Комментарии 34
А таблица Эксель с макросами, это уже автоматизированная система или где?
Что автоматизировано, а что нет, нужно определять не по полному функционалу софта, а по непосредственному участию человека в обработке персональных данных.
Постановление Правительства РФ от 15 сентября 2008 г. № 687
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Вот это очень ценный пост.
Выходит, если одинокий ИП без сотрудников ведёт свой учёт контрагентов (данные поставщиков и покупателей) в программе и больше негде, то ему не нужно никаких уведомлений?
Вроде бы нет. Но я не юрист.
Да и так непонятно зачем вы нужны Роскомнадзору со своими малочисленными контрагентами (если их правда немного, да ещё и юрики/ИП). Формальности делового оборота ясны уже по факту вашей регистрации как ИП и вида деятельности, которая предполагает письменные договоры.
Если у одинокого ИП персданные контрагентов и/или сотрудников хранятся в CRM или 1С, то лучше подать заявление.
даже просто компьютер - это уже автоматизированная система.
Если ручками заносите в эксель, то нет
Все эти действия помогут от утечек персональных данных?
Многие из этих действий только поспособствуют утечкам, но зато у РКН будет кого оштрафовать.
Сам реестр операторов ПДН это одна большая утечка личных данных тех, кого угораздило там зарегистрироваться (отправить уведомление). Реестр открыт полностью, там есть поиск по ФИО предпринимателя, светятся домашние адреса (кто указал свой домашний адрес вплоть до квартиры в качестве юридического). Можно сдампить реестр, т.к. используются порядковые идентификаторы в урлах + информация доступна анонимно.
Иронично.
Юридический адрес публичный - он есть в выписке по юр лицу, указывается в множестве документов. Он служит в т.ч. для направления официальных писем, т.е. его должен знать любой желающий.
ИП не является юридическим лицом, а поле адреса есть. Что там предлагаете указывать удалёнщикам, которые из дома работают?
Адрес по которому зарегистрировали ИП. Этот же адрес указывается и в множестве других документов (например чеках, накладных...), ничего секретного в нём нет. С фактическим местом проживания этот адрес может не совпадать кстати.
Вы словно содержите этот реестр и делаете вид, что всё нормально. Ещё раз: реестр светит адресами всех уведомивших РКН ИПшников, включая тех, которые вполне легально зареганы по домашнему адресу.
Рандомные/частичные адреса указывать - так это заведомо ложные сведения. Брать помещение в аренду/собственность ради включения в реестр без домашнего адреса - вообще бред какой-то.
Чеки и накладные нигде автоматом в публичный анонимный доступ не попадают кстати.
По моим наблюдениям многие ИП для работы используют отдельные квартиры, нежилые помещения. (кстати к квартирам используемым как офисы/мастерские у коммунальщиков много претензий возникает). Те кто по факту работает дома и не имеет других помещений, совсем мелкие ИП - мало кто из них связан с персональными данными. Удобный реестр с адресами пригодится только спамерам рассылающим бумажные письма, но это уже вроде как редкость, для остального можно узнать адрес официально через налоговую.
Нигде не сказано - можно ли работать с ПД сразу после уведомления РКН или надо ждать появления в реестре?
немного наоборот все работает:
Вы обязаны уведомить РКН, если уже начали собирать Персональные данные. Более того, если у вас потом что-то изменилось в способах сбора ПДн, или появились новые каналы и сервисы по работе с ПДн, то вы должны отредактировать (переподать) заявку в РКН. То есть проводить периодический аудит всей схемы и процессов и уведомлять РКН. Если вы только планируете собирать ПДн, то можно пока не уведомлять, т.к. вы ничего не собриаете
первое что следует сделать предпринимателю это подать в прокуратуру заявление на деятельность роскомпозора которая по многим метрикам является подрывной и экстремистской.
как минимум в следствии действий роскомпозора огромное кол-во российских денег утекает забугор на разные впн и прокси сервисы, и если частники тратят на это небольшие средства то крупные компании в следствии большого трафика и повышенной необходимости в надёжности тратят на это суммы посерьёзнее. к тому же много денег уходит на закуп забугорного же опять же оборудования для тспу и яровой. весь этот безполезный мусор который ставится у провайдеров за деньги абонентов покупается так или иначе у зарубежных компаний (ну не свои же скрепные xeon'ы мы начали производить). ну и ещё 100500 причин вроде забаненного российско-патриотичного контента от российских патриотичных авторов.
к сожалению большинство предпринимателей попросту ссут писать в прокуратуру или не пишут потому что "я маленький, что я могу". это неправильная позиция ведущая к убыткам.
А почему не рассматривается вариант, просто поставить плашку
При регистрации и каком либо использовании сайта не используйте свои данные, придумайте случайные
+ кнопка "сгенерировать случайные",
не забудьте их запомнить/записать для дальнейшего использования сайта
Соответственно пользователь уведомлён что нельзя указывать свои ПД, а то что он указал уж нельзя считать персональными, т.к. условного "VaSa12345" уже нельзя связать с Ивановы И.И. который фактически регистрировался, если магазин то в последствии для получения заказа можно так же случайный ключ генерировать по которому ему выдадут заказ....
Любой оффлайн магазин так работает. Даже без аккаунта.
Так можно. Но зачем? У вас будет примерно 0 покупателей и вы разоритесь.
Озон с Дикими ягодами с Вами не согласятся. В том же Озоне у меня из персональных данных только номер телефона, остальное вымышленное (ак. древний, ФИО искажены).
То есть не согласятся? Они операторы персональных данных. Все по закону оформили и ерундой не занимаются.
Номера телефона и видеозаписей из пвз с картой с которой оплата идет с головой хватит если что. Смысла настаивать на других данных нет.
Я про то что фактически они работают без моих персональных данных, знают только сотовый номер (который может быть заменён случайной связкой логин/пароль). Данные карты вроде как знает банк, и Озону их не сообщает (оплачиваю QR кодом, но насколько помню оплата через карту идёт через форму банка, а не сайта на котором оплачивают покупки). Видео - может получить кто угодно кому я передал штрихкод.
Вы начали с того что кто-то мог бы сделать магазин не являющий ся оператором ПД. И закончили тем что у вас в Озоне (которые оператор ПД) данные немного спрятаны и надо поджоцнить две таблички чтобы их получить.
Отдельно ФИО или отдельно номер это не персональные данные. Чтобы что-то сопоставить надо иметь уже таблицу где они сопоставлены (в данном случае она у банка), Озон же доступа к БД банка наверняка не имеет и видит условно что по такому то выставленному счёту прошла оплата. Т.е. фактически он прекрасно работает без обработки персональных данных (вернее без их какой-либо проверки, хватает номера телефона).
Любой оффлайн магазин работают без ваших данных. Если платить наличными, то и сопоставлять нечего.
Я все еще не понимаю какой вы хотите сделать вывод из всего этого? Можно ли вбить левые ФИО в Озон? Кончено можно, но непонятно зачем. Можно ли сделать магазин не оператор ПД? Тоже можно и опять непонятно зачем.
Вывод что уж слишком много паники по поводу обработки персональных данных, только на Хабре уже наверно больше года мне раз в пару недель попадаются аналогичные статьи на эту тему. При этом, по моему, в большинстве случаев можно обойтись без их обработки, либо обработке для узкого круга задач (данные персонала). При этом сведя риск огромных штрафов к минимуму и упростив жизнь пользователей избавив их от указания кучи излишней информации различным сервисам (помнится мне как то на одном форуме-трекере для регистрации требовалось заполнить анкету на несколько экранов в т.ч. сообщить даже клички питомцев - всё это якобы для возможности восстановить пароль в будущем).
Думаю нарваться на штрафы рискуют в первую очередь коммунальщики а не IT сектор, т.к. любая квитанция это кладезь персональных данных а 1000 квитанций можно надёргать с пары человейников.
С появлением этого закона кстати по моим наблюдениям количество телефонного спама упало в разы, хотя возможно просто он стал малоэффективным.
Нельзя. Вы опять путаете ситуацию «не обрабатываю ПД» «не валидирую ПД и в принципе можно ввести что-то левое»
Не обрабатывая вы ничего не сделаете. Они вам нужны чтобы с клиентами работать и для удобства клиентов.
Для примера ваш криптобро магазин без ПД проиграет конкуренцию всем. Клиентам просто лень морочиться.
Я вот тоже про такое думал. Тут все тревогу бьют, а мне наоборот это кажется на руку и лишь приведет к возвращению бордовой и нишово форумной культурах где все всегда были Анонимус. Чисто для этого зарегал акк и также людям и владельцам сайтов советую делать. РКН когда-то запретил анонимайзеры, а теперь сами себе в ногу стреляют и продивигают обратно анонов такими вот законами
КДПВ офигительная
А может кто поделится всем пакетом документов?
Подробная инструкция, что нужно сделать, чтобы РКН вас не оштрафовал