Comments 66
Как уведомить Роскомнадзор
\s Как записываться в очередь в пятницу, чтобы в субботу пораньше освободиться
На эту тему у меня сегодня вышел шуточный пост на vc ... https://vc.ru/life/2012220-ofisnoe-prostranstvo-korporativnaya-zhizn-yumor-i-rasslablennye-v-it
Это полнейший треш… чисто сюр какой-то, надо задушить обычные предпринимательства, конечно же)))
Когда я начала заполнять, поняла что в одиночку с этим не разобраться. И я выбрала самый простой способ разобраться - привлечь экспертов и написать совместный гайд.
И мне пришлось закрыть личный сайт (физ.лица), т.к. это было проще, чем подавать два уведомления и регистрироваться не только как ИП, но и как физ.лицо. Хотя на сайте ничего не было, кроме обязательного сбора куки, которое делает Тильда, но я не могу это отключить, т.к. это обязательная для всех процедура, поэтому по умолчанию, даже не собирая никаких данных я должна подать уведомление. Поэтому 7 лет моего труда и ведение блога канули в лету.
Какая помощь и подспорье российскому интернет бизнесу! Как раньше без этого жили?! Главное помнить, что всё ради детей! Вся лютая дичь - всегда ради детей!
> 1. Назначить ответственного за обработку персональных данных
Это конечно всегда помогает.
> Собираются ли cookie-файлы и как это оформлено
Стесняюсь спросить, от куда и кто собирает кукисы? Кэш браузера?
А дворник сгребающий макулатуру разбросанную у почтовых ящиков с полными адресами, ФИО, а порой с телефоном и ИНН, является оператором персональных данных, должен регистрироваться и слать отчёты?
Я попробовала упростить для читателей Хабр решение этой нестандартной задачи, с которой столкнулась сама. Вопрос полезности и целесообразности этой процедуры в рамках данного документа не рассматривается.
Но то, что в ходе заполнения возникают десятки вопросов - это да.
нет, это не автоматизированная обработка :)
Класс, наконец-то путное руководство, а не словоблудие других авторов
Вопрос: самозанятому с сайтом на Тильде, где по кнопкам только переход в личный телеграм что-то надо делать?
Да, вы собираете cookies )
Именно поэтому я сегодня закрыла свой личный сайт, т.к. не хочу объясняться почему я не в реестре операторов ПД. Хотя у меня ничего не было прикручено.
И, еще, вероятнее всего у вас может быть Яндекс.Метрика и Гугл.Аналитика. Со вторым вообще все сложно, а при наличии Яндекс метрики - оператор ПД.
Это требования распространяются на домены .ру? если com например, будет кто то предъявлять претензии?
Вот здесь мне понадобится помощь Дарьи. Сейчас она уже недоступна, но ответит, как выйдет онлайн. Но с моей точки зрения не играет роли какой домен, если сайт собирает ПД российских граждан, то вы обязаны уведомить РКН. А вот будут ли проверять такие домены, это вопрос.
Если не трудно, прошу разузнать про такой вариант: лендинг не собирает кукисы, о чём написано аршинными буквами на первом же баннере при входе. Для обратной связи указан мейл адрес, с предупреждением - не пишите туда персональные данные.
Прокатит, чтобы не заявляться ?
похоже, что один из вариантов решения такой проблемы, найти человека в какой-либо стране где самое простое законодательство в плане сбора ПД, и на него зарегистрировать сайт, и сам сайт чтобы на на серверах в той же стране крутился. А самому администрировать его удалённо. Прокатит такое интересно?
Спасибо автору за титанический труд!
Желаю роскомпозору и всем причастным гореть в аду, заполняя бесконечные формы и реестры при этом
Уведомление не требуется, если данные ведутся только на бумаге
Нету там ничего про бумагу. Есть про средства автоматизации и про непосредственное участие человека в обработке. Если автоматизации нет, а непосредственное участие есть, то уведомление не требуется.
И если, дорогие мои айтишники, при слове "автоматизация" у вас в голове сразу возникает слово "компьютер" и его заклятый враг "бумага", то нет, ничего этого в соответствующих законах нет. Копирка и аналоговый ксерокс вполне канают как средство автоматизации кстати - не совсем компьютеры и очень даже бумага.
Не забывайте отправлять уведомление в РКН когда кассир или официант отдаёт вам чек со своими ФИО.
Открываешь сайт РКН, идёшь в "реестр операторов", ищешь нужного ИПшника и получаешь нужные тебе данные - и адрес вместе с квартирой, и номер телефона. Даже капчу вводить не нужно. Считается "утечкой" ПД?
Пользователь зашел на твой сайт, в логах записался его ip-адрес. И вот уже нужен отвественный за обработку персональных данных, логи срочно зашифровать отечественной криптозащитой. Поставить и настроить криптозащиту разрешается только организации, имеющей лицензию, заключить дооовор на обслуживание.Завести кучу бумажных журналов, создать отдел безопасности по защите персональных данных.
Как в анекдоте про охранника, охранявшего мост https://www.anekdot.ru/id/361726/
А какое определение закон даёт персональным данным?
Является ли случайный идентификатор, присвоенный браузеру через куки, персональным данным?
Является ли IP-адрес, который в наше время не идентифицирует человека (потому что много абонентов сидят под одним адресом) персональным данным?
Является ли запись действий пользователя на странице (Яндекс Визор) персональными данными?
А хранение данных в агрегированном состоянии (например, сколько пользователей из каждой страны посетили сайт в такой-то день) регламентируется законом о персональных данных?
А если всё вышеперечисленное делается для обеспечения безопасности и работоспособности системы? Между прочим, GDPR разрешает собирать данные без согласия пользователей в этом случае.
Я бы еще добавил. Является ли email персональными данными? Если, например, он используется в качестве логина
является, в частности, потому что в нем встречаются имя/фамилия
В том то и дело, что "в частности", причем, в очень-очень редкой. hren_v_stakan@mail.ru - где тут имя/фамилия? Или ivanov_ivan@gmail.com - есть тут фамилия и имя, попробуйте меня идентифицировать. Ни разу не встречал email с отчеством и датой рождения.
Тут скорее аргумент, что этот адрес принадлежит только вам, но тоже технически могут передать другому человеку.
Способы подачи уведомления в Роскомнадзор
В электронном виде с использованием электронной подписи. Заполните форму на сайте Роскомнадзора и подпишите её усиленной квалифицированной электронной подписью. Для этого предварительно должен быть установлен плагин КриптоПро ЭЦП Browser plug-in.
Подавались два дня назад. Как всегда, контора оппортунистов РКН обделался, и именно на этом способе №2 - через ЭП. По факту после подписания заявления выходит страничка о просьбе его распечатать и отправить заказным письмом, как будто мы подавались способом №1. То есть по факту это не подача в электронном виде.
Пришлось пользоваться способом №3, через ЕСИА.
Я правильно понимаю, что вот эту штуку нужно делать всем компаниям, вообще всем? Пример, небольшая локальная компания по изготовлению мебели. Как обычно: сайты, лендинги, вот это все.
Если на сайте собираете куки — уже надо, если есть форма — тем более, если используете ретаргетинг для рекламы и т.д.
А если сайта вообще нет. Самозанятый дворник с договорами с несколькими УК, в договорах есть ФИО директора УК. Все - оператор ПД. Но это же абсурд!
Сформулируем вопрос по другому, как можно избежать регистрации, что нужно не делать? Сейчас впечатление такое, что все бесполезно: есть смарфон, там чье-то фио, все, вы обрабатываете ПД.
Не ясно, что такое персональные данные. Так все пользователи смартфонов должны отправить уведомление в Роскомнадзор, потому что в их контактной книге целая куча персональных данных.
При внесении в реестр выдаётся идентификатор и ключ записи. И, если понадобится внести изменения в сведения - необходимо указывать оба этих идентификатора. И, если идентификатор записи легко ищется, то процедуры восстановить ключ на сайте РКН нет. При этом, чтобы подать уточняющие сведения, необходимо полное заполнение той же самой анкеты, что и при первичной подаче сведений(возможно получить ранее переданные сведения и заполнить автоматически, но для этого также нужен идентификатор и ключ).
Соответственно, берегите полученные идентификационные данные.
Обязанность по регистрации в Роскомнадзоре затрагивает всех, кто собирает любые данные — от ФИО ... до IP-адресов и cookies-файлов пользователей
Знаете, вот после этого не хочется читать и всё остальное...
С чего вы вообще взяли, что куки и ip (сами по себе, только куки и ip!) являются ПД?
Из нескольких судебных решений? Вы их читали? Там куки с боку к припеку, а основу составлял сбор настоящих персональных данных, чуть ли не паспортных.
Что такое кука - вы знаете? Вы генерируете случайный номер и сохраняете его в браузере пользователя. Вы (!), а не посетитель, его генерируете. Это будет сессионная кука. А ведь с помощью куки можно сохранить любую информацию, например размер выбранного шрифта. Т.е. если в боаузер посетителя послать куку с информацией: "font-size=20" - это будет являться сбором ПД? Абсурд.
Куки - это не ПД, а один из возможных способов обработки ПД (если уже настоящие ПД собираются).
Пример. Когда вы приходите в театр, в гардеробной сдаете одежду, вам выдают номерок и по этому номерку отслеживают, на какое место вы сели, что ели в буфете и пр.,... Вот этот номерок является вашими персональными данными? По вашему, выходит, да, являются. Насколько такая трактовка адекватна, решайте сами. По мне, всё очевидно.
Но теперь рассмотрим несколько иную ситуацию:
В на входе в театр с вас взяли паспортные данные, сложили их в папочку (на компе), на папочке написали номер, и этот номер выдали вам. Далее по этому номеру идет логгирование ваших действий в театре. В этом случае есть сбор и обработка ПД? Очевидно, есть. Номер ли является персональными данными? Или всё же паспортные данные, а номер является лишь способом их обработки?
Далее...
При вашей трактовке вообще никак нельзя взять согласие не нарушив закон. Как только посетитель открыл первую страницу вашего сайта (пусть уже с текстом согласия, с всплывающей плашкой и пр.), то он УЖЕ получил куку, а сервер зафиксировал ip. Ладно, куки можно полностью отключить (хотя здесь еще вопрос - как зафиксировать согласие без куки), но ip будет обработан в любом случае, что означает обработку ДО согласия, что есть нарушение.
И пожалуйста, прекратите нагнетать истерию. Сейчас мне на почту со всех углов идут всевозможные страшилки. Я уже просто ничего не читаю на эту тему, так идет массовое психологическое давление, запугивание.
Если продолжить вашу логику, то... вот у вас в смартфоне есть рабочие контакты? Руководителей? Коллег? Наверняка есть. Значит, вы как физлицо тоже являетесь оператором обработки ПД? По вашей логике - однозначно являетесь. Вопрос к вам: вы сами то, как физлицо, подали уведомление?
Мой вывод: куки, ip и прочее можно рассматривать как персональные данные только в совокупности с другими, настоящими, персональными данными, но не сами по себе.
ЗЫ
Еще забыл добавить. По предлагаемой логике штатное использование гугл-шрифтов является трансграничной передачей ПД... со всеми вытекающими последствиями... вплоть до высшей... 18 миллионов (или сколько там?) рублей...
Никакого очевидного смысла для микро и малого бизнеса, кроме как оплата драконовских штрафов в новом законе нет.Да, мы ох...ели, и что Вы нам сделаете?
Интересно, это все из-за утечек Яндекс.Еды и авиабилетов? Кому-то сильно припекло?
А список контактов в телефонной книге смартфона любого человека как оценивается? Там же и даты рождения могут быть, и телефоны (внезапно), и ФИО. И это все еще на СИМ-карту можно выгрузить при желании.
Ну про куки уже написали, что они в большинстве случаев с трудом подтягиваются к персональным данным. Даже с учетом того, что у них хранятся реальные персональные данные. Мы на старой версии скриптов магазина, чтобы не иметь геморроя с обработкой персональных данные их хранили в куках на стороне пользователя, причем исключительно для того, чтобы пользователю не требовалось при повторном заказе вновь вводить свои данные. На нашей стороне хранился только длинный идентификатор, чтобы пользователь мог посмотреть свои старые заказы. Если у пользователя куки в браузере стирались, то посмотреть свои заказы он больше не мог. Мы со своей стороны не могли идентифицировать пользователя - отправили ему по почте, выполнили свою часть договора и все.
Яндекс-метрика по отношению к вам тоже с трудом подтягивается к персональным данным. У вас нет никакой возможности идентифицировать пользователя по данным из метрики. Если у яндекса есть такая возможность, тогда пусть у него голова болит, каким образом он это будет юридически оформлять. Вы со своей стороны сами никаких действий с данными пользователя не производите. То есть обработка персональных данных вами не производится, чтобы вам "консультанты" не говорили.
По поводу формы обратной связи на сайте... В большинстве случаев не просто не требуется, а по факту противозаконно брать согласие на обработку персональных данных. Если в политике конфиденциальности вы прописали, что форма обратной связи предназначена только для выяснения вопросов с целью заключения договора по инициативе субъекта персональных данных, то брать согласие НЕЛЬЗЯ. Ну и сама форма должна хотя бы мягко намекать, что "не надо сюда писать из-за всякой дури, мы хотим вам товар продать, а не консультации осуществлять по продукции, которую вы на другом сайте покупать собрались".
Яндекс-метрика по отношению к вам тоже с трудом подтягивается к персональным данным. У вас нет никакой возможности идентифицировать пользователя по данным из метрики. Если у яндекса есть такая возможность, тогда пусть у него голова болит, каким образом он это будет юридически оформлять. Вы со своей стороны сами никаких действий с данными пользователя не производите. То есть обработка персональных данных вами не производится, чтобы вам "консультанты" не говорили.
Более того, ваш сервер вообще не имеет никакого отношения к кукам яндекс-метрики. Скрипт метрики загружается напрямую в браузер посетителя с серверов яндекса (а не с вашего сервера), этот же яндексовский срипт и записывает куку в браузер, если там ее еще нет. Т.е. технически всё взаимодействие происходит напрямую между браузером посетителя и серверами яндекса. Ваш сервер (и сайт) в этом процессе (обмена информацией) никак не участвует, за исключением того, что инициирует загрузку скрипта с серверов яндекса.
Подскажите, нужно ли делать все эти телодвижения физическому лицу (не ИП, не самозанятый), админу форума, где ники пользователей соотносятся с email при регистрации ?
Форм и аналитики никакой более не подключено, рекламы на форуме нет.
А что заполнять в ЦОД , если у меня жена самозанятая, но сайт и договоры с ДЦ веду я? Получается что перс данные, куки и остальное вижу я как владелец всех доступов и договора с ЦОД, но она является получателем всех данных с сайта, и далее уже она созванивается с клиентами по контактам, которые они оставили по сути на моем сайте?
Выглядит весьма странным один интересный факт. "Узаконенная", скажем так, формулировка в отношении ИП определения Юридический адрес ИП - это адрес осуществления деятельности предпринимателя - и он фактически совпадает с адресом постоянной регистрации физического лица, зарегистрированного в качестве предпринимателя, и является, в свою очередь, в соответствии с определением ФЗ №152, персональными данными физического лица, на распространение которых требуется согласие этого физического лица. Именно по этой причине он "не отображается в публичных сведениях ЕГРИП, но получить эти сведения можно, направив в ФНС специальный запрос". Если заглянуть в реестр операторов ПД на официальном сайте РКН, вбить в поиск нужное ИП и посмотреть на поле Юридический адрес - то можно увидеть персональные данные физического лица, разглашенные РКН без согласия физического лица. Может быть у кого-то, включая автора статьи, найдутся интересные соображения по данному поводу, желательно без излишней иронии. Если к юрлицу например возможно предъявить судебный иск о разглашении ПД, то чем юридически отличается тот же самый РКН допустивший разглашение.
Может ещё кто подскажет, если я будучи ИП, записываю номер покупателя, который сам просит (устно) меня сообщить ему о поступлении товара в свой или рабочий (тоже свой по сути) телефон и указываю имя которое он мне называет, без проверки паспорта (то есть условно это может быть не его имя), да и номер может быть оформлен не на него. Считается ли это сбором данных? И какой цод мне тогда указывать? И какая форма обработки данных? 🤔
Добавлю сюда вопрос из личных сообщений, Дарья, как будете отвечать, тоже дайте обратную связь : «День добрый. Ваш материл "Как уведомить Роскомнадзор ..." очень полезен. Благодарность за него. Возник уточняющий вопрос, как лучше группировать сервисы, по категории субъектов или по целям обработки ПД? »
Спасибо большое за гайд! Пытаюсь разобраться в теме, ваш пост прям во многом выручил.
Чего я не понял:
Мне пишут на электронную почту. Любое письмо содержит электронный адрес и - чаще всего - имя и фамилию. А в подписи часто еще и телефон и другие способы связи. Электронная почта становится таким образом БД для хранения ПДн (IMAP, не POP)? Если я использую Гугл, то, выходит, БД хранится на серверах за пределами РФ и я не имею права ее использовать, так выходит? Или я могу, например, делать редирект, скажем, на служебный адрес Я.Почты?
Я понимаю логику (и даже ее приветствую) заранее сообщить пользователю, что я использую Gmail, но как, блин, это сделать, если человек берет мой адрес, например, не с сайта, а с визитки?
Или. Мне позвонил человек, я его имя, фамилию, компанию и телефон сохранил в контактах на смартфоне. Это БД с ПДн? По идее же да. Надо сообщить РКН обо всех телефонах работников в организации?
нет, надо сообщить о намерении сбора (о факте сбора - для тех, кто собирал до постановления), о факте назначения отвественных, политики обработки и тп.
по поводу электопочты - да, удобная удочка для проверок, чтобы бы ты не сделал - виноват. Будем надеятся, что через полгода, перед выборами в Думу, кто-нибудь озабоченый чаяниями народа (/s) поймёт, что в правилах перебор, и с большой помпой тихой сапой исключат наиболее глупые обобщения.
та же глупость, как с решётками на окнах: поставишь - штраф от пожарных (опасно), не поставишь - риск взлома (в т.ч. магазинов, банков), претензии страховых. Поставишь распашные с замком - рулетка, успеешь открыть замок при пожаре или нет...
Должен ли регистрироваться разработчик, который работает на айти-компанию по ИП через аутстафф?
Очень хороший вопрос. Формулировки требований весьма расплывчатые. Вроде как если как собираешь не в собственных целях (для предоставление своих профессиональных услуг), а в целях заказчика (интернет-магазин пилишь, например, или на поддержке держишь), то не надо. А вроде как и надо, ведь сайт, который ты пилишь или поддерживаешь, передает персональные данные клиентов твоему заказчику...
А как работают штрафы? Вот оштрафовали меня - что дальше? Через неделю еще раз оштрафуют? Через месяц? Через год?
Просто кажется, что проще раз в год платить штраф, чем попытаться соблюсти все эти требования
Как уведомить Роскомнадзор об обработке персональных данных: пошаговая инструкция для ИТ-компаний и стартапов