Comments 18
Такой чек лист нужен. Но оформление намекает на использование чатгпт. Поэтому доверять ему я бы не стал
Понимаю, щас много непроверенной инфорамции, доверять моей или нет вы решаете сами
Чеклистом поделилися, т.к. сегодня буду делать рассылку своим клиентам с сылкой на эту статью.
В двух словах тут не рассказать, что нужно сделать на сайте и какие документы нужны. В идеале, список документов должен подготовить юрист, какие документы нужно подготовить, написал.
Какие данные собираются (например, имя, email, телефон, cookie).
А если эти данные не собираются, а входят в общедоступные данные юридического лица (см. ЕГРЮЛ) или могут входить в обязательные требования по размещению информации?
Не используйте ПО, базы данных, CRM и ERP системы без российской сертификации.
Это уже другие деньги. То есть можно использовать сертифицированную базу и обычную операционную систему или сразу пакетом влипнуть (ставить все отечественное)?
Разместил ФИО и контактный телефон руководителя и тебе счет прилетел на 50 000 руб.
В статье не хватает работающих часов с обратным отсчетом.
Если персональные данные не собираются (совсем никакие), можно ли (нужно ли?) разместить какой-нибудь баннер, который намекнет, что тут надзирать не над чем?
Уведомление о куки всё равно надо. И если есть метрики, то и их тоже.
Уведомление о куки всё равно надо.
Кука сама по себе не является ПД, пока вы не привязываете к ней ПД.
И если есть метрики, то и их тоже.
Только про эти трекеры и надо уведомлять, ибо для работы сайта они не нужны.
Я говорю это но основе опыта обращения с представителем ркн.
Есть техническая сторона вопроса, есть закон. А есть служащий, который читал всё это по диагонали. И даже если вам удастся доказать потом в суде, что блокировка или штраф были необоснованным, то всё равно, зачем рисковать? Докинуть плашку о куки дело 5 мин (если что, чатгпт в помощь), а сколько нервов сэкономит!
Больше, запятых, богу Запятых!
Это касается только сайтов с российскими доменами ? (Рунет)
Чем политика конфиденциальности отличается от политики обработки Пдн? Обязательны обе ссылки как на скрине? Практически на каждом первом сайте под кнопкой Политики конфиденциальности торчит 100500 страничная политика обработки пдн с тонной воды внутри. Допустимо ли это, если нет, то пруф пж.
Представим ситуацию:
5.) Подписать согласие на обработку персональных данных для пациентов
Для медицинских центров, клиник и т.д. с пациентов необходимо взять писенное согласие на обработку их персональных данных.
Я прихожу и отказываюсь подписать согласие на обработку персональных данных в клинике. И что? Клиника МОЖЕТ отказаться меня принять?
По секрету скажу, что не может, так как я накатаю телегу в РКН, что меня вынуждают подписать согласие. Соответственно его нельзя назвать добровольным.
И таких НЕЗАКОННЫХ пунктов в статье примерно половина. Поэтому просьба авторам - не надо хайповать. Ну изучите сначала законодательство. Ну прочитайте внимательно комментарии к GDPR (где-то на хабре перевод лежит). Ну вникните вы в систему. И уже только после этого пытайтесь давать советы, да и то не выставляйте их как истину в последней инстанции.
Ну и одно из основных надо понять, что брать согласие на обработку персональных данных в тех случаях, когда это согласие не нужно НЕЗАКОННО!!!
Госконтора с отрицательной эффективностью.
Если взялись, то
добавьте требования к логированию действий пользователя и хранение согласий. Потребуется подтверждать если будет запрос от РКН.
Требование к безопасному хранению перс. данных.
Назначение ответственных лиц
Должен быть определен и документально оформлен владелец сайта (не путать с владельцем домена)
По памяти ещё 10-15 пунктов могу написать, но зачем? )
Задача надзорных органов, надзирать. Задача бизнеса, оценивать риски, наращивать прибыль и уметь находить решения.
А эта фигня на форму обратной связи влияет?
А можно цитату из нормативного правового акта, что галочек должно быть обязательно две? Что пользователь вообще должен соглашаться с политикой обработки ПД?
Требования Роскомнадзора: чек-лист для бизнеса