Адрес для входа в РФ: exler.world
Обработка персональных данных
Если вы - юридическое лицо и на вашем сайте каким-то образом обрабатываются данные пользователей, то я вам очень рекомендую прочитать статью "Галочка на сайте всего через две недели станет стоить 300 000 рублей". Потому что галочка уже не через две недели станет стоить много-много денег, а послезавтра.
Между тем, с 1 июля 2017 г. в силу вступят изменения, значительно ужесточающие закон о персональных данных.
«Несмотря на то, что 152-ФЗ уже более 10 лет, примеров его действия практически нет. Привлекать к ответственности раньше могла только прокуратура, которой, по большому счету, делать это было некогда. К тому же штрафы за нарушения с точки зрения бизнеса были смешными — до 10 тыс. рублей. Однако скоро все изменится», — рассказывает Онегина Галичина, маркетолог РА «Карась».
С 1 июля 152-ФЗ переходит в зону ответственности Роскомнадзора, а выявлять нарушения станет выгоднее — штраф увеличился до 75 тыс. рублей. Этих изменений Роскомнадзор ждал давно. Теперь РКН может штрафовать не по одной статье 13.11 КоАП, а по семи. Совокупный штраф легко может составить несколько сотен тысяч рублей.
Ну и там в конце статьи приводится семь рекомендаций, цитирую:
Что же уже сегодня необходимо сделать владельцу сайта?
1 | На каждой форме сайта необходимо разместить текст следующего содержания: «Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных». Текст «согласие на обработку персональных данных» должен быть гиперссылкой собственно на документ согласия или публичной оферты.
2 | Утвердить политику в отношении обработки персональных данных и разместить ее в открытом доступе — прямо на своем сайте.
3 | Убедиться, что сайт находится на территории РФ — узнать адрес сервера. В противном случае его придется переносить.
4 | Указать на сайте электронный адрес, на который пользователь сможет обратиться с вопросом о своих персональных данных, в том числе об их удалении.
5 | Подать уведомление о намерении обрабатывать персональные данные в Роскомнадзор. Изначально форму нужно заполнить на сайте, потом заполненную форму распечатать, подписать и направить в соответствующий территориальный орган Роскомнадзора.
6 | Заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные и в каких целях оператор может обрабатывать, и какие действия с ними он может выполнять.
7 | Установить на сайт дисклэймера, уведомляющего посетителей о том, что их персональные данные обрабатываются. В случае несогласия посетитель должен покинуть сайт.
«Эти семь шагов едва ли перекроют 15% требований Роскомнадзора, но их достаточно для того, чтобы обезопасить свой бизнес и выиграть время на более тщательную проработку вопроса о защите персональных данных пользователей», — резюмировала Онегина Галичина.
Меня это, в общем, вроде не особенно касается, я не юридическое лицо, однако на форуме из персональных данных собираются адреса e-mail, поэтому я, на всякий случай, все рекомендации выполнил.
А если вы юридическое лицо и собираете какие-то данные, то данным вопросом вам нужно озаботиться как можно быстрее.
Как неверующий.
Мне не жалко...
"Поздравляю, Шарик, ты балбес!" (С) Кот Матроскин
Итог: персональные данные не пострадали, левые лекарства тем более.
идите-ка вы в dev null с такими законами.
Залупако, чой-то те законы не нравятся, отстающие от остального мира на пару лет? Иль ты из Антарктиды?
===
Интеренсно, а если РКН потребует уж я не знаю что... ну, чтобы в 9 нуль нуль, вы отжимались.
Что, тоже повинуетесь?
"Установить на сайт дисклэймера, уведомляющего..."
В этой фразе прекрасно всё! А если Дисклэймер будет занят, скеджул разве не надо прочекать.
"Установить на сайт дисклэймера, уведомляющего..."
В этой фразе прекрасно всё! А если Дисклэймер будет занят, скеджул разве не надо прочекать.
😄)))
Короче. Я - нажрался, чего делал - не помню, очнулся - прав... нет. Писец.
ок.
Зашел в МФЦ - типа они там права восстанавливают. Да, Петенька (не вирус!!!), пожалйста, приходитет к нам, вы нам заплатите две тыщи, за что фото и налог.
Щаз!
Полез в Госуслуги. Там интереснее. Вроде все заполнил, ан - нет! не дает дальше. Дальше - что, спрашиваю. А дальше, говорят мне Госуслуги, вы должны подтвердить свою личность. А то - хуй вам!
Мне не надо и еду подтверждать личность. В ПФ. Подтвердил! В Щелково. За 15 мин.
===
Короче, моя личность была подтверждение за полчаса, еще час - оплатил онлайн, записался в ЛЮБУЮ ГИБДД (мне пешком в Воронке понравилась), провел там 50 минут и получил права.
Ахренеть.
====
А! Еще. Если вы платите в терминале в ГИБДД, то с вас берут 10%....
Т.е. вы платите 2000+200 руб.
Через ГУ - всего 1400. Все!
Господа... Куда мы катимся?
Да щаз! Мои перс. данные. Кто умеет, тот достанет. А митрофанушкам от силовиков - хуй!
Тоже мне, бином Ньютона...
Интересно, а какие "персональные данные" представляют никнейм и отфонарная email на gmail, скажем?
Могу понять верифицируемые имя, адрес, номер телефона, скажем, для онлайн-магазина.
Но никнейм и email?
Есть ощущение, что сделано это все для того, чтобы стало ясно, кто за каждым сайтом стоит. А если не зарегистрировался в РКН, то и основания прикрыть (пусть и на время) будут.
ps. Ну и вариант про "ничего не делать, вас вряд ли найдут" в той же коммерции (а даже частный бложек для кого-то будет коммерция, ибо трафик) не сработает, ибо конкуренты с радостью будут стучать на всех, кого только можно.
Ну и все это фигня на фоне того, что они с онлайн-кассами замутили тоже с 1 июля. Такой геморрой для малого бизнеса (про затраты уже молчу), особенно в случае онлайн-платежей, что ужас. Причем, идея по сути своей неплохая (как для государства, которое хочет повысить собираемость налогов, так и для бизнеса при грамотном подхоже), но реализация у нас, как всегда... Хотя, Атолл, наверное, несколько миллиардов заработал уже ))
А ведь верно! Собираешь в телефоне контакты — регистрируйся как оператор персональных данных. Тем более, что эти данные дублируются в каком-нибудь iCloud на нескрепном Западе.
Для оператора ИС - он же оператор ИСПДн (не гос. орган, обычный частный сайт, где обработка ПДН является просто частью функционала, то есть, оператор обрабатывает ПДн только для статистики или чего-то вроде этого).
ЕстьТри варианта.
1. Не делать ничего. Не светить нигде в сети форму ввода ПДн.
Вас наверное никогда не найдут и не придут с проверкой. У РКН очень мало ресурсов, чтобы проверять всякие мелкие/средние организации.
Если все-таки придут, то всегда можно сказать, что обработка ПДн только планируется. Сейчас она не ведётся. Это отсрочка позволит что-то сделать из варианта 2 или 3.
2. Купить услугу "под ключ". Рынок услуг по защите информации находится ровно в таком же стагнирующем состоянии как и все в России. От 400 до 1 000 тыс. руб. (Без учета стоимости СЗИ). И ваши проблемы решат. Это с учетом аттестатции, которую, поскольку она необя]зательна, можно и не проводить. В общем, это D&G - дорого и глупо, но у кого денег много, безопасники всегда рады таким клиентам.
3. Делать все самим. По уму. Во-первых, воспользоваться советами подобных статей. Но нужно подходить творчески, осознавая следующее:
- РКН, в основном, проводит документарные проверки. Есть бумажка - ок. Не пойдут они смотреть настройки файрвола на их соответствие ОРД и МУ.
- У РКН, нет четкого перечня документов, который им нужно предъявить, при проверке. Каждый оператор сам решает какие ОРД внедрять, поэтому они ищут ответы на вопросы поставленные ФЗ и приказами ФСТЭК/ФСБ. Главное понимать на какой вопрос конкретный ОР документ отвечает, для этого нужно все-таки ознакомиться с законодательством.
- Так как оператор сам решает, какие угрозы он считает актуальными, какие ПДн он обрабатывает, то с помсощью орг. мер можно закрыть большинство угроз и затраты на СЗИ свести к минимуму. Главное все обосновать с помощью ОРД.
- И тут самый цимес. Если задача стоит только прикрыться перед РКН, то можно просто тупо все ОРД скопипастить из сети. Полно разных вариантов валяется. Да, РКН поймёт, что подход поверхностный, но если все будет правильно оформлено, и на все вопросы будут даны, пусть тупые, но ответы, то оснований для санкций быть не должно. Главное покажите ему минимум. Одна система, минимальный перечень ПДн. И вуаля.
А так как РКН будет смотреть только то, что вы ему покажете, то он и не узнает о том, что вы ему не покажете. А сам он искать не должен - нет ресурсов и квалификации проверяющих.
Зачем аттесовываать ИСПДн? Это обязательно только для ГИС. Поэтому все требования регуляторов по вопросам соответствия их требованиям нужно посылать лесом. У нас основополонающий документ 152-ФЗ. Эти ебаные ГИСы идут по 149-ФЗ. И как следствие 17-й приказ. Простым комерсам, не ФОИВ, не муниципалам, эти ебаные требования по соответтсвию нахер не нужны. Тупо 152-фз исполните в первом приближении, и все. По опыту, РКН так радуется, когда хоть что-то по закону сделано, что после значительно лояльнее проверка идет.
Bamboliny
Зачем аттесовываать ИСПДн? Это обязательно только для ГИС. Поэтому все требования регуляторов по вопросам соответствия их требованиям нужно посылать лесом. У нас основополонающий документ 152-ФЗ. Эти ебаные ГИСы идут по 149-ФЗ. И как следствие 17-й приказ. Простым комерсам, не ФОИВ, не муниципалам, эти ебаные требования по соответтсвию нахер не нужны. Тупо 152-фз исполните в первом приближении, и все. По опыту, РКН так радуется, когда хоть что-то по закону сделано, что после значительно лояльнее проверка идет.
Любой разумный человек сначала изучит все возможности, что бы все эти Ф и прочую хрень вообще никогда не знать. Типа или онлайн бизнес на забугор переориентировать или самому свалить нафиг.
Эти козлы хоть кому нибудь когда нибудь отчитались о результатах защиты? сколько людей было спасено от "потери персональных данных" с помощью их дряни? Вопрос риторический конечно.
ст. 23 ГК РФ
---
3. К предпринимательской деятельности граждан, осуществляемой без образования юридического лица, соответственно применяются правила настоящего Кодекса, которые регулируют деятельность юридических лиц, являющихся коммерческими организациями, если иное не вытекает из закона, иных правовых актов или существа правоотношения.
---
Алекс, Вы, насколько я помню из постов о размещении рекламы, зарегистрированы как ИП, т.ч. эта хрень тоже вполне может на Вас распостраняться
Да, вполне возможно.
Слушайте, так это что ж получается? Алиэкспресс все? Что то я сомневаюсь что попытка убедиться, что их сервера расположены в Росси приведет к неожиданному результату.
Тот же вопрос. И не только алиэкспресс, а вообще все иностранные - да и частью отечественные - интернет-магазины.
Хотя 152ФЗ в принципе, с оговорками допускает передачу ПД на территорию иностранных государств.
Йоп! Надо убрать форму обратной связи с персонального сайта. Я, конечно, не юрик, но бегать по судам и доказывать это нет никакого желания. Как и выполнять чокнутую бумажную камасутру.
Кажется, лучше так и сделать. Мне на эту форму и так пишут 1 раз в год, если не реже.
Так это касается ИП или нет?
Я думаю, что лучше выполнить все, что рекомендуется. Я, например, выполню.
Мне кажется (ключевое слово "кажется", я не очень в теме), это касается не только юридических лиц по двум причинам:
- У нас очень мало законов такого типа, которые относятся к юридическим лицам, но не относятся к индивидуальным предпринимателям.
- В законе оператор определен так "2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие"
Но если знающие люди уточнят - будет еще лучше.
Мне тоже кажется, что вздрючить могут кого угодно.
Не самый плохой вариант. Честно говоря тот пофигизм, что творится с ПДн в России - зеркальное отражение закручивания гаек сегодня. Ну и все-таки обработка и защита ПДн неплохо методизированы. И чтобы не попасть под РКН нужно просто исполнить по пунктам 152ФЗ, приказы 21, 378 (при необходимости), пп 1119. Да, нормальную модель угроз самостоятельно написать сложновато будет. Но можно привлечь лицензиата ФСТЭК (если денег много). Или сделать на отъебись. Модель будет херня, но на штраф не попадешь. Итого все расходы будут только на ср-ва защиты по 3-му УЗ, которые и так у нормального оператора должны быть. Это, если на отъебись делать.
Бляяя, что это было? Если это сарказм, то высшего пилотажу. Если нет... Не знаю, но все равно не буду гуглить половину слов из вашего комментария. В любом случае восхищен.
Вы забыли перечислить анальный зонд.
Конечно, можно выполнить эти почти бесполезные рекомендации, но на твоем сайте ведь не обрабатываются и не хранятся никакие перс.данные кроме твоих собственных (фото с именем и фамилией). А если начнешь делать вид, что заинтересован в защите ПДн, вот этот как раз автоматом и дает понять, что какие-то ПДн на сайте обрабатываются. Наоборот, надо уверять, что ПДн сайт не собирает целенаправленно для какой-то последующей обработки.
Underkhaan:
Но можно привлечь лицензиата ФСТЭК (если денег много). Или сделать на отъебись. Модель будет херня, но на штраф не попадешь.
Одна модель бесполезна. Надо аттестовать систему, иначе модель, даже написанная лицензиатом и согласованная со ФСТЭК, будет просто бумажкой.