Какая персональная информация размещенная на онлайн ресурсе. Оценка уровня цифровой грамотности
8 апреля 2017 года педагогам, обучающимся и их родителям было предложено самостоятельно определить уровень освоения знаний, полученных в ходе «Недели безопасного Интернета», с помощью теста «Оценка уровня цифровой грамотности по управлению персональными данными в Интернете». Данный тест взят из учебно-методического пособия для работников системы общего образования «Практическая психология безопасности: управление персональными данными в Интернете» авторов Солдатовой Г.У., Приезжевой А.А., Олькиной О.И., Шляпникова В.Н., Самотестирование направлено на выявление пробелов в знаниях тестируемых и поможет в определении дальнейшего плана работы по направлению «Обеспечение информационной безопасности школьников».
ОЦЕНКА УРОВНЯ ЦИФРОВОЙ ГРАМОТНОСТИ
ПО УПРАВЛЕНИЮ ПЕРСОНАЛЬНЫМИ ДАННЫМИ В ИНТЕРНЕТЕ
Данный тест направлен на оценку уровня цифровой грамотности школьников в сфере управления персональными данными в интернете и может быть использован для оценки эффективности освоения программы учащимися. Методика представляет собой набор из 20 тестовых заданий с одним верным вариантом ответа. На выполнение теста отводится 30–40 минут.
Инструкция
Вам будет предложено 20 заданий, касающихся вопросов безопасности обращения с персональными данными в интернете. Среди вариантов ответа есть только один правильный. Ваша задача - выбрать и отметить тот вариант, который вы считаете верным. На выполнение всего теста отводится не более 40 минут.
1. Какая информация может быть отнесена к персональным данным?
A. Фамилия, имя, отчество.
B. Дата и место рождения.
C. Место учебы.
D. Политические и религиозные убеждения.
2. Какие из приведенных персональных данных позволяют однозначно идентифицировать пользователя в нашей стране?
A. Имя, фамилия, год рождения.
B. Фамилия, год рождения, номер школы.
C. Имя, номер паспорта РФ, город проживания.
D. Имя, фамилия, город проживания.
3. Этим летом Маша Иванова вместе с классом ездила в Царское Село. В конце экскурсии классный руководитель сделал групповую фотографию класса на фоне Екатерининского дворца. Фотография получилась удачной, поэтому учитель поместил ее на своей странице в социальной сети с подписью «9 “Б” в Царском Селе» и отметил на ней несколько человек, включая Машу. Какая информация о Маше Ивановой содержится в этой записи?
A. Внешние данные.
B. Место учебы.
C. Место проведения экскурсии.
D. Имена одноклассников Маши Ивановой.
E. Все предложенные варианты.
4. На выходных Вася гостил у своего друга Пети. Пару раз он воспользовался компьютером друга, чтобы оформить покупку новой компьютерной игры в интернет-магазине и почитать новости. Какая персональная информация Васи могла сохраниться на Петином компьютере?
A. История поисковых запросов.
B. История посещений сайтов.
D. Скачанные файлы.
E. Ни один из предложенных вариантов.
5. Ксюша, находясь в кафе с подругой Светой, воспользовалась ее ноутбуком для входа в браузер. Что нужно сделать Ксюше, чтобы оставить минимум личной информациина Светином ноутбуке?
A. Очистить журнал посещений после выхода из браузера.
B. Не сохранять пароли во время работы в сети.
C. Использовать режим инкогнито во время работы в браузере.
D. Сменить пользователя на ноутбуке.
E. Очистить папку временных файлов после работы за компьютером.
6. Таня познакомилась с Колей на портале популярной онлайн-игры Lineage. Долгое время они играли за одну команду и не раз выручали друг друга в виртуальных боях. Как-то раз Таня собралась в очередной рейд, но в последний момент узнала о контрольной работе по геометрии и поняла, что не сможет принять участие в сражении. Коля предложил Тане дать пароль от ее аккаунта Колиному другу, который бы мог заменить ее на время в игре. Как лучше всего поступить Тане в такой ситуации?
A. Коля поручился за своего друга, поэтому можно спокойно передать ему пароль.
B. Нет ничего страшного в том, чтобы сообщить пароль другому игроку - это всего лишь игра.
C. Колиному другу можно передать пароль - даже если он украдет аккаунт, его можно будет восстановить.
D. Следует отказаться от Колиного предложения, поскольку пользовательское соглашение запрещает игрокам передавать пароль третьим лицам.
E. Тане нужно собрать максимум информации о Колином друге, а потом принять окончательное решение.
7. При регистрации на сайте у вас запросили номер телефона. В каком случае это наиболее безопасно?
A. Вы регистрируетесь на крупном и хорошо известном онлайн-ресурсе, например, на портале Mail.ru.
B. Вы первый раз совершаете покупку в интернет-магазине, на сайте которого размещены положительные отзывы других пользователей.
C. Вы регистрируетесь на игровом портале, который порекомендовали вам ваши друзья и знакомые.
D. Вы хотите скачать новый фильм на файлообменнике, и от вас требуется регистрация во всплывающем окне.
E. Во всех обозначенных выше случаях.
8. Какой из приведенных паролей можно считать самым надежным?
A. SupermanVasya2005.
B. QwErTy123456.
C. A!z8@;).
D. Q1jk45)@da.
E. M@$h@2oo!
9. Какой из способов хранения пароля от аккаунта можно считать самым надежным?
A. В записной книжке в нижнем ящике письменного стола.
B. В текстовом файле в скрытой папке на компьютере.
C. В специальной программе, бесплатно скачанной в интернете.
D. Все перечисленные выше способы можно считать полностью надежными.
E. Все перечисленные выше способы считать полностью надежными нельзя.
10. Однажды вечером Аня обнаружила, что кто-то взломал ее аккаунт, разместил на ее стене неприличные изображения и стал рассылать оскорбления ее друзьям в личной переписке. Аня восстановила доступ к аккаунту и поменяла пароль, но было поздно. Многие удалили ее из друзей и добавили в «черный список», а кто-то даже перестал разговаривать в школе. Что следует сделать Ане для того чтобы восстановить свою репутацию?
А. Удалить все неприятные сообщения со своей страницы.
B. Разместить на странице пост, разъясняющий причины произошедшего, и извиниться перед читателями.
C. Сменить пароли ко всем аккаунтам на других онлайн-ресурсах.
D. Постараться лично поговорить с самыми близкими друзьями и объяснить им ситуацию.
11. В социальной сети Вове пришло личное сообщение, в котором сообщалось о попытке взлома его аккаунта с чужого устройства. Вове настоятельно рекомендовалось пройти по ссылке, указанной в сообщении, для смены пароля. Как правильно поступить в такой ситуации?
B. Проигнорировать письмо и добавить его в спам.
C. Написать в ответ гневное письмо с критикой работы социальной сети.
D. Самостоятельно зайти в свой аккаунт социальной сети и сменить пароль.
E. Ответить на это письмо и уточнить информацию.
12. Мила решила начать вести здоровый образ жизни. Она скачала на смартфон фитнес-трекер, который позволяет регистрировать пройденное расстояние и количество калорий, потраченных во время занятий спортом. Приложение было бесплатным, но требовало обязательного доступа к определенному набору персональных данных и функций смартфона. Какое из этих требований можно
A. Доступ к фотокамере и медиафайлам, хранящимся на устройстве.
B. Информация о местонахождении и перемещении.
C. Возможность совершать покупки внутри приложения.
D. Пол, возраст, вес, рост.
E. Все перечисленные требования разумны.
13. Какая персональная информация, размещенная на онлайн-ресурсе, должна быть удалена из поисковой системы по запросу пользователя?
A. Любое групповое фото, на котором есть изображение данного пользователя.
B. Перепост пользовательского поста, размещенного в открытом доступе на странице данного пользователя в социальной сети.
C. Номер паспорта или любого другого официального документа пользователя.
D. Никакая персональная информация о пользователе не подлежит обязательному удалению.
E. Любая персональная информация должна быть удалена из интернета по запросу пользователя.
14. Как поступить, если злоумышленники взломали ваш аккаунт на онлайн-ресурсе и поменяли пароль и адрес почтового ящика, к которому был привязан аккаунт?
A. Не стоит тратить силы на восстановление аккаунта - всегда можно завести новый.
B. Обратиться к администрации ресурса с просьбой восстановить вам доступ к аккаунту.
C. Обратиться к злоумышленникам с просьбой вернуть аккаунт.
D. Обратиться к знакомому хакеру с просьбой взломать ваш аккаунт еще раз и вернуть его законному владельцу.
E. Это безвыходная ситуация - потерянный аккаунт в принципе невозможно вернуть.
15. Влад - Наташин сосед по парте и очень любопытный юноша. Какое из действий Влада будет являться нарушением Наташиной приватности?
A. Рассказал одноклассникам о том, что у Наташи аллергия на сладкое.
B. Сфотографировал спящую на парте Наташу и выложил это фото в социальную сеть.
C. Взял с парты Наташин смартфон и посмотрел историю звонков.
D. Прочел вслух записку, которую Наташа написала перед уроком Ване.
E. Все вышеперечисленные варианты.
16. Какие виды Наташиных персональных данных Влад может распространять с полной уверенностью в том, что это никак ей не навредит?
A. Номер телефона, Ф.И.О. родителей, домашний адрес.
B. Страна проживания, номер школы, информация о перенесенных заболеваниях.
C. Хобби, номер и адрес школы, логин от страницы в социальной сети.
D. Возраст, рост и вес, оценки в журнале.
E. Никакие из перечисленных видов данных.
17. Какое из утверждений является полностью верным?
A. Каждому человеку необходимо защищать свою персональную информацию и сохранять как можно больше сведений о себе в тайне от других людей.
B. Каждый человек может самостоятельно решать, какая информация и при каких условиях может быть сохранена в секрете или передана другим людям.
C. Бесполезно контролировать свои персональные данные в интернете, поэтому нет смысла об этом беспокоиться.
D. Каждому человеку следует предоставлять как можно больше сведений о себе, поскольку это позволяет пользоваться всеми возможностями интернета.
E. Ни один из перечисленных вариантов.
18. Оля рассталась с Васей и теперь встречается с Антоном. Они часто гуляют, делают совместные фотографии и выкладывают их в сеть. Оля по-прежнему хорошо относится к Васе, но не хочет расстраивать его фотографиями с новым молодым человеком. Как ей лучше поступить?
A. Ограничить для Васи доступ к своим фотографиям.
B. Прекратить выкладывать свои фотографии в социальную сеть.
C. Попросить Васю не заходить на ее страницу.
D. Удалить Васю из друзей.
E. Внести Васю в «черный список».
19. Выберите верное утверждение. Авторские посты, размещаемые пользователями в социальных сетях и блогах...
A. Показывают уникальность человека и всегда позитивно влияют на его репутацию.
B. Никогда не содержат персональной информации, поэтому их публикация не влечет за собой серьезных последствий.
C. Оцениваются читателями по-разному, поэтому невозможно предсказать, как публикация поста отразится на репутации его автора.
D. Всегда содержат излишнюю персональную информацию о человеке, что может навредить не только его репутации, но и личной безопасности.
E. Не содержат ничего хорошего, поскольку свидетельствуют исключительно о желании похвастаться.
20. Каких правил НЕ стоит придерживаться, публикуя информацию в интернете?
A. Писать посты, руководствуясь первым эмоциональным порывом, - с целью донести до читателя бурю своих эмоций.
B. Публиковать сведения и комментарии о важных фактах и событиях только после их проверки в нескольких источниках.
C. Выкладывать в сеть данные о другом человеке только в том случае, если он дал на это свое предварительное согласие.
D. Оценивать публикуемую информацию с точки зрения различных категорий пользователей.
E. Все вышеперечисленные правила верны.
Правильные ответы
1 - E , 2 - C , 3 - E , 4 - B , 5 - C , 6 - D , 7 - A , 8 - D , 9 - E , 10 - Е, 11 - D , 12 - A , 13 - C , 14 - B , 15 - E , 16 - E , 17 - B , 18 - A , 19 - C , 20 - А.
Уровень освоения программы оценивается
в соответствии со следующей таблицей:
Количество правильных ответов Примерная оценка по пятибалльной шкале
17–20 Отлично
14–16 Хорошо
10–13 Удовлетворительно
Менее 10 Неудовлетворительно
Сегодня мы хотим поговорить с вами о персональных данных, политике конфиденциальности, пользовательском соглашении и о грядущих изменениях. Может вы знаете, а может и нет, но с 1 июля 2017 года вступают в силу изменения в статью 13.11 КоАП РФ. Операторам персональных данных, всем владельцам сайтов с формами обратной связи, а также лицам, обрабатывающим персональные данные, необходимо внести коррективы дабы избежать в будущем наложения штрафов, увеличенных последними изменениями законодательства.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.
[свернуть]
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, — влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.
4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей.
5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей.
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния — влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей.
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных — влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.
[свернуть]
Таким образом, с 01 июля 2017 года у контролирующих органов появляется широкое поле применения штрафных санкций в отношении операторов персональных данных, с одного до СЕМИ оснований. А общий размер штрафов увеличится с 10 000 рублей до 290 000 рублей. Много это или мало решать вам, но дочитать нашу заметку все же стоит.
Чтобы вы были в курсе и понимали, как действовать и за что вам может грозить штраф предлагаем вниманию следующий FAQ:
1. Что такое персональные данные?
Это любые сведения о человеке вместе или по отдельности, будь то имя, фамилия, номер телефона, его электронная почта и пр. Поскольку сегодня практически на всех интернет-ресурсах присутствуют подписки на рассылку, формы для регистрации пользователей или формы обратной связи, которые тем или иным способом собирают персональные данные пользователей, автоматически почти все владельцы сайтов являются операторами персональных данных, пусть даже и не подозревая об этом.
2. Политика конфиденциальности, что это такое?
Это локальный акт, в котором указано то, каким образом вы работаете с персональными данными. К данному документу вы обязаны предоставить неограниченный доступ и, если у вас есть сайт, разместить его в «подвале» вашего сайта. И как вы понимаете, в противном случае можете быть привлечены к административной ответственности по 13.11 КоАП РФ.
3. Политика конфиденциальности должна быть размещена на любом сайте?
Нет не на любом. Размещать политику стоит в том случае, если вы являетесь оператором персональных данных, то есть каким-либо образом получаете персональные данные пользователей.
На данный момент большинство интернет сайтов собирают персональные данные через регистрационные формы, формы обратной связи и заказа товаров и т.д.
4. Нужно ли получать согласие на обработку персональных данных?
Обязательно! Этого требуют положения ФЗ «О персональных данных». На интернет сайтах это реализуется включением в формы обратной связи, формы подписки на рассылку, формы для регистрации пользователей и другие формы ссылки на политику конфиденциальности и соответствующего текста.
5. Как назвать документ?
В ФЗ «О персональных данных» сказано, что «Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных…». Поэтому документ мы назовем «политика в отношении обработки персональных данных».
6. Есть ли общепринятая политика организации в отношении обработки персональных данных (шаблон документа)?
Подобных шаблонов достаточно в сети интернет, такой документ содержит: общие положения, сведения об операторе, способы обработки персональных данных, перечень обрабатываемых персональных данных по субъектам персональных данных, цели обработки персональных данных, права субъектов персональных данных и оператора персональных данных и др. Тем не менее при разработке политики следует исходить из специфики деятельности конкретной организации, целей получения и обработки персональных данных. Бесплатные шаблоны как всегда нужно использовать с умом.
7. Уведомление об обработке персональных данных, что это такое, как подать и т.п.?
О своем намерении осуществлять обработку персональных данных вы должны уведомить Роскомнадзор, а последний в свою очередь обязан включить вас в реестр операторов персональных данных.
Уведомление можно подать заполнив форму по ссылке , дополнительно правильным является направление уведомления и посредством Почты России, мало ли чего у них может случиться. Они даже сами себя уже блокируют, а потерять базу совсем легко.
8. Могу ли я не подавать уведомление об обработке персональных данных?
Уведомление Роскомнадзора является ОБЯЗАННОСТЬЮ оператора персональных данных. Все немногочисленные исключения указаны в ФЗ «О персональных данных» .
9. Кто может инициировать проверку?
Проверка может быть назначена по заявлению любого субъект персональных данных, персональные данные которого вы обрабатываете. То есть любой «доброжелатель» вполне так может добавить вам «немного» лишних хлопот.
10. Необходимо ли внести в шаблоны договоров корректировку с учетом требований ФЗ «Об обработке персональных данных»?
Да. Связано это с тем, что, в том или ином случае, вы не только обрабатываете, но и используете персональные данные контрагентов, а порой эти данные передаете и третьим лицам.
В соответствии со статьей 20 ФЗ «О персональных данных» вам предоставляется 30 дней на предоставление информации по запросу Роскомнадзора. Вы вероятно подумали, что уж точно за 30 дней успеете подготовиться? Не спешите с выводами. Политика конфиденциальности и пользовательское соглашение — это всего лишь маленькая толика документов, которые могут быть у Вас запрошены Роскомнадзором.
Примерный перечень документов, который может запросить Роскомнадзор для проверки
1. Общие сведения
1.1. Копия документа о назначении законного представителя Оператора, уполномоченного представлять интересы юридического лица при проведении проверки.
1.2. Справка о статусе Оператора как субъекта малого предпринимательства с указанием типа предприятия (малое предприятие, микропредприятие, иное).
1.3. Копия Устава юридического лица.
1.4. По каждому из видов деятельности Оператора, перечисленных в Уставе Общества указать:
– категории субъектов ПДн, ПДн которых обрабатываются;
– перечень обрабатываемые категории ПДн отдельно по каждой категории субъектов ПДн;
– цели обработки ПДн по каждой категории субъектов ПДн;
– информационную систему ПДн (далее – ИСПДн), в которой осуществляется обработка ПДн, отдельно по каждой категории субъектов ПДн;
– правовое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта, иное).
1.5. Справка о правовых основаниях осуществления обработки ПДн без подачи Уведомления об обработке ПДн с приложением подтверждающих документов (в случае непредставления Уведомления);
1.6. Документы, позволяющие установить адрес местонахождения, территориальное расположение зданий, сооружений, помещений, офисов и т.п., принадлежащих Оператору либо арендуемых Оператором и сдаваемых в субаренду другим лицам. Приложить копии договоров аренды со всеми приложениями в отношении адреса фактического осуществления деятельности, документы и схемы, позволяющие точно разграничить офисные помещения (рабочие места), используемые Оператором единолично и/или совместно с субарендаторами.
1.7. Копия штатного расписания (действующего на момент проверки).
1.8. Справка, в соответствии со штатным расписанием, о структурных подразделениях, в которых Оператором организована обработка ПДн: их адрес местонахождения, этаж, № кабинета, контактная информация.
1.9. Копию документа о назначении ответственного за организацию обработки ПДн. Копия должностного регламента (должностные обязанности) или должностная инструкция ответственного за организацию обработки ПДн.
1.10. Копии документов, определяющих политику Оператора в отношении обработки ПДн;
1.11. Все изданные Оператором действующие локальные акты, отражающие следующие вопросы обработки ПДн (в случае издания общего документа указать соответствующий пункт, раздел и т.п.):
1) Цели обработки ПДн;
2) Правое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта);
3) Категории субъектов ПДн, чьи ПДн обрабатываются;
4) Категории ПДн по каждой категории субъектов ПДн соответственно;
5) Описание порядка, способов и методов обезличивания ПДн, для каких целей осуществляется обезличивание ПДн, в отношении каких субъектов ПДн и категорий ПДн осуществляется обезличивание;
6) Срок обработки ПДн субъектов ПДн (в электронной форме, на материальных носителях);
7) Срок хранения ПДн субъектов ПДн (в электронной форме, на материальных носителях);
8) Места хранения материальных носителей ПДн;
9) Условия уничтожения ПДн субъектов ПДн и порядок его осуществления (в электронной форме, на материальных носителях), копии актов об уничтожении ПДн;
10) Перечень лиц, имеющих доступ и непосредственно допущенных к работе с ПДн субъектов ПДн (в электронной форме, на материальных носителях).
1.12. Копии локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
1.13. Копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
1.14. Копии документов, подтверждающих осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам оператора.
1.15 Копии документов, подтверждающих осуществление ознакомления работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
1.16. Типовые формы документов (анкеты, опросные листы и т.п.), характер информации в которых предполагает или допускает включение в них ПДн. Приказы, утверждающие указанные типовые формы.
1.17. Копии журналов (реестров, книг), содержащих ПДн, необходимых для однократного пропуска субъекта ПДн на территорию, на которой находится
Оператор.
1.18. Документы, подтверждающие принятие мер при обработке персональных данных по обеспечению в отношении каждой категории персональных данных возможности определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
1.19. Документы, подтверждающие принятие мер по обеспечению раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
1.20. Документы, подтверждающие принятие мер по соблюдению условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ при хранении материальных носителей. Представить установленный Оператором перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также представить перечень лиц, ответственных за реализацию указанных мер.
1.21. Документы, подтверждающие информирование лиц, осуществляющих обработку ПДн без использования средств автоматизации (сотрудников Оператора и (или) лиц, осуществляющих такую обработку по договору с Оператором) о факте обработки ими ПДн, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Оператора (при их наличии).
1.22. Копии подписанных письменных согласий субъектов ПДн (по одному по каждой категории субъектов ПДн) на обработку их ПДн, в том числе копии подписанных письменных согласий субъектов ПДн на обработку биометрических ПДн, специальных категорий ПДн, на принятие решений на основании исключительно автоматизированной обработки ПДн, на осуществление трансграничной передачи ПДн на территорию иностранного государства, не обеспечивающего адекватную защиту ПДн.
1.23. Материальные носители (заполненные анкеты, заявления, резюме и т.п.) содержащие ПДн, полученные от субъектов ПДн, отдельно для каждой категории субъектов.
1.24. Материальные носители (заполненные анкеты, заявления, резюме и т.п.), содержащие ПДн, полученные на законном основании (договор, закон и иное), отдельно для каждой категории субъектов.
1.25. Электронные носители (заполненные анкеты, реестры, заявления, резюме и т.п.), содержащие ПДн, полученные от субъектов или (и) на законном основании (договор, закон и иное), отдельно для каждой категории субъектов.
1.26. Сведения, подтверждающие правомерность обработки биометрических ПДн. Приложить подтверждающие документы.
1.27. Сведения, подтверждающие правомерность обработки специальных категорий ПДн. Приложить подтверждающие документы.
1.28. Сведения, подтверждающие правомерность принятия решений на основании исключительно автоматизированной обработки ПДн. Приложить подтверждающие документы.
1.29. Сведения, подтверждающие правомерность осуществления трансграничной передачи персональной данных. Приложить подтверждающие документы.
1.30. Сведения, подтверждающие правомерность осуществления обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации. Приложить подтверждающие документы.
1.31. Справка о порядке получения Оператором согласия субъекта ПДн на предоставление доступа неограниченному кругу лиц к его ПДн в случае необходимости такого доступа.
1.32. Справка о порядке осуществлении обработки ПДн в случаях, необходимых для защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн.
1.33. Копии договоров, одной из сторон которых является субъект ПДн (работник, клиент и т.п.), по одному договору для каждой категории субъектов.
1.34. Копии всех договоров, заключенных с третьими лицами, касающихся поручения (поручение обработки другому лицу и обработка по поручению другого лица) на обработку ПДн, по одному договору для каждой категории субъектов.
1.35 Копии обращений от граждан (за два последних календарных года, включая текущий) по вопросам уточнения, удаления, уничтожения ПДн, рассмотренные Оператором. Копии ответов Оператора и принятые меры по обращениям граждан с приложением копий документов о принятых мерах.
2. Кадровый блок
2.1. Справка о порядке поиска и подбора персонала с приложением подтверждающих документов. В справке в отношении ПДн соискателей на замещение вакантных должностей указать: источник получения ПДн; правовое основание обработки; цель обработки; порядок получения, записи, использования хранения (место хранения, испдн); лиц имеющих доступ; порядок и условия уничтожения. Дополнительно указать лиц, которым осуществляется передача ПДн, а также поручение обработки ПДн, приложить копии договоров со всеми приложениями.
2.2. Форма согласия соискателя на замещение вакантной должности на обработку ПДн. Копию заполненной формы, содержащую ПДн соискателя.
2.3. Форма согласия посетителя офиса на обработку ПДн. Копию заполненной формы, содержащую ПДн посетителя.
2.4. Форма согласия работника Оператора на обработку ПДн. Копию заполненной формы, содержащую ПДн работника.
2.5 Форма согласия родственников работников на обработку ПДн. Копию заполненной формы, содержащую ПДн родственников работников.
2.6 Справка о составе документов, входящих в личное дело работника Оператора.
2.7 Справка о порядке передачи ПДн работников третьим лицам. С приложением подтверждающих документов.
2.8 Справка о порядке оформления зарплатного проекта с приложением следующих документов. Приложить Копию договора, заключенного с банком.
2.9. Справка об осуществлении медицинского страхования работников и их родственников с приложением копии договора.
2.10. Справка о порядке оформления и бронирования гостиничных номеров, проездных билетов и т.п. при командировании работников с приложением подтверждающих документов.
2.11 Справка о сроках хранения личных дел уволенных работников Оператора до момента их передачи на архивное хранение, осуществляемое в соответствии с законодательством об архивном деле в Российской Федерации (далее – архив), а также до момента поручения хранения личных дел третьему лицу. Указать состав документов работников, передаваемых в архив (третьему лицу, осуществляющему хранение документов по поручению Оператора). Копии документов, устанавливающих порядок ведения (отнесение к архиву) архивного хранения в соответствии с законодательством об архивном деле в Российской Федерации (при наличии).
2.12. Копии договоров, заключенных с третьими лицами, касающихся поручения на обработку ПДн работников, родственников работников.
2.13. Справка о порядке обработки ПДн уволенных работников.
3. Информационные системы ПДн
3.1. Перечень информационных систем ПДн, обрабатывающих ПДн всех категорий субъектов ПДн.
3.2 Сведения о местонахождении (адрес) баз данных информации Оператора, содержащих персональные данные граждан Российской Федерации. Описание информационных систем, с указанием наименования, версии ПО, разработчика ПО, места нахождения компонент.
3.3. Перечень субъектов ПДн, перечень групп субъектов ПДн, обрабатываемых в ИСПДн, если субъекты ПДн объединяются в группы.
3.4. Источники получения ПДн по каждой категории субъектов ПДн соответственно (сам субъект их предоставил или они получены другим законным путем).
3.5. перечень категорий ПДн субъектов ПДн обрабатываемых в ИСПДн.
3.6. Описание и назначение ИСПДн, в которой осуществляется обработка ПДн по каждой категории субъектов ПДн. Инструкция к ИСПДн, руководство пользователя и любые аналогичные документы по функционалу ИСПДн, порядку доступа, резервирования.
3.7. Перечень операций, действий, совершаемых с ПДн субъектов ПДн в ИСПДн.
3.8. Описание порядка обработки ПДн (пошаговое описание порядка ввода, сбора, загрузки, хранения, чтения, использования, передачи, доступа, распространения, изменения, удаления, уничтожения) в ИСПДн по каждой категории субъектов ПДн соответственно.
3.9. Информация о порядке резервного копирования информации, включая периодичность копирования, порядок и места хранения резервных копий и порядок уничтожения резервных копий.
3.10. Описание технологического и информационного сопровождения ИСПДн.
3.11. Копии договоров аренды серверных мощностей, используемых для размещения баз данных ПДн.
3.12. Копии документов подтверждающих наличие собственных серверных мощностей, на которых размещены базы данных ПДн;
3.13. Сведения и документы о лице (лицах) в ведении которого находятся обслуживание, администрирование, использование серверных мощностей, на которых размещены база данных ПДн абонентов.
3.14. Заверенную блок-схему обмена информации, содержащей ПДн субъектов ПДн, отражающую направления информационных потоков и участников информационного обмена, с указанием наименования ИСПДн, адреса размещения базы данных и серверных мощностей.
4. Интернет-сервисы (Яндекс.Метрика, Google Analytics и т.п.), мобильные приложения.
4.1. Справка об используемых на сайтах Оператора интернет-сервисах, разработанных и принадлежащих Оператору, а также разработанных и принадлежащих сторонним организациям, с помощью которых обрабатываются данные о посетителях и пользователях сайтов Оператора, с указанием назначения и функционала интернет-сервисов.
4.2. Приложить копии договоров, заключенных с указанными в п. 4.1 сторонними организациями и все изданные приложения к договорам.
4.3. Справка о функционале используемых интернет-сервисов в части, касающейся сбора данных о посетителях на сайтах и в мобильных приложениях Оператора, отдельно по каждому сервису.
4.4. Перечень данных о посетителях и зарегистрированных пользователях сайтов и мобильных приложений Оператора, получаемых при помощи указанных сервисов, отдельно по каждому сервису. Приложить подтверждающие документы.
4.5. Сведения о базах данных (их адрес, кому принадлежат) на которых хранятся данные, полученные с помощью интернет-сервисов, когда и как уничтожаются данные.
4.6. Копии документов и локальных актов, изданных Оператором, по вопросам обработки ПДн пользователей мобильных программных приложений Оператора. Копии технической документации по функционалу мобильных приложений Оператора. Справку о содержании данных пользователей, обрабатываемых в мобильных приложениях Оператора для операционных систем iOS, Android, Windows, с указанием мест хранения данных, целей обработки, лиц, которым данные передаются, сроках обработки и хранения, порядка и условий уничтожения;
4.7. Копии договоров со всеми приложениями, заключенные с третьими лицами, на основании которых оказываются услуги рекламного характера, осуществляется передача данных посетителей, пользователей сайтов, клиентов (физических лиц) Оператора. Копии договоров, на основании которых осуществляется передача статистических обезличенных данных, полученных после агрегации и любой другой модификации (изменения) данных посетителей, пользователей сайтов, клиентов Оператора.
4.8. Перечень сайтов принадлежащих Оператору.
Под данными посетителей и зарегистрированных пользователей сайтов и мобильных приложений Оператора понимаются все данные о посетителях, собираемые с помощью функционала указанных сервисов, а также те данные, которые сервисы сами собирают и обрабатывают на своих вычислительных мощностях, а именно: псевдоним пользователя, адрес пользователя или адрес устройства пользователя, посредством которого пользователь зашел на сайт Оператора, а также сведения о пользователе, включающие ip-адрес, поисковые запросы пользователя, интернет-адреса веб-страниц, посещаемых пользователем, тематику информации, размещённой на посещаемых пользователем интернет- ресурсах Оператора, идентификатор пользователя, преобразованный Оператором при помощи хеш-функции или других модификаций, географический адрес точки подключения пользователя к сети Интернет, информация, не позволяющая однозначно идентифицировать пользователя или конкретное физическое лицо, но обеспечивающая формирование достаточного для предоставления пользователю рекламной информации.
4.9 Документы, устанавливающие порядок резервного копирования информации, содержащей ПДн.
[свернуть]
А теперь уверены, что успеете за 30 дней подготовить всё и вся?
Наши услуги:
- подача уведомления в Роскомнадзор;
- анализ сайта на предмет соблюдения положений Закона;
- анализ готовых документов на предмет соблюдения Закона;
- разработка типового пакета документов;
- разработка пакета документов “под ключ” (пакет документов разрабатывается после предварительного детального анализа деятельности организации);
- анализ договоров гражданско- правового характера на предмет соблюдения требований Закона, рекомендации по приведению в соответствие;
- консультирование.
По поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.
Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию - на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч . Если нарушений несколько, то и штрафов будет несколько.
Нужно срочно привести в порядок свои сайты. Проверки уже идут 💻
Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица - 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.
Как узнать, являюсь ли я оператором персональных данных?
Персональные данные - это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте - можно.
Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:
- фамилию,
- отчество,
- какой-то физический адрес,
- электронную почту,
- телефон,
- дату или место рождения,
- фотографию,
- ссылку на персональный сайт или соцсети,
- профессию,
- образование,
- уровень доходов,
- семейное положение.
Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, - это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения - это тоже обработка персональных данных.
А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?
Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников - это уже нарушение.
Как правильно работать с персональными данными, чтобы не нарушить закон?
Как минимум нужно:
- получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
- публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
- запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
- использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
- сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
- удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
- хранить базы данных в надежном месте, защищать их от взлома и утечки;
- научить сотрудников работать с персональными данными;
- зарегистрироваться в Роскомнадзоре.
Что? Я должен еще где-то зарегистрироваться?
Да, по закону операторы персональных данных должны уведомить Роскомнадзор . Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.
Уведомление можно не подавать, если:
- обрабатываются только данные сотрудников;
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более - распространяться;
- человек сам опубликовал эти данные в общем доступе;
- у вас есть только ФИО клиента и больше ничего.
У меня есть сайт, и я получаю персональные данные. Что мне делать?
Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП , которые указаны на сайте.
Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды» , правила продажи, официальное уведомление, как у «М-видео» , политика конфиденциальности, как у «Рестора» , «Адидаса» или «Озона» . Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк .
Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные - нарушение закона и повод для штрафа.
Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.
Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.
Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.
Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?
В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.
Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.
Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.
В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.
Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.
В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.
Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.
В законе про персональные данные много непонятного. Мы разобрались и ответили на
Михаил Хохолков, ИНТЕЛЛЕКТ-С: «Минимум, что нужно сделать владельцу сайта, - разместить на сайте политику обработки персональных данных».
1 июля 2017 года вступили в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.
Ранее предусматривался один состав правонарушения - нарушение законодательства о персональных данных. Сейчас этот перечень развернут в 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.
Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому непонятна паника, которую раздувают некоторые СМИ. Тем не менее, для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные моменты.
Политика обработки персональных данных на сайте
Пункт 3 статьи 13.11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных - влечет предупреждение или наложение административного штрафа:
- на граждан в размере от 700 до 1 500 рублей;
- на должностных лиц - от 3 000 до 6 000 рублей;
- на индивидуальных предпринимателей - от 5 000 до 10 000 рублей;
- на юридических лиц - от 15 000 до 30 000 рублей.
Минимум, что нужно сделать сейчас, - разместить на сайте политику обработки персональных данных .
Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику установить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.
Чек-лист для разработки политики обработки персональных данных (ПД) на сайте
Что нужно проверить:
- любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
- регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
- форма заказа обратного звонка - какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
- рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
- отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
- возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.
База данных сайта с персональными данными пользователей должна находится на территории России.
Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть. Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки. Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.
- для заказа авиабилетов нужны паспортные данные, для доставки пиццы - нет;
- для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза - нет;
- для бронирования билета в кино - вообще ничего не нужно, если не оплачивается онлайн.
Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. - персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.
Цель и объем сбора персональных данных
Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением. Пункт 1 статьи 13.11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, - влечет предупреждение или наложение административного штрафа:
- на граждан в размере от 1 000 до 3 000 рублей;
- на должностных лиц - от 5 000 до 10 000 рублей;
- на юридических лиц - от 30 000 до 50 000 рублей.
Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними.
Поэтому в политике обработки персональных данных должна быть указана цель обработки и объем.
Пример
Самый частый случай сбора данных на сайте - заказ обратного звонка.
В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.
Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, достаточно указать телефон и адрес доставки.
Определившись с целями и объемом обработки персональных, составьте свою политику обработки, разместите на сайт.
Кстати говоря. Я направлял такой запрос в Роскомнадзор:
Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняется и не обрабатывается владельцем сайта.
И вот какой ответ получил:
По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным.
По сути, это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменяет необходимости изучения этого вопроса для каждого сайта индивидуально.
Согласие на обработку персональных данных
Когда необходима письменная форма согласия на обработку ПД
Письменная форма - это документ в печатном виде с оригинальной (не сканированной, не факсимильной) подписью субъекта. Письменная форма не будет соблюдена, если она получена по электронной почте в виде отсканированного документа. Согласие в форме электронного документа может быть подписано электронной подписью в соответствии с ФЗ «Об электронной подписи». Требования к содержанию письменной формы установлены пунктом 4 статьи 9 ФЗ «О персональных данных».
Письменная форма согласия на обработку персональных данных необходима только в случаях, прямо предусмотренных законом. Всего таких случаев пять, и они описаны в статьях 8, 10, 11, 12 и 16 ФЗ «О персональных данных»:
- Статья 8 касается случаев создания общедоступных источников информации (справочников, адресных книг и т.п.). В эти справочники вы можете включать сведения о лицах, предварительно получив от них письменное согласие на обработку персональных данных.
- Статья 10 - специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
- Статья 11 говорит об обработке биометрических персональных данных: фото- и видеоизображения, отпечатков пальцев, ДНК. Фото и видео признаются обработкой персональных данных в том случае, если они используются для установления личности. Съёмка с обычной камеры наблюдения в офисе, в супермаркете или на улице обработкой персональных данных не является.
- Статья 12 касается трансграничной передачи персональных данных.
- Статья 16 запрещает принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы - только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами.
Есть случаи, когда персональные данные могут быть обработаны без согласия субъекта - это пункты 2-11 части 1 статьи 6, часть 2 статьи 10 ФЗ «О персональных данных».
Во всех иных случаях (т.е. когда нет требования получать согласие в письменной форме или когда согласие не требуется) согласие может быть получено в любой форме, позволяющей подтвердить получение такого согласия. Подтверждать наличие такого согласия должен оператор обработки персональных данных.
Гиперссылку на согласие на обработку персональных данных рекомендуем устанавливать рядом с кнопками «отправить», «далее», « подписаться на рассылку» и подобными, сопровождая текстом:«Нажимая на кнопку ОТПРАВИТЬ, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку персональных данных » , где текст, выделенный курсивом, - это гиперссылки на соответствующие документы.
Уведомление в Роскомнадзор
В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина - администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП - предупреждение или наложение административного штрафа
- на граждан в размере от 100 до 300 рублей;
- на должностных лиц - от 300 до 500 рублей;
- на юридических лиц - от 3 000 до 5 000 рублей.
В пункте 2 ст. 22 ФЗ «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор подавать не требуется. Всего таких случаев девять. Самый распространенный - персональные данные получены в связи с заключением договора, если при том персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных. Эти данные должны использоваться исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных.
Заключение
Если на сайте не размещена политика обработки персональных данных, то его владелец не выполняет требования Закона «О персональных данных».
Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т.п. Про использование персональных данных в СМИ я напишу отдельно.
Поэтому прошу внимательно отнестись к подготовке документов, не используя «типовых форм политики обработки персональных данных», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.
Постскриптум
А вы знали, что дополнительные требования к информации, размещаемой на любых сайтах установлены и Федеральным законом «Об информации»?
Пункт 2 статьи 10 Федерального закона от 27.07.2006 №149-ФЗ (ред. от 06.07.2016) «Об информации, информационных технологиях и о защите информации»:
Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица.
Владелец сайта в сети «Интернет» обязан разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, адресе электронной почты для направления заявления, указанного в статье 15.7 настоящего Федерального закона (досудебные меры по прекращению нарушения авторских прав), а также вправе предусмотреть возможность направления этого заявления посредством заполнения электронной формы на сайте в сети «Интернет».
Михаил Хохолков о персональных данных
28 июля Михаил Хохолков, ведущий юрист ИНТЕЛЛЕКТ-С, в студии телеканала Malina.Am рассказал о поправках в закон о персональных данных.
Представьте себе ситуацию.
Ваш потенциальный клиент услышал о вашей компании, но он не знает ни адрес вашего сайта, ни где вы находитесь, ни как с вами связаться.
Как он поступит в таком случае?
Ответ прост: он зайдет в google и начнет искать информацию о вас. А ваша задача - максимально облегчить поиск потенциальному клиенту. А значит, ваша компания, помимо собственного сайта, должна быть представлена во всех популярных онлайн-ресурсах.
Каких именно?
Об этом и пойдет речь сегодня!
Подготовка
Прежде чем начать активно регистрироваться на онлайн-ресурсах, вам нужно собрать максимум информации о вашей компании, для того, чтобы заполнить свой профиль полностью.
Подумайте о поисковых запросах, по которым потенциальный клиент может найти вас.
Например, химчистку, которая находится в центре Киева, потенциальные клиенты могут искать по запросу «Химчистка центр Киев » или «Где можно постирать костюм Киев ».
Нужно обязательно определить все популярные поисковые запросы и добавить максимально возможное количество в описание своей компании. Для этого воспользуйтесь сервисом Wordstat от Яндекса или AdWords от Google.
Также позаботьтесь об отзывах от реальных клиентов, соберите качественные фото и видео, которые могут выставить ваш бизнес в хорошем свете.
Я рекомендую вам создать отдельный документ, в котором будет хранится вся необходимая информация о вашей компании. Это значительно упростит регистрацию – вам нужно будет всего лишь копировать и вставлять информацию из документа в онлайн-профиль вашей компании.
Закончив с подготовкой, переходим к изучению самых популярных онлайн-ресурсов, где обязательно должна быть представлена ваша компания.
10 онлайн-ресурсов, где обязательно должна быть представлена ваша компания
Сейчас мы перейдем к рассмотрению самых популярных онлайн-ресурсов, где вам обязательно нужно зарегистрировать свою компанию. Рейтинг сайтов составлен на основании рейтинга международной исследовательской компании Alexa (результаты рейтинга можете посмотреть ), занимающейся анализом популярности и влиятельности сайтов во всем мире.
В Facebook for business возможностей намного больше, чем в том же ВКонтакте . Вы можете создать страничку сообщества, персональную страницу, страницу компании или ее брендов.
Создав страничку, не забывайте регулярно обновлять ее. Если пользователь зайдет на вашу страничку и увидит, что информация на ней обновлялась последний раз 3 месяца назад, это даст повод подумать о том, что ваша компания недостаточно популярна.
№ 6 – Prom.ua
Prom.ua – это онлайн-ресурс, на котором вы можете создать полный профиль своей компании, сделать описание своих продуктов и услуг, а также разместить каталог продуктов вместе с прайс-листом. Таким образом, потенциальный клиент может сразу получить информацию как о самом продукте, так и об его цене.
Ресурс больше подходит для украинских торговых компаний.
№7 – Allbiz
Allbiz – это международный аналог украинского Prom.ua. С помощью Allbiz вы можете легко находить иностранных партнеров и покупателей.
Ежегодная аудитория Allbiz достигла более 220 млн человек, что позволило ресурсу выйти в лидеры интернет-пространства. На сегодняшний день в онлайн-каталоге Allbiz представлено свыше 20 млн товаров и услуг от более чем 1,3 млн компаний из 90 стран мира.
Так что обязательно присоединяйтесь к этому ресурсу.
№8 – Foursquare
Foursquare – очень популярный ресурс среди молодежи. С помощью чекинов, оценок, отзывов и фото, вы можете достаточно легко привлечь внимание к своей компании. Добавьте небольшой бонус за чекин, и поток посетителей вам гарантирован.
