1 июля 2017 года ужесточается законодательство о персональных данных. Разбор ситуации
Эксперт Илья Шагаев рассказывает об изменениях в законе о персональных данных: что изменится, какие будут последствия и как к этому подготовиться.
Добрый день!
Не сразу добрался до ответа )
1. Обязательна
2. Обработка ПДн с целями осуществления договора, одной из сторон которого является субъект ПДн, в законодательстве имеет существенные преференции. Это верно.
Но дальнейшие мейл-рассылки под эту категорию уже не подходят
3. Про регистрацию с именем/ником и мейлом я выше писал в комментариях
4. На сайте ПДн Роскомнадзора можно подать уведомление о включении в реестр в электронном виде, нет проблем. Это совсем нестрашная процедура.
Добрый вечер!
Статьи - из закона, 152-ФЗ. В них раскрываются вопросы общедоступных данных.
Законодательства "о бигдата" пока нет, поэтому тут невозможно дать ответ :) Что будет - пока неведомо.
Если вы хотите охватить вопрос более полно, то имеет смысл обратить внимание на законы "О рекламе", "Об информации", "О связи". Там тоже затрагиваются вопросы использования данных для коммуникаций.
Но, повторюсь, в вашем случае это явно чрезмерно.
Добрый день!
Многие пробелы в законодательстве начинаются с определения, которое обозначает термин "персональные данные". При желании трактовать можно довольно широко.
Сейчас самой распространенной (и адекватной) является формулировка "данные, по которым можно установить конкретного субъекта, т.е. частное лицо". Если по мейлу и имени вы можете идентицифировать его (например, написать "Здравствуйте, Илья") - значит, это ПДн. Хотя тут можно спорить и ломать копья... ilya_sdfkjhb@sdfkjh.ru - можно ли по этому мейлу однозначно идентифицировать частное лицо? Нет.
По-хорошему, с такими аморфными определениями в законодательстве, много зависит от вашего юриста - какую позицию он выберет и насколько будет готов ее отстаивать. А юристы, в свою очередь, не любят эту область законодательства и, как вы пишете "мало что могут ответить", как раз потому что много белых пятен. Им проще обозначить более-менее твердую и обоснованную законами и нормативкой позицию, чем вырабатывать свою, и потом за нее бороться.
В вашем случае надо проработать бизнес-процессы сбора данных на сайте и описать политику обработки таким образом, чтобы подвести данные к категории "общедоступные", а вашу работу вывести из сущности "обработка ПДн".
В общем-то, вы об этом и написали. См. статьи 10 и 22.
Ну и тот же совет, что уже давал выше - в любом случае напишите политику обработки. Лучше в ней указать, что вы "по таким и таким причинам не собираете и не обрабатываете ПДн", чем считать себя "не обрабатывающим" молча.
И в ней же указать, что данные оставляются общедоступными, и вообще в рамках сайта они не ПДн, т.к. имя и дата рождения, например, не дают возможности однозначно идентифицировать субъекта. К примеру, Андрей, 22 марта 53 года рождения - да их десятки и сотни, если не тысячи.
А там, где не нужно имя, пусть не оставляют, а оставляют ник - это тоже в политике прописать.
В общем, в вашем случае все можно обозначить довольно четко, и сформулировать как отсутствие обработки ПДн.
Добрый день.
Ни зона, ни контент ни при чем. Речь об обработке данных субъектов перс.данных, под которыми обычно понимают граждан РФ.
Т.е. если вы собираете ПДн граждан РФ, то должны обеспечить не только наличие политики обработки, но и хранить данные на территории РФ (тут отдельная, до сих пор не очень понятная история), и т.д.
Но, судя по описанию, вы ПДн не собираете, поэтому вас это не касается.
Хотя бы маленькую политику, в которой как раз будет написано, что вы не собираете ПДн, разместить имеет смысл.
Добрый день!
Выше в комментариях не раз обсуждалось. Вот буквально перед этим вопрос Вашего коллеги по цеху.
Почему все так опасаются реестра операторов?
Добрый день!
Не сразу добрался до ответа )
1. Обязательна
2. Обработка ПДн с целями осуществления договора, одной из сторон которого является субъект ПДн, в законодательстве имеет существенные преференции. Это верно.
Но дальнейшие мейл-рассылки под эту категорию уже не подходят
3. Про регистрацию с именем/ником и мейлом я выше писал в комментариях
4. На сайте ПДн Роскомнадзора можно подать уведомление о включении в реестр в электронном виде, нет проблем. Это совсем нестрашная процедура.
Добрый вечер!
Статьи - из закона, 152-ФЗ. В них раскрываются вопросы общедоступных данных.
Законодательства "о бигдата" пока нет, поэтому тут невозможно дать ответ :) Что будет - пока неведомо.
Если вы хотите охватить вопрос более полно, то имеет смысл обратить внимание на законы "О рекламе", "Об информации", "О связи". Там тоже затрагиваются вопросы использования данных для коммуникаций.
Но, повторюсь, в вашем случае это явно чрезмерно.
Добрый день!
Многие пробелы в законодательстве начинаются с определения, которое обозначает термин "персональные данные". При желании трактовать можно довольно широко.
Сейчас самой распространенной (и адекватной) является формулировка "данные, по которым можно установить конкретного субъекта, т.е. частное лицо". Если по мейлу и имени вы можете идентицифировать его (например, написать "Здравствуйте, Илья") - значит, это ПДн. Хотя тут можно спорить и ломать копья... ilya_sdfkjhb@sdfkjh.ru - можно ли по этому мейлу однозначно идентифицировать частное лицо? Нет.
По-хорошему, с такими аморфными определениями в законодательстве, много зависит от вашего юриста - какую позицию он выберет и насколько будет готов ее отстаивать. А юристы, в свою очередь, не любят эту область законодательства и, как вы пишете "мало что могут ответить", как раз потому что много белых пятен. Им проще обозначить более-менее твердую и обоснованную законами и нормативкой позицию, чем вырабатывать свою, и потом за нее бороться.
В вашем случае надо проработать бизнес-процессы сбора данных на сайте и описать политику обработки таким образом, чтобы подвести данные к категории "общедоступные", а вашу работу вывести из сущности "обработка ПДн".
В общем-то, вы об этом и написали. См. статьи 10 и 22.
Ну и тот же совет, что уже давал выше - в любом случае напишите политику обработки. Лучше в ней указать, что вы "по таким и таким причинам не собираете и не обрабатываете ПДн", чем считать себя "не обрабатывающим" молча.
И в ней же указать, что данные оставляются общедоступными, и вообще в рамках сайта они не ПДн, т.к. имя и дата рождения, например, не дают возможности однозначно идентифицировать субъекта. К примеру, Андрей, 22 марта 53 года рождения - да их десятки и сотни, если не тысячи.
А там, где не нужно имя, пусть не оставляют, а оставляют ник - это тоже в политике прописать.
В общем, в вашем случае все можно обозначить довольно четко, и сформулировать как отсутствие обработки ПДн.
Добрый день.
Ни зона, ни контент ни при чем. Речь об обработке данных субъектов перс.данных, под которыми обычно понимают граждан РФ.
Т.е. если вы собираете ПДн граждан РФ, то должны обеспечить не только наличие политики обработки, но и хранить данные на территории РФ (тут отдельная, до сих пор не очень понятная история), и т.д.
Но, судя по описанию, вы ПДн не собираете, поэтому вас это не касается.
Хотя бы маленькую политику, в которой как раз будет написано, что вы не собираете ПДн, разместить имеет смысл.
Согласно закону, оператор, осуществляющий обработку, должен быть зарегистрирован.
Физическое лицо тоже может быть оператором, по закону. И зарегистрироваться в реестре на сайте РКН физлицо тоже может.
Поэтому, строго говоря, и физ.лицу тоже надо регистрироваться в реестре. Хотя понятно, что до проверки их руки еще долго не дойдут. Да и сайт физлица вряд ли будет слишком массовым, по сравнению с операторами-юрлицами.
Добрый день!
См. выше, там на это ответили полностью )
Да и, повторюсь, документ-то простой, сделайте и все тут.
Все так, только надо различать политики конфиденциальности и обработки.
Да и не такие сложные это документы, лучше прописать и разместить.
Добрый день!
Странно, ответил быстро, а ответа на сайте нет. Инет сбойнул, видимо.
Дублирую.
1. Персональными данными являются те, по которым можно определить частное лицо. Т.е. просто номер телефона или мейл - не персональные данные, поскольку вы не знаете, кому это принадлежит.
2. А вот тут интересно. Если именно вы запрашиваете только контактную информацию, без имени - то вы не получаете персональных данных. А потом переадресуете пользователя на процессинг, и то имя (владельца карты), которое он там вводит, вы не связываете с полученным ранее номером телефона.
То есть, строго говоря, ваш сайт персональные данные не получает. Но пользователю-то это не ведомо. Только из политики обработки ПДн он может это понять.
Обращу внимание, что "политика конфиденциальности" и "политика обработки" - понятия разные. В вашем случае имеет смысл написать политику обработки, в которой как раз и указать, что а) вы не собираете, б) то, что в процессинге - это их данные, и никак не связаны с контактами, в) зачем контакты тогда...
Другими словами - можете и без политики, но тогда есть шанс, что придется доказывать регулятору очевидное. Куда проще это прописать заранее.
Андрей, не совсем так.Неплохо выглядит только быстрым взглядом. На деле процесс обращения субъекта перс.данных (рядового пользователя/покупателя) к оператору довольно сложен, и очень мало кто им будет пользоваться.
Эксперт Илья Шагаев рассказывает об изменениях в законе о персональных данных: что изменится, какие будут последствия и как к этому подготовиться.
1 июля 2017 года ужесточается законодательство о персональных данных. Разбор ситуации
Добрый день!
Выше в комментариях не раз обсуждалось. Вот буквально перед этим вопрос Вашего коллеги по цеху.
Почему все так опасаются реестра операторов?