Главная - Гражданское процессуальное право - Для сайта уведомление о персональных данных

Для сайта уведомление о персональных данных


Для сайта уведомление о персональных данных

Управление Роскомнадзора по Ростовской области не позднее 1 января 2008 года.

уведомление должно быть направлено в виде документа на бумажном носителе или в форме электронного документа и подписано, уполномоченным лицом.

Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке.


Информация о внесении оператора в реестр размещается на Портале персональных данных Роскомнадзора не позднее трех дней с даты подписания приказа.

Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

В случае предоставления неполных или недостоверных сведений Управление Роскомнадзора по Ростовской области вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов. Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, с изменениями от 30.10.2018 г.

В случае изменения сведений, указанных в ч. 3 ст. 22 Федерального закона от 27 июля 2006 г.

Для сайта уведомление о персональных данных

Вниманиеattention
К ним относятся неавтоматизированная, автоматизированная или смешанная обработка материала.

  • Также в документе обозначается не только конкретная дата начала любого действия, совершаемого с личной информацией, но и сами мероприятия. Это сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение данных.
  • Скачать бланк формы уведомления об обработке персональных данных в Роскомнадзор
  • Скачать образец формы уведомления Роскомнадзора об обработке персональных данных

Подробнее о нюансах заполнения уведомления читайте тут.

Даже в общих для всех правилах существуют исключения.


Исходя из той же 22-й статьи Закона, подавать уведомление не требуется если:

  • Обработка информации производится без компьютера и электронных баз данных.

Для сайта уведомление о персональных данных с изменениями

  • цель и правовое основание для работы с личным материалом;
  • перечень предполагаемых сведений о физических лицах;
  • действий с полученной информацией;
  • категории субъектов;
  • ответственный за организацию обработки персональных данных;
  • сведения об обеспечении безопасности;
  • дата начала обработки собранной информации;
  • срок или условие её прекращения;
  • контакты человека, являющегося исполнителем уведомления.

Основные правила заполнения

Заполнить бланк информационного письма в Роскомнадзор не составит особого труда: для этого создан единый образец.

При составлении письма следует учесть:

  1. Так, перечисляя категории полученных сведений, подлежащих обработке, необходимо сообщать персональные, биометрические и специальные сведения.

Для сайта уведомление о персональных данных 2018

В дисклеймере кратко укажите:

  • какие данные вы собираете;
  • зачем они нужны;
  • просьбу покинуть сайт, если эти условия не устраивают посетителя.

Всё честно: можно остаться или уйти

Хранить данные — только на территории РФ

Хранить базы персональных данных можно только на серверах, расположенных на территории РФ. Выбирайте российский хостинг. Если пользуетесь CRM-системой — убедитесь, что её серверы находятся в России.

Передавать данные за границу можно.
Но только в случае, если сначала они попали в «материнскую» базу, расположенную в России.

Поэтому будьте осторожнее с рассылками.

Приложение 2. Примеры заполнения уведомлений об обработке персональных данных

а) муниципальный орган самоуправления б) коммерческая организация

в) образовательное учреждение г) учреждение здравоохранения д) учреждение культуры е) с использованием шифровальных (криптографических) средств ж) товарищество собственников жилья

Приложение 3. Форма Информационного письма о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных

Приложение 4. Форма Заявления о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных

Приложение 5.

Инфоinfo
Эскизный проект полностью реализован, что говорит о выполнении определенных законодательством мер и о нейтрализации актуальных угроз безопасности в информационной системе персональных данных. Проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных.

Учет машинных носителей производится в соответствующем журнале. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности.
Правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации.
Важноimportant
Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных.

Это нужно, чтобы человек мог обратиться к вам и попросить изменить, уточнить либо удалить свои персональные данные.

  • Меры обеспечения безопасности данных. Объясните, что персональные данные в безопасности и расположены на защищённых серверах. Каких именно — можно узнать у своего хостинг-провайдера.

Эти принципы обработки персональных данных устанавливает закон 152-ФЗ в статье 5.

Важно:

  • текст политики нужно разместить на отдельной странице;
  • ссылку на политику поставить в футере (нижней части) сайта;
  • активная ссылка на политику должна быть на каждой странице.

Как уведомить о сборе данных Роскомнадзор

Уведомление можно подать на сайте Роскомнадзора в специальной форме.

Она будет полезна, если вы раскручиваете сайты клиентов или собственные проекты, продаёте что-то с лендингов или ведёте личный блог.

Немного теории: персональные данные и что о них надо знать

Персональные данные (ПД) — это любая информация, по которой можно прямо или косвенно определить человека:

  • ФИО;
  • дата рождения;
  • телефон;
  • адрес;
  • электронная почта;
  • ИНН;
  • фотографии;
  • сведения о работе;
  • ссылки на аккаунты в соцсетях или личный сайт;
  • метрики сайта (ip-адрес, геотеги, cookies и т.д.);
  • и очень многое другое.

Проблема вот в чём: в самом законе нет точного и исчерпывающего объяснения, что и при каких условиях считать персональными данными.

По отдельности большинство перечисленных данных не считаются персональными.

Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».

Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]».

Следующий раздел один из самых сложных и непонятных.

Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, ознокамливаются с документами по защите персональных данных под роспись. В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации).

Это выглядит примерно так:

Имя, фамилия, почта и марка автомобиля — это ПД. Если вы просите у человека эти данные при подписке на рассылку (или в другом случае) — он должен подтвердить согласие галочкой в чекбоксе

Обычно эту строчку помещают рядом с полем для ввода данных: под формой подписки, в настройках аккаунта интернет-магазина.

Обратите внимание на чёткость формулировки.
Галочка в чекбоксе не проставляется автоматически — посетитель должен сделать это сам

Можно сделать совсем хардкорный вариант, но это не обязательно:

Такую форму заполнят только самые упорные и заинтересованные

Если вы собираете cookies, геотеги, ip и другие данные для систем аналитики — на сайте желательно вывесить дисклеймер. Это уведомление, которое всплывает при заходе на сайт.

К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн «Бухгалтерия и кадры»; перечень персональных данных, подлежащих защите; перечень информационных систем персональных данных; положение о разграничении доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение об обработке и защите персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении.
Федерального закона от 27.07.2006 № 152-ФЗ).

  • Вы – транспортная компания и нацелены при сборе информации на безопасную деятельность вашей инфраструктуры.

Как видите, информационное письмо включает обширные сведения о деятельности вашей организации. В то же время в штате любого учреждения неизбежны изменения. Наше законодательство учло и этот момент.

В этой ситуации специалисты ведомства советуют, как можно раньше внести поправки и следить за актуальностью информации о компании в реестре операторов.

Если организация прежде не сталкивалась с подобными запросами, внимание со стороны надзорного аппарата власти может насторожить и даже внушить опасения различного характера. Поэтому стараются «отмолчаться» по принципу: чем меньше о нас знают, тем лучше.

Если не уверены — лучше сразу считайте, что всё-таки собираете персональные данные.

Посмотрите на примеры. Здесь посетитель должен ввести только email, чтобы подписаться на рассылку. Email в этом случае — обезличенные данные:

А здесь обязательно нужно указать и имя, и адрес почты. Это уже персональные данные:

Если сайт собирает персональные данные — его владелец считается оператором персональных данных. Операторами могут быть и юридические, и физические лица.

Как понять, оператор вы или нет

Иногда владелец сайта и сам не знает, что он — оператор персональных данных.

После заполнения формы уведомления об обработке (о намерении осуществлять обработку) персональных данных и отправки ее в информационную систему Роскомнадзора, оператору необходимо распечатать заполненную форму, подписать ее и направить в Управление Роскомнадзора по Ростовской области.

Управление Роскомнадзора по Ростовской области полученные уведомления регистрирует, обрабатывает и вносит в Единую информационную систему. По результатам анализа уведомлений Управление Роскомнадзора по Ростовской области в течение пятнадцати дней с даты поступления уведомления принимает решение о включении оператора в реестр. Решение оформляется в виде приказа руководителя Управления Роскомнадзора по Ростовской области.

Если да, придется еще и указать все страны, в которые передаются данные.

И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс.
Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.

Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *