• Dom
  •  > 
  • Sve o YouTubeu
  •  > 
  • Obrada osobnih podataka godišnje. Savezni zakon o osobnim podacima. Kako korisnik može ukloniti svoje podatke iz baze podataka

Obrada osobnih podataka godišnje. Savezni zakon o osobnim podacima. Kako korisnik može ukloniti svoje podatke iz baze podataka

Portal pravnih informacija sadrži dokument koji je potpisao predsjednik Ruske Federacije "O izmjenama i dopunama Kodeksa Ruska Federacija o upravnim prekršajima”, koji utvrđuje nove iznose novčanih kazni za kršenje zakonodavstva Ruske Federacije u području osobnih podataka, koji će stupiti na snagu 1. srpnja 2017..

Odredbe Saveznog zakona pojašnjavaju osnove za primjenu mjera administrativne odgovornosti za kršenje zakonodavstva Ruske Federacije u području osobnih podataka, uzimajući u obzir izmjene unesene u savezni zakon od 27. srpnja 2006. br. 152-FZ "O osobnim podacima". Promjene se uglavnom odnose na članak 13.11, kao i na članke 28.3 i 28.4 Zakonika o upravnim prekršajima Ruske Federacije.

Dakle, što će se promijeniti na području osobnih podataka od 01.07.2017. Nova verzija članka 13.11 sada sadrži sedam posebnih prekršaja i predviđa odgovarajuće novčane kazne, a najveća od njih iznosi 75 000 rubalja (za pravne osobe). Za razliku od prethodne verzije članka 13.11., nova verzija članka jasno utvrđuje slučajeve za koje PD operater može biti kažnjen. Na primjer, prema članku 13.11, netko bi mogao biti kažnjen za kršenje Saveznog zakona br. 242, s novo izdanje to će biti nemoguće učiniti, kao što će biti teško kazniti za nedostatak obavijesti Roskomnadzora.

Tekstovi članka 13.11. ukratko su prikazani na slici ispod. Detaljniji opis možete preuzeti u obliku tablice. A analiza članak po članak dana je u članku.

Podsjetimo, izmjene članka 13.11. pripremane su od prosinca 2014., no zakonodavci su dugo zamrznuli rad na njima. Najznačajnija točka rane verzije ovog prijedloga zakona bila je relativno visoka (do 300.000 rubalja) kazna za nezakonitu obradu posebnih kategorija osobnih podataka, ali je ovaj tekst uklonjen u usvojenoj verziji:

Obrada posebnih kategorija osobnih podataka koji se odnose na rasu, nacionalnost, politička stajališta, vjerska ili filozofska uvjerenja, zdravstveno stanje, intimni život, a i osobne podatke o kaznenoj evidenciji u slučajevima koji nisu predviđeni zakonom Ruska Federacija o osobnim podacima,
- povlači za sobom nametanje administrativna kazna za građane od tri tisuće do pet tisuća rubalja; za dužnosnike - od deset tisuća do dvadeset pet tisuća rubalja; za pojedinačne poduzetnike - od pedeset tisuća do sto tisuća rubalja;za pravna lica - od sto pedeset tisuća do tri stotine tisuća rubalja.

Koje su glavne posljedice amandmana? Ima ih nekoliko:

  1. Zbog činjenice da je formulacija članka 13.11 postala konkretnija, mnogi stručnjaci izražavaju zabrinutost ( , ), da se shema dodjeljivanja kazne može iz temelja promijeniti. Ako bi prema sadašnjem tekstu kazna mogla biti jedna za "povreda zakonom utvrđenog poretka...", ukupno, bez obzira na to koliko je prekršaja utvrđeno, novi tekst članka 13.11 je promijenjen i jednostavno navodi sedam prekršaja za koje je moguće sastaviti poseban zapisnik i izreći posebnu novčanu kaznu. Po svemu sudeći, tijekom kontrole treba očekivati ​​povećanje ukupnog iznosa kazne.
  2. Protokoli o upravnim prekršajima kvalificirani prema novoj verziji članka 13.11 bit će sastavljeni nakon 1. srpnja Službenici Roskomnadzora i njegovih teritorijalnih odjela, a ne tužiteljstva, kao što je sada. Rok za dovođenje na odgovornost ostaje isti kao i prije - 3 mjeseca, ali je postupak za dovođenje na odgovornost značajno pojednostavljen: lanac "teritorijalni odjel Roskomnadzora" - "Tužiteljstvo" - "Sud" je smanjen, materijali će krećite se brže i kazne će se vjerojatno povećati.
  3. Ne mogu se sva kršenja prethodno kvalificirana prema članku 13.11 pripisati operaterima u skladu s novim izdanjem: ovaj članak ne predviđa, na primjer, odgovornost za nepoštivanje Saveznog zakona br. 242 o lokalizaciji baza osobnih podataka.

Dana 1. srpnja 2017. stupile su na snagu izmjene članka 13.11 Zakonika o upravnim prekršajima Ruske Federacije, u skladu s kojima su novčane kazne za kršenje zakona u području osobnih podataka (PD) značajno povećane.

Prilikom kupnje u online trgovinama kupci ostavljaju neke podatke o sebi - puno ime, adresu za dostavu i ostale kontakt podatke. Stoga bi vlasnici internetskih trgovina trebali pažljivo proučiti ovo pitanje i osigurati poštivanje zahtjeva Saveznog zakona od 27. srpnja 2006. br. 152-FZ „O osobnim podacima” prilikom trgovanja na Internetu.

Pokazat ćemo vam koja je blagajna iz našeg kataloga prikladna za vaše poslovanje.

Što se odnosi na osobne podatke pojedinca koji je posjetitelj internet trgovine

Osobni podaci su sve informacije koje se izravno ili neizravno odnose na određenu osobu ili omogućuju njegovu identifikaciju (1. stavak, članak 3. Zakona o osobnim podacima br. 152-FZ).

U kontekstu organiziranja rada internetske trgovine, osobni podaci, u načelu, mogu uključivati ​​čak i kolačiće - koji se posebno koriste za personalizaciju ponude proizvoda određenim korisnicima. Postoje sudski presedani koji potvrđuju pripisivanje takvih datoteka osobnim podacima - na primjer, Odluka Moskovskog arbitražnog suda od 11. ožujka 2016. u predmetu br. A40-14902 / 2016-84-126 11.

Osobni podaci mogu biti:

  • obrađeno;
  • uobičajen;
  • promijenjeno;
  • dano određenim osobama (otkriveno);
  • uklonjeni.

Ove radnje provodi operater osobnih podataka. To može biti bilo koji pojedinac, organizacija ili državna ili općinska vlast. Uključujući, naravno, internetsku trgovinu - osnovanu od strane fizičke osobe (IP) ili u vlasništvu pravne osobe.

Stoga, postajući operater osobnih podataka, internetska trgovina je dužna pridržavati se odredbi Zakona br. 152-FZ. Ali u kojim slučajevima on stječe takav status?

Za stjecanje statusa operatera osobnih podataka dovoljno je da gospodarski subjekt provede sve postupke koji karakteriziraju njihovu obradu, a posebice:

  • kolekcija;
  • snimiti;
  • sistematizacija;
  • akumulacija;
  • pojašnjenje;
  • primjena;
  • Širenje.

Odnosno, nakon što je proveo barem prvi postupak - prikupljanje podataka (u praksi - primanje od klijenta putem internetskog obrasca), internetska trgovina postaje operater i ima obvezu poštivanja normi Zakona br. 152- FZ.

Poseban segment pravnih odnosa u kojima se zahtijeva poštivanje zakonodavstva o osobnim podacima je interakcija internetske trgovine kao poslodavca i njezinih zaposlenika (rad na daljinu i u izvanmrežnim odjelima internetske trgovine). Međutim, takvi se pravni odnosi, općenito, provode u nadležnosti onih pravnih normi koje su relevantne za interakciju između poslodavaca i zaposlenika (na daljinu ili izvan mreže), bez obzira na vrstu djelatnosti koju obavljaju.

S druge strane, razmjena podataka između internetske trgovine i njegovih kupaca čini zaseban i, zapravo, jedinstven - u smislu primjene normi Zakona br. 152-FZ, segment pravnih odnosa u kojima poslovni subjekt ima širok spektar prava i obveza sukladno zakonu .

Razmotrimo detaljnije koje obveze mora ispuniti internetska trgovina u vezi s potrebom poštivanja normi Zakona br. 152-FZ.

Pretplatite se na naš kanal u Yandex Zen - Online blagajna !
Budite prvi koji će primati vruće vijesti i life hakove!

Što internetska trgovina treba učiniti kako bi ispunila zahtjeve Saveznog zakona br. 152-FZ

Glavna dužnost svakog operatera osobnih podataka (a internetska trgovina nije iznimka) je poštivanje postupka njihove obrade. Glavni uvjet ovog postupka je dobivanje privole subjekta osobnih podataka (odnosno kupca) za takvu obradu.

Takav se pristanak može dobiti u bilo kojem pouzdanom obliku (članak 1. članak 9. Zakona br. 152-FZ). Ali u slučajevima predviđenim zakonom, takav pristanak je potreban u pisanom obliku - to jest, na papiru ili korištenjem elektroničkog dokumenta, koji je ovjeren elektroničkim potpisom (članak 4. članak 9. Zakona br. 152-FZ).

Kupnja robe u internetskoj trgovini nije zakonom izravno pripisana onim poslovima za koje je potrebna pisana suglasnost subjekta osobnih podataka. Stoga je dobivanje takve privole moguće, u načelu, u bilo kojem obliku - koji bi, međutim, trebao omogućiti nedvosmislenu potvrdu činjenice da pojedinac pristaje na prijenos osobnih podataka operateru.

Sljedeća dužnost operatera osobnih podataka je poduzimanje radnji usmjerenih na ostvarivanje zakonskih prava ispitanika osobnih podataka. Konkretno, govorimo o pravu:

  • potvrditi činjenicu da je internetska trgovina primila PD i početak njihove obrade;
  • primati informacije o namjeni i načinima obrade PD-a;
  • upoznati se s osobama (osim osoba koje rade u osoblju operatera) koje su uključene u obradu PD).

Među ostale važne dužnosti operatera osobnih podataka, legitimno je uključiti poštivanje povjerljivosti podataka. Ako klijent internetske trgovine nije pristao na distribuciju svojih podataka drugim osobama, tada poslovni subjekt nema pravo to učiniti - kao ni na drugi način otkriti osobne podatke (čl. 7. Zakona br. 152-FZ). U isto vrijeme, čak i ako je privola dobivena, tada je sama internetska trgovina odgovorna za radnje trećih strana koje su primile osobne podatke klijenta internetske trgovine (klauzula 5, članak 6 Zakona br. 152-FZ) .

Važna nijansa koja karakterizira obradu osobnih podataka je obveza operatera da postavi podatke na poslužitelje koji se nalaze u Rusiji- osim ako nije drugačije određeno zakonom (članak 5., članak 18. Zakona br. 152-FZ). Ruske internetske trgovine ne spadaju u iznimke, pa stoga moraju biti u skladu s navedenom normom zakona.

Zasebno pitanje je potreba da operater osobnih podataka podnese obavijest da se obrađuju Roskomnadzoru - u skladu s propisom stavka 1. čl. 22. Zakona br. 152-FZ. Općenito, takva je obavijest obavezna. No odredbama st. 2. čl. 22. Zakona br. 152-FZ predviđa širok raspon iznimaka od ovog pravila.

Konkretno, sub. 2 p. 2 čl. 22. Zakona br. 152-FZ predviđa da operateri imaju pravo ne podnijeti obavijest prilikom izvršavanja ugovora sklopljenog s subjektom osobnih podataka i pod uvjetom da se osobni podaci ne prenose trećim stranama bez pristanka subjekta. U takve kriterije dobro spada kupoprodajni ugovor sklopljen između trgovine i kupca. Stoga, u općem slučaju, internetska trgovina ne mora, prilikom interakcije s kupcima, dostavljati dotične obavijesti (ali iznimke od ovog pravila su moguće - razmotrit ćemo ih kasnije u članku).

Dakle, glavne dužnosti operatera osobnih podataka su:

  • za dobivanje suglasnosti za njihovu obradu;
  • osigurati povjerljivost PD-a;
  • ispuniti druge zahtjeve zakonodavstva (o postavljanju PD-a na teritoriju Rusije, o ispunjavanju zahtjeva subjekata PD-a u vezi s njihovim korištenjem).

Proučimo detaljnije kako ove dužnosti tehnički može izvršiti internetska trgovina.

Online blagajne za sve vrste poslovanja! Dostava u cijeloj Rusiji.

Ostavite zahtjev i dobit ćete konzultacije u roku od 5 minuta.

Kako dobiti privolu za obradu osobnih podataka putem interneta

Dakle, budući da zakon ne utvrđuje zahtjeve za dobivanje pisane privole za obradu osobnih podataka u vezi s aktivnostima internetskih trgovina, takva se privola može dobiti na bilo koji pouzdan način. Ali što točno?

Ovdje su opcije sljedeće:

  1. Kada internetska trgovina traži osobne podatke putem narudžbenice.

U tom slučaju privolu za obradu podataka moguće je dobiti postavljanjem uvjeta pod kojim je slanje podataka o narudžbi putem obrasca moguće samo uz stavljanje kvačice (ili drugog elementa obrasca koji ima sličnu funkciju) ispred retka u kojem formulacija je napisana kao „Dajem suglasnost za obradu osobnih podataka koji se prenose operateru putem ovog obrasca.

Pristanak obično uključuje:

  • svrhu davanja dokumenta operateru (u slučaju internetske trgovine - za isporuku robe i druge svrhe određene postupkom kupoprodaje);
  • popis PD-a prenesenih operateru;
  • uvjeti i postupak pohranjivanja PD;
  • postupak prijenosa PD-a na određene treće osobe (na primjer, služba za dostavu robe).

Istodobno, uz kvačicu i poveznicu na Suglasnost treba priložiti poveznicu na poseban dokument koji detaljno objašnjava postupak obrade osobnih podataka od strane internetske trgovine u skladu sa Zakonom br. 152-FZ - Privatnost Politika. Može se izdati kao prilog narudžbenici. Opis poveznice treba sadržavati formulaciju koja može zvučati poput „Upoznat sam s prilogom ovog obrasca koji odražava postupak obrade osobnih podataka u skladu sa zakonom“.

Politika privatnosti – dokument koji mora biti javno dostupan. Osim toga, može se smatrati dijelom lokalnog regulatornog okvira organizacije koja uspostavlja internetsku trgovinu. Zaposlenici poslovnog subjekta stoga bi trebali biti obvezni pridržavati se odobrene Politike.

Politika obično uključuje:

  • opće odredbe;
  • tekst koji odražava ciljeve prikupljanja PD od strane gospodarskog subjekta;
  • odredbe o pravnim osnovama prikupljanja PD;
  • klasifikacija korištenih PD, postupak i uvjeti rada s njima;
  • postupak za osiguranje ostvarivanja zakonom utvrđenih prava subjekata PD-a.

Politika može uključivati:

  • na koji način internet trgovina osigurava prava korisnika na zahtjev za informacijama o obradi PD-a;
  • kako je organizirana pohrana podataka (u ovom slučaju mogu se pružiti informacije za utvrđivanje činjenice da se poslužitelji s PD kupaca nalaze u Rusiji).
  1. Kada internetska trgovina traži osobne podatke putem reklamnog obrasca za slanje pošte (pretplate na tematske materijale sa stranice - na primjer, knjižice s popustima, promotivni kodovi).

Prikupljanje osobnih podataka ovdje može se provoditi na sličan način - kvačicom uz stavku "Slažem se", datotekom privole i poveznicom na Politiku privatnosti s tekstom koji odražava činjenicu da kupac internetske trgovine ima pročitajte Politiku.

Među IT-stručnjacima i stručnjacima u području zakonodavstva o osobnim podacima rašireno je stajalište da se dobivanje privole osobe za obradu osobnih podataka treba provoditi na način koji podrazumijeva uspostavu „povećane pouzdanosti“ njegove htjeti. Uobičajenu shemu s upotrebom potvrdnog okvira s privolom i poveznicom na Politiku privatnosti takvi stručnjaci razmatraju s kritičnih pozicija - i, moram reći, ne bez razloga, jer, prema stručnjacima:

  • kvačicu je moguće staviti nasumično;
  • online obrazac se može učitati s pogreškom - kao opcija, bez poveznice na Politiku privatnosti, bez kvačice ili teksta koji je prati;
  • slučajno ili namjerno, korisnik može unijeti tuđe osobne podatke u obrazac.

Uzimajući u obzir ove nijanse, predlaže se dopuna razmatranog sustava - uz zadržavanje njegovih glavnih elemenata u obliku kvačice, privole i poveznice na Politiku privatnosti, s mehanizmom za dobivanje sekundarne privole. Mogućnosti organiziranja takvog mehanizma u slučaju internetske trgovine mogu biti:

  1. Obavezna registracija korisnika prije kupnje.

Takva registracija uključuje ispunjavanje, zapravo, istog obrasca s kvačicom, privolom i poveznicom na Politiku privatnosti, uz naknadno slanje od strane internetske trgovine na e-mail adresu koju je naveo korisnik pisma potvrde registracije (i na istovremeno potvrditi činjenicu davanja privole za obradu osobnih podataka i upoznavanje s Politikom privatnosti).

U ovom obrascu treba navesti prijavu i lozinku koju će korisnik koristiti za naknadnu prijavu na svoj račun na web stranici internetske trgovine.

Ukoliko korisnik dopisom ne potvrdi registraciju, privolu za obradu osobnih podataka neće se smatrati primljenom (ali će se ujedno smatrati da je korisnik pozvan da pročita Politiku privatnosti).

Razmatrani način dobivanja privole za obradu podataka s "povećanom pouzdanošću" trgovina može koristiti u marketinške svrhe. Putem osobnog računa kupac se može informirati o raznim popustima i akcijama, s njim razmjenjivati ​​poruke i rješavati druge zadatke specifične za interakciju između prodavatelja i kupca.

  1. Potvrda zasebne narudžbe e-poštom (bez obvezne registracije računa na web stranici internetske trgovine).

Algoritam takve potvrde, u načelu, bit će sličan onom koji karakterizira postupak registracije računa kupca, osim korištenja korisničke prijave i lozinke. U tom slučaju potvrda će se izvršiti, zapravo, isključivo u svrhu dobivanja privole za obradu osobnih podataka i potvrde da je osoba upoznata s prijedlogom za čitanje Pravila privatnosti.

Sljedeći veliki zadatak online trgovine je osigurati povjerljivost osobnih podataka u praksi.

1. Postavite pitanje našem stručnjaku na kraju članka.
2. Dobiti detaljan savjet i Potpuni opis nijanse!
3. Ili pronađite gotov odgovor u komentarima naših čitatelja.

Kako internetska trgovina može osigurati povjerljivost PD-a

Sukladno stavku 1. čl. 18.1 Zakona br. 152-FZ, operater osobnih podataka mora poduzeti mjere dovoljne za ispunjavanje obveza predviđenih zakonom. Istovremeno, operater samostalno utvrđuje popis odgovarajućih mjera - ako zakonom nije drugačije određeno.

Očito, prije svega govorimo o mjerama koje su osmišljene kako bi se osigurala povjerljivost osobnih podataka - to jest:

  • onemogućavanje pristupa osobama koje nemaju dopuštenje za čitanje predmetnog PD-a;
  • sprječavanje neovlaštene uporabe, izmjene, distribucije PD-a;
  • osiguranje potrebne zaštite PD-a od raznih kibernetičkih prijetnji, modificiranja, distribucije i drugih neovlaštenih radnji s PD-om zbog tehničkih kvarova.

Zakon predlaže sljedeće mjere za rješavanje ovih problema:

  1. Imenovanje od strane operatera sa statusom pravne osobe odgovornog djelatnika – koji organizira obradu PD u poduzeću.
  1. Operator razvija lokalne propise koji uređuju obradu PD-a u skladu sa zahtjevima zakona.
  1. Korištenje tehničkih sredstava za osiguranje zaštite od PD.
  1. Provođenje interne kontrole postupaka u okviru obrade PD.
  1. Provođenje procjene štete koja bi mogla nastati subjektima PD-a zbog povreda zakona o obradi osobnih podataka i otklanjanje posljedica tih povreda.
  1. Provođenje potrebnog rada sa zaposlenicima na usavršavanju znanja iz područja zaštite osobnih podataka.

Po načelu pravne analogije, sva ova pravila vrijede i za samostalne poduzetnike koji prodaju putem interneta. Uključujući - ako pojedinačni poduzetnik radi samostalno, bez sudjelovanja zaposlenika. U potencijalu, na ovaj ili onaj način, može imati kadar, a do tada bi trebao imati važeće lokalne propise koji reguliraju organizaciju obrade osobnih podataka.

Trebali biste znati da u skladu sa stavkom 4. čl. 18.1 Zakona br. 152-FZ, one dokumente koje internetska trgovina mora izdati u sklopu provedbe gore navedenih uputa i preporuka može zatražiti Roskomnadzor prilikom provođenja revizije gospodarskog subjekta.

Na ovaj ili onaj način, mjere kojima se osigurava da operater osobnih podataka ispunjava zahtjeve zakona (prvenstveno u smislu osiguranja povjerljivosti osobnih podataka) mogu se podijeliti u 2 skupine:

  • organizacijski (bitno i temeljno pravni);
  • tehničkog.

Organizacijske (pravne) mjere odnose se uglavnom na dokumentarnu regulativu primjene ovih mehanizama za interakciju internetske trgovine (koju zastupa vlasnik ili njegovi zaposlenici) s kupcem.

Treba napomenuti da se pri provedbi organizacijskih i zakonskih mjera očekuje razvoj

kupoprodajni ugovor (ponuda) između trgovine i kupca temeljem kojeg se izdaje privola za obradu osobnih podataka u drugačijem obliku od pisanog - s kvačicom u obrascu narudžbe i poveznicom na Privatnost Politika.

Tehničke mjere mogu se predstaviti u najširem rasponu - razmotrimo ih detaljnije.

Tehnička podrška opreme. Riješit ćemo sve probleme!

Ostavite zahtjev i dobit ćete konzultacije u roku od 5 minuta.

Koja je tehnička strana osiguranja povjerljivosti PD-a

Glavni izvor pravnih normi kojih se treba pridržavati prilikom rješavanja tehničkih problema radi osiguranja povjerljivosti osobnih podataka su odredbe čl. 19. Zakona br. 152-FZ.

Posebno se navodi da osiguranje sigurnosti osobnih podataka može provoditi:

  1. Utvrđivanje prijetnji sigurnosti podataka u sklopu njihove obrade pomoću informacijskih sustava.

U praksi provedba takve mjere podrazumijeva korištenje raznih antivirusnih i komplementarnih rješenja – koja bi trebala biti implementirana u sustav za upravljanje sadržajem. Takva rješenja osmišljena su za pravovremeno otkrivanje pokušaja automatskog ili ručnog neovlaštenog pristupa hakera osobnim podacima prikupljenim putem narudžbenica na stranici ili pohranjenim na poslužiteljima kojima administrira internetska trgovina.

  1. Korištenje tehničkih sredstava za povećanje razine sigurnosti osobnih podataka.

Prije svega, riječ je o različitim alatima za enkripciju podataka – tako da se oni, prilikom pristupanja istima, prezentiraju u obliku u kojem je nemoguće njihovo čitanje bez naknadne dešifriranja, s tim da samo dešifriranje mora biti autorizirano od strane online trgovine.

  1. Korištenje tehničkih sredstava za oporavak izbrisanih, oštećenih ili neovlašteno izmijenjenih osobnih podataka.

Ovdje možemo govoriti o rješenjima koja se primjenjuju kako bi se:

  • umnožavanje osobnih podataka u slučaju njihovog uklanjanja s izvornog medija (oštećenje ili izmjena);
  • zapravo, oporavak obrisanih (oštećenih ili modificiranih) podataka s postojećih medija.
  1. Korištenje tehničkih sredstava za razgraničenje pristupa (određivanje razina pristupa) osobnim podacima ovisno o statusu osobe koja ima ovlast za obradu osobnih podataka.

Tako npr. voditelj internetske trgovine može imati pristup samo kontakt podacima kupca (kako bi ga mogao kontaktirati u slučaju bilo kakvih pitanja), a voditelj dostave također ima pristup adresi. Ili - prvi može imati samo ovlasti za čitanje kontakata, a drugi - za njihovu promjenu.

  1. Primjena sustava kontrole osoba koje obrađuju osobne podatke.

Doista, sami lokalni propisi nisu dovoljni da bi se osigurala povjerljivost osobnih podataka – potreban je mehanizam za kontrolu njihove provedbe. Rješenja ovdje mogu biti vrlo različita - od selektivnog praćenja radnji određenih zaposlenika online trgovine do uvođenja alata za kontinuiranu analizu prometa za neovlašteni prijenos osobnih podataka.

Koliko bi trebao biti siguran Informacijski sistem za obradu osobnih podataka određuje se na temelju potencijalne štete koja može nastati sustavu zbog utjecaja prijetnji tipičnih za njega. Popisi takvih prijetnji i zahtjevi za sigurnost sustava, koji odgovaraju stupnju prijetnji, definirani su Uredbom Vlade Rusije od 1. studenog 2012. br. 1119.

Razmotrimo ih detaljnije.

Koliko bi internetska trgovina trebala biti sigurna za sigurnu obradu PD-a

Vlasnik internetske trgovine, kako bi utvrdio koje su specifične mjere potrebne za osiguranje potrebne razine zaštite osobnih podataka, treba koristiti tablicu u Dodatku Sastavu i sadržaju organizacijskih i tehničkih mjera, koji je odobren Naredbom br. 21.

Imajte na umu da se ovaj popis prije svega odnosi na sve iste kadrovske nijanse organiziranja rada internetske trgovine. Ali čak i ako je njegov vlasnik samostalni poduzetnik koji radi bez osoblja, tada će, posebno, kako bi osigurao zaštitu osobnih podataka kupaca barem na razini 1, morati:

  • primijeniti sredstva identifikacije i autentifikacije korisnika;
  • upravljanje korisničkim računima;
  • kontrolirati pristup poslužitelju na kojem se nalazi PD;
  • koristiti antivirusni program;
  • identificirati incidente povezane s neovlaštenim pristupom PD-u.

Naravno, značajan dio takvog posla ima smisla delegirati pojedinačnom poduzetniku (i pravnoj osobi, naravno) partneru treće strane - na primjer, vlasniku hostinga na kojem se nalazi web stranica online trgovina. No, prijenos takvih ovlasti mora biti pravilno pravno osiguran – detaljnim ugovorima koji kompetentno razgraničavaju odgovornost internetske trgovine i njezinog partnera, čime se osigurava zaštita osobnih podataka kupaca u skladu sa zakonom.

U praksi, mnogi od suvremenih CMS sustava za upravljanje sadržajem imaju potrebnu funkcionalnost kako bi osigurali da rad internetske trgovine ispunjava gore navedene zahtjeve u vezi s uspostavljanjem sigurnosnih razina za obradu osobnih podataka.

Ali, naravno, u mnogim slučajevima potrebno je njihovo usavršavanje i dodavanje. U pravilu, najveći pružatelji rješenja za upravljanje stranicama i usluge hostinga pokušavaju ponuditi svojim kupcima proizvode koji najbolje zadovoljavaju karakteristike zahtjeva utvrđenih zakonom br. 152 i standardima odjela. No, pri odabiru određenog CMS sustava uvijek je dobro potražiti dodatni stručni savjet o njegovoj usklađenosti sa zakonima o zaštiti osobnih podataka.

Ovo su glavne nijanse koje karakteriziraju ispunjavanje online trgovine zahtjeva Zakona br. 152-FZ i pratećih pravnih akata u smislu interakcije s kupcima robe. Međutim, takva interakcija može se provoditi iu drugim pravnim kontekstima. Konkretno - odražava nagodbe između trgovine i kupca pomoću inovativne vrste CCP-a

Kao što smo primijetili na početku članka, prema Zakonu br. 152-FZ, osobni podaci uključuju sve informacije koje se mogu izravno ili neizravno odnositi na određenu osobu (ili identificirati osobu). Očito, e-mail ili telefon mogu biti barem neizravni identifikatori.

Što se tiče e-pošte, ona može biti u obliku [e-mail zaštićen], a ako takva adresa e-pošte procuri iz baza podataka internetske trgovine, treće strane mogu lako shvatiti da je Stepan Petrov, koji je rođen 1976. u Moskvi i studira na Sveučilištu Massachusetts, kupovao u trgovini.

S telefonom je teže - ali po želji se može računati i kao neizravni identifikator. Na primjer, osoba koja je neovlašteno primila broj iz internetske trgovine može ga nazvati i, predstavljajući se kao osoba iz kurirske službe, zatražiti od pretplatnika da pojasni svoje puno ime i adresu za dostavu - ali zapravo, izdati nametljivu reklamnu poštu .

Dakle, unatoč činjenici da prema Zakonu br. 54-FZ, koji regulira korištenje internetskih blagajni, kupci internetskih trgovina dobrovoljno ostavljaju svoje kontakte za primanje čekova, govorimo o prijenosu osobnih podataka prodavatelju.

Znači li to da će radnje s takvim podacima podlijegati istim zahtjevima koji karakteriziraju obradu ostalih osobnih podataka?

Imajte na umu da su neki od ovih zahtjeva i dalje relevantni. Na primjer, internetska trgovina koja plaća putem internetske blagajne mora:

  • kupcima jamče pravo na dobivanje informacija o obradi PD-a;
  • osigurati povjerljivost podataka;
  • u skladu s ostalim zahtjevima Zakona br. 152-FZ (osobito o postavljanju PD-a na ruske poslužitelje).

Prije svega, takvi zahtjevi neće uključivati ​​dobivanje privole za obradu osobnih podataka.

Činjenica je da u stavku 1. čl. 6 Zakona br. 152-FZ navodi niz iznimaka od pravila o potrebi dobivanja pristanka. Takve iznimke uključuju obradu podataka u okviru obavljanja funkcija i dužnosti koje su mu zakonom dodijeljene od strane operatera. Takve funkcije i odgovornosti internetske trgovine mogu legitimno uključivati ​​odredbe Zakona br. 54-FZ - o formiranju novčanih primanja za obračune s kupcima.

Dakle, privolu za primanje e-pošte i telefona - kao vrste osobnih podataka, internetska trgovina nije dužna tražiti od kupca.

Naravno, ne postoje zakonske zapreke da se od kupaca traži privolu za obradu osobnih podataka dostavljenih e-mailom i telefonom, uz traženje privole za obradu ostalih osobnih podataka. Odnosno, u Privoli - koja se preuzima prilikom potvrde narudžbenice, te u priloženoj Politici osobnih podataka, može se navesti da će dio podataka - e-mail i telefonski broj kupca, koristiti internetsku trgovinu u skladu s odredbama Zakona br. 54-FZ. Odnosno - kupcu poslati elektroničke blagajničke račune.

Ali taj je postupak, strogo govoreći, neobavezan sa stajališta zakonodavstva - iako uopće nije težak.

Istodobno, prodavatelj treba imati na umu da primitak osobnih podataka u svrhu poštivanja normi Zakona br. 54-FZ ne potpada pod iznimke propisane stavkom 2. čl. 22. Zakona br. 152-FZ - one koje se odnose na obvezu obavještavanja Roskomnadzora o primitku osobnih podataka. To je - prilikom prihvaćanja plaćanja putem interneta, takva će se obavijest morati dostaviti. Agencija, primivši obavijest od internetske trgovine, istu upisuje u registar operatera osobnih podataka.

Obavijest mora sadržavati:

  1. Naziv dokumenta je „Obavijest o obradi osobnih podataka“.
  1. Naziv operatera, njegovu pravnu adresu.
  1. Pravni temelji, svrhe obrade podataka.
  1. Vrste obrađenih podataka.
  1. Kategorije osoba koje postaju subjekti osobnih podataka.
  1. Metode obrade podataka.
  1. Sigurnosne mjere obrade podataka.
  1. Informacije o lokaciji poslužitelja na kojima su pohranjeni osobni podaci.
  1. Datumi početka obrade podataka.
  1. Uvjeti za prestanak obrade podataka.

Navedeno je puno ime i funkcija autora obavijesti. Stavlja datum dokumenta, potpisuje ga.

Dakle, vlasnicima internetskih trgovina zakon nameće impresivnu količinu obveza. A sankcije za nepoštivanje vrlo su ozbiljne. Proučimo ih.

Odgovornost i nove kazne

Za kršenje zahtjeva zakona o ovom pitanju predviđene su sljedeće sankcije:

  1. Administrativne kazne.

Njihov glavni popis definiran je u čl. 13.11 Zakonika o upravnim prekršajima Ruske Federacije. Ali neki su navedeni u odgovarajućim člancima Kodeksa.

Uobičajene kazne uključuju:

  • za obradu PD-a bez pristanka njihovog vlasnika - do 20 tisuća rubalja za dužnosnike i pojedinačne poduzetnike, do 75 tisuća rubalja - za pravne osobe (članak 13.11 Zakonika o upravnim prekršajima Ruske Federacije);
  • za odbijanje pružanja pojedincu informacija koje ima pravo upoznati po zakonu - do 10 tisuća rubalja za službenike i samostalne poduzetnike (članak 5.39 Zakonika o upravnim prekršajima Ruske Federacije);
  • za nezakonitu (koja nije predviđena određenim svrhama) obradu osobnih podataka - do 10 tisuća rubalja za dužnosnike i pojedinačne poduzetnike, do 50 tisuća rubalja za pravne osobe (članak 13.11 Zakonika o upravnim prekršajima Ruske Federacije);
  • za nepostojanje objavljene Politike privatnosti - do 6 tisuća rubalja za službenike, za pojedinačne poduzetnike - do 10 tisuća rubalja, za pravne osobe - do 30 tisuća rubalja (članak 13.11 Zakonika o upravnim prekršajima Ruske Federacije) ;
  • za odbijanje upoznavanja pojedinca s informacijama o obradi njegovog PD-a - do 6 tisuća rubalja za dužnosnike, do 15 tisuća rubalja - za samostalne poduzetnike, do 40 tisuća rubalja - za pravne osobe (članak 13.11 Administrativnog zakona Kaznena djela Ruske Federacije).
  1. Kaznena odgovornost.

Sukladno čl. 137 Kaznenog zakona Ruske Federacije nezakonito prikupljanje osobnih podataka čine osobna tajna građanin, može dovesti do novčane kazne do 200 tisuća rubalja ili imenovanja popravnog rada, diskvalifikacije, zatvorske kazne do 2 godine.

  1. utvrđeno u parničnom postupku.

Ovdje možemo govoriti o raznim sankcijama, ali tipične uključuju:

  • obveza nadoknade gubitaka prouzročenih subjektu PD-a kao rezultat kršenja odredbi Zakona br. 152-FZ od strane operatora;
  • obvezu naknade moralne štete subjektu PD.

Na ovaj ili onaj način, sa najvjerojatnije ako internetska trgovina krši norme Zakona br. 152-FZ, na nju će se primijeniti administrativne sankcije. Istodobno, treba imati na umu da se najteže od njih - posebice novčana kazna za nepribavljanje privole za obradu podataka (do 75 tisuća rubalja) primjenjuju u slučaju kršenja zahtjeva za dobivanje pisanog suglasnost za obradu osobnih podataka. Ako je dopušteno dobiti pristanak u bilo kojem pouzdanom obliku, onda ako takav pristanak nije dobiven, primjenjuje se sankcija u obliku novčane kazne za nezakonitu obradu podataka (do 50 tisuća rubalja).

Postoji mogućnost primjene niza dodatnih administrativnih sankcija operateru. Na primjer:

  • u obliku novčane kazne za nepoštivanje zahtjeva za zaštitu podataka - do 2 tisuće rubalja za dužnosnike i pojedinačne poduzetnike, do 15 tisuća rubalja - za pravne osobe (članak 13.12 Zakonika o upravnim prekršajima Ruske Federacije);
  • u obliku novčane kazne za nedostavljanje obavijesti Roskomnadzoru - do 500 rubalja za dužnosnike i pojedinačne poduzetnike, do 5000 rubalja - za pravne osobe (članak 19.7 Zakonika o upravnim prekršajima Ruske Federacije).

Teoretski, moguće je blokirati web stranicu internetske trgovine – sudskom odlukom. Na primjer, ako dopusti nezakonitu objavu osobnih podataka kupaca bez njihovog pristanka u pregledu kupnje.

Ovisno o konkretnoj povredi i području pravnih odnosa u kojima je povreda počinjena, protiv operatera osobnih podataka mogu se pokrenuti različite sankcije.

Konkretno, proširio je popis osnova za dovođenje u upravnu odgovornost za nezakonitu obradu osobnih podataka (PD) i povećao kazne.

Osobni podaci: novčane kazne

Baza Iznos novčane kazne
pojedinaca Službenici pravna osoba IP
Obrada PD-a u slučajevima koji nisu predviđeni zakonodavstvom Ruske Federacije; Obrada PD-a nekompatibilna sa svrhom prikupljanja PD-a upozorenje ili novčana kazna - od 1000 do 3000 rubalja. opomena ili novčana kazna - od 5000 do
10 000 rub.		 upozorenje ili novčana kazna - od 30.000 do 50.000 rubalja.
Obrada PD-a bez pisanog pristanka njihovog subjekta od 3000 do 5000 rubalja. od 10.000 do 20.000 rubalja. od 15 000 do 75 000 rubalja.
Neispunjavanje obveze objave ili omogućavanja uvida u dokument kojim se definira politika obrade PD-a, odnosno informacije o zaštiti PD-a od 700 do 1500 rubalja. od 3000 do 6000 rubalja. od 15.000 do 30.000 rubalja. od 5.000 do 10.000 rubalja.
Nedavanje podataka subjektu PD o njihovoj obradi upozorenje ili novčana kazna - od 1000 do 2000 rubalja. upozorenje ili novčana kazna - od 4000 do 6000 rubalja. upozorenje ili novčana kazna - od 20.000 do 40.000 rubalja. upozorenje ili novčana kazna - od 10.000 do 15.000 rubalja.
Nepoštivanje zahtjeva subjekta PD-a ili njegovog predstavnika od strane operatera da pojasni, blokira, uništi (ako je PD nepotpun, zastario, netočan, nezakonito dobiven, nije potreban za navedenu svrhu obrade) upozorenje ili izricanje novčane kazne u iznosu od 1000 do 2000 rubalja. opomena ili novčana kazna - od 4000 do
10 000 rub.		 upozorenje ili novčana kazna - od 25.000 do 45.000 rubalja. upozorenje ili novčana kazna - od 10.000 do 20.000 rubalja.
Propust operatera, prilikom obrade PD-a bez alata za automatizaciju, da osigura sigurnost PD-a, što je dovelo do nezakonitog ili slučajnog pristupa PD-u i postalo razlogom za njihovo uništavanje, modificiranje, blokiranje, kopiranje od 700 do 2000 rubalja. od 4000 do
10 000 rub.		 od 25 000 do 50 000 rubalja. od 10.000 do 20.000 rubalja.
Neispunjenje obveze operatera (državnog ili općinskog tijela) depersonalizacije PD-a; nepoštivanje zahtjeva za depersonalizaciju PD upozorenje ili izricanje administrativne novčane kazne - od 3.000 do 6.000 rubalja.

Imajte na umu: upravo takva osnova kao što je obrada osobnih podataka bez pristanka njihovog subjekta predviđa najveće novčane kazne za sve kategorije prekršitelja - do 75.000 rubalja.

S tim u vezi postavljaju se brojna pitanja, a najčešća su:

  • Jesam li voditelj obrade podataka?
  • Primjenjuje li se zakon o osobnim podacima na mene?
  • Kako obavijestiti Roskomnadzor o obradi osobnih podataka?
  • Što bi vlasnik web stranice trebao učiniti da izbjegne kazne?

Pozabavimo se svim pitanjima redom.

Puno se priča o izmjenama zakona o osobnim podacima, a mi smo se odlučili pridružiti

Što se događa?

  • uvode se nove formulacije upravni prekršaji za kršenje zakona iz područja osobnih podataka (više razloga da vas se malo kazni),
  • postupak za dovođenje do upravne odgovornosti za prekršaje je pojednostavljen (postaje lakše novčano vas kazniti),
  • povećava se iznos kazni (lakše - i zanimljivije!).

Ako je ranije kazna iznosila 10.000 rubalja, onda nakon 1. srpnja ukupni iznos kazni za pravne osobe može doseći 295.000 rubalja. Sada ima ekonomskog smisla baviti se tim nesretnim osobnim podacima.

Tko može biti novčano kažnjen?

Svatko tko obrađuje osobne podatke. A obrada osobnih podataka je svaka radnja za prikupljanje, pohranu, snimanje, korištenje, prijenos osobnih podataka (klauzula 3, članak 3 Saveznog zakona "O osobnim podacima" br. 152-FZ).

Što su osobni podaci?

Sve informacije koje mogu identificirati osobu. U smislu zakona - svaka informacija koja se odnosi na izravno ili neizravno identificiranu ili prepoznatljivu fizičku osobu (subjekt osobnih podataka).

Takve informacije su npr.

U konačnici, ako ste u nedoumici je li nešto osobni podatak, najbolje je pretpostaviti da jest, za svaki slučaj.

Što trebam učiniti ako sam vlasnik stranice i primam osobne podatke?

Stranica mora biti u skladu sa zahtjevima Zakona.

1. Suglasnost za obradu osobnih podataka mora biti objavljena, bez čije suglasnosti korisnik ne može slati podatke.
2. Postavite na stranicu u javnu domenu poveznicu na dokument - politiku organizacije o obradi osobnih podataka.
3. Svi novi korisnici stranice moraju biti upozoreni skočnom porukom na stranici o prikupljanju korisničkih podataka (kolačići, IP adresa i podaci o lokaciji) kako bi se osigurao rad stranice. Ako korisnik ne želi dati te podatke, mora napustiti stranicu ili postaviti svoju softver i/ili opreme na način da stranica ne prima te podatke ili je iz njih nemoguće odrediti korisnika.
4. Odredite morate li podnijeti obavijest o osobnoj obradi Roskomnadzoru. Od zahtjeva da se obavijesti Roskomnadzor postoje iznimke(o tome više u nastavku, a vidi i 2. dio članka 22. Zakona).

Što je s odgovornošću?

Do 1. srpnja 2017. pokrenuti predmete na upravni poslovi u vezi s osobnim podacima, samo je tužitelj imao pravo, od 01. srpnja 2017., slučajeve prema članku 13.11 Zakonika o upravnim prekršajima imat će pravo pokretati slučajeve od strane službenika Roskomnadzora (klauzula 58, dio 2, članak 28.3 Zakona o upravnim prekršajima Ruske Federacije). Ako je prije 1. srpnja 2017. bio jedan prekršaj (opća povreda u području osobnih podataka), sada ih je više:

prekršaj Administrativna kazna Zaštita od rizika
Obrada osobnih podataka u "druge" svrhe
Obrada osobnih podataka u slučajevima koji nisu predviđeni zakonom ili obrada osobnih podataka koja je nespojiva sa svrhom prikupljanja osobnih podataka (1. dio članka 13.11 Zakonika o upravnim prekršajima Ruske Federacije).		 Opomena ili kazna:
  • za građane - u iznosu od 1000 do 3000 rubalja;
  • za službene osobe - od 5.000 do 10.000 rubalja;
  • za pravne osobe - od 30.000 do 50.000 rubalja.
 Obrađivati ​​osobne podatke samo u svrhe navedene u privoli i politici te u skladu s 1. dijelom čl. 3. Zakona o osobnim podacima.
Obrada osobnih podataka bez privole
Obrada osobnih podataka bez pisanog pristanka u slučajevima kada se takav pristanak mora dobiti u skladu sa zakonodavstvom Ruske Federacije (2. dio članka 13.11 Zakonika o upravnim prekršajima Ruske Federacije).		 Fino:
  • za građane - u iznosu od 3.000 do 5.000 rubalja;
  • za dužnosnike (na primjer, direktor, kadrovski službenik ili pojedinačni poduzetnik) - od 10.000 do 20.000 rubalja;
  • za organizacije - od 15.000 do 75.000 rubalja.
 Dobiti privolu za obradu. Istodobno, suglasnost za obradu osobnih podataka mora sadržavati informacije navedene u dijelu 4. članka 9. Zakona br. 152-FZ.
Nemogućnost pristupa politici obrade osobnih podataka
Propust operatora da ispuni obvezu objave ili na drugi način omogući neograničen pristup dokumentu kojim se definira politika operatera u pogledu obrade osobnih podataka, odnosno informacija o provedenim zahtjevima za zaštitu osobnih podataka. (3. dio članka 13.11 Zakona o upravnim prekršajima Ruske Federacije).		 Opomena ili kazna:
  • za građane - od 700 do 1500 rubalja;
  • za dužnosnike (na primjer, direktora ili glavnog računovođu) - od 3.000 do 6.000 rubalja;
  • za pojedinačne poduzetnike - od 5.000 do 10.000 rubalja;
  • za organizacije - od 15.000 do 30.000 rubalja.
 Objaviti na stranicama dokument kojim definira svoju politiku obrade osobnih podataka i podatke o zahtjevima zaštite osobnih podataka koji se provode, te omogućiti pristup navedenom dokumentu.
Skrivanje informacija od subjekta o osobnim podacima prikupljenim o njemu
Propust operatora da ispuni obvezu pružanja informacija u vezi s obradom osobnih podataka, uključujući informacije navedene u dijelu 7. čl. 14. Zakona od 27. srpnja 2006. br. 152-FZ) (4. dio članka 13.11 Zakonika o upravnim prekršajima Ruske Federacije).		 Opomena ili kazna:
  • za građane - od 1000 do 2000 rubalja;
  • za službenike (na primjer, direktor, kadrovski službenik ili računovođa) - od 4.000 do 6.000 rubalja;
  • za pojedinačne poduzetnike - 10.000 do 15.000 rubalja;
  • za pravne osobe (organizacije) - od 20.000 do 40.000 rubalja.
 Pružiti subjektu osobnih podataka informacije o obradi njegovih osobnih podataka u rokovima utvrđenim zakonom.
Nepoštivanje zahtjeva za uništavanje i blokiranje osobnih podataka
Neispunjavanje operatera zahtjeva za razjašnjavanjem osobnih podataka, njihovim blokiranjem ili uništavanjem (dio 5 članka 13.11 Zakonika o upravnim prekršajima Ruske Federacije).		 Opomena ili kazna:
  • za građane - od 1000 do 2000 rubalja;
  • za dužnosnike (na primjer, direktor, kadrovski službenik ili glavni računovođa) - od 4.000 do 10.000 rubalja;
  • za pojedinačne poduzetnike - od 10.000 do 20.000 rubalja;
  • za pravne osobe - 25.000 do 45.000 rubalja.
 Ispuniti zahtjeve za pojašnjenje osobnih podataka, njihovo blokiranje ili uništenje, u rokovima utvrđenim zakonom.
Nesigurnost osobnih podataka
Propust operatera da osigura sigurnost osobnih podataka, ako je to dovelo do nezakonitog ili slučajnog pristupa osobnim podacima. A to je pak bio razlog za njihovo uništavanje, mijenjanje, blokiranje, kopiranje, dostavljanje, distribuciju ili drugu nezakonitu radnju. (6. dio članka 13.11 Zakona o upravnim prekršajima Ruske Federacije).		 Fino:
  • za građane - 700 do 2000 rubalja;
  • za dužnosnike (na primjer, upravitelja) - od 4.000 do 10.000 rubalja;
  • za pojedinačne poduzetnike - od 10.000 do 20.000 rubalja;
  • za organizacije - od 25.000 do 50.000 rubalja.
 Osigurati pohranu fizičkih medija osobnih podataka, odobriti pravila za dobivanje pristupa osobnim podacima.
Neobavještavanje Roskomnadzora o obradi podataka
Nepodnošenje obavijesti o obradi osobnih podataka Roskomnadzoru, njeno nepravodobno podnošenje ili podnošenje obavijesti koja sadrži nepotpune ili netočne podatke (članak 19.7 Zakonika o upravnim prekršajima Ruske Federacije).		 Opomena ili kazna:
  • za građane - od 100 do 300 rubalja;
  • za službenike (uključujući samostalne poduzetnike - napomena uz članak 2.4 Zakonika o upravnim prekršajima Ruske Federacije) - od 300 do 500 rubalja. Istovremeno, prema napomeni uz čl. 2.4 Zakonika o upravnim prekršajima Ruske Federacije, takve osobe su čelnici i drugi zaposlenici organizacija koje obavljaju organizacijske i upravne ili upravne i gospodarske funkcije;
  • za pravne osobe - od 3000 do 5000 rubalja.
 Ako obrađujete, pohranjujete osobne podatke, vi ste operater i morate obavijestiti Roskomnadzor (1. dio članka 22., stavak 2. članka 3. Zakona).

Iznimka: obavijestiti Roskomnadzor nema potrebe(član 22. dio 2. Zakona), ako:

  • Vi obrađujete podatke zaposlenika (1. stavak 2. članak 22. Zakona).
  • Ako obrada uključuje samo prezimena, imena i patronime subjekata osobnih podataka (članak 5. dio 2. članak 22. Zakona).

Nepostojanje obveze obavještavanja Roskomnazdora ne izuzima od obveze dobivanja privole za obradu osobnih podataka i politike obrade. Na primjer, ako imate zaposlenike, tada se suglasnost za obradu osobnih podataka mora sačiniti posebnim dokumentom ili u samom ugovoru o radu ostaviti redak za potpis zaposlenika (sudska praksa smatra da ako je suglasnost za obradu osobnih podataka). U ugovoru o radu navedeni su osobni podaci, ali nema mjesta za potpis radnika, nije dana suglasnost radnika).

Važno je zapamtiti: politike, privola za obradu mora biti sastavljena uzimajući u obzir koje podatke obrađujete i na koji način. To znači da te dokumente nije dovoljno samo preuzeti na mrežu, već ih morate preraditi za sebe. Ako dokumenti ne uzimaju u obzir vaše procese obrade, smatrajte da nemate te dokumente.

I što je najvažnije, koliko je realan rizik od kaznenog progona?

Odgovor će ovdje biti krajnje nejasan. S obzirom na nove ovlasti Roskomnadzora, nove članke u Zakonu o upravnim prekršajima i njihove značajne iznose, rizik od odgovornosti će se povećati u usporedbi s prije. Ali koliko? Praksa će pokazati.

I zadnje što brine o nadolazećim promjenama: Sada su registri naziva domena (osobito veliki) na zahtjev odvjetnika u ime nositelja prava, spremni izdati podatke o administratoru naziva domene (pojedincu) čiji naziv domene ili web stranica na ovom nazivu domene krši prava ovog prava držač.

Što će se dogoditi nakon 1. srpnja, nije jasno. Ako matičari prestanu izdavati podatke o upravitelju-pojedincu (njegovo puno ime, adresa), pozivajući se na potrebu čuvanja osobnih podataka, tada će se nositelj prava naći u teškoj situaciji: neće se moći obratiti sudu, jer ne zna koga da tuži.

Nositelj autorskih prava može podnijeti tužbu vlasniku stranice (naravno ako su njegovi kontakti na stranici), a ne administratoru domene, a potom i sudski zahtjev da se utvrdi tko je administrator domene. Međutim, arbitražni sud više neće razmatrati tužbu protiv upravitelja zbog nepoštivanja tužbenog postupka za rješavanje sporova. No, nositelj autorskog prava nije mogao udovoljiti ovoj proceduri tužbe jer nije znao kome pisati.

A pokazalo se da nakon nekoliko mjeseci parnica kada nositelj autorskog prava otkrije tko je administrator i pošalje mu tužbu, iznos štete za nositelja autorskog prava može postati vrlo značajan.

Nadalje, u vezi s pojašnjenjima Suda o intelektualna prava, neki se zahtjevi mogu uputiti samo administratoru domene, ali ne i vlasniku web-mjesta. Iz toga proizlazi da nositelj autorskog prava još mora potrošiti novac na parnicu s vlasnikom stranice, koja mu ionako ne treba. Ne postoji takav problem ako administrator domene - entitet, ali ima puno pojedinačnih administratora.