонов, образцов Положений о персональных данных (для внутреннего использования или для публичного размещения на сайте). Если вы неверно отразите фактическую ситуацию, вы можете быть оштрафованы.

Штраф за отсутствие на сайте Политики конфиденциальности (в той или иной форме, в том числе как часть Пользовательского соглашения) для юрлиц от 15.000 до 30.000 руб.

Юристы Kolosov.Law составят нужный вам документ примерно за равное штрафу вознаграждение, а если он будет частью Пользовательского соглашения, то обойдется еще дешевле.

Как в Политике конфиденциальности, размещаемой на сайте, так и в Положении об обработке персональных данных, принимаемом в качестве внутреннего документа, желательно предусмотреть несколько моментов и, соответственно, реализовать их:

  • кто конкретно и к каким конкретно персональным данным имеет доступ, и как данный доступ осуществляется;
  • установление паролей на компьютерах и серверах, на которых хранятся персональные данные, желательно в зашифрованном виде;
  • при хранении персональных данных на бумажных и иных подобных носителях таковые желательно держать в сейфах;
  • факты доступа к персональным данным нужно логировать (кто, к чему и когда получил доступ);
  • компьютер в целом должен быть защищен, то есть взлом, несанкционированный доступ должен быть максимально осложнен, что можно достигать за счет: установки пароля на включение компьютера, на доступ к операционной системе, использование антивирусной программы, использование фаерволов и иных подобных программ для защиты;
  • внедрение системы мониторинга подозрительных попыток доступа (взлома) и необычных запросов на доступ.

Закон

Приказ ФСТЭК России от 18.02.2013 №21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”

8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее – машинные носители персональных данных);

регистрация событий безопасности;

антивирусная защита;

обнаружение (предотвращение) вторжений;

контроль (анализ) защищенности персональных данных;

обеспечение целостности информационной системы и персональных данных;

обеспечение доступности персональных данных;

защита среды виртуализации;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи данных;

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее – инциденты), и реагирование на них;

управление конфигурацией информационной системы и системы защиты персональных данных.

Вообще, ряд нормативных документов предъявляет конкретные требования к обеспечению безопасности персональных данных. В частности, Постановление Правительства РФ от 01.11.

2012 №1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных” устанавливает уровни защищенности персональных данных, критерии возложения на оператора персональных данных обязанностей по соблюдению соответствующего уровня и минимальные конкретные действия для защиты персональных данных, которые должен предпринять оператор.

Источник: https://kolosov.info/kommentarii/politika-konfidencialnosti-polozhenie-o-personalnyh-dannyh

Ветка права
Добавить комментарий