Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 436
Что если форма обратной связи встроена через фрейм условного ucoz? Она считается формой обратной связи конечного сайта или ucoz?
Здравствуйте!
Если форма обратной связи содержит только сообщение и обратный email, или например, для форума нужно ввести только email - разве это персданные?
Нужно для этого какие либо галочки о согласии проставлять?
ну по мнению РКН у нас всё относится к персданным, доже то что к ним не относится (пункт про согласие на куки и яндекс метрику)
Берём любой отечественный бесплатный телеграмм бот, которые юзают офисники, вбиваем туда мыло, получаем где оно светилось, так же пароли от него, по паролю бот делает реверсивный поиск, и внезапно находит другие мыла, аккаунты и номера с похожими паролями, т.к. 99.9% юзают одинаковые и похожие пароли на многих акках. То что БД Альфы и прочие можно скачать в телеге без регистрации и смс думаю тоже не секрет. Так что учитывая текущие реалии все верно озвучивает уважаемый юрист
Кто-нибудь может мне объяснить почему пароли хранятся в базе данных в открытом виде?
Могут конечно и отктыро, но часто они просто хешируются слабыми методами и их можно подобрать.
Хэшируются или зашифровываются?
Потому что подобрать пароль по результату хэш-функции... это прям сходу нобелевка, кмк.
Хешируют в первый раз и сохраняют в базу. А потом снова хешируют и проверяют совпал он с тем, что был сохранен, и решают ты это или не ты.
Взломщик также хеширует "123456" и смотрит у кого был такой парольв базе.
Я в курсе как оно работает. А вот ты явно нет - потому что хэширующая функция by design работает только в одну сторону. Еще забываешь про salt&pepper и буквально описываешь брутфорс.
Это сработает, если нет соли под юзера. В ином случае придётся хешировать этот пароль под соль каждого, что существенно усложняет подбор
Ха-ха.... Кажется я встречал базы хэш-функции и сервисы, которые проверяли, не соответствуют ли хэш-функция какому-то паролю лет 10 назад. Не зря используют соль (и двойную соль), или как оно там называется сейчас...
ну зато теперь яндекс за слив любых данных будет платить не 60000р, а сумму которую начнет замечать
Адрес электронной почты по мнению Роскомнадзора относится к категории персональных данных. Даже без дополнительной информации типа имени или номера телефона такой идентификатор является персональными данными (из публичного семинара для операторов персональных данных (письмо Минцифры от 17 марта 2022 г. N П25-5623-ОГ "О возможности отнесения адреса электронной почты к персональным данным").
Но вообще это спорная история, есть решения судов, где вполне справедливо отмечали, что по одной только почте человека нельзя идентифицировать, а значит это не персданные.
Суды пишут, что сам по себе телефон и email не персданные. Но когда госоргану надо, могут вопреки всему объявить и обратное
Странно, что так суды реагируют. В законе ПД сказано, что все что позволяет идентифицировать человека - это перс. данные. Собственно, email-ы уникальные у каждого, как и телефоны. То есть я понимаю так: если что-то имеет отношение к человеку и оно уникальное - это ПД. Номера снислсов, ИНН, паспорта, телефоны. В целом, можно даже id профиля на хабр карьере подтянуть к ПД, т.к. ID уникальный, и четко идентифицирует человека
Было письмо Минфина, что ИНН не персданные, а, дескать, просто набор циферок. Но там практика пошла другим путём. ИНН чётко привязан к гражданину. А по телефонам логика заключается в том, что сегодня телефон мой, завтра ваш, послезавтра ещё чей-то. Поэтому практика сформировалась такая, какая она есть, и все копируют, что телефон идентифицирует оконченое устройство в телефонной сети, а не физическое лицо. Дура лекс, как говорится.
И это абсурд. Некомпетентные.
Ну сказано ж: лекс — дура!
Абсурд это то, что в такой формулировке персданных как сейчас - любую бабку у подъезда привлекать можно. Так как любая сплетня содержит персданные. Просто потому, что абстрактные "один мальчик соблазнил девочку, а его жена об этом узнала" - совершенно не интересно. Нужно в рассказе точно идентифицировать этого мальчика, девочку и жену. То есть использовать персданные.
И рассказывание сплетен потенциально неограниченному кругу лиц стопудово не использование в личных целях. В личных - это в записную книжку записать, чтобы самому потом этой персоне звонить.
Есть же email'ы типа info@domain.ru, которым могут пользоваться разные люди. Так же есть что-то типа vasya.pukin@gmail.com (хотя, им может владеть Архибальд Васильевич Петров).
По поводу email'а очень спорно и сильно зависит от того, что ещё есть на того человека. Впрочем, товарищ майор со своими юристами будут иного мнения.
email-ы уникальные у каждого, как и телефоны
да, особенно sale@, inbox@ и прочие 8-800
А потому что в том же 152 ФЗ есть коллизия. К примеру таже почта попадает под:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Но она же попадает под обезличенные ПДн:
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Проблема в том, что почта и номер телефона не привязаны к человеку пожизненно. Симку можно потерять, аккаунт в почтовом сервисе могут удалить...
Ушёл на СВО, уехал в эмиграцию или сел и через пару лет адрес твоей почты и твой номер телефона легко оказываются в чужих руках (последнее особенно актуально).
Про номера документов вообще песня. Номеров паспортов (российских) всего 10 миллиардов. Вполне вероятна выдача паспортов с одинаковыми номерами, особенно в 90-00-х. Про это вроде даже статья на хабре была.
Так что по отдельности все эти циферки\буковки действительно не являются ПД (с точки зрения закона и логики) - нельзя установить личность. А вот в совокупности могут.
Вполне вероятна выдача паспортов с одинаковыми номерами
Не то, чтобы очень вероятна, бланки делаются на Гознаке с последовательной нумерацией. Но один случай зафиксирован - в 2003 году в Башкирии серия паспортов с национальной страницей совпадала по нумерации со стандартной серией (серия 8003, номера от 266101 до 356100).
Причём, серия паспорта - это код региона и год выпуска бланка, то есть совпадения будут в пределах одного региона и пары календарных лет.
Можете дать подтверждение на эту цитату?
И Роскомнадзор посчитал, что раз фотографии это тоже персданные
Это было в документе, который пришел из РКН. Вот полный текст:
3. В ходе анализа Сайта установлено, что на интернет-странице …распространены персональные данные тренеров в объеме: фотоизображение.
Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены ст. 10.1 Закона.
Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий.
Указанное согласие должно соответствовать Требованиям к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, установленным приказом Роскомнадзора от 24.02.2021 № 18.
Каких-либо указаний на наличие у Оператора согласия субъектов на распространение их персональных данных, а также сведений о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения, на сайте Оператора не выявлено.
Вместе с тем в ходе анализа Сайта подтверждения наличия вышеуказанных правовых оснований распространения персональных данных тренеров не предоставлено.
Каких-либо указаний на наличие у Оператора согласия субъектов на распространение их персональных данных, а также сведений о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения, на сайте Оператора не выявлено.
Что это значит? Типо нужно указывать, под фото, что у меня есть согласия на распространение их фотографий? Или что?
Была лекция бесплатная в 1С на эту тему в прошлом году. Там надо вроде бы указывать, на каких условиях фотография может распространяться в интернете, эти условия устанавливает владелец персональных данных (чья фото). Мне показалось это слишком сложным, и мы просто убрали фото с сайта.
А, ну так хотя бы стало понятней. Логика по всей видимости предполагает, что кто-то опубликовал фото человека и у этого кого-то есть согласие и понимание об условиях распространения. А у тех кто захочет переиспользовать это изображение, без дополнительно публикуемой информации понимания об условиях распространения нет.
Ну .. ладно.
Так, а если кто-то выложил моё фото без моего согласия, скажем, в "Одноклассники", кто будет за это отвечать? "Одноклассники" или тот, кто выложил? Благодарю.
Подскажите, пожалуйста, а есть понимание, как вообще на сайте можно выложить согласие сотрудника на обработку его перс. данных? или этот документ можно не публиковать, а предъявить по требованию? так странно, что это на сайте должно указываться, никогда такого вообще нигде не видела. Да и будто согласие конкретного человека будет с указанием его фио и если я его укажу на сайте это еще одно использование перс. данных....
Т.е. есть решения, что например sexxybeast777@ нельзя соотнести с с конкретным человеком зарегистрировавшим ящик 25 лет назад?
Да, все так
Ну попробуйте достоверно соотнесите. Докажите, что это не его коллеги, родственники и вообще хз кто.
Вот например номер паспорта это однозначно ПДн.
Это понятно, не понятно как сторона «нападения» на полном серьезе может считать однозначно персональными данными.
кстати вопрос - а почтовые службы не выдвют ли email заново по аналогии с номерами?
не может, но считает. Туда, знаете ли, держиморд не за идеальное знание законов набирают. Им главное штраф выписать и палку закрыть для премии, а в суд пойдёт 1 из 100 (при том что в большинстве случаев у оштрафованного не это так 10 других нарушений найдётся)
Google удаляет неактивные учетки вместе с почтой Gmail
ЕМНИП поэтому елси дело доходит до суда, то обычно принимается только совокупность данных, а не просто "ну вот емайл васькапупукин@мыло.ру"
Как правило да. Только в вашем примере имейл включает ФИО)
Во-первых не ФИО, а только ФИ, а во-вторых это никак не гарантирует, что владельца действительно зовут Васькой Пупкиным, а не каким-нибудь Анатолием Петровым или вообще Мариной Глади-Полежской. Потому и совокупность - для однозначного определения личности.
Но ведь ФИО не уникально, который из 100500 тёск вам нужен?
А если я этот email хеширую и храню не в чистом виде. Это поможет избежать вопросов?
Сильно зависит от того, нужен ли ответ чисто теоретический или как будет на самом деле когда кому-то надо что-то принципиально доказать.
А спам свой в туда вы шлёте прямо на хэш?
хеширование - это обезличивание перс. данных
При условии, что исходные данные не хранятся вместе с хешами конечно.
Даже без дополнительной информации типа имени или номера телефона такой идентификатор является персональными данными (из публичного семинара для операторов персональных данных (письмо Минцифры от 17 марта 2022 г. N П25-5623-ОГ "О возможности отнесения адреса электронной почты к персональным данным").
Ради интереса нагуглили это письмо, прямая цитата минцифр "Адрес электронной почты можно признать персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу.". Все же "можно признать", а не "идентификатор является ПД".
А как они проверяют что персональные данные как либо обрабатываются?
Например, я могу сделать нерабочую форму, которая ничего не собирает и никуда не передаёт. Считается ли это обработкой?
Или если форма передаёт, но информация не сохраняется.
Или если в форме написано "введите вымышленный номер телефона"?
Более того, email это не просто перс данные, но перс данные первого уровня, то есть те, по которым можно уникально определить пользователя. Фактически, даже имя менее критично, чем email
Есть же позиция РКН по этой вопросу, это популярный вопрос. Вы читайте не только 152-ФЗ. Когда вам пользователь в форму где "только email" введет Solomon_Iogannovich_20011971_ekat@mail.ru, то это 100% переданные.
Когда вам пользователь в форму где "только email" введет Solomon_Iogannovich_20011971_ekat@mail.ru, то это 100% переданные.
...Осталось только каким-то волшебным образом убедиться, что адрес Vova@kremlin.ru ввёл в форму именно Сам Великий и Ужасный, а не хацкер Вася по приколу.
По определению ПДн - любая информация, способная идентифицировать человека.
Во многих компания рабочие e-mail имеют формат примерного вида [Фамилия].[Имя]@[Название-Компании].ru и его производные. Что чисто теоретически позволяет нам идентифицировать конкретного человека (условный Семён Шалопаев из компании Промтяжмаш). А дальше - ваша готовность и способность отстаивать в суде точку зрения, что это не так...
По определению ПДн - любая информация, способная идентифицировать человека.
...Осталось только каким-то волшебным образом убедиться, что адрес Vova@kremlin.ru ввёл в форму именно Тот Самый Человек, а не хацкер Вася по приколу.
Правильный порядок действия для ИП:
Повесить на свой российский домент заглушку "на реконструкции" (и оставить его для того чтобы списывать затраты не вызывая подозрений)
Зарегистрировать домен вне RU/SU - или использовать прокладку чтобы домен не был напрямую связан с ИП оказывающим услуги
На несвязанном домене вернуть сайт, и работать как работал
На любые вопросы РКН - указывать что представительством предприятия в сети Интернет является ("сайт на реконструкции"), а к тому, другому сайту, имярек отношения не имеет.
ИМХО РКН поставили план по добыче штрафов, и они прикрутили краулер и нейронку. Тут давеча Россельхознадзор плакал что после введения ИИ - у них количество выявленных нарушений возрасло в 160000 (сто шестьдесят тысяч!) раз - и они не справляются штамповать столько административных дел (и было бы неплохо чтобы ИИ напрямую штрафовал поднадзорных субъектов!
"Война дорого обходится стране - казна пустеет, милорд..." (С) Ришелье
На любые вопросы РКН - указывать что представительством предприятия в сети Интернет является ("сайт на реконструкции"), а к тому, другому сайту, имярек отношения не имеет
Очень сомневаюсь, что такой финт прокатит, когда РКН подаст в суд.
Тогда следующим шагом - делаем на неподконтрольном хостинге сайт собирающий личные данные в пользу АО "Газпром", ПАО "Промсвязьбанк" и далее по списку "голубые фишки ММВБ". Как суд должен разобраться, что некий сайт за пределами РФ имеет отношение к ИП Пупкин В.А - а такой же сайт к Газпрому - нет ?
В смысле я понимаю - будет телефонный звонок, еще и не в том разберутся! Но масштаб не тот - и арбитражные суды все-таки пытаются соблюдать единообразие практики...
Им проще в реестр внести и накидать штрафов не подъемных
Вы думаете, будет телефонный звонок? Я вот думаю, к ИП приедут с паяльником.
В смысле я понимаю - будет телефонный звонок, еще и не в том разберутся! Но масштаб не тот - и арбитражные суды все-таки пытаются соблюдать единообразие практики...
Я думаю не будет даже звонка. Всё ещё проще – проверка РКН не выявит нарушений у Газпрома или ВТБ сколько бы сайтов там кто-то ни сделал, и соответственно не будет штрафа от РКН и суда, а нет суда, нет и проблем с единообразием практики.
Повесят дискредитацию работы гос аппарата, или еще что
суд в России это секретарша которая оформляет штрафы чтобы было красиво, им не нужно разбираться, вам выпишут штраф и вы его оплатите, не важно сколько там здравого смысла или правоты на вашей стороне
казна пустеет, милорд..."
Такая трактовка конечно напрашивается, особенно на фоне призывов Матвиенко отбирать доходы у безработных, для оплаты бесплатной медпомощи.
Но с другой стороны, масштабы мошенничества это тоже серьезный повод для всяких резких движений. Если бы целью были только поборы в казну, то размер штрафов делали бы меньше, количество потенциальных "нарушителей" больше, а требования практически невыполнимыми. Чтобы дешевле было "отстегнуть и забыть", чем неукоснительно соблюдать, или обжаловать несправедливость.
И как это должно помочь против мошенничества? Сливы перс данных как были, так и будут(да и слито уже всё), мошеннические сайты же нужно блокировать, а не делать запросы.
Ну я с хабра удивляюсь. Все же вайнили, что яндексу за такой слив смешной штраф впаяли? Вот теперь будут по 15млн впаивать.
Да, РКП - это дно. И яндекс тоже дно. Да, понятно для чего эти сборы и куда пойдут. Но конкретно в этом случае, как-будто бы обычные граждане в плюсе. Еще бы в судах компенсации подтянули хотя бы тысяч до ста на человека, чтобы был смысл туда идти.
Все же вайнили, что яндексу за такой слив смешной штраф впаяли? Вот теперь будут по 15млн впаивать.
Так не устраивала то диспропорция. И диспропорция до сих пор осталась. Для яндекса это все еще смешной штраф, а для малого бизнеса - самоубийственное банкротство. У яндекса утекут миллионы записей о клиентах, у интернет-магазина 10к. Хорошо бы это как-то соотносилось с оборотами и величиной клиентской базы.
Так там де-юре написано, что штраф пропорционально размеру утекшей базе будет. Интернет-магазин заплатит сотку (если вообще заплатит, кто об этих сливах знает, если это мелкий магазин), а вот крупные провайдеры будут платить много.
Ну и для Яндекса этот штраф не критический, конечно, но и не смешной. По шапкам, думаю, прилетит ответственным
Масштабы мошенничества да - жуть. А у нацистов были ооочень убедительные обоснования для уничтожения людей в концлагерях.
Ну хватит уже, какое мошейничество?
Уже сразу пишите безопасность детей под угрозой!
Сарказм ваш понятен. Однако,
Сценарий 1.
Доклад от ФСБ Президенту:
"За период ххх , жертвами мошенников стали ххх тысяч граждан, ущерб составил ххх миллиардов рублей. Похищенные деньги пошли на финансирование враждебных сил. По результатам расследования, одной из сопутствующих причин стала масштабная утечка персоданных."
Вопрос от Президента к РКН:
"Что вы там .... вашу ... делаете для предотвращения утечки персоданных моих подданных?"
Ответ РКН:
"Боремся с утечками всеми силами, Ваш Величество! Устанавливаем дьявольски строгие требования, и конские штрафы за нарушения!"
Сценарий 2.
Секретная директива: "Всем министерствам и ведомствам! Вводите идиотские требования, и конские штрафы за нарушения! План по сбору штрафов ххх миллиардов рублей. За невыполнение плана по сбору штрафов - штраф. А так же лишение премии, должности, и ниже по списку."
Какой сценарий по вашему более вероятен?
Не является ли второй сценарий избыточным, так как первый уже автоматически создает те же последствия?
У вас в бюджете УЖЕ заложена сумма штрафов. И еще рассылаются по ведомствам требования собирать сверх плана! И никто не пишет "вводите идиотские требования". Просто вот план, а то не соберет еще +30% сверху - сдадим прокурору (сами знаете за что). И ведомства прекрасно сами придумают что ввести, как проконтролировать, и как собрать!
Вопрос столько в том, как президент из пункта 1 связал отчет фсб и требование к ркн?
Данные текут, тут вопросов нет, но проблема в том, что текут они не из за кук и яндекс метрики помнодженной на емэйлы.
Данные текут в основном оттуда, где у тебя нет никакой альтернативы не предоставлять никакие данные, и все это либо оберегаемые государтсвом монополисты или вообще гос. конторы.
Так что да, вводимые драконовские регляторные меры, по моему мнению, не имеют отношения к защите от мошеников вообще никак.
Все те случаи когда моим вниманием завладели мошейники строились на их владении данными очень далекими от того, за что дрючит ркн. В одном случае детальные сведения о счетах в банке, во втором о моих налогах.
Вопрос столько в том, как президент из пункта 1 связал отчет фсб и требование к ркн?
Советники подсказали.
Так что да, вводимые драконовские регляторные меры, по моему мнению, не имеют отношения к защите от мошеников вообще никак.
Ну да, это просто случайно совпало с ростом ущерба от мошенничества.
Ущерб россиян от мошеннических действий в 2025 году может достичь 340–350 млрд руб., заявил заместитель председателя правления Сбербанка Станислав Кузнецов «РИА Новости». Это на 50 млрд руб. выше, чем показатели 2024 года, когда общий ущерб от мошенничества составил 295 млрд руб.
По его словам, сумма может так возрасти, «если меры, которые принимаются сейчас на законодательном уровне и на уровне различных регуляторов, не заработают». Только за первые пять месяцев 2025 года мошенники уже похитили у россиян более 80 млрд руб. https://www.rbc.ru/rbcfreenews/685ce8ba9a79470371d8b197
Я правильно понял, принятие все более драконовских мер приводит к росту мошейничества? Из того, что написали корреляция такая.
Не приводит, а не влияет на падение/рост. Чтобы началось падение уровня мошенничества, нужно проводить оперативную работу, ловить и публично показывать дропперов(чтобы у людей с дефицитом морщин в мозге, закрепились последствия таких действий). Ловить на живца и так далее.
А если не все, но кмк большинство принятых мер лишь усложняет и так уже непростую жизнь для бизнеса. В РФ с начала короны, отрицательный рост бизнеса с небольшим перерывом перед 2022 годом. Количество закрытого уже который год превышает количество открытого. Крупный бизнес имеет юристов, чтобы уйти от ответственности, а мелкий так и будет массово закрываться.
Чтобы началось падение уровня мошенничества, нужно проводить оперативную работу
Ишь чего захотели — чтобы /они/ ещё и /работали/!
Генерал‑майор в шинели
громко плакал в докладной:
террористы охренели,
нет зацепки ни одной.
«...Завели себе девайсы —
интернет, секретный чат.
И попробуй догадайся,
с кем о чём они журчат.
Где ни сунься — всюду шифр.
Ни отмычек, ни ключей.
Лишь вагон арабских цифр!
И причем неясно, чей!
Как ловить бандитов буду?
Никаких зацепок нет,
если шлёт Аслан Махмуду
зашифрованный пакет.
Нам бы прежних инструментов!
Чтобы мы в сетях могли
и проверить документы,
и назначить патрули,
и явиться с понятыми —
всех на сайте мордой в пол!
Кто такой? Прописка? Имя?
Как давно сюда пришел?
Адреса друзей и близких?
Что в карманах, ё‑моё?
Где шкатулка с перепиской?
Доставай, прочтём её...
Кончилась эпоха Холмса
с появлением сети!
Мы бессильны! Мы сдаёмся!
Как нам следствие вести?
Нам работать трудно очень!
Не хватает важных мер!
Нужно больше полномочий —
Всех админских, например.
Раскрываемости нету!
Показатели в нуле!
Вот бы сети интернета
Запретить по всей земле!
Вы ж поймите, это важно!
Вот вам докладной листок...»
И сморкался в камуфляжный
Влажный носовой платок.
И так искренне, так чисто
Прозвучал его доклад,
Что кивали журналисты.
А потом случился ад.
Как вулкан потухший, в жерло
Получив морской воды,
Холмс вошёл, который Шерлок.
И вломил ему звезды.
Встал как призрак из могилы,
Из музея Бейкер Стрит.
«Ах ты ж долбаный мудила!» —
Он на кокни говорит.
«Я всю жизнь проползал с лупой!
Под дождём! В говне! В грязи!
Подними свою ты дупу
Да по кнопкам повози!
У тебя зацепок нету?!
Ах ты сраный три‑два‑раз!
А платежки?! А билеты?!
Кучи электронных баз?!
Вам же треки пишут соты,
Где носили телефон!!!
Идиот, иди работай!
Недоволен, падла, он!
Я искал следы руками!
Ты зажрался, стыдоба!
У тебя там гроздья камер
Смотрят с каждого столба!
Видят, кто ходил в подъезды,
Кто проехал по шоссе,
Кто, куда, во сколько съездил —
С номерами, сука, все!
У тебя народ как дети:
Трижды в день без выходных
Постят фоточки в соцсети —
Погугли хотя бы их!
У тебя провайдер каждый
Видит на любой из хат,
Кто чего качал из граждан:
Порнохаб или джихад!
А ему работать типа плохо!
Много цифры! Век не тот!
Мне бы так в мою эпоху,
Долбанутый идиот!
Ишь, сидят по кабинетам
Да растят на попе жир!
Слишком много интернета!
Страшный неуютный мир!
Чем внедрять бойцов к бандитам,
Да учить язык фарси,
Он сидит себе, трындит тут!
Шифры, блин, ему неси!
Что просить назавтра будем?
Офигели, дайте две!
Микрофоны в жопу людям?
Ключ от мыслей в голове?
Возвернуть таких констеблей
К нам на землю из кино
Можно лишь суровой греблей
Да маканием в говно.
Вам совсем заняться нечем!
В жопе сажа, блин, горит!»
Шерлок Холмс, закончив речи,
Улетел на Бейкер‑стрит.
Генерал‑майор платочком
Вытер божию росу:
«Если все согласны — точка,
Утверждать проект несу.
А у нашего отдела
Стало больше важных дел:
Заведем на Холмса дело,
Чтобы много не трындел.»
За невыполнение плана
Вы не поверите...
google://палочная+система
А как вы от "жертвами мошенников стали" перешли к "предотвращения утечки персоданных"?
Чтобы жертв было меньше надо мошенникам пистоны вставлять, а не сайты "100500 популярных имен" дрючить за то, что у них имена без согласия людей записаны.
Вон в первом терминаторе Шварц жуткой утечкой пользуется - Сар по телефонному справочнику ищет. Что тогда, от мошенников совсем отбоя не было?
Что тогда, от мошенников совсем отбоя не было?
раньше онлайна не было, а мошенники были, личности воровали только так, гдето полгода назад гдето читал историю как мужик (в США) больше 10 лет пытался доказать что он это он, его чуть в дурку не упрятали...а это его знакомый назвался его именем сделал права на его имя и жил чутьли не в соседнем городе
раньше ну украдешь ты персданные, что можно сделать? поддельные документы? отследить человека? сейчас совместив их из нескольких источников можно даже географически оттрасировать человека вплоть до того где он обедает
раньше по телефонной книге ты его не найдешь настолько точно
Предлагаю альтернативу: убираем все поля, кроме текста.
Сверху пишем: если хотите, чтобы мы направили вам ответ - укажите email/телефон в тексте, а если не хотите - не пишите.
Все, вы ничего не собираете! Ни к чему не принуждаете.
Настраиваем что-то для извлечения email/телефона из текста: хотите старым способом (регулярными выражениями), хотите новыми (нейронкой). Но РКН об этом без доскональной проверке не узнает.
А всё закончится очень просто, если не сознаетесь, что второй сайт ваш - его просто заблокируют за нарушения прав субъектов ПД да и всё. А это мешает бизнесу зарабатывать деньги
Сколько можно открыть сайтов на штраф 100-200 тысяч ? Можно же сделать так чтобы на "основном рабочем" сайте перс.данные не собирались - а для их сбора редиркетить на жертвенный домен... Но мое ИМХО - не будут они этим заниматься. Проще идти дальше по списку и трясти трудовую копейку с тех, кто не сопротивляется... Это же вам не домены ФБК, которые сверху приказали давить - да и то давилки не хватило...
Для бизнеса сайт — это не только и не столько хостинг. Это как раз доменное имя и его репутация. На него завязано продвижение в соцсетях, маркетинговые кампании, разбросанные по интернету или письмам ссылки, сохраненные ссылки у пользователей. Смена домена это сразу потеря всего этого актива, который мог годами накапливаться, и это серьезный удар по бизнесу.
Сколько можно открыть сайтов на штраф 100-200 тысяч
Ну, один-два, если простенькие... Если с интернет-магазином, с поисковой оптимизацией, с хорошими местами в выдаче, то 0,1 сайта...
Не? Или сайт делает по стоимости хостинга?
Sed -i "s/banme/example/g" /etc/nginx/sites-available/example && nginx -s reload?
Ирония в том, что сейчас ровно этим же занимаются черные казино. А вот теперь бизнес спускается на эту же ступеньку.
"Проблемы с доступом к ХХХ? Поставьте циферку Y в имени домена и все путем!"
Вот это бизнес-климат!
Всё, только чтобы не соблюдать законы. ИМХО, если бизнес вынужден опускаться до такого, то ему не место в стране.
С таким нелепым мышлением докатитесь до мысли, что любому (почти) бизнесу не место в стране. Ну да, нахой нам бизнес не нужон, авось как-нибудь экономика страны сама собой вырастет, а мы будем больше доить.
Ещё раз: если ваш бизнес вынужден идти на смекну доменов как перчатки, потому что делает всё чтобы его не зарегистрировали, то ему не место в стране. У добропорядочного бизнеса нет ни одного повода уклоняться от таких требований, и ровно так же как упомянутые вами казино - такому "бизнесу" в стране не место, и оправдывая его, вы оправдываете ублюдков преступников.
Если же траты на соблюдение закона для бизнеса неподъёмны... то каким лядом он вообще может существовать? Кто-то или ворует, или звездит, или уже по другим направлениям закон нарушает, так что таким в стране тоже не место - им место на нарах.
как упомянутые вами казино
Хоть бы смотрели на чей комментарий отвечаете, прежде чем тыкать клавиши. Да и текст мной написанный осмыслить было бы неплохо. Я казино не упоминал и закрытие криминальных помоек меня не огорчает.
Если же траты на соблюдение закона для бизнеса неподъёмны... то каким лядом он вообще может существовать?
В том и дело, что не может. А значит закроется, причем закроется легальный бизнес, а нелегальный может и останется. В этом и проблема обдирания любого бизнеса до нитки. Что выживало хоть как-то, загнется и не вырастет, что выживет, будет хуже развиваться. Хреновый бизнес-климат именно стимулирует уход в тень и мешает легальным конторам существовать. Следом сокращение рабочих мест, а значит безработица и прочие прелести "работы" бешенного принтера (сделанного из необразованных и глупых утырков).
Доить будем больше, кормить будем меньше... А о том, что коровы в хозяйстве так иссохнут и сдохнут им мозгов подумать не хватает. Кого доить когда все сдохнут?
Что у вас за сайты такие, что можно менять доменные имена как перчатки, и продолжать получать заказы? На ум приходит или наркота, или конченый скам.
Вы забыли остальные правила из "9,5 правил ведения безопасного IT-бизнеса в России"... :)
Господи, поздолбали...
Ну ловите вводные - вам лет 50, есть свои проблемы со здоровьем; есть ещё в живых старшее поколение, у которого, увы - ещё более не всё замечательно со здоровьем; есть дети, которым надо поступить и закончить ВУЗ; есть какой-то невеликий, но приносящий копеечку бизнес...
Вы уверены, что выполнение ХОТЬ ОДНОГО из этих "смишных" правил вот возьмёт и улучшит положение в описанной ситуации? Особенно - последнего?
Ваши предложения?
Да, ещё просьба учитывать тренды последних лет. И целесообразность использования находящихся на рубежом ИТ ресурсов, если Ваши Заказчики - тут.
PS. Да, лет 20 назад я тоже посмеиваясь читал эти правила. Но жизень - она посуровее весёленьких рассказиков...
есть какой-то невеликий, но приносящий копеечку бизнес...
а потому что это не бизнес
бизнес - это когда он не невеликую копеечку приносит, а адекватную вложенным в него усилиям, потому что большая часть микробизнеса это каторга похлеще работы на дядю за теже самые копейки
И целесообразность использования находящихся на рубежом ИТ ресурсов, если Ваши Заказчики - тут.
идея правил в том чтобы заказчиков искать за бугром и вообще в РФ не работать
у меня тут сейчас опять, спустя 12 лет после закрытия моего бизнеса, опять начинает чесатся идея открыть чтото... и желания открывать его в РФ нет никакого..во всяком случае основную его часть
идея правил в том чтобы заказчиков искать за бугром и вообще в РФ не работать
Да. Только после нахождения заказчиков за бугром необходимо будет прекратить свое участие на Хабре, в соцсетях, в открытых каналах и группах Telegram, не писать отзывы под покупками, комментарии под статьями, и так далее.
Иначе РКН будет считать вас иностранным агентом со всеми старыми и новыми вытекающими последствиями.
Иначе РКН будет считать вас иностранным агентом со всеми старыми и новыми вытекающими последствиями.
иноагентом признает минюст, а не РКН и причины почему он это делает далеко не в том что мы тут на хабре ктото чтото пишет и не потому что зарплату из-за бугра надо получать
ведь вполне официально можно владеть КИК и не быть иноагентом
То, что Минюст, а не РКН - это хорошо.
причины почему он это делает далеко не в том что мы тут на хабре ктото чтото пишет и не потому что зарплату из-за бугра надо получать
про "на хабре ктото чтото пишет"
распространение предназначенных для неограниченного круга лиц печатных, аудио-, аудиовизуальных и иных сообщений и материалов (в том числе с использованием информационно-телекоммуникационной сети "Интернет"), и (или) участие в создании указанных сообщений и материалов;
про "зарплату из-за бугра"
под иностранным агентом понимается лицо, получившее поддержку и (или) находящееся под иностранным влиянием в иных формах и осуществляющее деятельность, виды которой установлены статьей 4 настоящего Федерального закона.
и осуществляющее деятельность, виды которой установлены статьей 4 настоящего Федерального закона.
ну и процитируйте эти виды
Под видами деятельности, указанными в части 1 статьи 1 настоящего Федерального закона, понимаются политическая деятельность, целенаправленный сбор сведений в области военной, военно-технической деятельности Российской Федерации, распространение предназначенных для неограниченного круга лиц сообщений и материалов и (или) участие в создании таких сообщений и материалов, иные виды деятельности, установленные настоящей статьей.
там есть конечно интересные "иные виды" - но в целом суть такова что нельзя плохо говорить про того про кого плохо говорить нельзя
собственно достаточно не лезть в политику и никакому РКН вы будете не нужны...ну пока у вас денег не станет столько что вашими деньгами заинтересуются правильные люди и таким способом вас пуганут... цифры там от сотен миллионов начинаются я чёт не уверен что на хабре много таких людей кто такого может опасаться
хотя если если у вас денег столько станет, вы наверное и сами догадаетесь как себя вести стоит и что делать
микробизнес это каторга похлеще работы на дядю за те же самые копейки
И? Уж какой есть. Что предметно предлагаете? Заплакать и уйти в монастырь? Или в "тяпёрочку" кассиром работать?
идея ... в том чтобы заказчиков искать за бугром и вообще в РФ не работать
Если предыдущие -дцать лет работал "тут", если бизнес (построение сетей, ЦОДов и т.п.) плотно связан с работой "на земле", если он еще более плотно утыкается в государственную строительную нормативку (которая в любом государстве есть и отличается) - то как Вы себе представляете поиск Заказчика "там"?
Давайте мы Вам силами российской компании построим ЦОД в (условной) Чехии?
Для начала надо капитально вложиться и в целевом регионе развернуть структуру, способную реализовать подобные проекты. Инженеры, проектанты, руководители проекта (производители работ), ключевые монтажники...
А это всё - увы, немножко другие масштабы затрат...
есть дети, которым надо поступить и закончить ВУЗ;
если есть дети, которым надо поступить, а не "которых" надо поступить, то, к примеру, в Словении недорогое обучение, и ВНЖ студенческий относительно легко дают.
Не по теме IT, но если кто следит - то в РФ вовсю пихают инициативы по превращению студентов-медиков в крепостных на три-пять лет после окончания обучения. Причем крепостных без кавычек, слово "закрепление" уже звучит очень громко.
На остальное обычно жена говорит "зарабатывай деньги, дорогой"
пихают инициативы по превращению студентов-медиков в крепостных
Обратите внимание, не всех студентов-медиков, а только бюджетников. Всё вполне в духе любимого многими капитализма. Кто девушку ужинает, тот её и танцует. Государство платит за обучение, оно имеет право устанавливать условия этого обучения. Платите сами и не будет вам никакого "закрепления".
не хочу вас расстраивать, но с платниками тоже всё довольно печально в последние годы. В частности, количество платных мест сильно ограничено даже в частных вузах, а из-за щедрости депутатов и трюков с вузовскими "олимпиадами" на бюджете мест фактически нет. И большинство крепких абитуриентов идут на эти самые платные места переждать пару сессий, пока разгонят халявщиков.
Государство платит? Вот прямо из своих кровно заработанных?
Во первых, не только бюджетников, но и платников - целевиков.
Во вторых, даже целевиков, за которых платит предприятие, норовят загнать на гос. отработку после обучения.
В третьих, как уже прокомментировали ниже, число чисто коммерческих мест в вузах с недавних пор ограничивают, и не только в медицинских, а во всех. Так что еще пойди, попади на это платное место.
Государство платит за обучение, оно имеет право
Государство сначала отбирает деньги в виде налогов, а потом "платит" якобы своими деньгами...
А у вас есть другой вариант? Ну, один, конечно же, есть - полностью платное образование и полностью платная медицина. Государство не собирает на это деньги, каждый платит за образование и лечение сам.
Станет ли при этом больше врачей? Больше хороших врачей? Пойдут ли эти врачи охотно работать в глубинку, где и пациентов немного и денег у пациентов не так, чтобы очень? Станет ли лечение доступнее всем? Почему-то мне всё это кажется маловероятным.
Так если государство принуждает отрабатывать за обучение, это фактически равноценно тому, что обучение платное. То есть, государство занимается не увеличением общественного блага, а бизнесом. Но уже вроде бы общеизвестно, что государственный бизнес это зло. Они либо хорошие государственники, но плохие бизнесмены, либо хорошие бизнесмены, но плохие государственники.
Но государство не заставляет работать бесплатно. Работа по распределению оплачивается (как минимум, формально) так же, как и работа по выбору. Фактически, государство предоставляет выбор - платить за обучение и самому выбирать место работы или не платить и некоторый (не особо большой) срок отработать в назначенном месте. При этом, в случае выполнения обязательств, никакого возврата денег государству не предусматривается, это не кредит.
Опять же, обязательная отработка может работать как способ отсеять тех, кто и не собирался идти в медицину, а просто хотел получить диплом. Но тут не знаю, много ли таких среди студентов-медиков, это всё же не самая простая специальность.
А вообще, в глубинке ситуация в медицине та ещё. Достаточно вспомнить судебные распоряжения "Закрыть вакансии врача-специалиста".
У кого отбирает? Доход бюджета от налогообложения физиков (НДС, НДФЛ) порядка 20%. Таможенные доходы - 12%. Доход от НДПИ почти 40%. Остальное - внешняя торговля и т.п.
Ну ладно, ок. Зарабатывает на том, что отобрало ранее и отбирает то, что ещё осталось.
https://www.consultant.ru/document/cons_doc_LAW_364178/e27ccb08fbc19720edc86945313236862ef7b407/
Экспортные доходы типа нефтегазовых - офигенная схема, взять землю, на которой живут люди, добыть там нефть/газ/металлы/лес, всё продать и сказать, что люди ни при чём, это доходы государства, а людям только убитую экологию в подарок.
А если НДС не на физиков - это всё, уже не налог? Если у компаний меньше денег, это точно не способствует росту зарплат. Вдобавок есть жёсткое ограничение - коммерческая компания не может работать в минус, если рентабельность около нуля, налоги и прочие расходы напрямую ограничат рост зарплаты.
Если число нарушений возрасло в 160 000 раз - это означает, что они создали систему в которой не прав каждый.
Если государство создаёт "закон" по которому каждый является нарушителем, то это не Закон в исходном его понимании, а предлог для ограбления под видом "штрафа".
Совершенно верно! А если кучка негодяев захватила власть и терроризирует весь народ - то нормальные люди организуются и лишают власти зарвавшихся ничтожеств, судят их и отправляют в места. А если народ считает себя терпильным и безропотным стадом, которому обязательно нужен козел(который сам не знает куда ведет) - то происходит ровным счетом то, что сейчас наблюдаем.
Проблема в том, что в реале за нормальными людьми из стада приходят такие же люди, но продавшие душу власти. То есть твой же сосед будет тебя по случаю раскулачивать. Кучка негодяем пишет законы так, чтобы народ сам себя хлестал плетьми и черствыми "государственными" пряникам ипошил. Один видит в новом законе угрозу и несправедливость, а другой возможность обогатиться. Вся система в головах, главное правильно с детства форматировать мозги.
Этож в каком чудном мире такое происходит? (в смысле первый вариант)
В Непале чтоли? а еще есть варианты?
p.s. я чёт тут анализировать начал на фоне всего тут происходящего и чёто както печально это всё выгядит в реальности то
написал же - нормальные люди. А в какой стране сейчас нормальные люди? По мне так ближе всего к этому Франция, там хоть нормальные профсоюзы сохранились, да и люди не считают себя скотом. Если там на прилавки вывалят гнилую картошку - то будет революция, притащат мэра и заставят его самого жрать её. А у нас, я почти каждый день, вижу как в магазине в гнилой картошке ковыряются "люди" - хотят что-то съедобное для себя найти, и порой довольно прилично одетые, не сказать что бомжи.
По мне так ближе всего к этому Франция, там хоть нормальные профсоюзы сохранились, да и люди не считают себя скотом
в целом...ну да... хотя честно говоря я не хотел бы жить во Франции, они у меня с "нормальными людьми" очень относительно ассоциируются...в плане той нормальности в котороя я жил бы
Ты в той Франции-то был? В паре сотен метров от пресловутой башни тоже "люди" ковыряются. И тоже в гнилой картошке. Только не в магазине, совсем не в магазине.
Ну там жёлтые жилеты периодически бузят, и машины жгут даже если разойдутся, а президент как сидел так и сидит. Со стороны выглядит как народная традиция, а не рабочий механизм, пусть меня французы поправят, если это не так, им виднее изнутри.
А если кучка негодяев захватила власть и терроризирует весь народ - то нормальные люди организуются и лишают власти зарвавшихся ничтожеств, судят их и отправляют в места.
Да, я тоже сказки люблю.
"С тех пор, как мы ввели налог на воздух, вы стали меньше дышать! Это возмутительно!" (c)
Любимая цитата из «Атлант расправил плечи»:
- Вы думаете, мы придумываем законы, чтобы вы их соблюдали? Нет, мы их придумываем, чтобы вы их нарушали!...
Все так и осталось.
это означает, что они создали систему в которой не прав каждый.
Или, как это обычно бывает, десятилетиями до этого все клали на законы и правила, а тут ВНЕЗАПНО выяснилось, что так нельзя было. Например, как с пиратством - сколько было воя, когда пошли первые дела за это и закрытия трекеров, уууууу... "Мы всегда качали на халяву, почему это мы должны вдруг начать платить".
Тут тоже самое - десятилетиями делали что хотели, клали на здравый смысл, логику и безопасность, а тут ВДРУГ оказалось, что это и так раньше было незаконно!
А мне другая идея пришла. Что если вовсе отказаться от персональных данных?
TLDR: вместо емейла, или телефона идентифицировать пользователя по генерируемому идентификатору.
Disclaimer: не специалист, идея может быть плохой.
(куки я так понял не персональные данные, и нужно просто уведомлять пользователя но не обязательно отсвечивать перед РКП. Если нет, то пусть пользователь сохранит идентификатор (о котором пойдёт речь ниже), в браузере как логин пароль. Который сайт сам ему сгенерит и вобьёт)
Короче, идея такова. На основе коротенького майнинга в браузере (длину которого можно варьировать в зависимости от признака подготовки к спам атаке на какие либо заявки), присваивать пользователю идентификатор. Далее имея идентификатор принимать заявки, на этот идентификатор. Хранить идентификатор как на сайте, так и у пользователя. При этом кроме самого идентификатора генерить ещё и порядковый номер. Короткий. Чтобы в случае чего вручную решать какие-то вопросы, например потери идентификатора.
Дальше взаимодействие на основе идентификатора.
Правда проблема остаётся, что какие услуги можно оказывать без персональных данных? Полагаю, доставку на дом уже не сделать. Но что если это доставка не на дом, а просто в абстрактное место/подъезд/куда угодно? Или в лес в землю и давать координаты 🤡? Не изучал, но возможно постаматы также можно без персональных данных пользователя использовать.
Наверное, можно организовывать приход куда-то.
Возникает дополнительный вопрос, а является ли безналичный платёж персональными данными (ведь всегда можно узнать кто отправил) и является ли просто проверка его совершения обработкой персональных данных, даже если никуда не сохраняешь, а просто через банк проверяешь? А то может и вовсе огромная нелатаемая дыра в идее?
По крайней мере, нет данных -- нет утечек. xD
А утечка похоже это самый страшный штраф.
Ага, вы изобрели фингерпринт клиента, самое кошмарное зло, которое случалось в вебе
Я думаю, что это не оно. Потому что я не имел в виду собирание всей доступной информации, такой как юзерагент и прочее.
Более того, хоть это и не указано в явном виде, имел в виду систему, в которой пользователь сам контролирует, оставлять вбитый идентификатор или завести новый.
Как минимум я не противоречил контролю идентификатора пользователем, так что не надо обвинять меня в изобретении кошмарных зол. :D
Хотя теперь предыдущую идею вижу несколько не в тему. Идентификатор с паролем можно чтобы пользователь сам придумывал, а короткий майнинг всего лишь для активации аккаунта использовать.
В общем какую-то фигню понаписал, теперь неловко.
К чему такие сложности? Можно просто просить ввести логин и пароль.
Потом сотрудник РКН оставляет на сайте.com заявку, Вася-бизнесмен ему перезванивает - и приехали.
Повесить на свой российский домент заглушку "на реконструкции" (и оставить его для того чтобы списывать затраты не вызывая подозрений)
И как только ИП по заявкам позвонит заказчикам или разошлет заказы - появится повод постучаться к нему с тем же вопросом.
а к тому, другому сайту, имярек отношения не имеет.
Делается заказ, получается чек, всё, готово.
На несвязанном домене вернуть сайт, и работать как работал
Какой простор для фишинга.
очень интересный пункт про фотографии. а где в законе написано что я должен публиковать согласия на сайте? собрать должен, да.
Согласия сотрудников, допустим, имеются на бумаге. Есть ещё вопрос к юристам: вправе ли РКН проверять их наличие в организации?
И такой же вопрос насчёт запрета распространения. У меня рекламные снимки, я заплатил сотрудникам, стилистам, визажистам, фотографам - и хочу, чтобы их фото допустим в моей фирменной одежде с логотипами распространяли. Продвижение картинками кстати не позавчера придумали. РКН там берега не потерял?
Согласен. Что это такое вообще? Каких-либо указаний на наличие у Оператора согласия субъектов на распространение их персональных данных, а также сведений о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения, на сайте Оператора не выявлено.
Подписать, под фото, что согласие на распространение получено?
Скажите,Алексей, если мой сайт в зоне .com, на английском языке , надо ли мне переводить политику обработки ПД на английский?
И что делать с английской версией сайта .ru (когда переключаешь язык кнопкой) ?
Дак в зависимости в какой юрисдикции работаете
Проблема в том, что если на ru.yukr.com зайдет кто-то из России, российские власти будут однозначно трактовать это как работу сайта-компании в России.
Если yukr мелкий уровня Hoovers LTD и не интересен РКН и прочим российским властям, то скорее всего забьют, но вот Гуглам и прочим начинают выписать штрафы в Гугол.
Upd: Посмотрел у Газпром- там на английской странице политика на английском..придётся переводить..
Лучше перевести, на всякий случай. В любой непонятной ситуации с РКН — лучше что-то сделать, чем не сделать.
Мораль сей басни такова: make email great again
Оставляйте вместо формы с запросом емейла линк, который при нажатии откроет emailпрограмму у клиента и пошлет вам емейл с предустановленным заголовком.
Получите емейл клиента, а поскольку он вам его отправил то согласие на обработку персональных данных не тебуетсся
Шах и мат Роскомнадзору :)
Ну вот на сайте есть наш email. Посетитель шлет на него письмо. Это как считается?
Штука в том, что РКН считает, что даже сам по себе емейл — это персданные. Некоторые суды с ним, правда, не соглашаются, но тем не менее.
Это если вы его в форме спросили. А если вам емейл прислали то это нельзя считать персональными данными. Так же как если я вам письмо пошлю по почте со своим обратным адресом. Я не собирал вы сами передали
Как насчет хранения и обработки персональных данных? Или только за сбор будут предьявлять?
Считать можно и нужно (и считают, если там есть что), а вот СОГЛАСИЕ на обработку уже не нужно -- человек самим фактом отправления емейла согласился на его обработку.
А если у емейла есть подпись фио и телефон, это уже перс данные, а может человек решит туда какие-либо свои документы добавить, перепутал что-то или с головой не дружит?
Но это не имеет значения, ведь в данном случае это лишь сбор пд и он относится к подаче заявления в роском, не а на сайте сбора нет. Вопрос, как это работает кончено открыт
Не совсем так. Отправка письма действительно подразумевает добровольное сообщение данных, но последующая их систематизация (например, в CRM) всё равно подпадает под закон о персданных
Что значит систематизация? Почта принимается через Яндекс.Мейл например, там вся переписка хранится на сервере Яндекса вместе с емейлами, ФИО, телефонами отправителей, местом их работы. Какие это "персональные данные"? Люди сообщают свои рабочие контакты.
Например екселевский файл с именами, контактами и пометками "Чувак хочет купить ХХХ, денег буран, но жмот". Это уже полноценная БД, содержащая ПД.
Вы же не храните все контакты только в почте?
Даже если и так - это ваш личный аккаунт, вы его оператор, и за содержимое отвечаете вы. Если там будет храниться книга \Роскомнадзор\ или веселые картинки особой категории - отвечаете вы, а не Яндекс.
Это почта, там хранится переписка и контакты всяких менеджеров по закупкам и их директоров..
Вообще смысл был в том, чтобы защищать данные физиков - покупателей товаров и услуг, а не данные должностных лиц всяких ООО.
ИП "Иванов Иван Иванович" юр. адрес пр. Депутатов, д.1 кв.43. - это персональные данные?
В общем в очередной раз усердие превзмогло рассудок.
ФЗ 152, ст. 22, ч. 2
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
...
8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
Постановление Правительства РФ от 15 сентября 2008 г. № 687 Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Эти данные же не хранятся на вашем компьютере/сервере. Поэтому "оператор" никак не может отвечать за эти данные, они физически находятся не у вас. И как ответили ниже - подобного рода обработка без систем автоматизации допустима.
У меня за 20 лет ни разу по клику на mailto: не открывалась почтовая программа. Потому что её либо нет, либо она есть, но всё равно не процессит эти линки (Thunderbird), либо Gmail указано процессить эти линки, но всё равно ничего не происходит при нажатии.
Кстати да, тоже ни разу не довелось использовать эту «мэйлту» по назначению. По сути это кнопка, которая нужна лишь для того, чтобы пару секунд посмотреть на интерфейс неработающего Аутлука перед тем, как его закроешь.
Тоже пришла в голову мысль: а как связать сайт и конкретного предпринимателя? Что если сделать сайт как бы под конкурента и нарушить там все, что можно (даже "случайно" список "клиентов" засветить)? Бедный конкурент может от штрафа и отбрехается, но нервов знатно потратит.
Фальсификация доказательств легко превращается в фабрикацию преступления. Это путь к уголовному делу, блокировкам и репутационному краху. Не стоит..
По-хорошему, для этого надо доказать умысел. А не просто предположить его. А конкурирующих версий "для чего был создан тот сайт" может быть масса.
А на кого оформлен тот сайт? Это лицо не сможет понести откровенность?
На сайте есть реквизиты компании? Да даже если нет, установить владельца сайта - дело пары запросов к регистратору домена. У компании обязаны быть учредительные документы, в т.ч. устав. Что написано в уставе компании в качестве основной деятельности? Правильно, "извлечение прибыли". Умысел - игнорирование/обход законодательства в целях извлечение прибыли. Зафиксирован документально.
В этой ветке мы рассматриваем ситуацию "подставь конкурента". Реквизиты компании на сайте есть - это реквизиты конкурента. И вот вопрос - будет ли РКН разбираться в деталях или после беглого осмотра насует штрафов конкуренту.
Дальше Rubiorif предположил, что за это может быть отдельное (уголовное, я так полагаю) наказание. На что я возразил - будет очень сложно доказать умысел конкретно вот этого. Речь не просто о штрафе, а об уголовном деле.
Как сейчас и в интернете - не знаем. А нашему клиенту где-то в 2021 прилетел огромный штраф за рекламу, к которой он отношения никакого не имел (точно не имел, там даже услуги были те, которые он не умел оказывать при всем желании), просто потому что "Ваш телефон - значит реклама Ваша, можете подать регрессивный иск к тому кто эту рекламу за Вас разместил". И у нас тогда было ощущение, что это нормальная практика, чьи реквизиты нашли - тому штраф и влепили.
Уже давно на каждом сайте предпринимателей должны быть по закону в подвале или на отдельной страницы адрес, ОГРН, и прочие ОКВЭД на КПО
Что если сделать сайт как бы под конкурента и нарушить там все, что можно
Газеты, якобы агитирующие за одного кандидата, но, по сути, содержавшие полную дичь, призванную оттолкнуть от него максимально большое количество избирателей, выпускали ещё в 90х. А придумано это было, подозреваю, лет на 50 раньше.
Снес всю аналитику. Куки, как понимаю, при этом тоже не собираются? На страницах скриптов нет, только html.
CloudFlare теперь использовать нельзя?
Теперь даже лендинг с формой обратной связи превращается в юридическое минное поле
А у меня техническо-юридические вопросы:
Как было направлено письмо? Я вижу, что это письмо в формате PDF (традиционно), но как был выявлен конкретный электронный адрес предпринимателя? Указан, как адрес собственника доменного имени? Или компания-хостер предоставила? Или на сайте был размещен?
Адрес сайта в студию! Имя компании-хостера в студию!
Компания ИП занимается "растяжкой" в Тюмени. Но никто не жаловался. Сомнительно... Ну... ОК. Нет ли здесь подоплеки иного характера, когда ИП просто перешел дорогу, скажем, жене какого-нибудь уважаемого человека, которая обладает множеством талантов, но предпринимательство в сфере "растяжки" в них не входит, а бизнес ей муж уже купил?
Лендинг был привязан к конкретному офлайн-бизнесу. А если это сайт объявлений? Форум? Справочник?
Доменная зона насколько важна?
6. Некоторые хостеры предоставляют собственные системы веб-аналитики, которые ВООБЩЕ не предусматривают никакого кода на самих страницах. Их как отражать?.. И как их собираются вообще выявлять?
Предоставляя вам информацию, человек не обязан раскрывать все детали и данные и более того, чаще всего не хочет этого делать. Вы оставьте здесь свои данные фио, данные ип или ооо, адрес сайта...
На нескольких своих сайтах сделали лайт ребрендинг.
Куки убрали вообще, там где надо переделали на сессии.
Контактные формы из "Ваш телефон" и "Ваше ФИО" переделали на нечто в стиле "По какому телефону Вас набрать" и "Как к Вам обращаться при звонке".
От передачи персональных данных клиентов это естественно не защищает, но собственно персональные данные могут и просто так на контактную почту прислать - это этого никто не защищен, главное что персональные данные мы больше не запрашиваем и соответственно не обрабатываем.
Может кто-то из юристов прокомментировать?
Тут и не юристу понятно что это не прокатит, если вы автомобиль назовёте велосипедом что бы не платить транспортный налог то автомобилем он от этого быть не перестанет и транспортный платить придётся.
А если у них есть метрика (наверняка есть) то это уже обработка персональных данных (по версии ведомства, даже не смотря на то, что они обезличенные).
Зато как теперь все безопасно себя стали чувствовать что их персональные данные надёжно хранятся ведь теперь буквально на каждом сайте лезет плашка с согласием.
не юристу понятно что это не прокатит
Так то не юристу, а вот для юриста немного по другому.
если вы автомобиль назовёте велосипедом что бы не платить транспортный налог
Если Вы в поле "комментарий" (как посетитель сайта) положили паспортные данные, то запись комментария в БД обработкой паспортных данных не станет.
уже обработка персональных данных (по версии ведомства, даже не смотря на то, что они обезличенные).
В законе об обезличивании даже есть понятие "идентификатора", не говоря уже о том, что с 1 сентября 2025 обезличенные часто можно обрабатывать без разрешения.
del
Так имя и телефон запрошенные, это и есть пд. Тут встает вопрос, если сайт содержит только контактные данные и никаких форм для заполнения и отправки не подразумевает, он все равно обязан к этим издевательствам или нет, а в вашем примере вы запрашиваете те же пд
Так имя и телефон запрошенные, это и есть пд
Имя в принципе не ПД, но в любом случае оно в форме не запрашивается, запрашивается условно "обезличенный идентификатор" клиента. Знали бы Вы сколько в этой форме появилось ответов вида "господин мой", "повелитель" и т.д. после переименования:)
Так же как не запрашивается личный телефон клиента, а запрашивается по какому телефону ему можно позвонить. И кстати, там тоже не всегда пишут телефон и/или личный телефон.
встает вопрос, если сайт содержит только контактные данные и никаких форм для заполнения и отправки не подразумевает, он все равно обязан к этим издевательствам или нет
Разумеется нет. Клиент вообще может е-маил в хуизе найти (даже без публикации на сайте) и копию паспорта свего Вам на него прислать так-то.
Ключевое тут "сбор персональных данных", инициатива, запрос со стороны сайта - грубо утрируя, если Вы поставили работающий шредер для мусора, а Вам туда насовали паспортов, то Вы никак не занимаетесь сбором и обработкой ПД.
Да я же не против, я в той же ситуации, что и вы и по факту мы не собираем эти ПД, но для соблюдений закона, мы обязаны разместить форму о сборе)
Я согласен, что куки это не ПД вовсе и имя с телефоном можно указать любые и это тоже не ПД, но не нам это решать, нам нужно сделать так, чтобы избежать геморроя и штрафов)
"Придумайте себе позывной, по которому можно к Вам обращаться"
(раньше это называлось никнейм, но с учетом импортозамещения и некоторых других практик пусть будет позывной)
А как вы сессии без кук сделали?
?PHPSESSID=
Собственно тоже трекинг )))
Но куки-то нет, вот в чём фокус!
Утечку впаяют, это все в логах вебсервиса остается, а вы их как храните? надежно? точно? )))
Которые найдёте, все ваши. Мы их не ведём. )) А за логи у провайдера пусть провайдер отвечает. Мы ему галочку не ставили, если что.
Вроде при https (он ведь включен, да?) в логах не сохраняется URL query. Хотя, в данном случае "куки" -- это общий термин, который не ограничен только document.cookie, а охватывает любые механизмы отслеживания.
Классическая уязвимость когда можно угнать сессию через referer.
url/?sessionid=35545665557 например
То же, что в куке
Чисто технически - session/local storage и API запросы к беку где гоняется этот параметр в заголовках/теле/урле запроса (главное, что не в куках)
Извините, стало любопытно, что бы вы подумали о такой идее? https://habr.com/en/articles/954602/#comment_28939842
Пока (ключевое слово) не стоит заморочек, т.к. в принципе текущие правила выполнять несложно. Одно дело поля формы переименовать и отключить автоподтягивание инфы о клиенте из разных баз, другое дело перестраивать всю схему работы фирмы.
Вы там еще про оплату писали, ну так при оплате клиент почти никогда не идентифицируется, он просто направляется по номеру счета на платежный гейт, а оттуда приходит подтверждение оплаты, тут как раз все предельно просто.
Где хранится сессия на стороне клиента?
Контактные формы из "Ваш телефон" и "Ваше ФИО" переделали на нечто в стиле "По какому телефону Вас набрать" и "Как к Вам обращаться при звонке
Оставьте просто телефон, имя узнаете, когда ответят на звонок. Зачем оно вам в форме?
На исполнение требований Роскомнадзор дает всего 10 рабочих дней. За это время нужно успеть внести >все правки в сайт и документы, и уведомить об этом РКН.
А если просто отключить сайт, то будет "у меня лапки"?
Исправить за 60 дней и потом включить?
А с новыми и старыми клиентами вы как эти 60 дней работать будете? За это время сайт утонет в алгоритме и в выдаче, не факт, что обратно поднимешь
А если просто отключить сайт, то будет "у меня лапки"?
Требование РКН сводится к "прекращению правонарушения" и "уведомлению о принятых мерах".
Отключение сайта к прекращению правонарушения приведет (как в общем-то наверное и удаление формы, че так сразу резко-то), обработку прекратить еще проще - нет сбора и обработки - нет и нарушения, а вот уведомить РКН о принятых мерах все же надо. И соответственно после приведения всего в порядок (через 60 дней или сколько там) подать заявление о том, что "снова начал собирать и обрабатывать".
пишите мне в личку в телеграме @bchlf
а это сбор персданных?
Должна ли я, как пользователь, чувствовать себя более защищенной от этого закона? Есть ощущение, что как всегда это повлияет только на простых работяг-ИПшников, а реальные злоумышленники действуют через сайты-однодневки или просто взламывают базы данных. Что говорить, если популярные схемы развода включают госуслуги?
Как у обывателя, у меня такой вопрос – если я запускаю гугл-форму на своей личной странице в соцсети, и там есть поле "ФИО" – это сбор персданных?
Не должны конечно, такой обязанности РКН пока в закон не включил:)
Но в принципе немного спокойнее быть можете, т.к. есть принцип бритвы Хэнлона "Не спешите приписывать злому умыслу то, что вполне можно объяснить простой человеческой глупостью".
Если раньше данные раздавал и собирал кто попало и базы хранили не задумываясь в открытом виде с дырами наружу, то сейчас злодеям хотя бы надо с сайтами однодневками заморочиться, да и взлом бд где-то будет сложнее, а где-то эффекта не даст.
Но в целом - разумеется текло, течет и течь будет. От этого никуда не денешься, проблема щита и меча.
Если что-то выглядит как злой умысел, работает как злой умысел и имеет последствия как злой умысел, то какая мне разница, что это была на самом деле глупость, а не злой умысел?
Проще и правильнее не выдумывать сложности и относиться к этому как к злому умыслу.
Если что-то выглядит как злой умысел, работает как злой умысел и имеет последствия как злой умысел, то какая мне разница, что это была на самом деле глупость, а не злой умысел?
Не уловили смысла Вашего вопроса. Мы отвечали на вопрос - поможет ли закон, смысл нашего ответа был в том, что:
Против чистого злого умысла (ломанули сервер нулевым днем) он не поможет.
Против чистой глупости (раздают ПД всем кому ни попадя просто так) он поможет.
В реальной жизни встречается и то и то, поэтому закон против глупости - уменьшит количество и/или вероятность утечек.
Что именно в этой логике Вы считаете неверной?
Проще и правильнее не выдумывать сложности и относиться к этому как к злому умыслу.
Ч/Б суждение всегда проще. А вот правильнее не всегда.
Предлагаете убрать из УК статью убийство по неосторожности и/или при самообороне, оставить только намеренное? Убрать критерии при которых это еще самооборона, а при которых уже нет? Убийство же этож человеческая жизнь, раз убил значит это выглядит как злой умысел и вот это все - какая Вам разница глупость это была или неосторожность?
Правила и стандарты оказания медицинской помощи которым должны следовать тоже предлагаете убрать? Оставим простой и правильный критерий - умер пациент или нет, умер - значит врач убийца, скорее дело заводить, верно?
ПДД давайте тоже отменим, если ДТП случилось, значит был злой умысел, не глупость, зачем регулирование и критерии, зачем штрафы?
Закон о ПД, при всей его корявости, имеет тот плюс, что огромная куча раздолбаев (а их куда больше 90%) перестанет раздавать кому попало и вываливать в общий доступ данные клиентов и/или посетителей. Просто потому, что есть закон регулирующий то, как с этими данными надо обращаться и в каких случаях. И соблюдение этих правил уменьшит количество утечек и/их вероятность, почитайте закон-то уже, он короткий.
При этом нет ничего сверсложного (пока) в следовании этому закону для рядового бизнеса, все решается рядовым ИТшником за пару дней, ЕСЛИ данные раньше не раздавались направо и налево, а если раздавались - так что плохого, если они перестанут раздаваться?
Если что-то выглядит как злой умысел, работает как злой умысел и имеет последствия как злой умысел,
...а потом выясняется, что это просто налоговая!
да очнитесь вы алло, никто из так называемого «государства» не собирается о вас заботиться, это просто машина по выкачиванию денег через штрафы, налоги, откаты и ребалансировка денег на счёт ВСУ СВО
мне вот лично хватило того, что всю KDV group стоимостью в 500'000'000 рублей просто взяли и отжали за один день в пользу сильных власти
Даже если вы храните контакты в телефоне, это уже сбор и хранение данных.
Все эти законы преследуют только одну цель — заработать денежки в бюджет. Всё.
Мне вот итересно как и насколько будут штрафовать КВАДРО, за излишюю кастомизацию для УК и саму УК.
Как пример, оказывается они предоставляют функционал любой УК позволяющий отключить вкладку Обращения. Проще говоря, после того как вы загрузили туда обращения (юридически значимые доки в РФ, см. определение), УК подтвердила, что их получила, и даже взяла в работу. Внезапно оказывается, что у пользователей пропадает сама вкладка со всеми доками.
Опять у РКН двадцать пять )
Давайте всё же прочитаем указанный пункт 18 Условий по ссылке https://yandex.ru/legal/metrica_termsofuse/ru/ ))
Задача со звёздочкой - прочитать весь текст Условий, и уточнить, кто в данном контексте является Пользователем Сервиса.
Может после письма что-то поменялось, потому что 19й пункт соответствует тексту абзаца.
Вопрос более глобальный: если сайт не обрабатывает ПД вообще, но использует метрику, то относится ли это к обработке ПД, учитывая очень интересную формулировку того самого 19ого пункта?
И еще вопрос: что, если сайт не использует метрику, но на сайте висит реклама, которая использует метрику (та, которая от Яндекс, например)?
Если не натягивать сову на глобус, то по логике куки и метрику можно притянуть к персональным данным (ка средство обработки), только если собираются настоящие персональные данные.
А что если будет некий платный сервис для разработчиков, который будет содержать хранилище персональных данных оформленное полностью в соответствии с РКН и предоставлять хеши пользователя (может даже одноразовые для сессии, истребуемые движком целевого сайта). И те, кто не хочет лишний раз связываться с этими процедурами могут просто запросить в форме "введите ваш ORCID ID, SPIN-код РИНЦ" для прохождения регистрации. В принципе даже пароль не нужен и какие-либо скрипты. Персональные данные вытягиваются из официальной базы данных с которой уже подписан договор о предоставлении таких услуг, а сами согласия об обработки пользователь уже подписывает хоть по ЭЦП с этой третьей организацией.
Авторизация через ЕСИА?
Для этого насколько помню всё равно появляется поле, содержащее то что прямо попадает под критерий - телефон или мейл, хотя, если сам сайт сначала открывает фрейм с формой ЕСИА то мяч уже на стороне этой системы и формально вроде как сайт не попадает под эти ограничения, тут уже вопрос интереснее, является ли другой домен частью сайта, если он визуально содержит форму ввода персональных данных на фоне основного. В случае же хеша - вводится одноразово сгенерированный код для копиаста или QR. С ещё одной стороны - сайт даёт этот куаркод который потом аутентифицируется с сессии телефона. Формально он также содержит двоичник не содержащий персоналки.
У VK есть функция сайтов и даже почты, ой как совпало
Я бы даже расширил утопию: Национальный Оператор Персональных Данных.
Персональные данные вообще не передаются за его пределы. Все взаимодействие с клиентами - только через его апи. Никаких прямых писем клиентам, никакого приема писем клиентов.
Вот идем к оператору и вызываем апи
НаписатьСообщение(хеш_клиента, текст_сообщения)
А потом периодически
ПроверитьНовыеСообщенияКлиента(хеш_клиента)
Такой вот единственный канал общения, за попытку обойти: штраф, за вторую УК. С сервисным сбором (мы же ведь монополия! какую цифру считаю обоснованной, такую и ставлю. куда вы денетесь?), приватизацией прибыли частной компанией ака "честный знак" (пусть убытки несет государство, а прибыль в карман нужных людей) и внесудебными блокировками любых неугодных ака "реестр подозрительных личностей".
Это же спасёт только от получения согласия, но не от обработки ПД. Т.е. это даже не экономия на спичках, ведь придётся доказывать получения согласия через третьих лиц, а ведь проще то своё было бы.
На сайте нет «галочки» для того, чтобы пользователь подтвердил согласие на обработку персданных
Задолбали уже эти галочки. Недавно чтобы чек на имейл себе отправить после оплаты налогов нужно было эту галочку идиотскую поставить. Не согласен я ни на какую обработку персональных данных, просто чек мне пришлите. При этом спамеры всех мастей прекрасно себя чувствуют. Это уже не сюр, это уже просто шапито.
Особенно весело ставить галочку на телефоне, на сайте, который не оптимизирован под телефоны.
Иногда чисто физически невозможно, поскольку все закрывает какой то полупрозрачный банер или картинка разъехалась, или чек-бокс просто не работает, хоть затыкайся.
РКН и персданные это впринципе блядский цирк. вся работа с их стороны делается для того чтобы поставить галочку что она ведется, а со стороны оператора персданных - чтоб их РКН не выипал. про защиту никто вобще не думает
Меня так стали раздражать все эти галочки и уведомления о куки, что стал убирать их фильтром адблока. Сайты в большинстве после этой процедуры продолжают работать как ни в чем не бывало.
— Работаете с юрлицами (записываете ФИО контактных лиц)? ... значит эта история касается и вас.
Прошу прокомментировать следующие положения:
ФЗ 152, ст. 22, ч. 2
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
...
8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
Постановление Правительства РФ от 15 сентября 2008 г. № 687 Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Это повсеместно не только у нас. Всё началось с Cookies (RFC 6265 и ранее) которые предоставляли безобидный механизм состояния HTTP не более того. Куки сохраняли сессию, пользователя, и собственно то что он ранее вводил в формы у себя, то есть то, что потом рассмотрели как персональные данные. Оставив за кадром вопросы безопасности можно сказать что он делал это не самостоятельно, браузер автоматом создавал эти временные файлы. Поэтому уже тогда стали возникать вопросы что же хранится на сервере а что на стороне клиента и по какому триггеру, и, в международном законодательстве решили всё это обобщить до наличия человека. Ввиду того и начались повсеместные подтверждения о принятии кукий, что формально, пользователь нажал на какую-то галочку и значит сделал это не автоматизированно. Сервер же работает по внешнему событию из браузера, а значит, не видит перед собой пользователя, следовательно, действует автоматически. Вообщем больше формочек, галочек, которые должны выполнить это требование.
Вы либо не туда ответили, либо не поняли мой вопрос. Автор утверждает, что даже контакты контрагентов это такие персональные данные, про которые нужно предупреждать РКН. Я в ответ привожу нормы закона, по которым это не требуется.
Вы совершенно правы по поводу этих норм. Вопрос как это реализуется технически и какие критерии проверки этого пункта существуют. Фактически два ключевых слова - автоматизация и человек (вспомнился почему-то журнал "Наука и жизнь"). То есть если за это отвечает конечный пользователь своими действиями то тогда всё в порядке. Поэтому и приведены примеры с кукиями как фактически реализацию этих пунктов, что человек сам (там не сказано о его принадлежности к оператору) своим кликом галочки управляет этими данными, включая ещё одно поле на прямое согласие по обработке персональных. Если браузер их сохраняет автоматом без формы пользователю - это автоматизация, если пользователь вводит свои данные и они автоматом без подтверждения об обработке сохраняются - тоже автоматизация. Как-то так. Законодательство в IT +- везде одинаковое, поэтому все эти клики на куки что у нас что там - прямое из того следствие.
так то сохраняет браузер конечного пользователя данные, при чем тут обработка на сайте?
Так а при чём тут куки? Речь про "сохранение" ПД контрагентов, для которого по мнению автора нужно уведомить РКН. Ну типа у меня (ИП) договор с ООО, и там ФИО директора. Так как автоматизированной обработкой тут не пахнет, то и уведомлять никого не требуется.
Так как автоматизированной обработкой тут не пахнет, то и уведомлять никого не требуется.
Нужно ли уведомлять РКН о ПД контрагента, если они (ПД) обрабатываются автоматически через Битрикс24? (Создание карточки на основе звонка, резюмирование звонка через копилот и прочие настройки и сценарии действий)
тут скорее подмена понятий или натягивание совы на глобус.
152фз говорит: автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
тут нет ни слова про человека. с использованием компа обрабатываешь - автоматизированная. всё.
а пункт 8 это про обработку ТОЛЬКО на бумаге. типа журнала регистрации посетителей при входе в здание
Наоборот там нет ничего про бумагу или компьютеры. И даже сказано, что факт извлечения данных из информационной системы (опять же не важно цифровой или нет) не делает обработку сразу же автоматизированной.
Вот, весь вопрос в действительно терминологии. "Непосредственное участие человека" - проставьте от 0 до 100 баллов, насколько именно участие. Обработка данных - до какого состояния, если они, например, принимаются зашифрованными, а их первичную обработку осуществляет фронтенд по желанию пользователя, с его непосредственным участием в простановке галочки. Если только на бумаге зачем тогда там "информационная система". Ну разве что под этим подразумевается картотека как в библиотеке. Как на конверте пишется индекс 123456 и сортировочная машина помогает раскидать письма. Индекс адресата - тоже персональные данные. Гипотетически ситуация решаема если персональные данные хранятся... у самого пользователя, а интерфейс создаёт иллюзию их хранения на сервере, на нём только то, что необходимо исходя из аутентификации уровня ID-пароль, конечно, очистка кеша браузера вынудит регистрироваться заново но по крайней мере для веб-пет-проектов когтеточек это более чем достаточно. Все остальные формочки, пдф-ки и прочее делает уже скрипт у юзера, тем самым сайт уже не принимает от ничего кроме того что нужно, грубо говоря, для составления "списка корзины" и идентификатора "откуда забрать". В этом случае приложение (пользователя) показывает, например, паспортные данные в пункте выдачи а аутентичность проверяется однократным хендшейком, это конечно удобство ещё то, как оплата куаром на кассе, но не попадает под ограничения. В этом случае фронтенд подтягивает весь мир, но кого сейчас удивляют странички с начальной загрузкой под 10 МБ.
А не очередной ли это шаг к суверенному и зависимому интернету? Так-то любая иностранная страничка теперь будет нарушать ещё больше требований. А там особенно бдительный депутат поднимет вопрос, а чего это наши ИП страдают, а мразь забугорная в ус не дует... И всё.
Штрафодобывающая отрасль экономики прогрессирует.
Интересно, есть ли теоретическая точка, когда даже опытный юрист не сможет вобрать в себя все нормы законодательства, включая ИИ-помощника, уже сейчас зеркало условного Консультанта или справочника 1С сотни мегабайт чистого текста (без разметки, это крайне много). Вообщем будет гонка за генерацию и анализ контента, плюс ещё отменённые акты и вновь введённые. Это целый бизнес с участием ML, преференции получит тот, кто может "оптимизировать" и минимизировать тем самым издержки. Промт веб-девелопера: "проверь алгоритмы бекенда и формы фронтенда на соответствие штрафам"
Интересно, есть ли теоретическая точка, когда даже опытный юрист не сможет вобрать в себя все нормы законодательства
На составление свода законов Российской Империи ушло почти полтора века. Первые попытки делал Петр I (который законы и начал плодить в диких количествах), получилось только у Николая I. Все это время никакого единого собрания законов просто не существовало, законы противоречили друг другу и т.д. Ситуация не один в один, но в чем-то похожая. Ладно, юрист. Обычному человеку как все эти законы соблюдать?
Как когда? Если некогда - есть бюро платных услуг, персональные консультации, предварительная запись, наши сотрудники 24/7 ответят на все вопросы, задайте его прямо сейчас и получите скидку. Вообщем на дворе уже 21й век, ИИ и всё такое. Уже как бы не до шуток в части подходов ко всему документообороту. Если задаться предметно вопросом стандартов и оптимальных решений, то сколько тогда придётся переучивать и сколько потом будут в службе занятости.
Как показывает опыт соседних стран, где кроме того еще прецедентное право (а в некоторых вся правовая система и суд в принципе на латыни), эта точка еще далеко)
Я вам как опытный юрист скажу - такая точка наступила очень давно, особенно учитывая, что вмещать надо не только законодательство, но и практику применения) именно по этой причине есть специализации.
*Штрафообразующая
Я подал уведомление в РКН с указанием трансграничной передачи ПД
Мне можно Google Analytics?
Вопрос, на который нет ответа!
С какого возраста субъект ПДн может подписывать "Согласие на обработку ПДн" самостоятельно?
Если с совершеннолетия (хотя таких упоминаний нет нигде) - то сбор ПДн становится ещё интереснее! Как узнать возраст посетителя сайта?
И чуть в сторону. Как горячо любимый MAX работает с ПДн? В магазине приложений стоит плашка 12+. Получается, что 12-летний ребёнок может самостоятельно (на сбор биометрии - только личное разрешение) подписать согласие? Хотя есть письмо от РКН, в котором разъясняется (правда по СКУД), что детские (теоретически до 18 лет) фотографии нельзя использовать.
Если админ паблика в ВК провёл розыгрыш призов среди подписчиков, которые, например, подписаны дольше 10 лет,
админ является оператором ПД (так как именно он совершил обработку ПД)?
Если админ паблика в ВК написал пост, в котором потегал подписчиков, писавших в паблике посты по схожей теме,
админ является оператором ПД? Совершил ли именно он (а не ВК) обработку ПД?
Если админ паблика в ВК ничего не делает, кроме как смотрит глазами на список подписчиков, он оператор ПД?
На сайте используется Яндекс-метрика. В сплывашке есть уведомление о том, что сайт собирает кукизы и использует Яндекс-метрику. Нужно ли выносить Яндекс-метрику в отдельную всплывашку или нет, ведь в теории человек может не согласиться с тем, что бы его данные передавались в Яндекс?
Да при таких трактовках сам по себе показ плашки о куках уже будет нарушением, т.к. без куки вы согласие не сможете получить. Т.е. вы еще ДО согласия уже использовали куку и ip.
Так что единственный вариант избавиться от всего этого нонсенса - это не считать сами по себе куки, ip и подобное перс. данными... до тех пор пока они не начнут использоваться для обработки настоящих персональных данных.
тут вообще непонятная ситуация.. надо блокировать исполнение всего до принятия условий использования... вот на хабре есть эта всплывашка... но метрика УЖЕ отработала.. и если откажется чел что делать?
Самое печальное во всей этой канители, что мир наступит, а все эти изменения, включая выросшие до небес налоги, сборы, штрафы. Адские цены на все, начиная от тб и заканчивая недвижимостью. Все репрессивные законы и практики. Все это останется с нами надолго, никто не будет проворачивать фарш обратно.
Да даже если «новые элиты» вдруг у руля будут - от достаточно эффективного инструмента набивания карманов себе и корешам только дурак добровольно откажется.
Даже если поменяется власть по той или иной причине, им не будет смысла все это отменять, зачем если оно хорошо работает и выполняет функцию контроля и сбора экстра кэша?
Я буквально это же и сказал. Может кому-то иронией показалось, не знаю.
Кстати, может быть и отменят.
В экономике есть кривая сбора налогов - сначала с их ростом увеличиваются поступления, а потом при превышении какого-то порога экономика всё сильнее уходит в тень и дальнейший рост налогов только снижает поступления.
Вполне может оказаться, что кто-нибудь в будущем посчитатет и поймёт что их можно снизить и при этом собрать больше.
Сейчас резко нужны деньги и идут на всякие одноразовые меры, которые в переспективе только в минус.
Все это останется с нами надолго, никто не будет проворачивать фарш обратно.
смотря что будет дальше, прошлый раз репрессивные законы и практики довольно оперативно отменили
Я бы не сказал, что 80 лет это оперативно
а что разве 80 лет прошло с прошлого раза?
Странный интервал... То, что накопилось за 73 года, в 91-93 поотменяли довольно оперативно. Ни разу не всё, да, но тем не менее.
В 90м или 91м только один комитет конституционного надзора текстом на одну страничку отменил действие всех неопубликованных актов, затрагивающих права и свободы человека. У законодателей это просто делается: принимается новый акт, а все ранее принятые действуют в части, не противоречащей новому акту. И отменять ничего не надо, правоприменители пусть парятся.
Когда же Медведев хотел отменить устаревшие нормативные акты СССР, некоторые из них не могли отменить потому что... их не смогли найти... Так что резвость бюрократии действительно бывает разная.
Какой ерундой они занимаются. Им делать нечего - лишь бы придумать что что ли.
А потом удивляются почему бизнес уезжают делать в другой стране.
Почему не рожают. Почему квартиры не покупают. Почему работать не хотят.
Потому что с такими законами абсолютно невозможно ничего делать. Интереса нет, выгоришь пока разберешься. Максимальные сложности народу создают. Вымрет население - даже тогда не осознают что натворили.
Что за абсурд вообще с персональными данными, это клиент должен решать хочет он их оставлять или нет, у него есть выбор, можно не регистрироваться. Человек должен это осознавать, почему все то должны страдать из-за странных законов. Остальное даже комментировать не хочется.
То что люди это обычные животные это понятно, но с какой стати именно у нас в стране и еще так же именно в странах 3-го выбирают деструктивную модель поведения, абсурдные ограничение и гиперконтроль. Тюрьма какая-то.
Девушка, а можно ваш телефончик? Только галочку вот тут поставьте, что согласны на сбор персональных данных.
чисто технически, если ты записываешь телефон для себя то согласие не надо. тыж обрабатываешь ПД не для коммерческих целей.
но вот если ты телефон продавана какого-нибудь заносишь то тут вроде как цель то коммерческая. и по идее согласие надо.
бред в общем
Это ручная обработка, под закон не попадает
Вобщем, если посмотреть на все эти приседания с глобального ракурса, то самым лучшим интернетом с точки зрения РКН будет интернет 2000го:
Где куки толком не работают, поэтому во всех адресах тащится sessionId.
Где форм обратной связи нет, а вместо них просто адрес почты организации: пишите письма самостоятельно, ну и почтовая программа у вас должна быть настроена самостоятельно! А что вы хотели? Интернет - он для гиков, а не для домохозяек!
Где никакой автоматизации не завезли, а поэтому и собирать ничего в отдельные поля не нужно.
Где никакого веб 2.0 не случилось, а поэтому user generated content просто не существует и поэтому дополнительные персональные данные или премодерация - просто не нужны.
Где блогеров 10к+ в нем просто не существует.
Где современных мессенджеров нет, только аська с общением один-на-один и без шифрования, plain text.
Хм. А если я не соглашаюсь с видеофиксацией моей поездки в метро (плюс фиксация связи моего платёжного инструмента со временем прохода через конкретный турникет)? Я понимаю, что могу не ехать, но всё же еду, потому что очень надо. И получается, в момент совершения оплаты на турникете я как бы отправляю форму с предустановленной галкой согласия на обработку персданных. РКН, фас!
1) Если я разрабатываю телеграм-бота который консультирует клиента на начальном этапе и просит телефон для связи чтобы уже человек связался и закрыл сделку, то мне нужно кнопку о согласии приделать, чтобы у заказчика проблем не было? (Кстати, если я в логи пишу протокол переписки с id телеграм-пользователя, это тоже хранение персданных?
2) Факт нажатия галочки/кнопочки ни где хранить не нужно, это просто необходимое условие для запроса персданных?
Хочется обратно в тот интернет, в которое госво не умело... Возможно ли будщее в приватных сетях?
Проще размещаться за приватной сеткой, оставив в Интернете только РКН и госсайты. Откатываемся в локалки.
Всплывающее окно о том, что сайт использует куки
А прописан ли в законе срок действия таких cookies? А то задолбался уже по нескольку раз в день нажимать кнопку OK, например, на сайте Купера.
Сообщал им об этом дважды: 01.04.2024 на сайте через кнопку внизу слева "Оставить отзыв", и 09.05.2024 в оценке заказа. Прошло 1,5 года, так и не исправили.
Купер, как прокомментируете?
Куки и плашки, как я понимаю, в законах вообще не прописаны. Это всё результат трактовок отдельных чиновников и юристов.
Прошло больше суток, но @kuper_tech не ответил. И не ответит, так же как не ответила на тот же вопрос за три недели сотрудница Купера. Вместо ответа нагадили в карму. Ну что ж, молчание тоже заслуживает соответствующей оценки 😞
Кстати, неудивителен расклад: 5 плюсов и 34 минуса. Но компанию Купер это совершенно не волнует. Ну-ну...
А использование гугл-аналитики, к слову, по нынешним меркам — трансграничная передача персданных в недружественную страну. Если еще не отключали — отключите.
А можете привести ссылку на закон или ответ от РКН, где это прописано? Просто впервые слышу о таком.
В связи с этим праздником мне вот что любопытно: является ли ведение перечня контактов (телефонной книги) в собственном телефоне "сбором и управлением персональными данными"? Ну то есть тупо позвонил тебе человек по работе, представился, ты следом вбиваешь в "Контакты" его имя/фамилия и место работы, чтобы в следующий раз не гадать - это мошенники или по делу?
Или подписи к рабочим письмам - с ними что делать? Прикреплять ниже простыню текста, что получено согласие на использование ПД сотрудника в рабочих целях? Ссылаться на пункт Трудового договора об этом? Дополнять этот самый договор этим самым пунктом?
До какого уровня мышей докапываться теперь нужно?
О, кстати! Контакты в телефоне хранятся на серверах эпла или гугла. Налицо трансграничная передача ПД.
Гугл-шрифты еще под запретом должны оказаться по той же логике...
Шрифты персональными данными пока ещё не являются.
Они однозначно идентифицируют их разработчика... так что при определённой трактовке таки являются.
Картины Бэнкси однозначно идентифицируют их разработчика, однако никто так пока и не узнал его ФИО.
Так трогательно, что кто-то про защиту прав разработчика вспомнил!
Ну если куки считать персональными данными, то по этой логике и загружаемые по CDN скрипты, включая гугл-шрифты, можно считать перс. данными. Ведь эти загрузки также как и счетчики позволяют отслеживать действия посетителей.
Про необходимость подать уведомление в случае если какие-то данные сотрудников внесены в условную 1С-кадры упомянали?
А потом всему бизнесу скажут накопленные данные сдать государству. Особенно пары "емейл - IP".
Я с полгода назад наткнулся на официальную поддержку сфр по до и СПб в телеграм. Сейчас на сайте не найти ссылку, но он существует и найти можно. Так там прям очень соблюдают требования ркн, дохрена участников и все все видят, сами же страхователи тоже не стесняются перс данные вываливать
Если мой сайт передаёт ПД через API в облачную CRM, то, технически, я не собираю и не обрабатываю данные, это на "их" сервере хранится? В таком случае мой сайт как "прокладка", почему я должен нести ответственность за данные? Или я не прав?
Специально зарегистрировался чтобы высказаться.
Я недавно снёс свой проект, который собирал ПД и отображал их в силу необходимости. Когда я начал с помощью ИИ углубляться в закон, писать для сайта все эти "Политики обработки ПД" и пр., то потратив на это несколько дней решил, что в текущих реалиях оно мне ***** не нужно.
Тут люди в комментариях спрашивают массу вопросов стиле "является ли емейл ПД" и пр. Так вот, там нормально разобраться в законе - чёрт ноги поломает.
Наилучшее решение - законсервировать проекты (а лучше и себя) и ждать до лучших времен. Надеюсь, вы понимаете о чем я.
Самое интересное во всем этом то, что мало того, что непонятно, что такое персональные данные в части кука, мыло и т. д., но невозможно ни с какой долей вероятности определить, является ли то, что написал некий пользователь в Вашей форме, абсолютной правдой. Я понимаю, когда я прихожу в банк, подписываю заявление, даю паспорт и т. д. В таком случае мои ПДн 100% верифицированы, но то, что бот насыпет мне на странице обратной связи, это, конечно, мало напоминает верифицированные ПДн, а тем более, что за этими данными стоит какой-то конкретный человек. Не зря все-таки придумали процедуру KYC.
Пока Император (возлюбленный всеми) не свалит куда-нибудь, удавочка с шеи податного сословия не спадет
С чего бы ему сваливать? Такое послушное и терпильное стадо-население как здесь, сам захочешь не придумаешь....
А с чего бы приемнику её скидывать с шеи? Ради бобра во вселенной? Пфф.
вполне вероятно, но не факт что приемник сможет удержать структуру удержания удавочки в нынешнем состоянии. будет как минимум турбулентность которая много что изменить может
Но может быть и намного жёстче, что бы погасить эту турбулентность и удержать власть, как пример Чека на фоне "плюшевой" Охранки.
но тут такая ситуация что удерживать некому, это не СССР где единая машина была, тут могут кто в лес кто по дрова все сразу и одновременно ломанутся
турбулентность будет не от людей, а там на верхах между собой
В 17-м тоже не было единой машины, наоборот, все побежали кто-куда делить власть (да не просто, а с личными армиями), ещё и зарубежные партнёры подъехали, что породило "старое доброе ультранасилие" для подавление турбулентности.
Пострадали, как водится, обыватели.
давайте если почта является персональными данными то будем её предъявлять в качестве документов в банке, полиции и ТД, пусть определяют там личность как хотят
Большинство требований могут выполняться уже при разработке сайта, чисто автоматически. В шаблонах уже могут быть все эти галочки, предупреждения, текст с политикой обработки. Веб-дизайнеру нужно будет только свериться со списком обязательных элементов. Останется отправить уведомление в РКН. Но это намного проще чем создать сайт. Особых интеллектуальных способностей это не требует.
Может на первых порах кто-то на грабли и наступит, и влетит на штраф. Но разработчики сайтов быстро адаптируются, и РКН-у придется изобретать новые засады и ловушки.
На сайте студии растяжки есть фотографии тренеров. И Роскомнадзор посчитал, что раз фотографии это тоже персданные, то предприниматель должен подтвердить, что его тренеры давали согласие на их использование.
При этом Роскомнадзор указал, что на сайте нет ни подтверждения наличия согласия от тренеров, ни запрета третьим лицам использовать эти фотографии.
Установка запрета на использование происходит автоматически, при создании страницы. Уже в шаблоне должно быть что-то типа:
"Любое использование материалов допускается только при соблюдении правил перепечатки ...", "Материалы являются собственностью ... Перепечатка только с согласия ...".
Куда интересней, что делать с дырой в законе и как доказывать и наказывать за "избыточные данные и действия".
А то ведь всё чинно и прописано: обрабатывать твои данные будем до третьего тысячелетия; данными будем делиться во всем нашими партнёрами; а соглашаешься ты на получение рекламы, доступ в жилище и право первой брачной ночи с твоими не совершеннолетними дочерьми.
А ты то всего хотел узнать в форме обратной связи, сможет ли принять тебя тренер в четверг после шести.
Вот это на самом деле интереснее, да. Требования закона очень жёсткие в одном аспекте - что любое взаимодействие с чем-то, похожим на персональные данные, должно быть максимально документировано. И чтобы галочка согласия вручную нажималась.
Но что в этих всех согласиях написано - вообще пофигу. Возможность официально разграничить доступ типа "сами пользуйтесь, но третьей стороне ни-ни" - отсутствует напрочь.
@alexeybashuk
Было бы полезнее, если бы вы в тексте привели наглядный пример правильного оформления.
Насколько я понял, правильная галочка должна выглядеть приблизительно так:
Я даю свое согласие на обработку персональных данных в соответствии с политикой конфиденциальности.
Где подчеркнутые фрагменты являются ссылками на пустой бланк согласия на обработку и на политику конфиденциальности. Верно понял?
Автор монетизирует грабли, и вряд ли заинтересован давать бесплатные консультации.
Вот веб-дизайнер по идее мог бы написать статью, как в новых условиях нужно делать сайты. В принципе, если кто-то сейчас размещает заказ на разработку сайта, то должен требовать от веб-дизайнера учитывать новые реалии. ИИ-веб-программиста тоже нужно переучивать.
Да, все так. Или так еще пишут, суть та же: «Я подтверждаю, что ознакомлен(а) и согласен(а) с Политикой обработки персональных данных, а также даю Согласие на обработку и передачу моих персональных данных»
Понимаю что мой вопрос глупый и всё это делается для того чтобы задушить любой малый бизнес, но, всё же. Я на сайте использую Юкасса для продажи цифрового товара. Есть форма с одним полем - email. Я эти данные не собираю и не храню - они передаются в Юкасса, а после совершения оплаты покупателю отправляют товар на указанную почту. Мне что то надо менять?
Вопрос про обработку персональных данных (ПД).. всех заставляют сказать "собираем и обрабатываем" и зарегистрироваться ( т.к. я.метрика) однако! по факту я.метрикой руководить не могу... а там есть пункт про удаление по запросу! это что владельцу сайта надо сделать?
до принятия согласия об использовании я.метрики. метрика не должна собирать данные?
у яндекса есть РСЯ, собираются точно те же отпечатки . как к ним относится РКН?
акцент на я.метрику. но есть новостные партнёрки. как быть с ними? (третья сторона, как и я.метрика), ну и также про удаление цифрового следа...
при требовании удалить ПД - как это документировать, кому отчитываться и получать документ о том что всё в порядке?
при требовании удалить ПД - необходимо почистить и все доступные бэкапы?..
при требовании удалить ПД - как их надо удалять? обезличивать или реально удалять? в текущей трактовке IP+timestamp тоже ПД (имеем новостной сайт, обязаны предоставить доступ к данным комментаторов: ip, timestamp, текст) Если будет запрос, а данных уже нет.. то что?
Возможно тут уже есть ответы!.. Пропустил или не смог найти... прошу прощения..
P.S. у ребенка в школе регулярно подписываю согласие на обработку ПД.. и ни разу не написали что предпринять если я вдруг хочу прекратить оперирование этими данными...
План Самовар должен работать.
Скажите, а есть реальный пример сайта, где учтены все требования РКН в вопросе Политики обработки ПД"? Если не сложно, подскажите, плиз. Хоть увидеть как это вообще может быть (и про формы обратной связи, и про куки, и про Я.Метрику, и про фото сотрудников,... и еще про что-нибудь... )
Наверно этот сайт Роскомнадзор
А если у меня часть сайтов на РФ аудиторию и там все сделал по рекомендациям.
Но часть сайтов исключительно на зарубежную аудиторию и там все эти требования будут выглядеть мягко говоря не уместно.
РКН как то их будет разделять, или до сайта что крутится на Европу тоже доберется?
По каким признакам РКН определяет, что надо идти к владельцу сайта, а не пропустить его так как он не в его юрисдикции?
Спасибо!
Включите данные в CI — проверка РКН станет просто записью в логе.
Мне вот интересно, а как мне попасть на этот сайт РКН, если они блокируют все ip адреса не российские? Пробовал даже с OpenVPN Connect с российским сайтом и тоже блокируют, наверное определяют что я с VPN захожу, а по российским законам VPN под запретом. Я гражданин Приднестровья, уже 15 лет у меня работает сайт доска объявлений в доменной зоне .ru зарегистрированный у российского регистратора доменов, сначала был r01.ru затем делегировал на active.domains потому что у него дешевле продление, но сейчас не об этом. На сайте в подвале разместил ссылку на политику конфиденциальности и на всех формах с отправкой чекбокс установил с ссылкой на эту политику. А на сайт РКН попасть не могу. У меня два паспорта, а точнее три, какие данные мне нужно заполнять и из какого паспорта? Незнание закона не освобождает от ответственности. А как мне попасть на этот сайт РКН, который создаёт эти законы? Они заблокировали все ip адреса которые не российские.
Здравствуйте, правильно ли я понимаю? Достаточно убрать форму обратной связи и не выкладывать фото? Тогда можно избежать проблем?
Благодарю за уточнения по поводу 152-ФЗ. После прочтения статьи появились вопросы:
срок обработки персональных данных. это что-то новенькое. а какой срок? и что должно происходить по истечению? автоматическая пролонгация?
письменное согласие людей (сотрудники) касательно использования их фотографий. в каком виде это должно быть представлено на сайте и разве не будет ли такое согласие содержать доп.ПС человека? (шапка заявления)
Кукис. Яндекс метрику нужно загружать только после принятия пользователем согласия?
По поводу CRM - достаточно на странице "обработка ПС" прописать упоминание об этом?
Нужно ли в политике конфиденциальности указывать адрес дата центра, в котором физически размещен сайт?
Спасибо
При подаче заявки в Роскомнадзор, ПД подателя попадают в публичный доступ? Это актуально для физ.лиц и ИП - ФИО, адрес проживания.
Если на сайте нет формы сбора данных, нужна ли политика конфиденциальности? нужно ли уведомлять РКН? Где хранить согласия сотрудников, фото которых использовано на сайте: они должны быть на сайте или просто должны быть?
Добрый день!
А если на личном сайте (физ.лицо) нет форм обратной связи, только форма созданная на https://forms.yandex.ru/ без ввода каких то данных (форма "Поддержать проект", ввод числа и переход на форму оплаты yoomoney ) - т.е. на стороне сайта не хранятся и не обрабатываются никакие данные пользователя
Нужно ли подавать заявку в Роскомнадзор?
Я так понял, судя по комментариям, что сам закон или его отдельные статьи (например Статья 9. Согласие субъекта персональных данных на обработку его персональных данных) никто не читал. Все верят автору, который надергал каких-то цитат и трактует их как хочет.
Прочтите, хотя бы, вышеупомянутая Ст.9.
Выглядит как очередной "штраф потому что".
Если я зашёл на сайт и не дал своё согласие на обработку данных, а просто заблокировал это окно "с вопросом про обработку данных" через фильтр блокировщика, и продолжил пользоваться сайтом. Что в таком случае получается по закону для владельца сайта? Персональные данные обрабатывает, а согласие не получил же.
По факту, мелкий бизнес просто не успеет разобраться
Алексей, уточните, пожалуйста, что должно быть в разделе "Общие цели" (раздел 1 Вашего списка)?
1. Политика обработки персональных данных
Документ должен содержать:
общие цели;
С чего Вы решили, что одному из первых? Такие письма к нам приходят раз в квартал, как раз из-за аналитики. Мы отвечаем, что нет там ПД, и ждём очередной квартал, когда система автоматически не сгенерирует алерт у них ещё раз и всё повторяется.
Подскажите, пожалуйста, а есть ли у кого ссылка на сайт, который можно считать образцовым?
Которому Роскомнадзор 5+ поставит
Кто ни будь есть из Приднестровья? Как вы решили эту проблему? На сайт Роскомнадзора невозможно зайти с ip адресами не российскими. У меня уже 15 лет сайт в доменной зоне .ru, как то не хочется терять его. У меня скрипт доски объявлений, три формы для взаимодействий с пользователями. Не ну главное интересно то как, значит любой желающий, даже не резидент РФ может зарегистрировать домен в зоне ru, а его может заблокировать в любой момент великий и ужасный Роскомнадзор. Россияне, а у вас открывается сайт Роскомнадзора?
На исполнение требований Роскомнадзор дает всего 10 рабочих дней. За это время нужно успеть внести все правки в сайт и документы, и уведомить об этом РКН.
А если просто отключить сайт не дожидаясь 10 дней..? Скажем - на месяц-два..
("выполнить правки" -> "уведомить" -> "включить")
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Началось: Роскомнадзор приступил к проверкам и начал рассылать предпринимателям первые требования по новому закону