Comments 10
Ну как-то "делайте хорошо и хорошо будет". Привели бы примеры политики "политика обработки персональных данных", согласия, а где хранятся эти персональные данные, а что делать, если пользователь хочет отозвать согласие, а как будете уничтожать, а есть ли журнал уничтожения, а что будет, если добавляются третьи лица, которые должны получить доступ к ПС, надо ли оповещать пользователей или это можно юридически прописать изначально в политике, пример ответа РКН и т.д. и т.п.
вопросы правильные, но в таком случае у нас получилась бы книга) про отзыв согласий и хранение обязательно сделаем отдельные статьи.
В этой статье наша задача была подчеркнуть одну важную вещь- РКН рандомно роверяет сайты и даже если никакой проверки в отношении организации нет это ничего не значит.
Журналы уничтожения, хранение и прочие вопросы это "внутрянка" работы с ПДн.
Но выдает вас внешний фасад:
нет в реестре;
нет политики на видном месте;
нет согласий или они не совпадают с формой сбора и политикой
Поскольку плюс-минус известны диапазоны, откуда это непотребство ходит, можно сделать финт ушами: https://github.com/freemedia-tech/nginx-rugov-block
Опишите обоснование со стороны РКН "типичного запроса"... С какого перепугу у них появилось право по своей инициативе давать такие запросы:
Типичный запрос от РКН может содержать:
вопрос, почему Ваша компания не включена в реестр операторов персональных данных (ПДн);
просьбу предоставить перечень реализованных мер по защите ПДн;
требования привести внутренние локальные акты по обработке персональных данных;
запрос на контактные данные ответственного за обработку ПДн.
Меня интересует именно норма законодательства, которая такое право дает РКН.
вот вам выдержка из реального запроса РКН (с некоторыми сокращениями):
ст. 23 152 ФЗ определяет, что РКН уполномоченный орган по защите прав субъектов ПДн;
ч 1 ст 18 152ФЗ возлагает на операторов ряд обязанностей;
на основании ч 4 ст 18.1, п 1 части 3 ст 23 и п 10.1 Положения об управлении Федеральной службы по надзору в сфере связи, информ технологий и массовых коммуникаций по Центральному федеральному округу утв приказом РКН № 38 от 25.01.2016 направляем запрос о предоставлении документов и локальных актов, подтверждающих принятие мер, а также просим ответить на вопросы
Спасибо... Мда... О наличии ч 4 ст 18.1 152-ФЗ я как-то не знал:(. Кроме как ни ... себе мне сказать нечего.
4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.
ИП с одним по дурости официально устроенным работником влетает в обязанность поддерживать актуальными под 100 страниц серьезной юридической байды:(.
Какой кабздец. А никак нельзя небыть оператором пд? А то какой-то дурдом на ровном месте- например ипэшник сделал инетмагаз и торгует в одно лицо- а к нему требования как к большой корпорации- ответственных назначьте, процедуры-протоколы и весь вышеописанный бред.. Неговоря уже про то, что форма комментирования в бложике теперь тоже может за уши быть притянута..
Что-то явно перемудрили товарищи законодатели..
к сожалению не быть опертором можно только если не работать с ПДн
что собственно практически невозможно, если у тебя есть работники и клиенты (сайт)
на самом деле все не так страшно - звучит сложно, но чтобы накрасить "фасад" и не привлекать какое - то время внимание санитаров (РКН) можно огбойтись малой кровью
Это касается только юридических лиц? Если, например, у меня личный некоммерческий форум где нужна почта для регистрации, то тоже нужно предупреждение и все остальное?
Как Роскомнадзор проверяет сайты: чек-лист