Comments 32
Какова статистика таких согласований?
Ставя себя на место РКН, непонятно, зачем разрешать если страна-получатель "не доверенная" и имеются свои аналоги типа Яндекс-метрики?
Есть перечень стран, обеспечивающих адекватную защиту персональных данных. Вот он.
HTTP, реально там HTTP по ссылке. Как в музее побывал.
а вы бесстрашный, я уже лет 5 как вообще опасаюсь http ссылки открывать.
На том ресурсе есть HTTPs, просто по суверенному веб-сертификату (https://www.gosuslugi.ru/tls). Скорее всего автор дал ссылку HTTP потому, что у многих не установлено корневого (не все же пользуются Яндекс.Браузер).
в этот срок Роскомнадзором может быть принято решение о запрещении или об ограничении трансграничной передачи данных
Интересно, а роскомнадзор обязан сообщать о своём решении? Я напомню, что, как тут писали, роскомнадзор может возбуждать дела об административных нарушениях без проведения проверки, если сам нарушитель сообщил в роскомнадзор о правонарушении.
Я бы с лазейками и тем более уведомлением роскомнадзора о намерении их использовать был бы поосторожнее.
Зачем вести бизнес в стране, у которой отсутствует судебная система?
РКН на себя себе подает заявления по обработке данных?
Извините, а выдача номерков в гардеробной театра в обмен на одежду - это сбор персональных данных (ПД)? По вашей логике - сбор. А ведь именно так работают куки.
Еще вопрос: как можно (технически) взять согласие на обработку ip и кук ДО их обработки? Ведь надо сначала согласие получить, а потом обрабатывать, иначе будет нарушение. Правильно?
У вас в смартфоне есть контакты коллег, руководства, сантехников, врачей и пр.? Если да, то вы лично оповестили РКН об обработке ПД?
Ну и если гугл-аналитикс - это трансграничная передача ПД, то и использование гугл-шрифтов и прочих скриптов с CDN-загрузкой тоже означают трансграничную передачу данных? И для штатного использования гугл-шрифтов надо уведомлять РКН? Ведь по вашей логике именно такой вывод следует. Правильно?
это ведь логика РКН, к ним надо адресовать все вопросы. Только вопросы к РКН - это вопросы в пустоту.
это ведь логика РКН
Где можно ознакомиться с официальными позициями (не частными мнениями) РКН и судов по поводу ip и кук? Но только ip и кук самих по себе, без реальных ПД. Те решения судов, что я видел, касались обработки настоящих ПД с помощью кук и прочего, там всё же в основе лежали реальные ПД. А есть ли что нибудь, касающееся самих по себе кук и ip, без сбора каких-либо других данных?
В законах, как я понимаю, нет прямого упоминания ip и кук как ПД, они появляются лишь в трактовках.
До сих пор на запрос отвечают, уроды
До сих пор на запрос отвечают, уроды
Гардеробная в театре - это обработка ПДн, без использования средств автоматизации. На это придуман отдельный закон.
Обычно те, кто пишут законы мало понимают, как это работает технически (не далее "Я тебя вычислю по IP").
Оповещение об обработке подается, если есть ИСПДн (информационная система). Вы - владелец смартфона. Если используете Google Contacts и т.п., то Вы просто пользователь, а не владелец ИС. Подавать не надо. Плюс тогда бы ещё с врачей и сантехников нужно брать письменное согласие на обработку (цель, срок и т.п.).
Врядли гугл-шрифты обрабатывают персональные данные. То что они собирают IP не относится к вашей ИСПДн, в которой она используется.
Гардеробная в театре - это обработка ПДн, без использования средств автоматизации. На это придуман отдельный закон.
Хорошо, я в гардеробной печатаю номерки на принтере с компьютера, фиксирую время выдачи номерка и его возврата. Это обработка ПД?
Оповещение об обработке подается, если есть ИСПДн (информационная система). Вы - владелец смартфона. Если используете Google Contacts и т.п., то Вы просто пользователь, а не владелец ИС.
Что вы подразумеваете под словом "владелец". Если имеется ввиду право пользования по лицензионному договору, то вы такой же "владелец" информационной системы "Google Contacts", как и какой нибудь системы типа 1С, к примеру. Нет разницы.
Врядли гугл-шрифты обрабатывают персональные данные. То что они собирают IP не относится к вашей ИСПДн, в которой она используется.
Куки и ip - персональные данные? (Предположим). Они обрабатываются гуглом? (Да) Они передаются на зарубежные сервера? (Да). Таким образом, если куки и ip сами по себе считать персональными данными, то следует однозначный вывод о трансграничной передаче.
То что они собирают IP не относится к вашей ИСПДн, в которой она используется.
Именно! - и куки, и ip обрабатываются гуглом. Сайт интернет-магазина к этим кукам вообще отношения не имеет, он их даже не может прочитать при всём желании.
Как это работает: Гугл (не ваш сайт) создает куку с номером в браузере посетителя, а потом он же ее и считывает, и никто другой кроме гугла эту куку считать не может. Вы эти куки никак не можете обрабатывать и не обрабатываете. Так относятся эти (гуловские) куки и ip (посетителя) к вашей информационной системе? Если нет, то зачем притягивать куки и ip к персональным данным? А уж если притягивать, то надо принимать все логические следствия.
Хорошо, я в гардеробной печатаю номерки на принтере с компьютера, фиксирую время выдачи номерка и его возврата. Это обработка ПД?
Записываете ещё ФИО - тогда да. Но зачем печатать и записывать (Вы давно в театре не были? :) Для того, чтобы номерок вернули в заложники берут одежду). Но можно накрутить все что угодно для своей правоты или поставив цель загнать в угол. Поэтому многие компании бездумно собирают различные ПДн, даже если они им не нужны.
Что вы подразумеваете под словом "владелец". Если имеется ввиду право пользования по лицензионному договору, то вы такой же "владелец" информационной системы "Google Contacts", как и какой нибудь системы типа 1С, к примеру. Нет разницы.
Владелец железки. Пользователь информационной системы не является её владельцем. У Вас же нет доступа к контактам соседа? А вот то, что у Google есть доступ ко всем контактам всех пользователей приложения - факт. Скажите данные зашифрованы? Так они не по ГОСТу зашифрованы, значит по закону доступ есть (даже если технически их не достать) - вот такие казусы у нас в законах пишут.
Куки и ip - персональные данные? (Предположим). Они обрабатываются гуглом? (Да) Они передаются на зарубежные сервера? (Да). Таким образом, если куки и ip сами по себе считать персональными данными, то следует однозначный вывод о трансграничной передаче.
Cookie, которые позволяют идентифицировать пользователя (включая аналитические, такие как IP-адрес ), считаются персональными данными и требуют явного согласия пользователя. Особенно это касается случаев передачи данных третьим лицам, как Google. Рекомендуется наличие документа «Политика обработки cookie». Хотя прямого требования публиковать список cookie нет, рекомендуется обеспечить максимальную прозрачность: описать, какие cookie используются, что они собирают, и кому передаются данные. В общем, чтобы соответствовать требованиям РКН нужно на любом сайте просто написать "Политику" и сделать баннер. Тогда и копать не будут.
Сайт интернет-магазина к этим кукам вообще отношения не имеет, он их даже не может прочитать при всём желании.
Сайт интернет-магазина - это и есть ИСПДн в понимании РКН. Следовательно, как я и писал выше, это не относится к ИСПДн.
Записываете ещё ФИО - тогда да.
В том то и дело, что ничего кроме номерков мне не нужно - ни имени, ни фамилии, ни телефона. Ничего не нужно! И мне не понятно, зачем притягивать куки сами по себе к персональным данным, если никаких настоящих персональных данных не собирается. Если же собираются, к примеру, паспортные данные и они обрабатываются с помощью кук, то это другое дело, куки в этом случае можно считать способом обезличивания и прочей обработки.
Владелец железки. Пользователь информационной системы не является её владельцем. У Вас же нет доступа к контактам соседа? А вот то, что у Google есть доступ ко всем контактам всех пользователей приложения - факт. Скажите данные зашифрованы? Так они не по ГОСТу зашифрованы, значит по закону доступ есть (даже если технически их не достать) - вот такие казусы у нас в законах пишут.
Корректнее - пользователь приложения. И именно вы передаете Гуглу контакты своих соседей, коллег и пр. Вот она - трансграничная передача, без всяких сомнений. В отличие от кук с обезличенным номером, которые сам гугл генерит и загоняет в браузер пользователя.
Cookie, которые позволяют идентифицировать пользователя (включая аналитические, такие как IP-адрес ), считаются персональными данными
А если не позволяют? Повторюсь, одно дело - если вы собираете реальные ПД и обрабатываете их с помощью кук. Другое дело - если не собираете нормальных ПД.
Например, рассмотрим два варианта:
1) Вы собираете паспортные данные, автоматически присваиваете им номера (которые загоняете в куки) и далее с этими номерами работаете.
2) На вашем сайте пользователь выбирает размер шрифта, вы сохраняете выбранный размер (например, 20px) в куку в браузере посетителя, и потом используете для отображения последующих страниц.
В обоих случаях осуществляется обработка ПД?
никаких настоящих персональных данных не собирается
Они просто подтягивают cookie под определение ПДн (когда можно однозначно идентифицировать субъект ПДн). Не буду далее отвечать за авторов нормативных актов, но как я говорил ранее, они не имеют понятия, как всё технически реализовано. Перед принятием таких актов они публикуются на рассмотрение по адресу, который указывал автор в статье. Там можно комментировать. По некоторым вещам удается исключить конкретный бред.
Они просто подтягивают cookie под определение ПДн
Кто "они" и где подтягивают? В законах? Разве там есть упоминание о куках?
Пока я вижу кампанию по нагнетанию массовой истерии...
Вот скажите откровенно, вы посоветуете владельцу маленького сайтика о кошках, который использует куки для хранения размера шрифта и ничего более не собирает, бежать регистрироваться в РКН и соблюдать сотни требований по защите ПД?
Никакого нагнетания массовой истерии нет. Есть конечно всякие ИБ интеграторы, вроде Б-152, которые наживаются на приведения сайтов требованиям РКН.
Но все взрослые люди, сами могут принять риски или позицию "меня это не коснется". И Вы снова уходите в технику, приводите не те примеры. Законо-писателям и особенно регулятору (что я называю "они") всё равно что под капотом технически - им нужны бумажки. И штрафы за несоблюдение в КОАП есть и есть практика: https://27.rkn.gov.ru/news/news346409.htm?print=1
Смысл что-то обсуждать тут, обвинять тех, кто разводит истерию. Нормативка принята, действует с конца мая и никто почему-то не комментировал, когда законопроект был на рассмотрении.
и есть практика: https://27.rkn.gov.ru/news/news346409.htm?print=1
Там же указано, что собирались настоящие ПД и они обрабатывались с использованием кук метрики. Т.е. опять таки, там в основе лежит сбор настоящих ПД. Приведите мне пример, где не было сбора очевидных ПД, а были только куки, и был наложен штраф. Таких сайтов (с куками, но без форм сбора ПД) миллионы.
Ну собственно ничего в этой стране не меняется :) никакого опыта люди не получают, и каждый раз "не надо истерить, все нормально".
РКН нужен только для защиты детей от плохого в интернете.
Закон об инагентах коснется только тех, кто получает финансирование из за рубежа
Закон о дискредитации ВС РФ нужен только против фейков.
Отмена порога явки на выборы нужна для снижения расходов.
Упразднение местного самоуправления и объединение нескольких административных районов в один - это все тоже для снижения расходов.
Упразднение выборов мэров тоже для нашего блага.
Запрет на выдачу информации о собственниках объектов недвижимости для защиты от мошенников.
Запрет мессенджеров и соцсетей тоже для нашего блага.
Признание ЛГБТ экстремистами - это просто запрет пропаганды, а на самом деле люди могут жить как хотят.
Отмена строительных "снипов хрипов" это все потому, что они устарели, а вовсе не потому, что они кому-то мешали.
Дальше много пунктов для нашего блага, и тут появляется ещё один "закон" о ПД, и кончено же его никто и никогда не будет применять против законопослушных людей и юрлиц. Он сделает только лучше! Расскажите мне, где можно выразить максимальное одобрение? Я схожу туда и поставлю свою галочку "за!".
Если Вам интересен пример под вашу конкретную узконаправленную ситуацию - ищите сами. Не найдёте, радуйтесь, что вас это не затронет.
Более развернуто @Xt0uRusX ответил ниже.
Плюс тогда бы ещё с врачей и сантехников нужно брать письменное согласие на обработку (цель, срок и т.п.).
Вы видимо давно не ходили к врачам и не работали официально с сантехниками и т.д. Сейчас вместе с каждой бумажкой, где ты указываешь свои данные идете еще один листочек с согласием на обработку персональный данных надо подписывать.
Для чего мешать всё в кучу? Для того, чтобы еще больше всех запутать?
Когда я хожу к врачу, то я подписываю согласие на обработку своих ПДн. Выше же речь идет о записях в смартфоне телефонов врачей и т.д. и необходимости брать с их согласие на обработку. Но, как я уже писал выше, это не тот случай, т.к. записывая в свою телефонную книгу, я не занимаюсь сбором.
Так это не в кучу, просто пример того, что уже все боятся лишний раз нарушить правила сбора этих самых ПД.
Тем более я сомневаюсь, что в законе есть какое-то исключение для телефонной книги. И если нужно, то вполне себе могут у нужного человека усмотреть этот самый незаконный сбор ПД. Например найдут несколько записей, где заполнены поля:
Имя
Отчество
Фамилия
Место работы
Телефон
Дополнительный телефон.
У меня Интернет-магазин. На учёте в РКН как оператор пд состою уже давно. Дак вот ещё 2 года назад в ходе очередной проверки меня со стороны РКН мне вынести постановление о удалении Google Analytics со своего ресурса. Я удалил. А теперь вроде как легальный способ вернуть появился. Надо попробовать. Автору спасибо!
Кликбейтная статейка
Альтернативы есть же...
Похоже на предложение принять правильную позу, когда вас имеют ручкой от швабры.
РКН против использования Google Analytics, но если Вашему бизнесу очень нужно, есть легальный вариант