Как правильно заполнить уведомление в Роскомнадзор об обработке персональных данных в интернет-магазине и проверить соответствие политики конфиденциальности закону

199₽ VIP

Как можно легально собирать персональные данные через сайт в рамках проведения дня открытых дверей в университете? (необходимо ли уведомлять роскомнадзор, вносить изменения в политику обработки персональных данных, брать согласие на обработку, что может служить основанием для сбора персональных данных, и др.?). заранее благодарен!

На одностраничном сайте есть форма с ФИО, тел/почтой и галочкой о согласии на обработку персональных данных. Форма нужна для уведомления об актуальной информации по заказу киг. Нужно ли при этом регистрироваться как оператор и уведомлять роскомнадзор об обработке персональных данных? Считается ли это неавтоматизированной обработкой?

Здравствуйте!

Прошу дать разъяснения по автоматизированному и неавтоматизированному способам сбора и обработки персональных данных.

Я открываю фирму и интернет-магазин. В интернет-магазине будут поля для оформления заказа (ФИО, адрес доставки, телефон, адрес электронной почты, выбор способов доставки и оплаты). Также на сайте будет форма обратной связи с полями ФИО, адрес эл.почты, телефон и форма комментариев к товару/записи/новости с полями ФИО, адрес эл.почты, телефон. Также, возле каждой кнопки Купить/Отправить будет размещен текст с содержанием: "Нажимая на кнопку "Купить/Отправить" Вы соглашаетесь на обработку персональных данных в соответствии с Условиями" + ссылка на условия обработки персональных данных.

Все данные пользователя, оформившего заказ/оставившего комментарий, будут храниться на сайте. Редактирование и их обработка будет производится человеком (как и в большинстве интернет-магазинов), т.к. автоматически эти данные никак обрабатываться не будут и, в данном случае, не могут.

Собственно, вопросы:

1. Является ли в этом случае сбор и обработка персональных данных автоматизированными?

2. В случае неавтоматизированного способа сбора и обработки персональных данных нужно регистрировать компанию и сайт в Роскомнадзоре?

Компания осуществляет сбор и обработку персональных данных, которые пользователи предоставляют Компании при использовании сайтов и мобильных приложений (далее – «сайты») с любого устройства и при коммуникации с Компанией в любой форме, в соответствии с данной Политикой.

Пользователь, регистрируясь на сайтах и используя сайты и предоставляя свои персональные данные, дает согласие на обработку персональных данных в соответствии с настоящей Политикой. Размещая свои персональные данные на сайте пользователь делает их общедоступными.

В случае, если пользователь не согласен с условиями настоящей Политики использование сайта пользователем должно быть немедленно прекращено.

1. Основные понятия

«Персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

«Обработка персональных данных» – осуществление любых действий или совокупности действий в отношении персональных данных, включая сбор, запись, систематизацию, накопление, хранение, обновление и изменение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, как с использованием, так и без использования систем автоматизированной обработки персональных данных.

2. Собираемые данные персональные данные, предоставленные пользователем при заполнении информационных полей на сайте для целей регистрации, в том числе при заполнении контактных форм, при подписках на рассылки; персональные данные и иная информацию, содержащаяся в сообщениях, которые пользователь направляет Компании; технические данные, которые автоматически передаются устройством, с помощью которого пользователь используете сайт, в том числе технические характеристики устройства, IP-адрес, информация, сохраненная в файлах «cookies», которые были отправлены на устройство пользователя, информация о браузере, дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация; иные данные, которые пользователь разместил на сайте.

3. Цели обработки данных.

Персональные данные обрабатываются исключительно для тех целей, для которых они были предоставлены, в том числе: регистрации пользователей на сайте; предоставления пользователям информации о сайте; коммуникации с пользователями, в случае обращения последнего к Компании; идентификации пользователей при коммуникации с Компанией; участия пользователей в мероприятиях, проводимых на сайте. Термин «мероприятия» включает в себя акции маркетингового, рекламного и иного характера проводимые на сайте; направления пользователям новостных и информационных материалов; предоставления пользователям услуг, заключения лицензионных договоров; демонстрацией пользователю рекламы, в том числе таргетированной; проведения проверок, исследований и анализа данных о поведении пользователей на сайте с целью улучшения и модернизации сайта; проведения статистических и иных исследований, на основе обезличенных данных; выполнения полномочий и обязанностей, возложенных на сайт законодательством Российской Федерации; для иных целей с согласия пользователей.

Технические данные обрабатываются для: обеспечения функционирования и безопасности сайта; улучшения качества сайта; соблюдения требований законодательства Российской Федерации.

4. Прекращение обработки персональных данных.

Обработка персональных данных подлежит прекращению: при наступлении условий прекращения обработки персональных данных или по истечении установленных сроков; по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей; по требованию пользователя, если обрабатываемые персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки; в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки невозможно; по истечении срока действия согласия на обработку персональных данных или в случае отзыва такого согласия, если для обработки персональных данных не будет иных правовых оснований, предусмотренных законодательством Российской Федерации.

5. Ссылки на сайты третьих лиц.

На сайте могут быть размещены ссылки на сторонние сайты. Компания не несет ответственности за безопасность или конфиденциальность любой информации, собираемой сторонними сайтами.

6. Безопасность персональных данных.

Сайт принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

7. Изменения.

Компания производит обновление политики по мере необходимости. Продолжая использование сайта пользователь подтверждает согласие с внесенными изменениями.

8. Контакты.

Вопросы, связанные с обработкой персональных данных необходимо направлять по электронной почте указав тему письма «Персональные данные» на адрес: personaldata@fotostrana.ru.

Дата с которой применяется настоящая редакция – 29.06.2017.

При создании коммерческого сайта, по новым правилам при регистрации пользователь должен дать согласие на обработку своих персональных данных.

Достаточно ли документа под названием "Политика конфиденциальности"в которой описывается про обработку персональных данных или, например, я встречала на сейтах, что есть политика конфиденциальности при регистрации и в добавок еще Заявление-согласие на обработку предоставленной информации. Спасибо.

Мы зарегистрировали благотворительный фонд защиты животных "Благое Дело". Сейчас в наших планах создание сайта. В связи с этим необходимо решение по включению фонда в реестр операторов, осуществляющих обработку персональных данных.

При изучении этого вопроса я понял алгоритм заполнения формы уведомления в Роскомнадзор на включение фонда в реестр операторов, осуществляющих обработку персональных данных.

Но появились вопросы, по которым я прошу вашего пояснения и помощи.

По двум пунктам формы (1 - "Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»", 2 - "Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ ") у меня появились вопросы:

1. При заполнении этих пунктов я увидел требования (и в первом, и во втором, в той или иной степени, напрямую или косвенно, через ссылки) исполнения следующих НПА:

- Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных";

- Постановление Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

- Приказ ФСБ России от 10.07.2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Соответственно, возник вопрос:

Необходимо-ли при заполнении данных пунктов формы расписывать полностью все требования указанных НПА или достаточно основных требований?

Когда я начал готовить заполнение формы по этим вопросам, я подготовил "заготовку" этого заполнения (вложенный файл). Но, в процессе заполнения я отследил все требования, все ссылки на НПА, в связи с чем я понял, что необходимо дальнейшее изучение вопроса и помощь.

Соответственно, кроме вопроса у меня появились 2 просьбы:

1. Рассмотреть и скорректировать мою "заготовку" по заполнению этих вопросов формы и дополнительно, еще по двум вопросам (3 - "Правовое основание обработки персональных данных”, 4 - “Цель обработки персональных данных"). На всякий случай, так как по ним, по еще двум вопросам, мне, вроде, все понятно).

2. Оказать помощь в подготовке следующих документов, которые должны быть у фонда (если необходимо, скорректировать перечень документов):

1. Политика конфиденциальности (она же политика обработки персональных данных) для сайта/мобильного приложения фонда.

2. Пользовательское соглашение (оно же договор-оферта и оно же лицензионное соглашение) для сайта/мобильного приложения фонда.

3. Положение об обработке персональных данных фонда.

4. Положение о конфиденциальности у фонда (если это необходимо).

1.5. Форма приказа о назначении ответственного по персональным данным.

1.6. Инструкция ответственного за обработку персональных данных.

1.7. Формы приказа об утверждении положения о персональных данных

Учитывая, что фонд у нас еще только в начале пути, прошу рассмотреть возможность оказания вашей услуги в режиме

pro-bono.

Заранее благодарю!

С уважением, Богомолов А.В., заместитель руководителя Благотворительного фонда защиты животных "Благое Дело"

89059400919

factory-2@mail.ru

"Заготовка":

Правовое основание обработки персональных данных * руководствуясь:

• Конституцией Российской Федерации;

• Гражданским кодексом Российской Федерации;

• Налоговым кодексом Российской Федерации;

• Трудовым кодексом Российской Федерации;

• Федеральным Законом от 27.07.2006 г. № 152-ФЗ “О персональных данных”;

• Федеральным Законом от 27.07.2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;

• Законом Российской Федерации от 27.12.1991 N 2124-1 “О средствах массовой информации»;

• Федеральным Законом от 11.08.1995 г. № 135-ФЗ ”О благотворительной деятельности и добровольчестве (волонтерстве)”,

• Федеральным Законом от 12.01.1996 г. № 7-ФЗ “О некоммерческих организациях”,

• Уставом Благотворительного Фонда помощи животным “Благое Дело”

• Федеральным законом от 19.12.2005 г. №160-ФЗ “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных”;

• Федерального закона от 08.08.2001 N 129-ФЗ “О государственной регистрации юридических лиц и индивидуальных предпринимателей”;

• Федерального закона от 26.07.2006 N135-ФЗ “О защите конкуренции”/

Цель обработки персональных данных * с целью:

• Достижения целей, предусмотренных Уставом Благотворительного Фонда помощи животным "Благое Дело”;

• Оказания благотворительной помощи (в т.ч. сбор благотворительных пожертвований, оплата благотворительных пожертвований);

• Организации коммуникаций и оповещений, осуществления информационных рассылок;

• Оказания услуги по созданию личного кабинета на сайте Оператора;

• Исполнения обязанностей, возложенных на Оператора действующим законодательством РФ;

• Осуществления прав и законных интересов Оператора и третьих лиц, в том числе по исполнению требований действующего законодательства Российской Федерации, обеспечению безопасности деятельности;

• Достижения общественно значимых целей с использованием эффективных инструментов для выполнения требований действующего законодательства Российской Федерации, противодействия коррупции, мошенничеству, легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

• Осуществления прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Оператора, обеспечения пользования работниками установленными законодательством РФ гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;

• Заключения и исполнения обязательств по договорам гражданско-правового характера, в том числе по трудовым договорам и государственным контрактам;

• Осуществления обратной связи с пользователями Интернет-сайтов Оператора, в том числе для получения от пользователей мнений, вопросов по информации сайтов и информационным продуктам Оператора, а также для направления им ответов;

• Формирование обезличенного цифрового портрета пользователя сайта Оператора, лица, осуществляющего платежи через сайт Оператора.

• Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» *:

Организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

Организационные меры:

1. Оформлена Политика Оператора в отношении обработки и защиты персональных данных. Политика опубликована на сайте Оператора ………..

2. Утверждены документы, определяющие политику организации в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства:

- Приказ о назначении лица, ответственного за организацию обработки персональных данных (администратора безопасности персональных данных) с номерами контактных телефонов, почтовым адресом и адресом электронной почты;

- Инструкция по работе администратора безопасности персональных данных;

- Перечень персональных данных, подлежащих защите;

- Положение об обработке и защите персональных данных;

- Приказ об утверждении перечня лиц, допущенных к обработке персональных данных;

- Положение о разграничении прав доступа сотрудников к базе персональных данных;

- Положение о правилах доступа к персональным данным;

- Перечень информационных систем персональных данных;

- Правила обработки персональных данных без использования средств автоматизации;

- Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении;

- Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;

- Оформлен журнал учета машинных носителей персональных.

3. Сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, знакомятся с документами о политике Оператора в отношении обработки персональных данных, нормами законодательства, подписывают соглашение о неразглашении персональных данных, об ознакомлении с документами по защите персональных данных.

Технические меры:

1. Определено место хранения информации с персональными данными, обеспечена сохранность информации с персональными данными.

2. На ЭВМ Оператора установлено антивирусное программное обеспечение.

3. Исключен несанкционированный доступ к системе обеспечения защищенности персональных данных.

4. Информация с персональными данными передается на магнитных и бумажных носителях только лицами, допущенными к обработке персональных данных, а также по специально выделенной сети.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ *

1. Определены угрозы безопасности персональных данных при их обработке в информационных системах;

2. Проведена оценка эффективности принимаемых мер по обеспечению безопасности прсональных данных.

3. Устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратора безопасности персональных данных и в соответствии с порядком резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.

4. Внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности персональных данных и положением об обработке и защите персональных данных.

5. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер осуществляется с помощью используемых средств защиты информации в соответствии с инструкцией администратора безопасности персональных данных.

6. Положение о разграничении прав доступа сотрудников к базе персональных данных технически реализуются с помощью средств защиты информации.

Здравствуйте, хотим выпустить на рынок сайт и мобильное приложение к нему. В рамках их деятельности будет производиться обработка персональных данных при регистрации. ФИО, возраст, адрес и т.д.

Мы поняли, что нужно зарегистрироваться в Роскомнадзоре как оператор.

Хотелось бы точно понять какой нужен необходимый пакет документов, чтобы обработка данных была полностью законной.

Составили примерный список:

- Положение о персональных данных;

- Приказ об утверждении положения;

- Приказ о назначении ответственного лица;

- Политика в отношении обработки и безопасности персональных данных;

- Пользовательское соглашение в приложении и на сайте (политика конфиденциальности).

- Инструкция ответственного за организацию обработки персональных данных

- Приказ о выделении помещений для обработки персональных данных + правила доступа

- Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн

- Положение об обеспечении безопасности автоматизированной информационной системы организации.

- Журнал учета машинных носителей информации с персональными данными.

Нужно ли что-то еще либо тут что-то лишнее?

Имею ли я право являясь пользователем сайта "в контакте" требовать что бы мою фамилию не афишировали на всю многомиллиардную аудиторию сайта на основании Федеральный закон РФ "О персональных данных", N 152-ФЗ | ст 7 Статья 7. Конфиденциальность персональных данных [Закон РФ "О персональных данных"] [Глава 2] [Статья 7] Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

Если организация не обрабатывает персональные данные через сеть Интернет, то надо ли публиковать ПОЛИТИКУ в отношении обработки и защиты персональных данных на сайте организации?