Ужесточение ответственности за нарушения в области персональных данных (ст. 13.11)

конкретизировали косяки:

• невыполнение оператором обязанности по обеспечению неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных;

• невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных;

• невыполнение оператором требования субъекта персональных данных о блокировании или уничтожении персональных данных.

1. Публиковать политику конфиденциальности, сейчас мало кто это не делает

2. Рассказывать юзеру, какие именно данные сохранены (как правило в личном кабинете все это есть)

3. По просьбе юзера удалять его учетку и все его сохраненные данные

Ничего сверхнеобычного в общем-то

Почему нет обсуждения в этой теме?

Прочитайте пож-та эту заметку "Как владельцу сайта с 1 июля 2017 избежать штрафа в 300000 руб.?" https://alex-kurteev.ru/blog/full/2009-fz-152.html

Прочитав это для меня остается самым раздражающим фактором пункты 4 и 5:

4) Зарегистрироваться в Роскомнадзоре

Ссылка на регистрацию http://pd.rkn.gov.ru/operators-registry/notification/form/

Кто видел эту форму, где там вообще сайт указывать, а если у меня около 30 сайтов....?

5) Разместить на сайте всплывающую информацию о сборе cookies.

это же будет раздражать самих пользователей, кто-нибудь может привести пример сайта где это сделано и как это выглядит?

Давайте обсуждать.

---------- Добавлено 13.06.2017 в 15:18 ----------

Лично у меня доски объявлений по недвижимости, где много форм, в которых предлагается оставить контактные данные, поэтому у меня кипиш.

AlenDelan, 4 пункт из знакомых не сделал никто. 5ый тем более не буду делать, пока он не будет у основных конкурентов в нише. зачем мне первому рубить свою конверсию?

Это сделано практически на всех европейских сайтах. Ниразу не видел плашку "Наш сайт использует куки бла бла бла" (на том же 2ip.ru это есть).

Положение о конфидециальности, подать заявление в РКН (в законе сказано, что надо обязательно, хотя и без него все операторы персональных данных, но требование подать заявление есть), сделать так чтобы положение было всем доступно и видно. Все это понятно.

И также, некоторые в панике, переводят сайты на хостинг в РФ. К этому много вопросов.

Если сайт собирает данные и хранит все у себя в БД, тогда все понятно - нужен российский хостинг. Но если у простого предпринимателя стоит форма обратной связи, данные с которой отправляются на электронную почту расположеннную в России (Яндекс.Почта, например), а сам виртуальный сервер в Европе, тогда есть нарушение или нет?

Даже в той самом пресловутом заявлении для Роскомнадзора нет поля, где бы вводилась информация про хостинг. Надо указать адрес, где хранятся личные данные. Так это адрес, где расположены сервера почты Яндекса тогда.

Кто что думает, надо в таком случае переносить все на российский хостинг?

Опубликовать это положение и отправить заявление в РКН не проблема, но вот сайты переносить на российский хостинг не очень хочется, когда у уже много лет очень выгодно хостишься в ЕС.

У меня тоже доски объявлений, даже не знаю что делать, хоть сноси все.

Решил оставить только размещение компаниям, (не знаю будет это считаться персональными данными или нет?).

Все формы обратной связи и комменты убрал.

Пользовательское соглашение заказал (накатали текста на 17 000 символов).

Как это на самом деле? не знаю!

зачем так радикально? не понимаю логики, а чем компания отличается от физика, и даже анонима, с точки зрения этого закона ФЗ-152?

Собираюсь просто перед кнопкой отправки каждой формы вставить текст со ссылкой "Публикуя объявление я подтверждаю свое <ссылка>согласие на обработку предоставленных мною персональных данных</ссылка>", и даже чекбоксы ставить не буду чтобы javascript не менять.

это то зачем? максимум уберите из комментов поле "e-mail", а под формой обратной связи поставьте такую же ссылку о согласии об обработке персональных данных

нашел в нете подходящее, под свой случай подправлю да и все.

Лично для меня остаются неясными пункты 4 и 5, которые приводил выше, но народ советует пока забить.

а просто убрать поле ФИО - не прокатит?

откуда это взято?

1. пользователь не может оставить cookie и данные об IP адресе и местоположении

это оставляет браузер и то только если пользователь сам это разрешил это делать и если сайт это принимает

2. остальное возможно только при добровольной регистрации, причём кроме телефона или e-mail остальные данные просто не нужны во время регистрации ;)

AlenDelan, Если делать формально, как советуют в большинстве таких статей (разместив всякие политики обработки ПД, но без регистрации в Роскомнадзоре) то все равно будет нарушение закона, так как регистрироваться оператор должен до начала обработки. Причем не важно, юридическому лицу принадлежит сайт, или физику.

Некоторые поэтому советуют регистрироваться оператором. Умалчивая, что через несколько лет будет плановая проверка. А чтобы ей не было к чему придраться нужно разработать десятка два документов, на постоянной основе вести журналы учета, короче для большинства простых смертных соответствовать всем требованиям просто нереально.

Так что нужно смотреть что за сайты, что за обработка. Например, сбор cookies и всякие счетчики аналитики притянуты за уши - это обезличенные ПД, по их поводу можно вообще особо не заморачиваться. Предупреждение пользователя об их использовании требуют некоторые буржуйские сервисы, но это из другой оперы, не связано с роскомнадзоровским 152фз.

Если на сайте только формы для получения контактов, то обычную связку имя - телефон - емэйл легко подвести под исполнение договора. Выложить оферту с которой человек соглашается отправляя данные и все, регистрация в качестве оператора уже не обязательна. Особенно если в форме только имя, а не фио.

Вот если есть личный кабинет с персональной инфой (достаточно фио + день рождения, или фио + адрес), то уже сложнее. У меня таких сайтов нет, поэтому не вникал, но скорее всего таким придется или регистрироваться, или убирать часть функционала, или надеяться что никто не пожалуется роскомнадзору.

у меня личные кабинеты на сайте уже 10 лет, то есть ПД я обрабатываю уже 10 лет, получается я уже 10 лет нарушаю закон,......если зарегистрируюсь сейчас оператором меня сразу можно штрафовать будет, так как не имел права все эти 10 лет обрабатывать ПД, так получается

Посоветуйте тогда что делать, регистрироваться или нет оператором, если при регистрации личного кабинета на моем сайте требуется e-mail и Имя (даже не ФИО), а при подаче объявления обязательно указать Имя, а также или e-mail или номер телефона. (cookies тоже собираю)

?