Jump to content

Переменовать или удалить "Privacy Policy"

Featured Replies

  • 5 years later...
comment_136152

Подскажите, пожалуйста. Кто-нибудь уже подготовил Privacy Policy (политика конфиденциальности) согласно изменениям в законе? Есть опыт или практика нарушений, или претензий - поделитесь пожалуйста?

Например, кто-нибудь читал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», или уже подготовил свою полиси как требуется?

Дефолтная Privacy Policy от IPS ведь очень короткая и на английском языке. Чтобы подключить API социальных сетей - достаточно, но как дела обстоят с законом? Или наших сообществ это не касается?

comment_136177
2 часа назад, 1Ce6 сказал:

Или наших сообществ это не касается?

Так и есть.

comment_136197

Только что получил в рассылке от Торгово-Промышленной Палаты РФ

Как стать оператором персональных данных в реестре Роскомнадзора.

К персональным данным (ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. В этот список можно включить любые сведения, так как исчерпывающий список нигде не представлен. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

ü  самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;

ü  определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работает с ПД и несет ответственность за несоблюдение закона об их защите. Операторы ПД — повсюду, в любой сфере!

К операторам персональных данных относятся:

ü  Банки;

ü  Сайты, собирающие материал о подписчиках;

ü  Юридические и бухгалтерские компании, оказывающие различные услуги;

ü  Магазины и салоны красоты, предлагающие приобрести бонусную карту;

ü  ТСЖ;

ü  Вузы;

ü  Детсады;

ü  Турагентства;

ü  Медучреждения;

ü  Автоматизированные системы, в том числе государственные.

 

 

 

Комментарии

1

Обязанности оператора персональных данных.

 

Согласно закону № 152-ФЗ, операторы должны:

§  Проводить разъяснительную работу с субъектом ПД, а также получать его предварительное согласие на обработку личной информации;

§  Публично представлять политику в отношении обработки ПД;

§  Обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения;

§  Уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели;

§  Блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя).

2

Регистрация в Роскомнадзоре в качестве оператора персональных данных.

 

§  По закону до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией.

§  В этот список не включаются организации и частные лица, которые имеют дело с информацией, которая:

ü  собирается и хранится в соответствии с трудовым законодательством;

ü  получена для оказания услуг связи по заключенному договору;

ü  относится к членам (участникам) общественного объединения или религиозной организации для достижения целей, предусмотренных их учредительными документами;

ü  сделана субъектом ПД общедоступной;

ü  включает в себя только фамилии, имена и отчества субъектов ПД;

ü  необходима для оформления однократного пропуска на территорию организации;

ü  включена в системы со статусом государственных автоматизированных информсистем, а также в государственные системы ПД, созданных в целях защиты безопасности государства и общественного порядка;

ü  обрабатывается без использования средств автоматизации (компьютера);

ü  обрабатывается для обеспечения безопасного функционирования транспортного комплекса.

§  Те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа. Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг, либо в Приказе Минкомсвязи России от 21.12.2011 N 346.

§  Роскомнадзор рекомендует подавать уведомление на бланке организации на бумаге либо в электронном варианте. В нем обязательно указать:

ü  полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;

ü  цели обработки, заявленные в учредительных документах либо фактически осуществляемые;

ü  категории ПД, которые будут обрабатываться;

ü  субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;

ü  основание, по которому имеется право на обработку, в том числе наличие лицензии на осуществляемый вид деятельности;

ü  описание используемых способов обработки ПД и их перечень:

ü  неавтоматизированная, автоматизированная или смешанная обработка;

ü  сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;

ü  информация о шифровальных (криптографических) средствах;

ü  дата начала, а также условия и сроки прекращения обработки ПД;

ü  сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан РФ;

ü  сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119.

§  Регистрация оператора персональных данных через сайт Роскомнадзора осуществляется в 30-дневный срок.

§  Если заявление подано электронно, то направьте дополнительно и бумажный экземпляр уведомления.

§  Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

§  Если у организации изменились цели обработки ПД, или необходимо внести изменения, то в течение 10 дней направьте в адрес Роскомнадзора письмо по установленной форме.

3

Ответственность за отказ регистрироваться в реестре.

 

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД.

§  Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который вступил в силу с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы по этой статье варьируются:

ü  для юридических лиц от 15 до 75 тысяч рублей,

ü  для ИП — от 5 до 20 тысяч рублей.

§  Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней грозит штраф в размере:

ü  должностным лицам от 300 до 500 рублей,

ü  юридическим лицам — от 3000 до 5000 рублей.

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.


Guest
Ответить в этой теме...

Последние посетители 0

  • No registered users viewing this page.