Для того, чтобы иметь возможность ответить на вопросы Роскомнадзора, важно определить основания получения данных отделами закупок и продаж: дали ли пользователи согласие, когда оставляли заявку на сайте, например? Возможно есть иное законное основание. Каждый случай индивидуален. Но основание для обработки данных должно быть.
Здравствуйте! Все же требования закона лучше соблюдать, особенно учитывая повышение размера штрафов за утечки данных с мая 2025года (случайно прикрепила ответ на вопрос об Интернет-магазинах)
Здравствуйте! Интернет-магазин - это оператор персональных данных. На сайте интернет-магазина должны быть размещен документ, определяющий политику обработки персональных данных (политика конфиденциальности), также должны быть размещены документы, являющиеся основанием для обработки данных (согласие на обработку данных, пользовательское соглашение, оферта). Данные пользователей необходимо хранить в течение установленных в вышеуказанных документах сроков. В случае обращения клиента с заявлением об удалении его персональных данных - данные нужно удалить в установленный законом срок, составить акт об уничтожении и подтвердить уничтожение выгрузкой из журнала событий, уведомить клиента об удалении данных. Если нужна более подробная консультация, напишите в ЛС
Здравствуйте! Интернет-магазин - это оператор персональных данных. На сайте интернет-магазина должны быть размещен документ, определяющий политику обработки персональных данных (политика конфиденциальности), также должны быть размещены документы, являющиеся основанием для обработки данных (согласие на обработку данных, пользовательское соглашение, оферта). Данные пользователей необходимо хранить в течение установленных в вышеуказанных документах сроков. В случае обращения клиента с заявлением об удалении его персональных данных - данные нужно удалить в установленный законом срок, составить акт об уничтожении и подтвердить уничтожение выгрузкой из журнала событий, уведомить клиента об удалении данных. Если нужна более подробная консультация, напишите в ЛС
Здравствуйте! Для того, чтобы прокомментировать корректность размещения данных на каком-либо сайте, нужно знать какие основания есть для размещения данных: возможно получены согласия на публикацию сведений или есть иные основания, предусмотренные законом. Информацией о наличии соответствующих оснований обладает владелец сайта, разместивший сведения. Я в данном случае такой информацией на владею и не могу давать комментарии.
Здравствуйте! Если целью предприятия является обработка, в том числе сбор, большого количества персональных данных, то вопросам безопасности при обработке персональных данных нужно уделять очень большое значение. Для начала назначить ответственного за обработку данных (сотрудник или организация (профессиональный ДПО), проанализировать процессы обработки данных: кто и как данные собирает, где они хранятся, в течение какого срока, как уничтожаются. Далее нужно оценить соответствие процессов обработки данных требованиям закона, изменить процессы, если они не соответствуют закону. Также необходимо определить основание для обработки данных. Есть ли оно? Если газета является СМИ, то это тоже нужно учесть. Затем на основании проведенного анализа необходимо разработать и утвердить документы, регламентирующие обработку данных. С указанными документами ознакомить сотрудников. Это не полный перечень мер, которые необходимо предпринять. Если нужна подробная консультация, можете написать в ЛС
Статьей 88 ТК РФ установлено, что работодатель не может передавать персональные данные работника третьей стороне без письменного согласия работника. Поэтому получить согласие необходимо.
Существует мнение, что небольшим компаниям не стоит беспокоится об утечке. Однако, довольно часто сотрудники небольших компаний допускают нарушение при обработке ПД, так как обработке данных уделяется очень мало внимания: сотрудники жилищных организаций вывешивают списки с фамилиями должников, также компании размещают данные работников и клиентов на сайте, неправильно хранят данные и даже выбрасывают документы, содержащие ПД, как обычный мусор.
А все это серьезные нарушения, за которые компании штрафуют на немалые суммы.
Мы выступаем за то, чтобы каждый предприниматель обеспечивал безопасное хранение ПД, хотя бы только ради того, чтобы не получить штраф. Не говоря уже соблюдении этических норм.
Здесь вот такой совет: во-первых собирать как можно меньше персональных данных (только необходимые), во вторых, если соблюдать Закон на 100 %, есть несколько вариантов как получить персональные данные:
1. Данные Вам передает контрагент. В таком случае он должен получить согласие работников на передачу их персональных данных (Это согласие письменное, так предусмотрено в Трудовом кодексе. Мы всем работодателям рекомендуем его получать. Повторюсь, что предоставлять минимум данных: имя, телефон, должность (если это необходимо). Целью обработки данных в указанном согласии может быть - коммуникации с представителями контрагентов для исполнения работниками служебных обязанностей).
2. Получать данные непосредственно от работников ваших контрагентов. Но это не всегда удобно и возможно, и к тому же требует получения согласия на обработку данных от сотрудников ваших контрагентов, так как другого основания на обработку данных у вашей компании в данном случае нет.
Согласно ФЗ "О персональных данных" обработка персональных данных может осуществляться без согласия субъекта, если обрабатывать данные необходимо для достижения целей, предусмотренных законом, для осуществления и выполнения функций и обязанностей, возложенных законодательством на оператора.
В свою очередь обязанность по публикации в Интернете изображений музейных предметов и информации о них установлена Приказом Минкультуры России от 15.01.2019 N 17.
Чтобы полностью соблюсти требования закона каждый работодатель должен получить от своих работников согласие на передачу их данных контрагентам. Если работодатель передает данные, но согласие работника на это не получил, он нарушает закон. У вас, как у оператора персональных данных, полученных не от субъекта, возникает обязанность предоставить субъекту персональных данных информацию об обработке его данных (ч.3 ст.18 ФЗ "О персональных данных".
Поэтому лучше получать данные сотрудников контрагента непосредственно от сотрудников контрагента.
О том, что данные, обрабатываемые метрическими программами, являются персональными следует из определения, которое дано в статье 3 ФЗ "О персональных данных": персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Роскомнадзор также указывает, что данные, собираемые метрическими программами, являются персональными, так как позволяют определить уникального посетителя сайта, его поведение на сайте и предпочтения (в направляемых владельцам сайтов требованиях об устранении признаков нарушения).
Поясните, пожалуйста, что имеете ввиду под дюймовыми программами?
О том, что данные, обрабатываемые метрическими программами, являются персональными следует из определения, которое дано в статье 3 ФЗ "О персональных данных": персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Роскомнадзор также указывает, что данные, собираемые метрическими программами, являются персональными, так как позволяют определить уникального посетителя сайта, его поведение на сайте и предпочтения (в направляемых владельцам сайтов требованиях об устранении признаков нарушения).
Поясните, пожалуйста, что имеете ввиду под дюймовыми программами?
Физическое лицо также является оператором персональных данных, кроме случае, если персональные данные используются исключительно для личных и семейных нужд.
Для всех операторов одинаковые требования закона. Роскомнадзор расценивает данные, собираемые метрическими программами и адреса эл. почт как персональные данные. Поэтому требования рекомендуем соблюдать.
Благодарим, что внимательно прочитали статью. Действительно, Политика обработки персональных данных и Политика конфиденциальности это разные названия одного и того же документа (внесли исправления).
По поводу обязательности наличия пользовательского соглашения: Гражданским кодексом предусмотрены не все вопросы, которые можно отразить в пользовательском соглашении. Пользовательское соглашение может регулировать отношения пользователя и владельца сайта при регистрации в личном кабинете. Если, например, у пользователя есть возможность оставлять отзывы или иную информацию на сайте, то можно указать какая информация не допустима (например, реклама). Также пользовательское соглашение является основанием для обработки персональных данных, в случае указания в нем соответствующих условий.
Правила обработки персональных данных для СМИ отличаются от правил обработки персональных данных для владельцев сайтов, которые СМИ не являются. Так, законодательством о персональных данных предусмотрено, что СМИ вправе обрабатывать персональные данные без согласия субъектов, если обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации, при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
Если Вас не устраивает работа сайта в том или ином направлении, вы должны закрыть его (уйти с него). То есть фактически вы должны заходить на сайт, просматривать сведения о его работе, если принимаете их, то соглашаться и оставаться, если не принимаете, то выходить.
Здравствуйте! Уточните, пожалуйста, правильно ли я поняла вопрос: имеется в виду, что канал, в котором открыты комментарии - не является СМИ и в нем можно размещать любую информацию.
Если так, то ответ - нет, по закону нельзя.
Согласно Закону "О СМИ" Сайт в сети "Интернет", не зарегистрированный в качестве средства массовой информации, средством массовой информации не является.
Запрет на публикацию материалов, нарушающих законодательство, распространяются не только на СМИ, но и на иных лиц, осуществляющих публикации в сети интернет.
Для того, чтобы иметь возможность ответить на вопросы Роскомнадзора, важно определить основания получения данных отделами закупок и продаж: дали ли пользователи согласие, когда оставляли заявку на сайте, например? Возможно есть иное законное основание. Каждый случай индивидуален. Но основание для обработки данных должно быть.
Здравствуйте! Все же требования закона лучше соблюдать, особенно учитывая повышение размера штрафов за утечки данных с мая 2025года (случайно прикрепила ответ на вопрос об Интернет-магазинах)
Здравствуйте! Интернет-магазин - это оператор персональных данных. На сайте интернет-магазина должны быть размещен документ, определяющий политику обработки персональных данных (политика конфиденциальности), также должны быть размещены документы, являющиеся основанием для обработки данных (согласие на обработку данных, пользовательское соглашение, оферта). Данные пользователей необходимо хранить в течение установленных в вышеуказанных документах сроков. В случае обращения клиента с заявлением об удалении его персональных данных - данные нужно удалить в установленный законом срок, составить акт об уничтожении и подтвердить уничтожение выгрузкой из журнала событий, уведомить клиента об удалении данных. Если нужна более подробная консультация, напишите в ЛС
Здравствуйте! Интернет-магазин - это оператор персональных данных. На сайте интернет-магазина должны быть размещен документ, определяющий политику обработки персональных данных (политика конфиденциальности), также должны быть размещены документы, являющиеся основанием для обработки данных (согласие на обработку данных, пользовательское соглашение, оферта). Данные пользователей необходимо хранить в течение установленных в вышеуказанных документах сроков. В случае обращения клиента с заявлением об удалении его персональных данных - данные нужно удалить в установленный законом срок, составить акт об уничтожении и подтвердить уничтожение выгрузкой из журнала событий, уведомить клиента об удалении данных. Если нужна более подробная консультация, напишите в ЛС
Здравствуйте! Для того, чтобы прокомментировать корректность размещения данных на каком-либо сайте, нужно знать какие основания есть для размещения данных: возможно получены согласия на публикацию сведений или есть иные основания, предусмотренные законом. Информацией о наличии соответствующих оснований обладает владелец сайта, разместивший сведения. Я в данном случае такой информацией на владею и не могу давать комментарии.
Здравствуйте! Если целью предприятия является обработка, в том числе сбор, большого количества персональных данных, то вопросам безопасности при обработке персональных данных нужно уделять очень большое значение. Для начала назначить ответственного за обработку данных (сотрудник или организация (профессиональный ДПО), проанализировать процессы обработки данных: кто и как данные собирает, где они хранятся, в течение какого срока, как уничтожаются. Далее нужно оценить соответствие процессов обработки данных требованиям закона, изменить процессы, если они не соответствуют закону. Также необходимо определить основание для обработки данных. Есть ли оно? Если газета является СМИ, то это тоже нужно учесть. Затем на основании проведенного анализа необходимо разработать и утвердить документы, регламентирующие обработку данных. С указанными документами ознакомить сотрудников. Это не полный перечень мер, которые необходимо предпринять. Если нужна подробная консультация, можете написать в ЛС
Здравствуйте! Планирую написать подробную статью о том, того как проверить файлы куки и метрики
Статьей 88 ТК РФ установлено, что работодатель не может передавать персональные данные работника третьей стороне без письменного согласия работника. Поэтому получить согласие необходимо.
Существует мнение, что небольшим компаниям не стоит беспокоится об утечке. Однако, довольно часто сотрудники небольших компаний допускают нарушение при обработке ПД, так как обработке данных уделяется очень мало внимания: сотрудники жилищных организаций вывешивают списки с фамилиями должников, также компании размещают данные работников и клиентов на сайте, неправильно хранят данные и даже выбрасывают документы, содержащие ПД, как обычный мусор.
А все это серьезные нарушения, за которые компании штрафуют на немалые суммы.
Мы выступаем за то, чтобы каждый предприниматель обеспечивал безопасное хранение ПД, хотя бы только ради того, чтобы не получить штраф. Не говоря уже соблюдении этических норм.
Здесь вот такой совет: во-первых собирать как можно меньше персональных данных (только необходимые), во вторых, если соблюдать Закон на 100 %, есть несколько вариантов как получить персональные данные:
1. Данные Вам передает контрагент. В таком случае он должен получить согласие работников на передачу их персональных данных (Это согласие письменное, так предусмотрено в Трудовом кодексе. Мы всем работодателям рекомендуем его получать. Повторюсь, что предоставлять минимум данных: имя, телефон, должность (если это необходимо). Целью обработки данных в указанном согласии может быть - коммуникации с представителями контрагентов для исполнения работниками служебных обязанностей).
2. Получать данные непосредственно от работников ваших контрагентов. Но это не всегда удобно и возможно, и к тому же требует получения согласия на обработку данных от сотрудников ваших контрагентов, так как другого основания на обработку данных у вашей компании в данном случае нет.
Невозможно комментировать законность размещения данных, если не являешься оператором этих данных или субъектом этих данных.
Можно только предполагать, на каком основании размещены данные. Предположения я указала ранее.
Здравствуйте!
Согласно ФЗ "О персональных данных" обработка персональных данных может осуществляться без согласия субъекта, если обрабатывать данные необходимо для достижения целей, предусмотренных законом, для осуществления и выполнения функций и обязанностей, возложенных законодательством на оператора.
В свою очередь обязанность по публикации в Интернете изображений музейных предметов и информации о них установлена Приказом Минкультуры России от 15.01.2019 N 17.
Здравствуйте!
Чтобы полностью соблюсти требования закона каждый работодатель должен получить от своих работников согласие на передачу их данных контрагентам. Если работодатель передает данные, но согласие работника на это не получил, он нарушает закон. У вас, как у оператора персональных данных, полученных не от субъекта, возникает обязанность предоставить субъекту персональных данных информацию об обработке его данных (ч.3 ст.18 ФЗ "О персональных данных".
Поэтому лучше получать данные сотрудников контрагента непосредственно от сотрудников контрагента.
В законодательстве РФ нет определения "Метрическая программа".
О том, что данные, обрабатываемые метрическими программами, являются персональными следует из определения, которое дано в статье 3 ФЗ "О персональных данных": персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Роскомнадзор также указывает, что данные, собираемые метрическими программами, являются персональными, так как позволяют определить уникального посетителя сайта, его поведение на сайте и предпочтения (в направляемых владельцам сайтов требованиях об устранении признаков нарушения).
Поясните, пожалуйста, что имеете ввиду под дюймовыми программами?
О том, что данные, обрабатываемые метрическими программами, являются персональными следует из определения, которое дано в статье 3 ФЗ "О персональных данных": персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Роскомнадзор также указывает, что данные, собираемые метрическими программами, являются персональными, так как позволяют определить уникального посетителя сайта, его поведение на сайте и предпочтения (в направляемых владельцам сайтов требованиях об устранении признаков нарушения).
Поясните, пожалуйста, что имеете ввиду под дюймовыми программами?
Физическое лицо также является оператором персональных данных, кроме случае, если персональные данные используются исключительно для личных и семейных нужд.
Для всех операторов одинаковые требования закона. Роскомнадзор расценивает данные, собираемые метрическими программами и адреса эл. почт как персональные данные. Поэтому требования рекомендуем соблюдать.
Благодарим, что внимательно прочитали статью. Действительно, Политика обработки персональных данных и Политика конфиденциальности это разные названия одного и того же документа (внесли исправления).
По поводу обязательности наличия пользовательского соглашения: Гражданским кодексом предусмотрены не все вопросы, которые можно отразить в пользовательском соглашении. Пользовательское соглашение может регулировать отношения пользователя и владельца сайта при регистрации в личном кабинете. Если, например, у пользователя есть возможность оставлять отзывы или иную информацию на сайте, то можно указать какая информация не допустима (например, реклама). Также пользовательское соглашение является основанием для обработки персональных данных, в случае указания в нем соответствующих условий.
Правила обработки персональных данных для СМИ отличаются от правил обработки персональных данных для владельцев сайтов, которые СМИ не являются. Так, законодательством о персональных данных предусмотрено, что СМИ вправе обрабатывать персональные данные без согласия субъектов, если обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации, при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
Если Вас не устраивает работа сайта в том или ином направлении, вы должны закрыть его (уйти с него). То есть фактически вы должны заходить на сайт, просматривать сведения о его работе, если принимаете их, то соглашаться и оставаться, если не принимаете, то выходить.
Здравствуйте! Уточните, пожалуйста, правильно ли я поняла вопрос: имеется в виду, что канал, в котором открыты комментарии - не является СМИ и в нем можно размещать любую информацию.
Если так, то ответ - нет, по закону нельзя.
Согласно Закону "О СМИ" Сайт в сети "Интернет", не зарегистрированный в качестве средства массовой информации, средством массовой информации не является.
Запрет на публикацию материалов, нарушающих законодательство, распространяются не только на СМИ, но и на иных лиц, осуществляющих публикации в сети интернет.