• رئيسي
  •  > 
  • كل شيء عن يوتيوب
  •  > 
  • معالجة البيانات الشخصية سنويا. القانون الاتحادي بشأن البيانات الشخصية. كيف يمكن للمستخدم إزالة بياناته من قاعدة البيانات

معالجة البيانات الشخصية سنويا. القانون الاتحادي بشأن البيانات الشخصية. كيف يمكن للمستخدم إزالة بياناته من قاعدة البيانات

تحتوي بوابة المعلومات القانونية على "تعديلات على قانون الاتحاد الروسي بشأن الجرائم الإدارية" موقعة من رئيس الاتحاد الروسي ، والتي تضع غرامات جديدة لانتهاك تشريعات الاتحاد الروسي في مجال البيانات الشخصية ، والتي ستدخل حيز التنفيذ في 1 يوليو 2017.

تحدد أحكام القانون الاتحادي أسباب تطبيق تدابير المسؤولية الإدارية عن انتهاك تشريعات الاتحاد الروسي في مجال البيانات الشخصية ، مع مراعاة التعديلات التي أدخلت على القانون الاتحادي بتاريخ 27 يوليو 2006 رقم 152-"بشأن البيانات الشخصية". يتم إجراء التغييرات بشكل أساسي على المادة 13.11 ، وكذلك على المادتين 28.3 و 28.4 من القانون الإداري للاتحاد الروسي.

لذا ، ما الذي سيتغير في مجال البيانات الشخصية من 1 يوليو 2017. تحتوي النسخة الجديدة من المادة 13.11 الآن على سبع جرائم محددة ، وتنص على الغرامات المقابلة بأعلىها - 75 ألف روبل (للكيانات القانونية). على عكس الإصدار السابق من المادة 13.11 ، فإن الإصدار الجديد من المقالة يحدد بوضوح الحالات التي قد يعاقب عليها مشغل PD. على سبيل المثال ، بموجب المادة 13.11 ، يمكن معاقبته على انتهاك القانون الاتحادي رقم 242 ، مع الإصدار الجديد سيكون من المستحيل القيام به ، كما سيكون من الصعب معاقبته لعدم وجود إخطار Roskomnadzor.

وترد نصوص المادة 13.11 بإيجاز في الشكل أدناه. يمكن تنزيل وصف أكثر تفصيلاً في شكل جدول. ويرد تحليل لكل مادة في المقالة.

تذكر أن التعديلات على المادة 13.11 قد تم إعدادها منذ ديسمبر 2014 ، ولكن تم تجميد العمل عليها لفترة طويلة من قبل المشرعين. كانت النقطة الأكثر أهمية في الإصدار المبكر من هذا القانون غرامة كبيرة (تصل إلى 300000 روبل) غرامة لمعالجة البيانات الشخصية من الفئات الخاصة بشكل غير قانوني ، ولكن في النص المعتمد تمت إزالة هذا النص:

معالجة فئات خاصة من البيانات الشخصيةفيما يتعلق بالعنصرية أو الإثنية أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو الحالة الصحية أو الحياة الحميمة أو   أيضا البيانات الشخصية على السجلات الجنائية في الحالات التي لا ينص عليها القانون  الاتحاد الروسي على البيانات الشخصية ،
- يستلزم فرض غرامة إدارية على المواطنين من ثلاثة آلاف إلى خمسة آلاف روبل ؛ للمسؤولين - من عشرة آلاف إلى خمسة وعشرين ألف روبل ؛ لأصحاب المشاريع الفردية - من خمسين ألف إلى مائة ألف روبل ؛للكيانات القانونية   - من مائة وخمسين الف ما يصل إلى ثلاثمائة ألف روبل.

ما هي النتائج الرئيسية لاعتماد التعديلات؟ هناك العديد منهم:

  1. بسبب حقيقة أن صياغة المادة 13.11 أصبحت أكثر تحديداً ، فإن العديد من الخبراء يعربون عن قلقهم ( , ) أن مخطط الرهن قد يتغير جذريًا. إذا ، وفقا للنسخة الحالية ، يمكن أن تكون العقوبة واحدة "انتهاك الإجراء الذي حدده القانون ..."بشكل عام ، بغض النظر عن عدد الانتهاكات التي تم العثور عليها ، تغيرت الصيغة الجديدة للمادة 13.11 وهي تسرد ببساطة سبع جرائم يمكن من خلالها وضع بروتوكول منفصل وغرامة منفصلة. على ما يبدو ، يجب أن نتوقع زيادة في المبلغ الإجمالي للغرامة أثناء التفتيش.
  2. ستكون دقائق المخالفات الإدارية ، المؤهلة بموجب الإصدار الجديد من المادة 13.11 ، بعد 1 يوليو مسؤولو Roskomnadzor  وإداراتها الإقليمية ، وليس المدعين العامين ، كما هي الآن. تبقى مدة الملاحقة القضائية كما كانت قبل 3 أشهر ، ولكن تم تبسيط إجراءات المقاضاة بشكل كبير: سلسلة "الإدارة الإقليمية لروسكومنادور" - "مكتب المدعي العام" - تم تخفيض "المحكمة" ، المواد ستتحرك بشكل أسرع وستزداد الغرامات على الأرجح.
  3. ليس لجميع الانتهاكات المؤهلة سابقًا بموجب المادة 13.11 ، يجوز إحضار المشغلين وفقًا للطبعة الجديدة: لا تنص هذه المادة ، على سبيل المثال ، على مسؤولية عدم الامتثال للقانون الاتحادي رقم 242 بشأن توطين قواعد البيانات الشخصية.

في 1 يوليو 2017 ، دخلت التعديلات على المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي حيز التنفيذ ، والتي تم بموجبها زيادة الغرامات لمخالفتها التشريعات في مجال البيانات الشخصية (PD) بشكل كبير.

عند إجراء عمليات الشراء في المتاجر عبر الإنترنت ، يترك المشترون بعض المعلومات عن أنفسهم - الاسم الكامل وعنوان التسليم وتفاصيل الاتصال الأخرى. لذلك ، يجب على مالكي المتاجر عبر الإنترنت دراسة هذه المسألة بعناية والتأكد من الامتثال لمتطلبات القانون الاتحادي الصادر في 27 يوليو 2006 ، رقم 152-FZ "بشأن البيانات الشخصية" عند التداول على الإنترنت.

دعنا نظهر لك أي مكتب نقد من كتالوجنا مناسب لعملك.

ما يتعلق بالبيانات الشخصية للشخص الذي يزور أحد المتاجر عبر الإنترنت

البيانات الشخصية - هي أي معلومات تتعلق بشكل مباشر أو غير مباشر بشخص معين أو تسمح لك بتحديدها (الفقرة 1 من المادة 3 من قانون البيانات الشخصية رقم 152-FZ).

في سياق تنظيم المتجر على الإنترنت ، يمكن لملفات تعريف الارتباط الشخصية ، من حيث المبدأ ، أن تشمل ملفات تعريف الارتباط ، والتي يتم استخدامها ، على وجه الخصوص ، لتخصيص عروض المنتجات لمستخدمين محددين. هناك سوابق قضائية تؤكد تخصيص مثل هذه الملفات للبيانات الشخصية - على سبيل المثال ، قرار محكمة موسكو للتحكيم الصادر في 11 مارس 2016 في القضية رقم A40-14902 / 2016-84-126 11.

قد تكون البيانات الشخصية:

  • المعالجة؛
  • مشترك.
  • تغيرت.
  • المقدمة لشخص أو لآخر (تم الكشف عنها) ؛
  • حذفه.

يتم تنفيذ هذه الإجراءات بواسطة مشغل البيانات الشخصية. يمكن أن يكون أي فرد أو منظمة أو سلطة حكومية أو بلدية. بما في ذلك ، بالطبع ، المتجر عبر الإنترنت - الذي أنشأه فرد (IP) أو مملوكة لكيان قانوني.

لذلك ، لكي تصبح مشغلًا للبيانات الشخصية ، يُطلب من المتجر عبر الإنترنت الامتثال لأحكام القانون رقم 152-FZ. لكن في أي الحالات يكتسب مثل هذا الوضع؟

للحصول على حالة مشغل بيانات شخصي ، يكفي كيان اقتصادي أن يستكمل أي إجراء يميز معالجته ، على وجه الخصوص:

  • جمع.
  • تسجيل.
  • المنهجي.
  • تراكم.
  • المواصفات؛
  • التطبيق؛
  • انتشار.

أي أنه بعد تنفيذ الإجراء الأول على الأقل - جمع البيانات (في الممارسة العملية ، الاستلام من العميل عبر النموذج عبر الإنترنت) ، يصبح المتجر عبر الإنترنت مشغلًا ، ويلتزم بالامتثال لأحكام القانون رقم 152-FZ.

جزء منفصل من العلاقات القانونية التي تتطلب الامتثال للتشريع المتعلق بالبيانات الشخصية هو تفاعل المتجر على الإنترنت كصاحب عمل وموظفيه (يعمل عن بعد وفي وحدات خارج المتجر على الإنترنت). ومع ذلك ، فإن هذه العلاقات القانونية ، بشكل عام ، تتم في نطاق اختصاص تلك القواعد القانونية ذات الصلة بتفاعل أرباب العمل والموظفين (عن بعد أو غير متصل بالشبكة) ، بغض النظر عن نوع النشاط الذي يقومون به.

بدوره ، فإن تبادل البيانات بين المتجر عبر الإنترنت وعملائه يشكل منفصلًا ، وفي الواقع ، فريدًا - فيما يتعلق بتطبيق أحكام القانون رقم 152-FZ ، وهو جزء من العلاقات القانونية يقوم فيه الكيان التجاري بإنشاء مجموعة واسعة من الحقوق والالتزامات وفقًا للقانون .

دعونا نفكر بمزيد من التفصيل في تحديد الالتزامات التي يجب على المتجر عبر الإنترنت الوفاء بها فيما يتعلق بضرورة الامتثال لأحكام القانون رقم 152-FZ.

اشترك في قناة ياندكس زن - الحجز عبر الإنترنت!
كن أول من يحصل على أهم الأخبار والحياة الخارقة!

ما تحتاج إلى القيام به متجر على شبكة الإنترنت للامتثال لمتطلبات القانون الاتحادي رقم 152-FZ

الواجب الرئيسي لأي مشغل بيانات شخصي (والمتجر عبر الإنترنت ليس استثناء) هو الامتثال لإجراءات معالجتها. الشرط الرئيسي لهذا الطلب هو الحصول على موافقة من موضوع البيانات الشخصية (أي المشتري) على هذه المعالجة.

يمكن الحصول على هذه الموافقة بأي شكل موثوق (الفقرة 1 من المادة 9 من القانون رقم 152-FZ). لكن في الحالات التي ينص عليها القانون ، تكون هذه الموافقة الكتابية مطلوبة - أي على الورق أو باستخدام مستند إلكتروني معتمد بواسطة توقيع إلكتروني (الفقرة 4 من المادة 9 من القانون رقم 152-FZ).

لا يعزى القانون مباشرة إلى شراء البضائع في متجر عبر الإنترنت إلى تلك العمليات التي تتطلب موافقة كتابية على موضوع البيانات الشخصية. لذلك ، يمكن الحصول على هذه الموافقة ، من حيث المبدأ ، بأي شكل من الأشكال - والتي ، مع ذلك ، ينبغي أن تجعل من الممكن التصديق بشكل لا لبس فيه على حقيقة موافقة الفرد على نقل البيانات الشخصية إلى المشغل.

تتمثل المهمة التالية لمشغل البيانات الشخصية في تنفيذ إجراءات تهدف إلى تنفيذ الحقوق القانونية لموضوعات البيانات الشخصية. على وجه الخصوص ، نحن نتحدث عن اليمين:

  • على تأكيد حقيقة تلقي PD من المتجر الإلكتروني وبداية معالجتها ؛
  • لتلقي معلومات حول أهداف وطرق معالجة PD ؛
  • للتعرف على الأشخاص (باستثناء الأشخاص الذين يعملون في موظفي المشغل) الذين يشاركون في معالجة PD).

من بين أهم واجبات مشغلي البيانات الشخصية ، تعد سرية البيانات شرعية. إذا لم يوافق عميل المتجر على الإنترنت على توزيع بياناته على أشخاص آخرين ، فلا يحق لكيان العمل القيام بذلك - وكذلك الكشف عن البيانات الشخصية بطريقة أخرى (المادة 7 من القانون رقم 152-FZ). علاوة على ذلك ، حتى إذا تم الحصول على الموافقة ، فعند تصرفات الأطراف الثالثة التي تلقت البيانات الشخصية لعميل المتجر عبر الإنترنت ، يكون المتجر الإلكتروني مسؤولاً (الفقرة 5 من المادة 6 من القانون رقم 152-FZ).

فارق بسيط تميز معالجة البيانات الشخصية هو واجب المشغل لنشر البيانات على الخوادم الموجودة في روسيا - ما لم ينص القانون على خلاف ذلك (الفقرة 5 من المادة 18 من القانون رقم 152-FZ). لا تخضع المتاجر الروسية عبر الإنترنت إلى استثناءات ، وبالتالي يجب أن تمتثل لسيادة القانون المحددة.

هناك مشكلة منفصلة تتمثل في ضرورة قيام مشغل البيانات الشخصية بتقديم إشعار بأنه يتم معالجتها إلى Roskomnadzor وفقًا لمتطلبات الفقرة 1 من المادة 22 من القانون رقم 152-FZ. بشكل عام ، مثل هذا الإشعار مطلوب. لكن أحكام الفقرة 2 من الفن. يوفر 22 من القانون رقم 152-FZ مجموعة واسعة من الاستثناءات لهذه القاعدة.

على وجه الخصوص ، الفرعية. 2 ص 2 المادة 22 من القانون رقم 152-ФЗ ينص على أن المشغلين لهم الحق في عدم تقديم إخطار عند تنفيذ عقد مبرم مع بيانات شخصية موضوعًا ويخضع لعدم نقل البيانات الشخصية إلى أطراف ثالثة دون موافقة الموضوع. بموجب هذه المعايير ، يسقط اتفاق الشراء والبيع المبرم بين المتجر والمشتري بالكامل. لذلك ، بشكل عام ، لا يحتاج المتجر عبر الإنترنت - عند التفاعل مع العملاء ، إلى إرسال الإشعارات المعنية (لكن الاستثناءات من هذه القاعدة ممكنة - سننظر فيها لاحقًا في المقالة).

لذلك ، فإن المسؤوليات الرئيسية لمشغل البيانات الشخصية هي:

  • للحصول على موافقة على معالجتها ؛
  • لضمان سرية PD ؛
  • للوفاء بمتطلبات القانون الأخرى (بشأن وضع PDs على أراضي روسيا ، بشأن الوفاء بالطلبات المقدمة من موضوعات PD فيما يتعلق بكيفية استخدامها).

سوف ندرس بمزيد من التفصيل كيف يمكن تنفيذ هذه المسؤوليات تقنيًا بواسطة المتجر عبر الإنترنت.

مكاتب الحجز عبر الإنترنت لجميع أنواع الأعمال! التسليم في جميع أنحاء روسيا.

اترك طلبًا واحصل على استشارة في غضون 5 دقائق.

كيفية الحصول على الموافقة على معالجة البيانات الشخصية عبر الإنترنت

لذا ، نظرًا لأن القانون لا يحدد متطلبات الموافقة الخطية على معالجة البيانات الشخصية المتعلقة بأنشطة المتاجر عبر الإنترنت ، يمكن الحصول على هذه الموافقة بأي طريقة موثوق بها. لكن أي واحد؟

الخيارات هنا هي كما يلي:

  1. عندما يطلب متجر على الإنترنت البيانات الشخصية من خلال نموذج الطلب.

في هذه الحالة ، يمكن الحصول على الموافقة على معالجة البيانات عن طريق تحديد شرط يكون بموجبه إرسال البيانات على أمر من خلال نموذج ممكنًا فقط إذا وضعت علامة اختيار (أو عنصر نموذج آخر يؤدي وظيفة مماثلة) أمام السطر الذي صيغت فيه عبارة "أوافق على" معالجة البيانات الشخصية المنقولة إلى المشغل من خلال هذا النموذج. "

في الموافقة ، كقاعدة عامة ، تنعكس:

  • الغرض من تقديم المستند للمشغل (في حالة وجود متجر إلكتروني ، لتسليم البضائع وغيرها من الأغراض التي تحددها إجراءات الشراء والبيع) ؛
  • قائمة PD المنقولة إلى المشغل ؛
  • شروط وإجراءات لتخزين PD.
  • الإجراء الخاص بنقل PD إلى جهة خارجية أو أخرى (على سبيل المثال ، خدمة تسليم البضائع).

في الوقت نفسه ، بجانب علامة الاختيار والرابط الخاص بالموافقة ، يجب إرفاق رابط بوثيقة خاصة تشرح بالتفصيل الإجراء الخاص بمعالجة البيانات الشخصية بواسطة المتجر عبر الإنترنت وفقًا للقانون رقم 152-FZ - سياسة الخصوصية. يمكن إصداره كملحق في نموذج الطلب. يجب أن يحتوي وصف الرابط على الصياغة التي قد تبدو مثل "لقد قرأت ملحق هذا النموذج الذي يعكس الإجراء الخاص بمعالجة البيانات الشخصية وفقًا للقانون".

سياسة الخصوصية - وثيقة يجب نشرها في المجال العام. بالإضافة إلى ذلك ، يمكن اعتباره جزءًا من الإطار التنظيمي المحلي للمنظمة الذي ينشئ متجراً عبر الإنترنت. لذلك يجب على موظفي الكيان التجاري اتباع السياسة المعتمدة.

تتضمن السياسة عادة ما يلي:

  • أحكام عامة
  • عبارات تعكس الغرض من جمع PD من قبل كيان اقتصادي ؛
  • أحكام على أسس قانونية لجمع PD ؛
  • تصنيف PD المستخدمة ، والإجراءات والشروط للعمل معهم ؛
  • إجراء ضمان تنفيذ الكيانات PD للحقوق المقررة بموجب القانون.

في السياسة يمكنك أن تعكس:

  • كيف يوفر المتجر عبر الإنترنت حقوق المستخدم بناءً على طلب معلومات حول معالجة PD ؛
  • كيفية تنظيم تخزين البيانات (في هذه الحالة ، يمكن توفير المعلومات لإثبات حقيقة موقع الخوادم التي بها عملاء PD في روسيا).
  1. عندما يطلب أحد المتاجر عبر الإنترنت بيانات شخصية من خلال شكل إرسال بريد إلكتروني (الاشتراك في مواد مواضيعية من الموقع - على سبيل المثال ، كتيبات تحتوي على خصومات ، أكواد ترويجية).

من الممكن جمع البيانات الشخصية هنا بطريقة مماثلة - باستخدام علامة الاختيار المقابلة لعنصر "أوافق" وملف الموافقة ورابط لسياسة الخصوصية مع الصياغة التي تعكس حقيقة أن المشتري قد قرأ متجر السياسة عبر الإنترنت.

بين المتخصصين في تكنولوجيا المعلومات والخبراء في مجال التشريعات المتعلقة بالبيانات الشخصية ، هناك وجهة نظر واسعة الانتشار مفادها أن الحصول على موافقة الشخص على معالجة البيانات الشخصية ينبغي أن يتم في وضع ينطوي على "زيادة الموثوقية" لإرادته. يعتبر هؤلاء الخبراء نظامًا مشتركًا يستخدم علامة اختيار مع موافقة وارتباطات بسياسة الخصوصية من وجهة نظر حرجة - ويجب أن يقال ، وليس بطريقة غير معقولة ، لأنه وفقًا للخبراء:

  • قد يتم وضع علامة اختيار بشكل عشوائي ؛
  • قد يتم تحميل النموذج عبر الإنترنت مع وجود خطأ - كخيار ، دون الرجوع إلى سياسة الخصوصية ، بدون علامة اختيار أو صياغة مرافقة ؛
  • عن طريق الخطأ أو عن قصد ، يمكن للمستخدم إدخال البيانات الشخصية للأشخاص الآخرين في النموذج.

مع مراعاة هذه الفروق الدقيقة ، يُقترح استكمال النظام قيد النظر - مع الحفاظ على عناصره الرئيسية في شكل علامة اختيار وموافقة ورابط لسياسة الخصوصية ، وهي آلية للموافقة الثانوية. يمكن أن تكون خيارات تنظيم مثل هذه الآلية في حالة المتجر عبر الإنترنت هي:

  1. تسجيل المستخدم الإلزامي قبل الشراء.

يتضمن هذا التسجيل ، في الواقع ، ملء نفس النموذج بعلامة اختيار وموافقة ورابط لسياسة الخصوصية ، عندما يرسل المتجر عبر الإنترنت رسالة بريد إلكتروني لتأكيد البريد الإلكتروني إلى المستخدم المحدد بواسطة المتجر عبر الإنترنت (وفي الوقت نفسه لتأكيد حقيقة منح الموافقة على معالجة البيانات الشخصية والتعارف مع سياسة الخصوصية).

في هذا النموذج ، من المفترض أن تشير إلى اسم المستخدم وكلمة المرور اللذين سيستخدمهما المستخدم لتسجيل الدخول اللاحق إلى حسابه على موقع المتجر الإلكتروني.

إذا لم يؤكد المستخدم التسجيل بحرف ، فلن يتم اعتبار الموافقة على معالجة البيانات الشخصية مستلمة (ولكن ، في الوقت نفسه ، سيتم دعوة المستخدم لقراءة سياسة الخصوصية).

يمكن استخدام الطريقة المدروسة للحصول على الموافقة على معالجة البيانات مع "زيادة الموثوقية" من قبل المتجر لأغراض التسويق. من خلال الحساب الشخصي للمشتري ، يمكن إطلاعه على مختلف الخصومات والعروض الترويجية ، وتبادل الرسائل معه وحل المشاكل الأخرى الخاصة بتفاعل البائع والمشتري.

  1. تأكيد تنفيذ أمر منفصل عن طريق البريد الإلكتروني (دون تسجيل إلزامي للحساب على موقع المتجر الإلكتروني).

ستكون خوارزمية هذا التأكيد ، من حيث المبدأ ، مماثلة لما يميز الإجراء الخاص بتسجيل حساب العميل ، باستثناء استخدام تسجيل دخول المستخدم وكلمة المرور. في هذه الحالة ، سيتم تنفيذ التأكيد ، في الواقع ، لغرض وحيد هو الحصول على الموافقة على معالجة البيانات الشخصية والتصديق على حقيقة أن الشخص قد أصبح على دراية باقتراح قراءة سياسة الخصوصية.

المهمة التالية واسعة النطاق لمتجر الإنترنت هي ضمان سرية البيانات الشخصية في الممارسة العملية.

1. طرح سؤال على المتخصص لدينا في نهاية المقال.
  2. احصل على استشارة مفصلة ووصف كامل للفوارق الدقيقة!
  3. أو ابحث عن إجابة جاهزة في تعليقات قرائنا.

كيفية متجر على الانترنت لضمان سرية PD

وفقا للفقرة 1 من الفن. 18.1 من القانون رقم 152-FZ ، يجب على مشغل البيانات الشخصية اتخاذ تدابير كافية للوفاء بالالتزامات المنصوص عليها في القانون. في هذه الحالة ، يحدد المشغل قائمة التدابير المناسبة بشكل مستقل - ما لم ينص القانون على خلاف ذلك.

من الواضح أننا نتحدث في المقام الأول عن التدابير المصممة لضمان سرية البيانات الشخصية - وهي:

  • منع الوصول إليهم من قبل الأشخاص الذين ليس لديهم إذن بقراءة PD ذات الصلة ؛
  • منع الاستخدام غير المصرح به ، والتعديل ، وتوزيع PD ؛
  • ضمان الحماية اللازمة لل PD من مختلف التهديدات السيبرانية والتعديل والتوزيع وغيرها من العمليات غير المصرح بها مع PD بسبب الأعطال التقنية.

يقترح القانون الإجراءات التالية التي تهدف إلى حل هذه المشكلات:

  1. تعيين من قبل المشغل الذي يتمتع بوضع كيان قانوني لموظف مسؤول - الذي ينظم معالجة PD في المؤسسة.
  1. تطوير المشغل للوائح المحلية التي تحكم معالجة PD وفقًا لمتطلبات القانون.
  1. استخدام الوسائل التقنية لضمان حماية PD.
  1. إجراء الرقابة الداخلية على الإجراءات كجزء من معالجة PD.
  1. تقييم الضرر الذي قد يحدث لموضوعات PD نتيجة لانتهاكات التشريعات المتعلقة بمعالجة البيانات الشخصية وإزالة عواقب هذه الانتهاكات.
  1. القيام بالعمل اللازم مع الموظفين من أجل زيادة مستوى معرفتهم في مجال حماية PD.

وفقًا لمبدأ القياس القانوني ، تنطبق جميع هذه القواعد على رواد الأعمال الأفراد الذين يبيعون عبر الإنترنت. بما في ذلك - إذا كان رجل الأعمال الفردية يعمل بشكل مستقل ، دون إشراك العمال. في الإمكان ، بطريقة أو بأخرى ، قد يظهر موظف من الموظفين ، وبحلول ذلك الوقت يجب أن يكون لديه معايير محلية صالحة تحكم تنظيم معالجة البيانات الشخصية.

يجب أن تكون على علم بذلك وفقًا للفقرة 4 من المادة. 18.1 من القانون رقم 152-FZ ، قد تطلب Roskomnadzor تلك الوثائق التي يجب أن ينشرها متجر إلكتروني كجزء من تنفيذ المتطلبات والتوصيات المذكورة أعلاه أثناء مراجعة كيان اقتصادي.

بطريقة أو بأخرى ، يمكن تقسيم التدابير التي تهدف إلى ضمان أن مشغل البيانات الشخصية يفي بمتطلبات القانون (بشكل أساسي فيما يتعلق بضمان سرية البيانات الشخصية) إلى مجموعتين:

  • التنظيمية (في الواقع ، والقانونية في الأساس) ؛
  • التقنية.

تتعلق التدابير التنظيمية (القانونية) أساسًا بالتنظيم المستندي لتطبيق آليات التفاعل هذه بين المتجر عبر الإنترنت (يمثله المالك أو موظفوه) مع المشتري.

لاحظ أنه عند تنفيذ التدابير التنظيمية والقانونية ، والتنمية

اتفاقية البيع والشراء (العرض) بين المتجر والمشتري ، والتي يتم على أساسها إصدار الموافقة على معالجة البيانات الشخصية في نموذج غير مكتوب - باستخدام علامة اختيار في نموذج الطلب ورابط لسياسة الخصوصية.

يمكن تقديم التدابير الفنية في نطاق واسع - سننظر فيها بمزيد من التفاصيل.

الصيانة الفنية للمعدات. سوف نحل أي مشاكل!

اترك طلبًا واحصل على استشارة في غضون 5 دقائق.

ما هو الجانب التقني من الخصوصية PD

المصدر الرئيسي للمعايير القانونية التي يجب اتباعها عند حل المشاكل التقنية لضمان سرية البيانات الشخصية هو أحكام الفن. 19 من القانون رقم 152-FZ.

تقول ، على وجه الخصوص ، أن أمن البيانات الشخصية يمكن تحقيقه عن طريق:

  1. تحديد التهديدات التي تواجه أمن البيانات كجزء من معالجتها باستخدام نظم المعلومات.

في الممارسة العملية ، ينطوي تنفيذ هذا الإجراء على استخدام مختلف الحلول المضادة للفيروسات والحلول التكميلية - والتي من المفترض أن يتم تنفيذها في نظام إدارة المحتوى. تم تصميم هذه الحلول للكشف في الوقت المناسب عن المحاولات التي يقوم بها المتسللون تلقائيًا أو يدويًا للوصول غير المصرح به إلى البيانات الشخصية التي يتم جمعها باستخدام نماذج الطلبات على الموقع أو المخزنة على الخوادم التي يديرها المتجر عبر الإنترنت.

  1. استخدام الوسائل التقنية لزيادة مستوى أمان البيانات الشخصية.

يتعلق أولاً وقبل كل شيء بأدوات تشفير البيانات المختلفة - بحيث يتم الوصول إليها عند الوصول إليها بطريقة تجعل قراءتها دون فك التشفير اللاحق مستحيلة ، بشرط أن يكون فك التشفير نفسه مرخصًا من قبل المتجر عبر الإنترنت.

  1. استخدام الوسائل التقنية لاستعادة البيانات الشخصية المحذوفة أو التالفة أو غير المصرح بها.

هنا يمكننا التحدث عن الحلول المستخدمة في:

  • تكرار البيانات الشخصية في حالة إزالتها من الوسيط الأصلي (التلف أو التغيير) ؛
  • في الواقع ، استعادة البيانات المحذوفة (التالفة أو المعدلة) من الوسائط الموجودة.
  1. استخدام الوسائل التقنية للتمييز بين الوصول (تحديد مستويات الوصول) إلى البيانات الشخصية ، وهذا يتوقف على حالة الشخص الذي لديه سلطة معالجة البيانات الشخصية.

لذلك ، على سبيل المثال ، يمكن لمدير متجر على الإنترنت الوصول إلى تفاصيل الاتصال الخاصة بالمشتري فقط (من أجل الاتصال به في حالة وجود أي أسئلة) ، ومدير التسليم أيضًا على العنوان. أو ، يمكن أن يتمتع الشخص الأول بسلطة قراءة جهات الاتصال ، والثاني يمكنه تغييرها.

  1. تطبيق أنظمة التحكم للأشخاص الذين يقومون بمعالجة البيانات الشخصية.

في الواقع ، لا تكفي اللوائح المحلية وحدها لضمان سرية البيانات الشخصية - هناك حاجة إلى آلية لرصد تنفيذها. يمكن تطبيق القرارات هنا بعدة طرق - بدءًا من المراقبة الانتقائية لإجراءات موظفي معينين في المتجر عبر الإنترنت إلى تنفيذ أدوات لتحليل حركة المرور المستمر للنقل غير المصرح به للبيانات الشخصية.

يتم تحديد مدى أمان نظام المعلومات لمعالجة البيانات الشخصية بناءً على الضرر المحتمل الذي قد يسببه النظام بسبب تأثير تهديداته المعتادة. يتم تحديد قوائم هذه التهديدات ومتطلبات أمن النظام ، المقابلة لدرجة التهديدات ، في المرسوم الصادر عن حكومة روسيا بتاريخ 01.11.2012 رقم 1119.

لننظر فيها بمزيد من التفصيل.

ما مدى الأمان الذي يجب أن يكون عليه متجر على الإنترنت لمعالجة PD آمنة

لتحديد التدابير المحددة اللازمة لضمان المستوى اللازم لحماية البيانات الشخصية ، ينبغي لمالك المتجر عبر الإنترنت استخدام الجدول الوارد في ملحق التكوين ومحتويات التدابير التنظيمية والتقنية ، والتي تمت الموافقة عليها بموجب الأمر رقم 21.

لاحظ أن هذه القائمة تنطبق ، أولاً وقبل كل شيء ، على جميع الفروق الدقيقة نفسها في تنظيم عمل المتجر عبر الإنترنت. ولكن حتى لو كان مالكها هو رائد أعمال فردي يعمل بدون موظفين ، فإنه ، على وجه الخصوص ، لضمان حماية البيانات الشخصية للمشترين على الأقل في المستوى 1 ، سيتعين عليه:

  • تطبيق وسائل تحديد وتوثيق المستخدمين ؛
  • إدارة حسابات المستخدمين ؛
  • التحكم في الوصول إلى الخادم الذي توجد عليه PDs ؛
  • استخدام مكافحة الفيروسات.
  • تحديد الحوادث المتعلقة بالوصول غير المصرح به إلى PD.

بالطبع ، من المنطقي تفويض جزء كبير من هذا العمل إلى رائد أعمال فردي (وكيان قانوني ، بالطبع ، أيضًا) لشريك خارجي - على سبيل المثال ، مالك استضافة موقع الويب الخاص بالمستودع عبر الإنترنت. ولكن يجب أن يكون نقل هذه الصلاحيات ثابتًا بشكل قانوني - باستخدام اتفاقيات مفصلة تحدد بشكل صحيح مسؤولية المتجر عبر الإنترنت وشريكه ، مما يضمن حماية البيانات الشخصية للمشترين وفقًا للقانون.

في الممارسة العملية ، فإن العديد من أنظمة إدارة المواقع الحديثة القائمة على نظام إدارة المحتوى (CMS) لديها الوظائف اللازمة لضمان امتثال المتجر عبر الإنترنت للمتطلبات المذكورة أعلاه فيما يتعلق بتحديد مستويات الأمان لمعالجة البيانات الشخصية.

ولكن ، بالطبع ، في كثير من الحالات ، مطلوب الانتهاء منها وإضافة. كقاعدة عامة ، يحاول أكبر مزودي حلول إدارة الموقع وخدمات الاستضافة تقديم منتجات لعملائهم قدر الإمكان من حيث الخصائص المحددة بموجب القانون رقم 152 ومعايير الإدارات. ومع ذلك ، عند اختيار نظام CMS معين ، من المفيد دائمًا طلب مشورة خبراء إضافية فيما يتعلق بامتثالها للتشريع الخاص بحماية البيانات الشخصية.

هذه هي الفروق الرئيسية التي تميز وفاء المتجر عبر الإنترنت بمتطلبات القانون رقم 152-FZ والأفعال القانونية المصاحبة المتعلقة بالتفاعل مع مشتري البضائع. ومع ذلك ، قد يحدث هذا التفاعل أيضًا في سياقات قانونية أخرى. على وجه الخصوص - تعكس الحسابات بين المتجر والمشتري باستخدام نوع KKT المبتكر

كما لاحظنا في بداية المقالة ، وفقًا للقانون رقم 152-FZ ، تتضمن المعلومات الشخصية أي معلومات قد تتعلق بشكل مباشر أو غير مباشر بشخص معين (أو تحدد هوية شخص). من الواضح ، يمكن أن يكون البريد الإلكتروني أو الهاتف معرفات غير مباشرة على الأقل.

بالنسبة للبريد الإلكتروني ، يمكن أن يبدو مثل [email protected] ، وإذا تم تسريب عنوان البريد الإلكتروني هذا من قواعد بيانات المتجر على الإنترنت ، فيمكن للأطراف الثالثة أن تفهم بسهولة أن المتجر تم شراؤه بواسطة Stepan Petrov ، الذي ولد عام 1976 في موسكو والدراسة في جامعة ماساتشوستس.

الأمر أكثر صعوبة مع الهاتف - لكن يمكنك حسابه كمعرف غير مباشر إذا كنت ترغب في ذلك. على سبيل المثال ، يمكن للشخص الذي حصل على رقم غير مصرح به من متجر عبر الإنترنت الاتصال به ، ومن خلال تقديم نفسه كشخص من خدمة البريد السريع ، اطلب من المشترك تحديد الاسم الكامل وعنوان التسليم - ولكن في الواقع ، لترتيب إرسال بريد إلكتروني تطفلي.

وبالتالي ، على الرغم من حقيقة أنه وفقًا للقانون رقم 54-FZ ، الذي ينظم استخدام مكاتب النقد عبر الإنترنت ، فإن مشتري المتاجر عبر الإنترنت يتركون جهات اتصالهم لتلقي الشيكات طواعية ، نحن نتحدث عن نقل البيانات الشخصية إلى البائع.

هل هذا يعني أن نفس المتطلبات ستنطبق على المعاملات مع هذه البيانات التي تميز معالجة البيانات الشخصية الأخرى؟

لاحظ أن بعض هذه المتطلبات تظل ذات صلة. على سبيل المثال ، مطلوب متجر عبر الإنترنت يقوم بالدفع من خلال أمين الصندوق عبر الإنترنت من أجل:

  • ضمان للعملاء الحق في الحصول على معلومات حول معالجة PD ؛
  • ضمان سرية البيانات ؛
  • الامتثال للمتطلبات الأخرى للقانون رقم 152-FZ (على وجه الخصوص ، بشأن وضع PD على الخوادم الروسية).

والجدير بالذكر هو أن هذه المتطلبات لن تشمل الحصول على الموافقة على معالجة البيانات الشخصية.

الحقيقة هي أنه في الفقرة 1 من الفن. 6 من القانون رقم 152-FZ يسرد عددًا من الاستثناءات للقاعدة بشأن الحاجة إلى الحصول على موافقة. وتشمل هذه الاستثناءات معالجة البيانات كجزء من أداء المشغل للوظائف والواجبات المنوطة به بموجب القانون. من الشرعي تضمين متطلبات القانون رقم 54-ФЗ الخاص بتكوين الإيصالات النقدية في التسويات مع العملاء كوظائف ومسؤوليات المتجر الإلكتروني.

وبالتالي ، فإن المتجر عبر الإنترنت غير ملزم بطلب الموافقة على تلقي البريد الإلكتروني والهاتف كأصناف مختلفة من البيانات الشخصية.

بالطبع ، لا توجد عوائق قانونية أمام طلب موافقة المشترين على معالجة البيانات الشخصية المقدمة عبر البريد الإلكتروني والهاتف ، في نفس الوقت الذي يطلب فيه الموافقة على معالجة البيانات الشخصية الأخرى. أي في "الموافقة" - التي يتم تنزيلها عند تأكيد نموذج الطلب ، وفي سياسة البيانات الشخصية المصاحبة ، يمكن أن ينعكس أن بعض البيانات - البريد الإلكتروني للمشتري ورقم هاتفه ، سيتم استخدامها بواسطة المتجر عبر الإنترنت من أجل الامتثال لأحكام القانون رقم 54-FZ. هذا هو - لإرسال الشيكات أمين الصندوق الإلكترونية إلى المشتري.

لكن هذا الإجراء ، بالمعنى الدقيق للكلمة ، ليس ضروريًا من وجهة نظر التشريعات - رغم أنه غير معقد تمامًا.

في هذه الحالة ، يجب على البائع مراعاة أن تلقي البيانات الشخصية من أجل الامتثال لأحكام القانون رقم 54-FZ لا يندرج تحت الاستثناءات المنصوص عليها في الفقرة 2 من المادة. 22 من القانون رقم 152-those - تلك المتعلقة بالالتزام بإبلاغ Roskomnadzor باستلام البيانات الشخصية. هذا هو - عند قبول الدفع عبر الإنترنت ، يجب تقديم هذا الإخطار. بعد أن تلقت الوكالة إشعارًا من المتجر الإلكتروني ، تدخله في سجل مشغلي البيانات الشخصية.

يجب أن يشير الإشعار إلى:

  1. اسم المستند هو "إعلام بمعالجة البيانات الشخصية".
  1. اسم المشغل وعنوانه القانوني.
  1. المبررات القانونية ، أهداف معالجة البيانات.
  1. أنواع البيانات المعالجة.
  1. فئات الأشخاص الذين يصبحون موضوعًا للبيانات الشخصية.
  1. طرق معالجة البيانات.
  1. تدابير أمنية لمعالجة البيانات.
  1. معلومات حول موقع الخوادم التي يتم تخزين البيانات الشخصية عليها.
  1. المواعيد النهائية لبدء معالجة البيانات.
  1. شروط إنهاء معالجة البيانات.

أشر إلى اسم وموضع برنامج التحويل البرمجي للإشعار. إنه يحدد تاريخ إعداد المستند ، ويوقعه.

وبالتالي ، يفرض القانون قدراً هائلاً من الالتزامات على أصحاب المتاجر عبر الإنترنت. والعقوبات لعدم الوفاء بها خطيرة للغاية. سوف ندرسهم.

المسؤولية وغرامات جديدة

يتم فرض العقوبات التالية لانتهاك متطلبات التشريعات المتعلقة بهذه المسألة:

  1. غرامات إدارية.

يتم تعريف قائمتهم الرئيسية في الفن. 13.11 القانون الإداري للاتحاد الروسي. ولكن يتم توضيح بعضها في المواد المقابلة من المدونة.

تشمل الغرامات النموذجية ما يلي:

  • لمعالجة PD دون موافقة صاحبها - ما يصل إلى 20 ألف روبل للمسؤولين وأصحاب المشاريع الفردية ، ما يصل إلى 75 ألف روبل للكيانات القانونية (المادة 13.11 من القانون الإداري للاتحاد الروسي) ؛
  • لرفضه تزويد الفرد بالمعلومات التي يحق له التعرف عليها بموجب القانون - ما يصل إلى 10 آلاف روبل للمسؤولين وأصحاب المشاريع الفردية (المادة 5-59 من القانون الإداري للاتحاد الروسي) ؛
  • للمعالجة غير القانونية (غير المنصوص عليها في الأغراض المذكورة) لـ PD - ما يصل إلى 10 آلاف روبل للمسؤولين وأصحاب المشاريع الفردية ، ما يصل إلى 50 ألف روبل للكيانات القانونية (المادة 13.11 من القانون الإداري للاتحاد الروسي) ؛
  • لعدم وجود سياسة خصوصية منشورة - ما يصل إلى 6 آلاف روبل للمسؤولين ، للأفراد - ما يصل إلى 10 آلاف روبل ، للكيانات القانونية - ما يصل إلى 30 ألف روبل (المادة 13.11 من القانون الإداري للاتحاد الروسي) ؛
  • لرفضه تعريف الفرد بمعلومات حول معالجة ملفه الشخصي - ما يصل إلى 6 آلاف روبل للمسؤولين ، ما يصل إلى 15 ألف روبل - للأفراد ، ما يصل إلى 40 ألف روبل - للكيانات القانونية (المادة 13.11 من القانون الإداري للاتحاد الروسي).
  1. المسؤولية الجنائية.

وفقا للفن. 137 من القانون الجنائي للاتحاد الروسي ، قد يؤدي الجمع غير القانوني للبيانات الشخصية التي تشكل سرًا شخصيًا للمواطن إلى غرامات تصل إلى 200 ألف روبل أو فرض العمل الإصلاحي وإلغاء الأهلية والسجن لمدة تصل إلى عامين.

  1. محدد في الدعاوى المدنية.

هنا يمكننا التحدث عن مجموعة متنوعة من العقوبات ، لكن العقوبات النموذجية تشمل:

  • الالتزام بتعويض الخسائر التي تكبدها موضوع PD بسبب انتهاك المشغل لأحكام القانون رقم 152-FZ ؛
  • الالتزام بالتعويض عن الضرر المعنوي لموضوع PD.

بشكل أو بآخر ، من المرجح أنه في حالة انتهاك المتجر على الإنترنت لأحكام القانون رقم 152-FZ ، سيتم تطبيق العقوبات الإدارية عليه. في الوقت نفسه ، ينبغي أن يؤخذ في الاعتبار أن أكثرها صرامة - على وجه الخصوص ، يتم تطبيق عقوبة عدم الحصول على الموافقة على معالجة البيانات (ما يصل إلى 75 ألف روبل) في انتهاك لمتطلبات الحصول على موافقة خطية على معالجة البيانات الشخصية. إذا كان مسموحًا بالحصول على موافقة بأي شكل موثوق ، فإذا لم يتم الحصول على هذه الموافقة ، يتم تطبيق عقوبة على شكل غرامة لمعالجة البيانات غير القانونية (حتى 50 ألف روبل).

هناك إمكانية لتطبيق عدد من العقوبات الإدارية الإضافية على المشغل. على سبيل المثال:

  • كغرامة لعدم الامتثال لمتطلبات حماية البيانات - ما يصل إلى ألفي روبل للمسؤولين وأصحاب المشاريع الفردية ، ما يصل إلى 15 ألف روبل - للكيانات القانونية (المادة 13.12 من القانون الإداري للاتحاد الروسي) ؛
  • في شكل غرامة لعدم تقديم إخطار إلى Roskomnadzor - ما يصل إلى 500 روبل للمسؤولين وأصحاب المشاريع الفردية ، ما يصل إلى 5000 روبل - للكيانات القانونية (المادة 19.7 من القانون الإداري للاتحاد الروسي).

من الممكن نظريًا حظر موقع متجر على الإنترنت - بأمر من المحكمة. على سبيل المثال ، إذا سمح بالنشر غير القانوني للبيانات الشخصية للمشترين دون موافقتهم في مراجعات المشتريات.

اعتمادًا على الانتهاك المحدد ومجال العلاقات القانونية التي ارتكب فيها الانتهاك ، يمكن فرض عقوبات مختلفة بهذه الطريقة على مشغل البيانات الشخصية.

على وجه الخصوص ، قام بتوسيع قائمة الأسباب للوصول إلى المسؤولية الإدارية عن المعالجة غير القانونية للبيانات الشخصية (PD) وزيادة الغرامات.

البيانات الشخصية: الغرامات

مؤسسة حجم جيد
الأشخاص الطبيعيين مسؤولون كيان قانوني SP
معالجة PD في الحالات التي لا ينص عليها تشريع الاتحاد الروسي ؛ معالجة PD غير متوافقة مع أهداف جمع PD تحذير أو غرامة - من 1000 إلى 3000 روبل. تحذير أو غرامة - من 5000 إلى
   10000 فرك.		 تحذير أو غرامة - من 30،000 إلى 50000 روبل.
معالجة PD دون موافقة خطية من موضوعهم من 3000 إلى 5000 روبل. من 10،000 إلى 20،000 روبل. من 15000 إلى 75000 روبل.
عدم الامتثال لالتزام نشر أو إتاحة الوصول إلى مستند يحدد سياسة لمعالجة البيانات الشخصية أو المعلومات المتعلقة بحماية البيانات الشخصية من 700 إلى 1500 روبل. من 3000 إلى 6000 روبل. من 15000 إلى 30000 روبل. من 5000 إلى 10،000 روبل.
عدم تقديم موضوع PD بمعلومات عن معالجتها تحذير أو غرامة - من 1000 إلى 2000 روبل. تحذير أو غرامة - من 4000 إلى 6000 روبل. تحذير أو غرامة - 20،000 إلى 40،000 روبل. تحذير أو غرامة - من 10000 إلى 15000 روبل.
عدم التزام المشغل بمتطلبات موضوع PD أو من يمثله للتوضيح أو الحجب أو التدمير (إذا كانت PD غير كاملة أو قديمة أو غير دقيقة أو تم الحصول عليها بطريقة غير شرعية ، ليست ضرورية لغرض المعالجة المذكور) تحذير أو غرامة بمبلغ 1000 إلى 2000 روبل. تحذير أو غرامة - من 4000 إلى
   10000 فرك.		 تحذير أو غرامة - من 25000 إلى 45000 روبل. تحذير أو غرامة - من 10،000 إلى 20،000 روبل.
فشل المشغل في معالجة البيانات الشخصية أثناء معالجة البيانات الشخصية دون التشغيل الآلي يعني الالتزام بالحفاظ على البيانات الشخصية ، مما أدى إلى وصول غير قانوني أو عرضي إلى البيانات الشخصية وتسبب في تدميرها وتعديلها وحظرها ونسخها من 700 إلى 2000 روبل. من 4000 إلى
   10000 فرك.		 من 25000 إلى 50000 روبل. من 10،000 إلى 20،000 روبل.
فشل المشغل (سلطة الدولة أو البلدية) في انتحال شخصية PD ؛ عدم الامتثال لمتطلبات إخفاء الهوية للبيانات الشخصية تحذير أو غرامة إدارية - من 3000 إلى 6000 روبل.

يرجى ملاحظة: إن هذا الأساس مثل معالجة PD دون الحصول على موافقة من موضوعهم الذي يوفر أكبر غرامات لجميع فئات المخالفين - ما يصل إلى 75000 روبل.

في هذا الصدد ، يطرح الكثير من الأسئلة ، الأكثر شيوعًا:

  • هل أنا مشغل بيانات شخصي؟
  • هل ينطبق قانون البيانات الشخصية علي؟
  • كيفية إخطار Roskomnadzor بمعالجة البيانات الشخصية؟
  • ما الذي يجب على صاحب الموقع فعله لتجنب الغرامات؟

دعونا نتعامل مع جميع الأسئلة بالترتيب.

يقال الكثير عن التغييرات في القانون وفقًا للبيانات الشخصية ، وقررنا الانضمام

ما الذي يحدث؟

  • ارتكاب مخالفات إدارية جديدة لانتهاك القانون في مجال البيانات الشخصية (المزيد من الأسباب لتغريمك قليلاً) ،
  • تبسيط إجراءات تقديم المسؤولية الإدارية عن الانتهاكات (يصبح من السهل تغريمك)
  • زيادة الغرامات (أسهل - وأكثر إثارة للاهتمام!).

إذا كان قبل الغرامة 10000 روبل ، ثم بعد 1 يوليو ، فإن المبلغ الإجمالي للغرامات للكيانات القانونية يمكن أن يصل إلى 295000 روبل. الآن ، من المنطقي اقتصاديًا التعامل مع هذه البيانات الشخصية المؤسفة.

من يمكن تغريمه؟

كل شخص يعالج البيانات الشخصية. ومعالجة البيانات الشخصية هي أي إجراء لجمع وتخزين وتسجيل واستخدام ونقل البيانات الشخصية (المادة 3 ، المادة 3 من القانون الاتحادي "بشأن البيانات الشخصية" رقم 152-FZ).

ما يرتبط بالبيانات الشخصية؟

أي معلومات تعرّف الشخص. في صياغة القانون - أي معلومات تتعلق بشكل مباشر أو غير مباشر بشخص طبيعي محدد أو محدد (موضوع البيانات الشخصية).

هذه المعلومات ، على سبيل المثال ، هي:

  • اللقب ، الاسم ، شفيع ؛
  • السنة ، الشهر ، تاريخ الميلاد ، العنوان ، الحالة الاجتماعية ، الحالة الاجتماعية ، حالة الملكية ، التعليم ، المهنة ، الدخل ؛
  • البريد الإلكتروني ، الصورة ، ملف تعريف الارتباط ، بيانات عن عنوان IP ، والموقع دون الإشارة إلى اللقب والاسم الأول. إذا كانت ملفات تعريف الارتباط وعناوين IP بمثابة مفاجأة ، يمكنك أن ترى قرار محكمة التحكيم في موسكو بتاريخ 03/11/16 في القضية رقم A40-14902 / 2016.

في النهاية ، إذا كنت تشك في ما إذا كان هناك شيء ما يتعلق بالبيانات الشخصية ، فحين يكون من الأفضل مراعاة ما ينطبق.

ماذا علي أن أفعل إذا كنت صاحب الموقع وتلقي البيانات الشخصية؟

يجب أن يتوافق الموقع مع متطلبات القانون.

1. يجب وضع الموافقة على معالجة البيانات الشخصية ، دون موافقة منها ، لا يمكن للمستخدم إرسال البيانات إليك.
  2. لوضع رابط للمستند على الموقع في المجال العام - سياسة المنظمة لمعالجة البيانات الشخصية.
  3. يجب تحذير جميع المستخدمين الجدد للموقع من خلال رسالة منبثقة على الموقع حول جمع بيانات المستخدم (ملفات تعريف الارتباط وعنوان IP وبيانات الموقع) لضمان تشغيل الموقع. إذا كان المستخدم لا يريد تقديم هذه البيانات ، فيجب عليه مغادرة الموقع أو تكوين البرامج و / أو معداته حتى لا يتلقى الموقع هذه البيانات أو يتعذر على المستخدم تحديدها.
  4. تحديد ما إذا كان يجب عليك تقديم إشعار معالجة شخصية مع Roskomnadzor. من شرط إخطار Roskomnadzor هناك استثناءات  (المزيد حول هذا أدناه ، وانظر أيضًا الجزء 2 من المادة 22 من القانون).

ما هي المسؤولية؟

حتى 1 يوليو 2017 ، كان يحق للمدعي العام فقط رفع الدعاوى الإدارية المتعلقة بالبيانات الشخصية ؛ ومن 1 يوليو 2017 ، سيكون للمسؤولين في Roskomnadzor الحق في رفع دعاوى بموجب المادة 13.11 من قانون الجرائم الإدارية (البند 58 ، الجزء 2 من المادة 28.3 من قانون المخالفات الإدارية) . قبل 1 تموز (يوليو) 2017 ، كان هناك جثة واحدة (انتهاك عام في مجال البيانات الشخصية) ، والآن هناك الكثير منها:

جريمة العقوبة الإدارية حماية المخاطر
معالجة البيانات الشخصية لأغراض "أخرى"
معالجة البيانات الشخصية في الحالات التي لا ينص عليها القانون ، أو معالجة البيانات الشخصية التي لا تتوافق مع أغراض جمع البيانات الشخصية (الجزء 1 من المادة 13.11 من القانون الإداري للاتحاد الروسي).		    تحذير أو عقوبة:
  • للمواطنين - بمبلغ من 1000 إلى 3000 روبل.
  • للمسؤولين - 5000 إلى 10000 روبل.
  • للكيانات القانونية - من 30،000 إلى 50000 روبل.
    قم بمعالجة البيانات الشخصية فقط للأغراض المحددة في الموافقة والسياسة ووفقًا للجزء 1 من المادة. 3 من قانون البيانات الشخصية.
معالجة البيانات الشخصية دون موافقة
   معالجة البيانات الشخصية دون موافقة كتابية في الحالات التي يجب فيها الحصول على هذه الموافقة وفقًا لتشريعات الاتحاد الروسي (الجزء 2 من المادة 13.11 من القانون الإداري للاتحاد الروسي).		    عقوبة:
  • للمواطنين - بمبلغ 3000 إلى 5000 روبل.
  • للمسؤولين (على سبيل المثال ، مدير أو موظف شؤون الموظفين أو رجل أعمال فردي) - من 10000 إلى 20،000 روبل ؛
  • للمؤسسات - من 15000 إلى 75000 روبل.
    الحصول على موافقة للمعالجة. في هذه الحالة ، يجب أن تتضمن الموافقة على معالجة البيانات الشخصية المعلومات المحددة في الفقرة 4 من المادة 9 من القانون رقم 152-FZ.
الفشل في توفير الوصول إلى سياسات معالجة البيانات الشخصية
   فشل المشغل في نشر أو توفير وصول غير مقيد إلى مستند يحدد سياسة المشغل فيما يتعلق بمعالجة البيانات الشخصية ، أو معلومات حول متطلبات حماية البيانات الشخصية التي يتم تنفيذها. (الجزء 3 من المادة 13.11 من القانون الإداري للاتحاد الروسي).		    تحذير أو عقوبة:
  • للمواطنين - من 700 إلى 1500 روبل.
  • للمسؤولين (على سبيل المثال ، مدير أو كبير المحاسبين) - من 3000 إلى 6000 روبل ؛
  • لأصحاب المشاريع الفردية - من 5000 إلى 10،000 روبل.
  • للمؤسسات - من 15000 إلى 30000 روبل.
    نشر مستند على موقع الويب يحدد سياسته فيما يتعلق بمعالجة البيانات الشخصية والمعلومات حول متطلبات حماية البيانات الشخصية التي يتم تنفيذها ، وكذلك توفير الوصول إلى المستند المحدد.
إخفاء المعلومات من الموضوع حول البيانات الشخصية التي تم جمعها عنه
   فشل المشغل في تقديم معلومات تتعلق بمعالجة البيانات الشخصية ، بما في ذلك المعلومات المحددة في الجزء 7 من المقالة 14 من قانون 27 يوليو 2006 رقم 152-ФЗ) (الجزء 4 من المادة 13.11 من القانون الإداري للاتحاد الروسي).		    تحذير أو عقوبة:
  • للمواطنين - من 1000 إلى 2000 روبل ؛
  • للمسؤولين (على سبيل المثال ، مدير أو موظف شؤون الموظفين أو محاسب) - من 4000 إلى 6000 روبل ؛
  • لأصحاب المشاريع الفردية - 10000 إلى 15000 روبل.
  • للكيانات القانونية (المنظمات) - من 20،000 إلى 40،000 روبل.
 قدم معلومات لموضوع البيانات الشخصية فيما يتعلق بمعالجة بياناته الشخصية خلال الحدود الزمنية التي يحددها القانون.
عدم الامتثال لمتطلبات تدمير وحظر البيانات الشخصية
   فشل المشغل في توضيح البيانات الشخصية أو حظرها أو إتلافها (الجزء 5 من المادة 13.11 من القانون الإداري).		    تحذير أو عقوبة:
  • للمواطنين - من 1000 إلى 2000 روبل ؛
  • للمسؤولين (على سبيل المثال ، مدير أو موظف شؤون الموظفين أو كبير المحاسبين) - من 4000 إلى 10،000 روبل ؛
  • لأصحاب المشاريع الفردية - من 10،000 إلى 20،000 روبل ؛
  • للكيانات القانونية - 25000 إلى 45000 روبل.
    الوفاء بمتطلبات توضيح البيانات الشخصية أو حجبها أو إتلافها ، في غضون الحدود الزمنية التي يحددها القانون.
فشل البيانات الشخصية
   عدم توفير المشغل سلامة البيانات الشخصية ، إذا أدى ذلك إلى وصول غير قانوني أو عرضي إلى البيانات الشخصية. وهذا ، بدوره ، كان السبب في تدميرها أو تغييرها أو حظرها أو نسخها أو توفيرها أو توزيعها أو غيرها من الأعمال غير القانونية. (الجزء 6 من المادة 13.11 من القانون الإداري للاتحاد الروسي).		    عقوبة:
  • للمواطنين - 700 إلى 2000 روبل.
  • للمسؤولين (على سبيل المثال ، قائد) - من 4000 إلى 10،000 روبل ؛
  • لأصحاب المشاريع الفردية - من 10،000 إلى 20،000 روبل ؛
  • للمؤسسات - من 25000 إلى 50000 روبل.
    توفير تخزين المواد الحاملة للبيانات الشخصية ، والموافقة على قواعد الوصول إلى البيانات الشخصية.
عدم إبلاغ Roskomnadzor حول معالجة البيانات
   عدم تقديم إخطار بشأن معالجة البيانات الشخصية إلى Roskomnadzor ، أو تقديمها في الوقت المناسب أو تقديم إشعار يحتوي على معلومات غير كاملة أو غير دقيقة (المادة 19.7 من القانون الإداري للاتحاد الروسي).		    تحذير أو عقوبة:
  • للمواطنين - من 100 إلى 300 روبل.
  • للمسؤولين (بما في ذلك رجال الأعمال الفردية - ملاحظة للمادة 2.4 من القانون الإداري للاتحاد الروسي) - من 300 إلى 500 روبل. علاوة على ذلك ، وفقا لملاحظة الفن. 2.4 القانون الإداري للاتحاد الروسي ، هؤلاء الأشخاص هم رؤساء وموظفون آخرون في المنظمات التي تؤدي وظائف تنظيمية وإدارية أو إدارية ؛
  • للكيانات القانونية - من 3000 إلى 5000 روبل.
    إذا قمت بمعالجة وتخزين البيانات الشخصية - أنت المشغل ويجب عليك إخطار Roskomnadzor (الجزء 1 من المادة 22 ، الفقرة 2 من المادة 3 من القانون).

استثناء:  يخطر Roskomnadzor لا تحتاج  (الفقرة الفرعية 22 (2) من القانون) إذا:

  • تقوم بمعالجة بيانات الموظف (الفقرة 1 الجزء 2 من المادة 22 من القانون).
  • إذا كانت المعالجة تتضمن فقط أسماء العائلة والأسماء الأولى والمختصرين لموضوعات البيانات الشخصية (القسم 5 ، الجزء 2 ، المادة 22 من القانون).

عدم وجود التزام بإخطار Roskomnazdor لا يعفي من الالتزام بالحصول على الموافقة على معالجة البيانات الشخصية ولديه سياسة معالجة. على سبيل المثال ، إذا كان لديك موظفين ، فيجب عليك إما الموافقة على معالجة البيانات الشخصية كوثيقة منفصلة أو ترك سطر في عقد العمل لتوقيع الموظف (تعتبر الممارسة القضائية أنه إذا تم إعطاء الموافقة على معالجة البيانات الشخصية في عقد العمل ، ولكن لا يوجد مكان لتوقيع الموظف ، لم يتم إعطاء موافقة الموظف).

من المهم أن تتذكر:  سياسة ، يجب أن تتم الموافقة على المعالجة مع مراعاة البيانات التي تقوم بمعالجتها وبأي طرق. هذا يعني ذلك لا يكفي فقط تنزيل هذه المستندات عبر الإنترنت ، ولكن عليك إعادة تشكيلها بنفسك. إذا لم تأخذ المستندات في الاعتبار عمليات المعالجة الخاصة بك ، فاعتبر أنك لا تملك هذه المستندات.

والأهم من ذلك ، ما مدى خطورة المخاطرة بالمساءلة؟

الجواب هنا سيكون غامضا للغاية. بالنظر إلى الصلاحيات الجديدة لـ Roskomnadzor ، والمقالات الجديدة في قانون المخالفات الإدارية وكمياتها الكبيرة ، سيزداد خطر التعرض للمساءلة مقارنة بما كان عليه من قبل. لكن كم؟ سوف تظهر الممارسة.

والشيء الأخير الذي يزعج حول التغييرات القادمة:  الآن ، فإن مسجلي أسماء النطاقات (خاصة الكبيرة منهم) ، بناءً على طلب المحامي نيابة عن صاحب حقوق الطبع والنشر ، مستعدون لإعطاء معلومات عن المسؤول عن اسم المجال (فردي) الذي ينتهك اسم مجاله أو موقعه على هذا النطاق حقوق صاحب حقوق الطبع والنشر هذا.

ما سيحدث بعد 1 يوليو غير واضح. إذا توقف المسجلون عن إصدار معلومات حول مسؤول فردي (اسمه الكامل وعنوانه) ، في إشارة إلى الحاجة إلى حفظ البيانات الشخصية ، فسيكون صاحب حقوق الطبع والنشر في موقف صعب: لن يتمكن من الذهاب إلى المحكمة لأنه لا يعرف من سيقاضي.

يمكن لصاحب حقوق الطبع والنشر أن يطلب من صاحب الموقع (إذا كانت جهات الاتصال الخاصة به موجودة على الموقع ، بالطبع) ، وليس مسؤول المجال ، ثم طلب من المحكمة لمعرفة من هو مسؤول المجال. ومع ذلك ، لن تستمر محكمة التحكيم في النظر في الدعوى المرفوعة ضد المسؤول بسبب عدم الامتثال لإجراءات المطالبات لحل النزاعات. لكن صاحب حقوق الطبع والنشر لم يتمكن من مراقبة إجراء المطالبة هذا ، لأنه لم يكن يعرف من يكتب إليه.

وتبين أنه بعد عدة أشهر من التجربة ، عندما يكتشف صاحب حقوق الطبع والنشر من هو المسؤول ويرسل شكوى إليه ، يمكن أن يصبح مقدار الضرر الذي يلحق بصاحب حقوق النشر كبيرًا.

بالإضافة إلى ذلك ، فيما يتعلق بتوضيحات محكمة حقوق الملكية الفكرية ، لا يمكن تقديم بعض المطالبات إلا إلى مسؤول المجال ، ولكن ليس لمالك الموقع. يترتب على ذلك أنه لا يزال يتعين على صاحب حقوق الطبع والنشر إنفاق الأموال على المحكمة مع صاحب الموقع ، وهو ما لا يحتاج إليه كثيرًا. لا توجد مشكلة من هذا القبيل إذا كان مسؤول المجال كيانًا قانونيًا ، ولكن هناك الكثير من المسؤولين الفرديين.