Как стать автором
Обновить

Комментарии 8

Спасибо за полезную подборку! Хочется побольше примеров конкретных формулировок, конечно. Ну и продолжения про GDPR.
utm Добрый день. Спасибо за дельный совет. Обязательно учту при написании следующего материала ваши рекомендации.
Пустая самореклама юристов…

Из статьи:
Что обязательно должно быть в ПК
Любая политика конфиденциальности состоит из разделов:


Из ответа РКН на одно мое обращение: оператор может написать, что угодно в политике по обработке ПД, у РКН нет прав на проверку:). Обязательность всех разделов не соответствует законодательству.

О файлах cookie и других технологиях.

Приведите ссылку на российское законодательство, где что-то говорится про куки?

отправлять информацию на серверы других компаний, расположенных за рубежом – это называется трансграничной передачей данных.


А вот что говорит 152-ФЗ:
11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Обращаю внимание, так как многие этого не понимают, что не просто на сервер за рубежом, а именно органу власти или какому-либо лицу.

Чтобы обезопасить себя, в ПК таким компаниям необходимо указать, что любая информация, которую предоставляет пользователь, может быть передана или получена зарубежными компаниями в соответствии с данной политикой конфиденциальности.

Так нельзя себя обезопасить. Это не будет соответствовать закону ни при каких условиях. Во-первых с пользователя необходимо брать согласие на обработку ПД, в котором КОНКРЕТНО указывать, куда, кому и для каких целей (обязательно полезных для пользователя) будут передаваться его персональные данные. Причем нельзя в одном согласии все делать оптом. Иначе пользователь потом заявит, что вот эти действия были в моем интересе и я с ними соглашался, а вот другие, где мне срут рекламой они не в моем интересе и в этой части согласие не соответствует действующему законодательству.

В целом…
Автор очень плохо знает российское законодательство в области персональных данных, либо умышленно вводит в заблуждение читателей.
newm Здравствуйте, спасибо, что внимательно прочитали текст и написали подробный комментарий. Хотел бы отметить, что в данном материале не стоит искать признаков теории заговора – никто не пытается ввести Вас в заблуждение.

А личное знание закона и умение его толковать – всего лишь вопрос компетенции.

У меня создалось впечатление, что столь красноречивый выпад – скорее элемент самопиара, чем компетентная аннотация.

Теперь по пунктам:

1. Относительно вашей убежденности в отсутствии полномочий у РКН на проведение проверок:
Пункт 1.1 статьи 23 ФЗ от 27.07.2006 № 152-ФЗ и ППРФ от 13.02.2019 № 146 – РКН обеспечивает, организует и осуществляет государственный контроль и надзор (перевожу лично – проводит проверки) за соответствием обработки персональных данных требованиям закона. Например, для проверки может запросить у компании ПК (об этом конкретно – подпункт 1 пункта 3 указанной выше статьи).

2. Относительно вашего тезиса о том, что обязательность всех разделов не предусмотрена законодательством:
В законе (вне зависимости от личного восприятия правовой действительности) содержаться общие положения, которыми компания должна руководствоваться при обработке ПД, в том числе при разработке ПК. Например, статья 11 указанного выше ФЗ содержит правила обработки биометрических ПД. А рекомендации по наполнению ПК дает сам же РКН на своем официальном сайте. Хотя они и несовершенны, так как с 2017 года обновлений не публиковалось.

3. Относительно cookie и российского законодательства:
Ничего удивительного – практика всегда идет впереди закона. Да, в России такого закона пока нет. Но вот парадокс – куки-то есть. И стартапам, идущим в ногу со временем и, тем более, ориентированным на международный рынок, рекомендуется применять законодательство развитых стран.

4. Относительно тезиса о передаче ПД (на сервер): Упоминание сервера здесь скорее для простоты и практического понимания. Иначе получается (если строго следовать вашей рекомендации), что данные передаются на территорию иностранного государства или юридического лица абстрактно.

5. Относительно последнего тезиса – о том, как себя обезопасить. Ваши суждения скорее свидетельствуют о невнимательном прочтении текста. В этом разделе я пишу о международном аспекте и безопасности в связи с этим. О том, что при трансграничной передаче данных необходимо строго соблюдать ПК передающей компании. В статье не отрицается необходимость получения согласия на обработку ПД. Наоборот, я обеими руками «за» такое волеизъявление. И его надо получать в принципе перед сбором и обработкой ПД, а не перед их трансграничной передачей.
Например, для проверки может запросить у компании ПК (об этом конкретно – подпункт 1 пункта 3 указанной выше статьи).

Довольно странное понимание… РКН может проверить, выложены в неограниченный доступ документы, требуемые в законе или нет. И если нет, то наказать по КоАП. Например, контора, на которую я кропал телегу в РКН, выложила в качестве политики по обработке ПД студенческий реферат по информационной безопасности. В качестве ответа было, что документ есть, а что в нем никаких вариантов воздействия нет.

2. Относительно вашего тезиса о том, что обязательность всех разделов не предусмотрена законодательством:

Для тезиса 2 — тот же пример, что и выше.

3. Относительно cookie и российского законодательства:

Где-то было мнение РКН, что куки это вообще никак не ПД.

5. Относительно последнего тезиса – о том, как себя обезопасить. Ваши суждения скорее свидетельствуют о невнимательном прочтении текста. В этом разделе я пишу о международном аспекте и безопасности в связи с этим.

Описание было в общем, поэтому и ответ был в общем. Но для нормального бизнеса передача кому-либо ПД, причем так, что по закону требуется брать согласие — это очень редкое исключение. Для всяких срущих спамом и мошенничеством — это норма. Например, диким бредом является запрос согласия на обработку ПД интернет-магазином для передачи этих ПД сторонней курьерке, которой этот заказ будет доставлен и о чем уведомлен покупатель. Кстати, а почему так?
Есть рыба праваси полиси аналога WTFPL?
А то если ничего не собираешь все равно нужно куча писанины.
мой вариант ниже
Privacy Policy
I, ______, do not collect personal information in my applications or on the websites of my programs ( ___________________ ) and on ____( this site ).

• In the programs and on the sites there is no advertising.

• I do not use cookies.

• All purchases you make in GooglePlay.

Non personal information:

— About errors in the application provided to me in the GooglePlay developer console.

— Standard security logs unix server, controls by the hosting provider.

External links are given to the sites of my programs or to sources of useful information on the subject of the application, as well as in cases where this is required by copyright law.

The sites can use third-party resources such as cloud hosting for fonts, css and / or js frameworks / libraries, video hosting (for example YouTube) and so on.

The question posted to me by e-mail is treated as an explicit consent that I can store your letter in the mailbox for 10 years. I can use you email address, name and other to answer your question. You also agree to receive other letters from me if I have a desire to write to you. You also consent to the public use of your question and submitted materials in the FAQ section of the site.

Answering the questions received in my mailbox, I do not ask the age of the questioner, if you are the parent or guardian of the child and you see in this correspondence some personal information, then write me. I will verify that these emails are deleted in my mailbox.

I spent a week to understand what I should write in case I don't need your data. But I am sure that I still did something wrong.

If you have any questions, write to _________________


Здравствуйте! Напишите мне в личку, пожалуйста. Не уверен, что могу здесь давать внешние ссылки.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации