пишется разъяснение в Роскомнадзор с примерно таким текстом:
Уведомление об обработке персональных не были представлены в уполномоченный орган по защите прав субъектов персональных данных на основании подпункта 2 пункта 2 статьи 22 Федерального закона N 152-ФЗ от 27.07.2006 г. «О персональных данных», где указывается, что «оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных на обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных». Все персональные данные, обрабатываемые в ООО «Компания», получены в связи с заключением договора, стороной которого является субъект персональных данных. При этом персональные данные субъекта персональных данных могут быть распространены лишь являясь общедоступными, на что у него берется согласие на присвоение его персональных данных к категории общедоступных. Согласие на присвоение персональных данных субъекта персональных данных к общедоступным персональным данным является частью Пользовательского соглашения интернет-сайта www.xxx.com.
Не должен, если на сайте присутствует договор публичной оферты. Тогда можно указывать на подпункт 2 пункта 2 статьи 22 152-ФЗ: полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
И после этого определения, ПДн может быть, практически, что угодно. При этом новое определения является лучшим переводом такого же определения из Европейской Конвенции.
В отчете РКН как Уполномоченного органа защиты прав субъектов персональных данных за 2010 год — www.rsoc.ru/docs/Otchet_2010.pdf — на странице 5 показана общая доля внеплановых проверок.
Из 1253 проверок, проведенных за 2010 год, 449 были внеплановыми — это редкий случай? Это 1/3 от общего числа проверок.
Споры ведутся до сих пор, и я в данном случае не считаю это необходимым пунктом — у каждого консультанта может быть своя точка зрения, на данный вопрос.
С организационно-распорядительной документацией все ясно, она понятна многим.
Весь вопрос упирается в сертифицированные средства защиты для системы защиты персональных данных — это сильный удар по бюджету компании или предпринимателя.
Поэтому на данном этапе советую соответствовать хотя бы тем требованиям, выполнение которых достаточно для Роскомнадзора и его проверок (т.е. требования, регламентирующие обработку персональных данных у оператора и правовой вопрос обработки).
P.S. Мы стараемся сделать все качественно и юзабильно, из-за этого и есть задержка с запуском, но осталось совсем чуть-чуть ждать :)
1. Вам понравиться, если ваш почтовый ящик или телефон будет спамиться? Я думаю нет. Это в том случае, если ПДн будут утеряны.
2. Банки первыми начали исполнять требования закона — основные банки, например. Посмотрите на квитанции пункт о соглашении на обработку ПД, он должен быть
При оплате карточкой в интернет-магазине — можете подать на них жалобу в Роскомнадзор. Они не имеют право брать у вас скан паспорта, если нет согласия вашего.
3. Вы защищены законом и можете подпортить имидж любой организации, обрабатывающей ваши ПД. Заодно и денег из них выбить :)
Игнорировать его нельзя, а вот просто соответствовать можно — для начала нужно добавить кнопку «Удалить профиль» (но как при этом будет удаляться профиль из резервной копии?) и соглашение на обработку персональных данных.
Вообще, чтобы идентифицировать субъекта персональных данных необходимо, как я считаю, знать информацию (реквизиты) документа, удостоверяющего его личность.
То, что я Вас найду в соц. сетях еще не означает, что вы реальный персонаж — проверено на практике :)
ст.20 п.3 Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
По модели угроз необходимо резервировать данные.
По закону данные необходимо удалить полностью (обработку их закончить), но в резервной копии они останутся и их ТЕХНИЧЕСКИ невозможно оттуда удалить.
Уведомление об обработке персональных не были представлены в уполномоченный орган по защите прав субъектов персональных данных на основании подпункта 2 пункта 2 статьи 22 Федерального закона N 152-ФЗ от 27.07.2006 г. «О персональных данных», где указывается, что «оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных на обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных». Все персональные данные, обрабатываемые в ООО «Компания», получены в связи с заключением договора, стороной которого является субъект персональных данных. При этом персональные данные субъекта персональных данных могут быть распространены лишь являясь общедоступными, на что у него берется согласие на присвоение его персональных данных к категории общедоступных. Согласие на присвоение персональных данных субъекта персональных данных к общедоступным персональным данным является частью Пользовательского соглашения интернет-сайта www.xxx.com.
И у Роскомнадзора будет меньше вопросов.
полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
И после этого определения, ПДн может быть, практически, что угодно. При этом новое определения является лучшим переводом такого же определения из Европейской Конвенции.
Из 1253 проверок, проведенных за 2010 год, 449 были внеплановыми — это редкий случай? Это 1/3 от общего числа проверок.
Читайте регламент проверок РКН тут или позвоните в территориальный орган РКН. Там сидят адекватные и понимающие люди, которые ответят на ваши вопросы.
Весь вопрос упирается в сертифицированные средства защиты для системы защиты персональных данных — это сильный удар по бюджету компании или предпринимателя.
Поэтому на данном этапе советую соответствовать хотя бы тем требованиям, выполнение которых достаточно для Роскомнадзора и его проверок (т.е. требования, регламентирующие обработку персональных данных у оператора и правовой вопрос обработки).
P.S. Мы стараемся сделать все качественно и юзабильно, из-за этого и есть задержка с запуском, но осталось совсем чуть-чуть ждать :)
2. Банки первыми начали исполнять требования закона — основные банки, например. Посмотрите на квитанции пункт о соглашении на обработку ПД, он должен быть
При оплате карточкой в интернет-магазине — можете подать на них жалобу в Роскомнадзор. Они не имеют право брать у вас скан паспорта, если нет согласия вашего.
3. Вы защищены законом и можете подпортить имидж любой организации, обрабатывающей ваши ПД. Заодно и денег из них выбить :)
Этих начальных мер должно для начала хватить.
То, что я Вас найду в соц. сетях еще не означает, что вы реальный персонаж — проверено на практике :)
ст.20 п.3 Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
По модели угроз необходимо резервировать данные.
По закону данные необходимо удалить полностью (обработку их закончить), но в резервной копии они останутся и их ТЕХНИЧЕСКИ невозможно оттуда удалить.
Вот такая вот «шероховатость» :)