• Namai
  •  > 
  • Viskas apie „YouTube“
  •  > 
  • Asmens duomenų tvarkymas per metus. Federalinis asmens duomenų įstatymas. Kaip vartotojas gali pašalinti savo duomenis iš duomenų bazės

Asmens duomenų tvarkymas per metus. Federalinis asmens duomenų įstatymas. Kaip vartotojas gali pašalinti savo duomenis iš duomenų bazės

Teisinės informacijos portale yra Rusijos Federacijos prezidento pasirašytas „Dėl Rusijos Federacijos administracinių nusižengimų kodekso pakeitimų“, kuriame nustatomos naujos baudos už Rusijos Federacijos įstatymų pažeidimą asmens duomenų srityje, įsigaliosiančios 2017 m. Liepos 1 d..

Federalinio įstatymo nuostatose nurodomi administracinės atsakomybės priemonių už Rusijos Federacijos įstatymų pažeidimus asmens duomenų srityje taikymo pagrindai, atsižvelgiant į 2006 m. Liepos 27 d. Federalinio įstatymo Nr. 152-ФЗ „Dėl asmens duomenų“ pakeitimus. Iš esmės keičiami 13.11 straipsnis, taip pat Rusijos Federacijos administracinio kodekso 28.3 ir 28.4 straipsniai.

Taigi, kas pasikeis asmens duomenų srityje nuo 2017 m. Liepos 1 d. Naujajame 13.11 straipsnio leidime dabar yra septyni konkretūs nusikaltimai ir numatytos baudos, kurių didžiausia - 75 tūkst. Rublių (juridiniams asmenims). Kitaip nei ankstesniame 13.11 straipsnio leidime, naujame straipsnio leidime aiškiai nustatyti atvejai, už kuriuos PD operatorius gali būti nubaustas. Pvz., Pagal 13.11 straipsnį ji gali būti nubausta už federalinio įstatymo Nr. 242 pažeidimą, o naujojo leidimo to padaryti neįmanoma, taip pat sunku nubausti už tai, kad nepranešta apie „Roskomnadzor“.

13.11 straipsnio tekstai trumpai pristatomi žemiau esančiame paveikslėlyje. Detalesnis aprašymas - galite atsisiųsti lentelės pavidalu. Straipsnyje pateikiama analizė kiekvienam straipsniui.

Prisiminkite, kad 13.11 straipsnio pataisos buvo rengiamos nuo 2014 m. Gruodžio mėn., Tačiau įstatymų leidėjai ilgą laiką įšaldė su jais susijusį darbą. Reikšmingiausias ankstyvosios šio įstatymo projekto variantas buvo palyginti didelė (iki 300 000 rublių) bauda už neteisėtą specialiųjų kategorijų asmens duomenų tvarkymą, tačiau priimtoje versijoje šis tekstas buvo pašalintas:

Tvarkome specialias asmens duomenų kategorijas- susijusios su rasine, etnine, politinėmis pažiūromis, religiniais ar filosofiniais įsitikinimais, sveikatos būkle, intymiu gyvenimu ir   taip pat asmens duomenis apie teistumą įstatymų nenumatytais atvejais   Rusijos Federacija dėl asmens duomenų,
- reiškia administracinės baudos paskyrimą piliečiams nuo trijų tūkstančių iki penkių tūkstančių rublių; pareigūnams - nuo dešimties tūkstančių iki dvidešimt penkių tūkstančių rublių; individualiems verslininkams - nuo penkiasdešimt tūkstančių iki šimto tūkstančių rublių;juridiniams asmenims   - nuo šimto penkiasdešimt tūkstančių iki trijų šimtų tūkstančių rublių.

Kokios yra pagrindinės pakeitimų priėmimo pasekmės? Jų yra keletas:

  1. Kadangi 13.11 straipsnio formuluotė tapo konkretesnė, daugelis ekspertų išreiškia susirūpinimą ( , ), kad rinkos apribojimo schema gali iš esmės pasikeisti. Jei pagal dabartinę versiją bausmė galėtų būti viena už „Įstatymų nustatytos tvarkos pažeidimas ...“Apskritai, nesvarbu, kiek buvo nustatyta pažeidimų, pasikeitė naujoji 13.11 straipsnio redakcija ir jame tiesiog išvardyti septyni pažeidimai, už kuriuos galima surašyti atskirą protokolą ir paskirti atskirą baudą. Matyt, tikrinimo metu turėtume tikėtis bendros baudos padidėjimo.
  2. Administracinių teisės pažeidimų protokolai, kvalifikuojami pagal naująją 13.11 straipsnio redakciją, bus po liepos 1 d „Roskomnadzor“ pareigūnai   ir jos teritorinės administracijos, o ne prokurorai, kaip yra dabar. Baudžiamojo persekiojimo trukmė išlieka ta pati kaip ir anksčiau - 3 mėnesiai, tačiau baudžiamojo persekiojimo tvarka buvo žymiai supaprastinta: buvo sumažinta grandinė „teritorinis Roskomnadzor administravimas“ - „Prokuratūra“ - „Teismas“, medžiagos judės greičiau ir baudos greičiausiai padidės.
  3. Operatoriai gali būti įtraukiami ne dėl visų anksčiau 13 straipsnio 11 dalyje nurodytų pažeidimų, remiantis nauja redakcija: šiame straipsnyje nenumatyta, pavyzdžiui, atsakomybė už Federalinio įstatymo Nr. 242 dėl asmens duomenų bazių lokalizacijos nesilaikymą.

2017 m. Liepos 1 d. Įsigaliojo Rusijos Federacijos Administracinių nusižengimų kodekso 13.11 straipsnio pakeitimai, pagal kuriuos baudos už asmens duomenų srities teisės aktų pažeidimą buvo žymiai padidintos.

Pirkdami internetu parduotuvėse pirkėjai palieka tam tikrą informaciją apie save - vardą, pavardę, pristatymo adresą ir kitus kontaktinius duomenis. Todėl internetinių parduotuvių savininkai turėtų atidžiai išnagrinėti šią problemą ir užtikrinti, kad būtų laikomasi 2006 m. Liepos 27 d. Federalinio įstatymo Nr. 152-FZ „Dėl asmens duomenų“, kai prekiaujama internetu.

Parodysime, kuri mūsų katalogo kasa yra tinkama jūsų verslui.

Kas susiję su asmens, kuris lankosi internetinėje parduotuvėje, asmeniniais duomenimis

Asmens duomenys - tai bet kokia informacija, tiesiogiai ar netiesiogiai susijusi su konkrečiu asmeniu arba leidžianti ją identifikuoti (Asmens duomenų įstatymo Nr. 152-FZ 3 straipsnio 1 dalis).

Internetinės parduotuvės organizavimo kontekste asmeniniai slapukai iš principo gali apimti net slapukus, kurie visų pirma naudojami individualizuojant produktų pasiūlymus konkretiems vartotojams. Yra teismų precedentų, patvirtinančių tokių bylų priskyrimą asmens duomenims - pavyzdžiui, 2016 m. Kovo 11 d. Maskvos arbitražo teismo sprendimas byloje Nr. A40-14902 / 2016-84-126 11.

Asmens duomenys gali būti:

  • perdirbta;
  • dažnas;
  • pasikeitė;
  • teikiama vienam ar kitam asmeniui (atskleista);
  • ištrinta.

Šiuos veiksmus atlieka asmens duomenų operatorius. Tai gali būti bet kuris asmuo, organizacija ar valstybės ar savivaldybės valdžia. Įskaitant, žinoma, internetinę parduotuvę - kurią įsteigė asmuo (IP) arba kuri priklauso juridiniam asmeniui.

Todėl internetinė parduotuvė, tapdama asmens duomenų valdytoju, privalo laikytis Įstatymo Nr. 152-FZ nuostatų. Bet kokiais atvejais jis įgyja tokį statusą?

Norint įgyti asmens duomenų valdytojo statusą, pakanka, kad ūkio subjektas atliktų bet kokią jų tvarkymui būdingą procedūrą, visų pirma:

  • kolekcija;
  • įrašyti;
  • sisteminimas;
  • kaupimasis;
  • patikslinimas;
  • aplikacija;
  • paskirstymas.

T. y., Atlikęs bent pirmąją procedūrą - duomenų rinkimą (praktiškai gavimą iš kliento naudojantis internetine forma), internetinė parduotuvė tampa operatoriumi ir ji privalo vykdyti įstatymo Nr. 152-FZ nuostatas.

Atskiras teisinių santykių segmentas, kuriame reikalaujama laikytis teisės aktų dėl asmens duomenų, yra internetinės parduotuvės kaip darbdavio ir jos darbuotojų sąveika (dirbant tiek nuotoliniu būdu, tiek neprisijungus prie internetinės parduotuvės padalinių). Tačiau tokie teisiniai santykiai paprastai yra vykdomi pagal jurisdikciją tų teisės normų, kurios yra svarbios darbdavių ir darbuotojų sąveikai (nuotolinei ar neprisijungus), nepriklausomai nuo jų vykdomos veiklos rūšies.

Savo ruožtu duomenų mainai tarp internetinės parduotuvės ir jos klientų sudaro atskirą ir iš tikrųjų unikalų - kalbant apie Įstatymo Nr. 152-FZ nuostatų taikymą - teisinių santykių segmentą, kuriame verslo subjektas pagal įstatymą sukuria platų teisių ir pareigų spektrą. .

Leiskite mums išsamiau apsvarstyti, kokius tiksliai įpareigojimus internetinė parduotuvė turėtų vykdyti, atsižvelgiant į poreikį laikytis Įstatymo Nr. 152-FZ nuostatų.

Užsisakykite mūsų „Yandex Zen“ kanalą - užsakymas internetu!
Būk pirmas, gavęs karščiausias naujienas ir gyvenimo hacks!

Ką reikia padaryti internetinėje parduotuvėje, kad atitiktumėte federalinio įstatymo Nr. 152-FZ reikalavimus

Pagrindinė kiekvieno asmens duomenų tvarkytojo pareiga (ir internetinė parduotuvė nėra išimtis) yra laikytis jų tvarkymo tvarkos. Pagrindinė šio užsakymo sąlyga yra asmens duomenų subjekto (tai yra pirkėjo) sutikimo gauti tokį tvarkymą gavimas.

Tokį sutikimą galima gauti bet kokia patikima forma (Įstatymo Nr. 152-FZ 9 straipsnio 1 dalis). Bet įstatymų numatytais atvejais reikalingas toks rašytinis sutikimas - tai yra popieriuje arba naudojant elektroninį dokumentą, patvirtintą elektroniniu parašu (Įstatymo Nr. 152-FZ 9 straipsnio 4 punktas).

Prekių pirkimas internetinėje parduotuvėje įstatymais nėra tiesiogiai priskirtas toms operacijoms, kurioms atlikti reikalingas rašytinis asmens duomenų subjekto sutikimas. Todėl tokį sutikimą iš esmės įmanoma gauti bet kokia forma - tačiau tai turėtų suteikti galimybę vienareikšmiškai patvirtinti asmens patvirtintą asmens duomenų perdavimo operatoriui faktą.

Kita asmens duomenų tvarkytojo pareiga yra atlikti veiksmus, kuriais siekiama įgyvendinti asmens duomenų subjektų įstatymines teises. Visų pirma, mes kalbame apie teisę:

  • patvirtinus internetinės parduotuvės PD gavimo faktą ir jų apdorojimo pradžią;
  • gauti informaciją apie PD tvarkymo tikslus ir metodus;
  • skirtas susipažinti su asmenimis (išskyrus asmenis, dirbančius operatoriaus personalo nariais, kurie yra susiję su PD tvarkymu).

Tarp kitų svarbiausių asmens duomenų tvarkytojų pareigų duomenų konfidencialumas yra teisėtas. Jei internetinės parduotuvės klientas nesuteikia sutikimo platinti savo duomenis kitiems asmenims, tada verslo subjektas neturi teisės to daryti - taip pat kitaip atskleisti asmens duomenis (Įstatymo Nr. 152-FZ 7 straipsnis). Be to, net ir gavus sutikimą, už trečiųjų asmenų, gavusių internetinės parduotuvės kliento asmens duomenis, veiksmus atsako internetinė parduotuvė (Įstatymo Nr. 152-FZ 6 straipsnio 5 dalis).

Svarbus niuansas, apibūdinantis asmens duomenų tvarkymą operatoriaus pareiga skelbti duomenis serveriuose, esančiuose Rusijoje - jei įstatymai nenustato kitaip (Įstatymo Nr. 152-FZ 18 straipsnio 5 dalis). Rusijos internetinėms parduotuvėms netaikomos išimtys, todėl jos privalo laikytis nurodytos įstatymų normos.

Atskira problema yra tai, kad asmens duomenų tvarkytojui reikia pateikti pranešimą, kad jie yra tvarkomi „Roskomnadzor“ pagal 1 straipsnio 1 dalies reikalavimus. Įstatymo Nr. 152-FZ 22 punktas. Apskritai toks pranešimas yra būtinas. Tačiau Reglamento Nr. Įstatymo Nr. 152-FZ 22 straipsnyje pateikiamos plačios šios taisyklės išimtys.

Visų pirma, sub. 2 p 2 straipsnis Įstatymo Nr. 152-ФЗ 22 punkte nustatyta, kad vykdytojai, vykdydami su asmens duomenų subjektu sudarytą sutartį ir neperduodami asmens duomenų trečiosioms šalims be subjekto sutikimo, turi teisę nepateikti pranešimo. Pagal tokius kriterijus pirkimo – pardavimo sutartis, sudaryta tarp parduotuvės ir pirkėjo, visiškai patenka. Todėl paprastai internetinei parduotuvei nereikia - bendraudami su klientais, pateikti aptariamus pranešimus (tačiau galimos šios taisyklės išimtys - mes jas apsvarstysime vėliau straipsnyje).

Taigi pagrindinės asmens duomenų tvarkytojo pareigos yra šios:

  • gauti sutikimą jų tvarkymui;
  • užtikrinti PD konfidencialumą;
  • įvykdyti kitus įstatymų reikalavimus (dėl PD įkurdinimo Rusijos teritorijoje, dėl PD subjektų prašymų vykdymo, kaip jie naudojami).

Mes išsamiau ištirsime, kaip šias pareigas gali techniškai atlikti internetinė parduotuvė.

Visų rūšių verslo internetinės kasos! Pristatymas visoje Rusijoje.

Palikite prašymą ir gaukite konsultaciją per 5 minutes.

Kaip gauti sutikimą tvarkyti asmens duomenis internetu

Taigi, kadangi įstatymai nenustato reikalavimų rašytiniam sutikimui tvarkyti asmens duomenis, susijusius su internetinių parduotuvių veikla, tokį sutikimą galima gauti bet kokiu patikimu būdu. Bet kuri?

Čia pateikiamos šios parinktys:

  1. Kai internetinė parduotuvė paprašo asmeninių duomenų per užsakymo formą.

Tokiu atveju sutikimą dėl duomenų tvarkymo galima gauti nustatant sąlygą, pagal kurią duomenis apie užsakymą siųsti naudojant formą galima tik tuo atveju, jei varnelė (ar kitas formos elementas, atliekantis panašią funkciją) yra priešais eilutę, kurioje yra tokia formuluotė kaip „sutinku su tvarkant asmens duomenis, perduotus operatoriui naudojant šią formą.

Paprastai sutikime atsispindi:

  • dokumento pateikimo operatoriui tikslas (internetinės parduotuvės atveju - prekių pristatymo ir kitais pirkimo-pardavimo tvarka nustatytais tikslais);
  • operatoriui perduotų PD sąrašas;
  • pD saugojimo terminai ir tvarka;
  • pD perdavimo tvarką vienai ar kitai trečiajai šaliai (pavyzdžiui, prekių pristatymo paslauga).

Tuo pat metu šalia varnelės ir nuorodos į Sutikimą turėtumėte pridėti nuorodą į specialų dokumentą, kuriame išsamiai paaiškinta asmens duomenų tvarkymo internetinėje parduotuvėje tvarka pagal įstatymą Nr. 152-FZ - Privatumo politika. Jis gali būti išduodamas kaip priedas prie užsakymo formos. Nuorodos aprašyme turi būti formuluotė, kuri gali skambėti taip: „Susipažinau su šios formos priedu, kuriame atsispindi asmens duomenų tvarkymo tvarka pagal įstatymus“.

Privatumo politika - dokumentas, kuris turi būti paskelbtas viešai. Be to, tai gali būti laikoma organizacijos, kuriančios internetinę parduotuvę, vietinės reguliavimo sistemos dalimi. Todėl verslo subjekto darbuotojai turėtų reikalauti laikytis patvirtintos politikos.

Paprastai į politiką įtraukiama:

  • bendrosios nuostatos;
  • žodžiai, atspindintys ūkio subjekto surinktą PD tikslą;
  • nuostatos dėl PD rinkimo teisinių pagrindų;
  • panaudoto PD klasifikacija, darbo su jais tvarka ir sąlygos;
  • tvarka, kuria užtikrinama, kad PD subjektai įgyvendintų įstatymų nustatytas teises.

Politikoje galite atspindėti:

  • kaip internetinė parduotuvė suteikia vartotojo teises paprašius informacijos apie PD tvarkymą;
  • kaip organizuojamas duomenų saugojimas (tokiu atveju gali būti teikiama informacija siekiant nustatyti serverių su PD klientais Rusijoje buvimo vietą).
  1. Kai internetinė parduotuvė paprašo asmeninių duomenų per reklaminį laišką (svetainės teminės medžiagos prenumerata - pavyzdžiui, lankstinukai su nuolaidomis, reklaminiai kodai).

Čia galima rinkti asmeninius duomenis panašiu būdu - naudojant varnelę, esančią priešais elementą „Sutinku“, Sutikimo failą ir nuorodą į Privatumo politiką su tekstu, atspindinčiu faktą, kad pirkėjas perskaitė Politikos internetinę parduotuvę.

Tarp IT specialistų ir asmens duomenis reglamentuojančių teisės aktų ekspertų plačiai paplitusi nuomonė, kad asmens sutikimas tvarkyti asmens duomenis turėtų būti vykdomas tokiu būdu, kuris apima „padidintą jo valios patikimumą“. Tokie ekspertai kritiškai vertina bendrą schemą, kurioje naudojamas varnelė su sutikimu ir nuorodos į privatumo politiką - ir, reikia pasakyti, ne nepagrįstai, nes, pasak ekspertų:

  • varnelė gali būti pažymėta atsitiktine tvarka;
  • internetinė forma gali būti įkelta su klaida - pasirenkama, be nuorodos į privatumo politiką, be varnelės ar pridedamų formuluočių;
  • atsitiktinai ar tyčia, vartotojas gali įvesti kitų asmenų asmeninius duomenis į formą.

Atsižvelgiant į šiuos niuansus, siūloma papildyti nagrinėjamą sistemą - išsaugant pagrindinius jos elementus varnele, Sutikimu ir saitu su Privatumo politika - antrinio sutikimo gavimo mechanizmu. Tokio mechanizmo organizavimo variantai internetinės parduotuvės atveju gali būti šie:

  1. Privaloma vartotojo registracija prieš perkant.

Tokia registracija apima faktiškai tos pačios formos užpildymą su varnele, Sutikimas ir nuorodą į Privatumo politiką, kai internetinė parduotuvė siunčia elektroninio pašto patvirtinimo laišką internetinės parduotuvės nurodytam vartotojui (ir tuo pačiu patvirtina sutikimą tvarkyti asmens duomenis ir supažindina su faktu). su privatumo politika).

Manoma, kad šioje formoje nurodomas vartotojo vardas ir slaptažodis, kuriuos vartotojas naudos vėlesniam prisijungimui prie savo sąskaitos internetinės parduotuvės svetainėje.

Jei vartotojas nepatvirtina registracijos laišku, tada sutikimas dėl asmens duomenų tvarkymo nebus laikomas gautu (tačiau tuo pat metu bus laikoma, kad vartotojas kviečiamas perskaityti Privatumo politiką).

Laikomą metodą, kaip gauti sutikimą tvarkyti duomenis „padidinus patikimumą“, parduotuvė gali naudoti rinkodaros tikslais. Per asmeninę kliento sąskaitą jis gali būti informuojamas apie įvairias nuolaidas ir akcijas, keistis žinutėmis su juo ir spręsti kitas problemas, būdingas pardavėjo ir pirkėjo sąveikai.

  1. Atskiro užsakymo įvykdymo patvirtinimas elektroniniu paštu (be privalomos sąskaitos registracijos internetinės parduotuvės svetainėje).

Tokio patvirtinimo algoritmas iš esmės bus panašus į tai, kas apibūdina kliento sąskaitos registravimo procedūrą, išskyrus vartotojo prisijungimo ir slaptažodžio naudojimą. Tokiu atveju patvirtinimas iš tikrųjų bus atliekamas tik siekiant gauti sutikimą dėl asmens duomenų tvarkymo ir patvirtinti faktą, kad asmuo susipažino su pasiūlymu perskaityti Privatumo politiką.

Kita didelės apimties internetinės parduotuvės užduotis - praktiškai užtikrinti asmens duomenų konfidencialumą.

1. Straipsnio pabaigoje užduokite klausimą mūsų specialistui.
  2. Gaukite išsamią konsultaciją ir išsamų niuansų aprašymą!
  3. Arba raskite parengtą atsakymą mūsų skaitytojų komentaruose.

Kaip internetinėje parduotuvėje užtikrinti PD konfidencialumą

Pagal 1 str. Pagal Įstatymo Nr. 152-FZ 18 straipsnio 1 dalį asmens duomenų tvarkytojas privalo imtis pakankamų priemonių įstatyme nustatytiems įsipareigojimams įvykdyti. Tokiu atveju operatorius nustato savarankiškų priemonių sąrašą savarankiškai - jei įstatymai nenustato kitaip.

Akivaizdu, kad mes pirmiausia kalbame apie priemones, skirtas užtikrinti asmens duomenų konfidencialumą - tai yra:

  • užkirsti kelią asmenims, neturintiems leidimo skaityti atitinkamą PD;
  • neteisėto vartojimo prevencija, modifikavimas, PD platinimas;
  • užtikrinant būtiną PD apsaugą nuo įvairių kibernetinių grėsmių, modifikavimo, platinimo ir kitų neleistinų operacijų su PD dėl techninių gedimų.

Įstatymas siūlo šias priemones šioms problemoms išspręsti:

  1. Operatoriaus, turinčio juridinio asmens statusą, paskyrimas atsakingu darbuotoju - organizuojančiu PD tvarkymą įmonėje.
  1. Operatorius parengia vietinius teisės aktus, reglamentuojančius PD tvarkymą pagal įstatymų reikalavimus.
  1. Techninių priemonių naudojimas PD apsaugai užtikrinti.
  1. Vykdyti vidinę procedūrų kontrolę kaip PD apdorojimo dalis.
  1. Įvertinti žalą, kuri gali būti padaryta PD subjektams dėl asmens duomenų tvarkymo teisės aktų pažeidimų, ir pašalinti tokių pažeidimų pasekmes.
  1. Atlikite būtiną darbą su darbuotojais, kad padidintumėte jų žinių lygį PD apsaugos srityje.

Teisinės analogijos principu visos šios taisyklės taikomos individualiems verslininkams, prekiaujantiems internetu. Įskaitant - jei individualus verslininkas dirba savarankiškai, neįtraukdamas darbuotojų. Vienaip ar kitaip gali atsirasti darbuotojų kolektyvas, ir iki to laiko jis turėtų turėti galiojančius vietos standartus, reglamentuojančius asmens duomenų tvarkymo organizavimą.

Turėtumėte žinoti, kad pagal Reglamento Nr. Pagal Įstatymo Nr. 152-FZ 18 straipsnio 1 dalį, tų dokumentų, kuriuos internetinė parduotuvė privalo paskelbti įgyvendindama aukščiau nurodytus reikalavimus ir rekomendacijas, „Roskomnadzor“ gali paprašyti atlikdama ekonominio asmens auditą.

Priemones, kuriomis siekiama užtikrinti, kad asmens duomenų tvarkytojas atitiktų įstatymų reikalavimus (visų pirma užtikrinant asmens duomenų konfidencialumą), galima suskirstyti į 2 grupes:

  • organizacinis (iš tikrųjų ir iš esmės teisinis);
  • techninis.

Organizacinės (teisinės) priemonės daugiausia susijusios su šių internetinės parduotuvės (atstovaujamos savininko ar jo darbuotojų) ir pirkėjo sąveikos mechanizmų taikymo dokumentais.

Atkreipkite dėmesį, kad įgyvendindami organizacines ir teisines priemones, tobulinkitės

pirkimo – pardavimo sutartis (pasiūlymas) tarp parduotuvės ir pirkėjo, kurios pagrindu sutikimas tvarkyti asmens duomenis išduodamas ne rašytine forma - naudojant varnelę užsakymo formoje ir nuorodą į privatumo politiką.

Techninės priemonės gali būti pateikiamos plačiame asortimente - mes jas apsvarstysime išsamiau.

Techninis įrangos palaikymas. Mes išspręsime bet kokias problemas!

Palikite prašymą ir gaukite konsultaciją per 5 minutes.

Kokia yra privatumo PD techninė pusė?

Pagrindinis teisės normų, kurių reikia laikytis sprendžiant technines problemas siekiant užtikrinti asmens duomenų konfidencialumą, šaltinis yra Reglamento Nr. Įstatymo Nr. 152-FZ 19 straipsnis.

Visų pirma joje teigiama, kad asmens duomenų saugumą galima pasiekti:

  1. Duomenų saugumui kylančių grėsmių nustatymas, jas apdorojant naudojantis informacinėmis sistemomis.

Praktiškai tokios priemonės įgyvendinimas reiškia, kad reikia naudoti įvairius antivirusinius ir papildomus sprendimus, kurie turėtų būti įdiegti turinio valdymo sistemoje. Tokie sprendimai skirti laiku atpažinti įsilaužėlių bandymus automatiškai ar rankiniu būdu neteisėtai gauti prieigą prie asmens duomenų, surinktų naudojant užsakymų formas svetainėje arba saugomus serveriuose, kuriuos administruoja internetinė parduotuvė.

  1. Techninių priemonių naudojimas siekiant padidinti asmens duomenų saugumo lygį.

Visų pirma, kalbama apie įvairias duomenų šifravimo priemones - kad gavę prieigą prie jų, jie pateikiami tokiu būdu, kad jų neįmanoma perskaityti be paskesnio iššifravimo, su sąlyga, kad pats iššifravimas turi būti autorizuotas internetinėje parduotuvėje.

  1. Techninių priemonių naudojimas ištrintiems, pažeistiems ar nesankcionuotiems modifikuotiems asmens duomenims atkurti.

Čia galime kalbėti apie sprendimus, įpratusius:

  • asmens duomenų kopijavimas juos pašalinus iš originalios laikmenos (sugadinimas ar pakeitimas);
  • tiesą sakant, iš esamų laikmenų ištrintų (pažeistų ar pakeistų) duomenų atkūrimas.
  1. Naudojant technines priemones, siekiant atskirti prieigą prie asmens duomenų (nustatyti prieigos lygius), atsižvelgiant į asmens, turinčio teisę tvarkyti asmens duomenis, statusą.

Taigi, pavyzdžiui, internetinės parduotuvės vadovas gali turėti prieigą tik prie pirkėjo kontaktinių duomenų (norėdamas susisiekti su juo iškilus klausimams), o pristatymo vadybininkas taip pat nurodytu adresu. Arba pirmasis gali įgalioti tik skaityti kontaktus, o antrasis gali juos pakeisti.

  1. Asmens duomenis tvarkančių asmenų kontrolės sistemų taikymas.

Iš tikrųjų vien vietinių teisės aktų nepakanka asmens duomenų konfidencialumui užtikrinti - reikalingas jų įgyvendinimo stebėjimo mechanizmas. Čia priimti sprendimai gali būti taikomi įvairiais būdais - nuo selektyvaus konkrečių internetinės parduotuvės darbuotojų veiksmų stebėjimo iki nuolatinės srauto analizės priemonių, skirtų neteisėtam asmens duomenų perdavimui, įdiegimo.

Kiek saugi turi būti asmens duomenų tvarkymo informacinė sistema, nustatoma atsižvelgiant į galimą žalą, kurią sistema gali padaryti dėl jai būdingų grėsmių. Tokių grėsmių sąrašai ir sistemos saugumo reikalavimai, atitinkantys grėsmių laipsnį, yra apibrėžti Rusijos vyriausybės 2012 m. Lapkričio 1 d. Nutarime Nr. 1119.

Panagrinėkime juos išsamiau.

Kiek saugi turėtų būti internetinė parduotuvė, kad būtų galima saugiai tvarkyti PD

Internetinės parduotuvės savininkas, norėdamas nustatyti, kokių konkrečių priemonių reikia būtinam asmens duomenų apsaugos lygiui užtikrinti, turėtų naudotis organizacinių ir techninių priemonių sudėties ir turinio priede esančia lentele, patvirtinta įsakymu Nr. 21.

Atminkite, kad šis sąrašas visų pirma taikomas visiems tiems patiems personalo niuansams organizuojant internetinės parduotuvės darbą. Bet net jei jo savininkas yra individualus verslininkas, dirbantis be darbuotojų, visų pirma, siekiant užtikrinti pirkėjų asmens duomenų apsaugą bent 1 lygiu, jis turės:

  • taikyti vartotojų identifikavimo ir autentifikavimo priemones;
  • valdyti vartotojo abonementus;
  • kontroliuoja prieigą prie serverio, kuriame yra PD;
  • naudoti antivirusinę;
  • nustatyti incidentus, susijusius su neteisėta prieiga prie PD.

Be abejo, prasminga didelę tokio darbo dalį pavesti individualiam verslininkui (ir, žinoma, ir juridiniam asmeniui), išoriniam partneriui - pavyzdžiui, internetinės parduotuvės svetainę talpinančio prieglobos savininkui. Tačiau tokių įgaliojimų perdavimas turėtų būti teisingai nustatytas teisiškai - naudojant išsamius susitarimus, teisingai apibrėžiančius internetinės parduotuvės ir jos partnerio atsakomybę, o tai įstatymų nustatyta tvarka užtikrina pirkėjų asmens duomenų apsaugą.

Praktiškai daugelis šiuolaikinių CMS pagrįstų svetainių valdymo sistemų turi būtiną funkcionalumą, kad užtikrintų, jog internetinė parduotuvė laikosi aukščiau išvardytų reikalavimų dėl asmens duomenų tvarkymo saugumo lygių nustatymo.

Bet, žinoma, daugeliu atvejų reikalingas jų užpildymas ir papildymas. Paprastai didžiausi svetainių valdymo sprendimų ir prieglobos paslaugų teikėjai stengiasi savo klientams pasiūlyti kuo geresnių savybių, kurias nustato įstatymas Nr. 152 ir departamentų standartai. Nepaisant to, renkantis konkrečią CMS sistemą, visada naudinga paprašyti papildomų ekspertų patarimų, ar ji atitinka asmens duomenų apsaugos teisės aktus.

Tai yra pagrindiniai niuansai, apibūdinantys internetinės parduotuvės vykdomą Įstatymo Nr. 152-FZ ir pridedamų teisės aktų dėl sąveikos su prekių pirkėjais reikalavimus. Tačiau tokia sąveika gali vykti ir kituose teisiniuose kontekstuose. Visų pirma - atspindintys skaičiavimai tarp parduotuvės ir pirkėjo, naudojant naujovišką KKT tipą

Kaip mes pažymėjome straipsnio pradžioje, pagal įstatymą Nr. 152-FZ, asmeninė informacija apima bet kokią informaciją, kuri gali tiesiogiai ar netiesiogiai būti susijusi su konkrečiu asmeniu (arba identifikuoti asmenį). Akivaizdu, kad el. Paštas ar telefonas gali būti bent jau netiesioginiai identifikatoriai.

El. Paštas gali būti tokios formos kaip [email protected], o jei toks el. Pašto adresas nutekėjo iš internetinės parduotuvės duomenų bazių, trečiosios šalys gali lengvai suprasti, kad parduotuvę įsigijo Stepanas Petrovas, kuris gimė 1976 m. Maskva ir studijos Masačusetso universitete.

Su telefonu yra sunkiau, bet jei norite, galite jį laikyti netiesioginiu identifikatoriumi. Pavyzdžiui, asmuo, gavęs neleistiną numerį iš internetinės parduotuvės, gali paskambinti jam ir, prisistatydamas kaip asmuo iš kurjerių tarnybos, paprašyti abonento nurodyti tikslų vardą, pavardę ir pristatymo adresą - tačiau iš tikrųjų pasirūpinti įkyriais reklaminiais laiškais.

Taigi, nepaisant to, kad pagal įstatymą Nr. 54-FZ, kuris reglamentuoja internetinių kasų naudojimą, internetinių parduotuvių pirkėjai palieka savo kontaktus norėdami gauti čekius savo noru, mes kalbame apie asmens duomenų perdavimą pardavėjui.

Ar tai reiškia, kad tokie patys reikalavimai bus taikomi ir sandoriams su tokiais duomenimis, kurie apibūdina kitų asmens duomenų tvarkymą?

Atminkite, kad kai kurie iš šių reikalavimų tebėra aktualūs. Pvz., Internetinė parduotuvė, mokanti per internetinę kasą, privalo:

  • garantuoti klientams teisę gauti informaciją apie PD tvarkymą;
  • užtikrinti duomenų konfidencialumą;
  • laikytis kitų Įstatymo Nr. 152-FZ (ypač dėl PD talpinimo Rusijos serveriuose) reikalavimų.

Pažymėtina tai, kad tokie reikalavimai neapims sutikimo tvarkyti asmens duomenis gavimo.

Faktas yra tas, kad 1 str. Įstatymo Nr. 152-FZ 6 straipsnyje išvardytos kelios taisyklės dėl būtinybės gauti sutikimą išimtys. Tokios išimtys apima duomenų tvarkymą, kai operatorius vykdo įstatymų jam priskirtas funkcijas ir pareigas. Teisėta į įstatymo Nr. 54-ФЗ reikalavimus dėl grynųjų pinigų priėmimo kvitų formavimo atsiskaitant su klientais, kaip tokias internetinės parduotuvės funkcijas ir atsakomybę.

Taigi internetinėje parduotuvėje nereikia prašyti sutikimo gauti el. Laišką ir telefoną - kaip įvairius asmens duomenis.

Žinoma, nėra teisinių kliūčių prašyti pirkėjų sutikimo tvarkyti asmens duomenis, pateiktus elektroniniu paštu ir telefonu, tuo pačiu metu prašant sutikimo tvarkyti kitus asmens duomenis. Tai yra, Sutikime - kuris atsisiunčiamas, kai patvirtinama užsakymo forma, ir pridedamoje Asmens duomenų politikoje gali būti atspindėta, kad dalis duomenų - pirkėjo el. Pašto adresas ir telefono numeris bus naudojami internetinėje parduotuvėje, kad būtų laikomasi Įstatymo Nr. 54-FZ nuostatų. Tai yra - nusiųsti pirkėjui elektroninius kasos čekius.

Tačiau griežtai tariant, ši procedūra nėra būtina įstatymų leidybos požiūriu - nors ji ir visiškai nesudėtinga.

Tokiu atveju pardavėjas turėtų nepamiršti, kad asmens duomenų gavimas, kad būtų laikomasi Įstatymo Nr. 54-FZ nuostatų, netaikomas išimtims, nurodytoms 2 straipsnio 2 dalyje. Įstatymo Nr. 152-FZ 22 straipsnis - susijęs su pareiga informuoti „Roskomnadzor“ apie asmens duomenų gavimą. Tai yra - priėmus mokėjimą internetu, reikės pateikti tokį pranešimą. Agentūra, gavusi pranešimą iš internetinės parduotuvės, įtraukia jį į asmens duomenų operatorių registrą.

Skelbime turi būti nurodyta:

  1. Dokumento pavadinimas yra „Pranešimas apie asmens duomenų tvarkymą“.
  1. Operatoriaus pavadinimas, jo teisinis adresas.
  1. Teisinis pagrindimas, duomenų tvarkymo tikslai.
  1. Tvarkomų duomenų tipai.
  1. Asmenų, kurie tampa asmens duomenų subjektais, kategorijos.
  1. Duomenų apdorojimo metodai.
  1. Duomenų tvarkymo saugumo priemonės.
  1. Informacija apie serverių, kuriuose saugomi asmens duomenys, vietą.
  1. Duomenų tvarkymo terminai.
  1. Duomenų tvarkymo nutraukimo sąlygos.

Nurodomas visas pranešimo sudarytojo vardas, pavardė ir pareigos. Jis nusako dokumento parengimo datą, pasirašo.

Taigi įstatymas internetinių parduotuvių savininkams nustato įspūdingą kiekį įsipareigojimų. O sankcijos už jų nevykdymą yra gana rimtos. Mes juos studijuosime.

Atsakomybė ir naujos baudos

Už teisės aktų reikalavimų pažeidimą šiuo klausimu numatytos šios sankcijos:

  1. Administracinės baudos.

Jų pagrindinis sąrašas yra apibrėžtas 2 str. 13.11 Rusijos Federacijos administracinis kodeksas. Tačiau kai kurie jų išdėstyti atitinkamuose kodekso straipsniuose.

Paprastai skiriamos baudos:

  • už PD tvarkymą be jų savininko sutikimo - iki 20 tūkst. rublių pareigūnams ir individualiems verslininkams, iki 75 tūkst. rublių juridiniams asmenims (Rusijos Federacijos administracinio kodekso 13.11 straipsnis);
  • už atsisakymą suteikti asmeniui informaciją, su kuria jis turi teisę susipažinti pagal įstatymus - iki 10 tūkstančių rublių pareigūnams ir individualiems verslininkams (Rusijos Federacijos administracinio kodekso 5.39 straipsnis);
  • už neteisėtą (nenumatytą nurodytais tikslais) PD tvarkymą - iki 10 tūkst. rublių pareigūnams ir individualiems verslininkams, iki 50 tūkst. rublių juridiniams asmenims (Rusijos Federacijos administracinio kodekso 13.11 straipsnis);
  • už neskelbtą Privatumo politiką - iki 6 tūkst. rublių pareigūnams, asmenims - iki 10 tūkst. rublių, juridiniams asmenims - iki 30 tūkst. rublių (Rusijos Federacijos administracinio kodekso 13.11 straipsnis);
  • už atsisakymą supažindinti asmenį su informacija apie jo PD tvarkymą - iki 6 tūkstančių rublių pareigūnams, iki 15 tūkstančių rublių - asmenims, iki 40 tūkstančių rublių - juridiniams asmenims (Rusijos Federacijos administracinio kodekso 13.11 straipsnis).
  1. Baudžiamoji atsakomybė.

Pagal Reglamento Nr. Remiantis Rusijos Federacijos baudžiamojo kodekso 137 straipsniu, neteisėtas asmens duomenų, kurie sudaro piliečio asmeninę paslaptį, rinkimas gali užtraukti baudą iki 200 tūkst. Rublių arba paskirti pataisos darbus, diskvalifikaciją ir laisvės atėmimą iki 2 metų.

  1. Nustatyta civiliniame procese.

Čia galime kalbėti apie įvairias sankcijas, tačiau būdingos tokios:

  • pareiga kompensuoti PD subjekto patirtus nuostolius dėl operatoriaus pažeistų Įstatymo Nr. 152-FZ nuostatų;
  • pareiga atlyginti PD subjekto moralinę žalą.

Vienaip ar kitaip, greičiausiai, jei internetinė parduotuvė pažeidžia Įstatymo Nr. 152-FZ nuostatas, jai bus taikomos administracinės sankcijos. Kartu reikia nepamiršti, kad griežčiausi iš jų - visų pirma, nuobauda už sutikimo negauti duomenų tvarkymą negavimą (iki 75 tūkst. Rublių) taikoma pažeidžiant rašytinio sutikimo tvarkyti asmens duomenis reikalavimus. Jei leidžiama gauti sutikimą bet kokia patikima forma, tada, jei tokio sutikimo negaunama, taikoma sankcija baudos už neteisėtą duomenų tvarkymą forma (iki 50 tūkst. Rublių).

Yra galimybė operatoriui taikyti keletą papildomų administracinių sankcijų. Pvz .:

  • kaip bauda už duomenų apsaugos reikalavimų nesilaikymą - pareigūnams ir individualiems verslininkams iki 2 tūkst. rublių, juridiniams asmenims - iki 15 tūkst. rublių (Rusijos Federacijos administracinio kodekso 13.12 straipsnis);
  • kaip bauda už nepateikimą „Roskomnadzor“ - iki 500 rublių pareigūnams ir individualiems verslininkams, iki 5000 rublių - juridiniams asmenims (Rusijos Federacijos administracinio kodekso 19.7 straipsnis).

Teoriškai įmanoma blokuoti internetinės parduotuvės svetainę - teismo nutartimi. Pavyzdžiui, jei jis leidžia neteisėtai skelbti pirkėjų asmeninius duomenis be jų sutikimo peržiūrint pirkimus.

Atsižvelgiant į konkretų pažeidimą ir teisinių santykių, kuriuose padarytas pažeidimas, sritį, tokiu būdu asmens duomenų tvarkytojui gali būti skiriamos skirtingos sankcijos.

Visų pirma, jis išplėtė administracinės atsakomybės už neteisėtą asmens duomenų tvarkymą (PD) priežasčių sąrašą ir padidino baudas.

Asmens duomenys: baudos

Fondas Puikus dydis
Fizlitsa Pareigūnai Juridinis asmuo IP
PD tvarkymas Rusijos Federacijos teisės aktuose nenumatytais atvejais; PD tvarkymas nesuderinamas su PD rinkimo tikslais įspėjimas arba bauda - nuo 1000 iki 3000 rublių. įspėjimas arba bauda - nuo 5000 iki
   10 000 rub.		 įspėjimas arba bauda - nuo 30 000 iki 50 000 rublių.
PD tvarkymas be rašytinio jų subjekto sutikimo nuo 3000 iki 5000 rublių. nuo 10 000 iki 20 000 rublių. nuo 15 000 iki 75 000 rublių.
Neįvykdomas įpareigojimas paskelbti arba suteikti prieigą prie dokumento, kuriame apibrėžta asmens duomenų tvarkymo politika, arba informacijos apie asmens duomenų apsaugą nuo 700 iki 1500 rublių. nuo 3000 iki 6000 rublių. nuo 15 000 iki 30 000 rublių. nuo 5000 iki 10 000 rublių.
Nepateikiama PD subjektui informacijos apie jų tvarkymą įspėjimas arba bauda - nuo 1000 iki 2000 rublių. įspėjimas arba bauda - nuo 4000 iki 6000 rublių. įspėjimas arba bauda - nuo 20 000 iki 40 000 rublių. įspėjimas arba bauda - nuo 10 000 iki 15 000 rublių.
Operatorius nevykdo PD subjekto ar jo atstovo reikalavimų išaiškinti, blokuoti, sunaikinti (jei PD yra neišsami, pasenusi, netiksli, neteisėtai gauta, tai nėra būtina nurodytam duomenų tvarkymo tikslui) įspėjimas arba bauda nuo 1000 iki 2000 rublių. įspėjimas arba bauda - nuo 4000 iki
   10 000 rub.		 įspėjimas arba bauda - nuo 25 000 iki 45 000 rublių. įspėjimas arba bauda - nuo 10 000 iki 20 000 rublių.
Operatoriaus asmens duomenų tvarkymas asmens duomenų tvarkymo metu be automatizavimo reiškia pareigą išsaugoti asmens duomenis, dėl ko neteisėtai ar netyčia buvo galima naudotis asmens duomenimis ir juos sunaikinti, pakeisti, blokuoti, nukopijuoti nuo 700 iki 2000 rublių. nuo 4000 iki
   10 000 rub.		 nuo 25 000 iki 50 000 rublių. nuo 10 000 iki 20 000 rublių.
Operatoriaus (valstybės ar savivaldybės valdžios) nesugebėjimas apsimesti PD; asmens duomenų anonimiškumo reikalavimų nesilaikymas įspėjimas arba administracinė bauda - nuo 3000 iki 6000 rublių.

Atkreipkite dėmesį: būtent tokiu pagrindu kaip PD tvarkymas negavus jų subjekto sutikimo skiriamos didžiausios baudos visoms pažeidėjų kategorijoms - iki 75 000 rublių.

Šiuo atžvilgiu kyla daug klausimų, dažniausiai užduodamų:

  • Ar aš esu asmens duomenų operatorius?
  • Ar man galioja asmens duomenų įstatymas?
  • Kaip pranešti „Roskomnadzor“ apie asmens duomenų tvarkymą?
  • Ką turėtų daryti svetainės savininkas, kad išvengtų baudų?

Išspręskime visus klausimus eilės tvarka.

Daug kalbama apie įstatymų pakeitimus pagal asmens duomenis, ir mes nusprendėme prisijungti

Kas vyksta?

  • už įstatymų pažeidimus asmens duomenų srityje įvedami nauji administraciniai nusižengimai (daugiau priežasčių jus šiek tiek nubausti),
  • supaprastinta administracinės atsakomybės už pažeidimus procedūra (lengviau jus nubausti)
  • padidintos baudos (lengviau ir įdomiau!).

Jei anksčiau bauda buvo 10 000 rublių, tai po liepos 1 dienos bendra juridiniams asmenims skirtų baudų suma gali siekti 295 000 rublių. Dabar ekonomiškai prasminga tvarkyti šiuos apgailėtinus asmens duomenis.

Kas gali būti nubaustas?

Kiekvienas, kuris tvarko asmens duomenis. Asmens duomenų tvarkymas yra bet koks veiksmas asmens duomenims rinkti, saugoti, įrašyti, naudoti, perduoti (Federalinio įstatymo „Dėl asmens duomenų“ Nr. 152-FZ 3 straipsnio 3 punktas).

Kas yra susiję su asmens duomenimis?

Bet kokia asmenį identifikuojanti informacija. Įstatymo formuluotėje - bet kokia informacija, tiesiogiai ar netiesiogiai susijusi su konkrečiu ar nustatomu fiziniu asmeniu (asmens duomenų subjektu).

Pavyzdžiui, tokia informacija yra:

  • pavardė, vardas, patronimas;
  • metai, mėnuo, gimimo data, adresas, šeimyninė padėtis, socialinė padėtis, turtinė padėtis, išsilavinimas, profesija, pajamos;
  • el. paštas, nuotrauka, slapukas, duomenys apie IP adresą, vietą nenurodant pavardės ir vardo. Jei slapukai ir IP adresai buvo staigmena, galite pamatyti Maskvos arbitražo teismo 2016-11-03 sprendimas byloje Nr. A40-14902 / 2016.

Galų gale, jei abejojate, ar kažkas yra susijęs su asmens duomenimis, tik tuo atveju geriau apsvarstyti, kas taikoma.

Ką daryti, jei esu svetainės savininkas ir gaunu asmeninius duomenis?

Aikštelė turi atitikti Įstatymo reikalavimus.

1. Turi būti duotas sutikimas dėl asmens duomenų tvarkymo, kuriam negavęs sutikimo, vartotojas negali jums siųsti duomenų.
  2. Įdėkite viešojoje erdvėje esančio tinklalapio dokumento saitą - organizacijos asmens duomenų tvarkymo politiką.
  3. Visus naujus svetainės vartotojus reikėtų įspėti svetainėje pasirodžiusiame pop-up pranešime apie vartotojų duomenų (slapukų, IP adreso ir vietos duomenų) rinkimą, kad būtų užtikrintas svetainės veikimas. Jei vartotojas nenori pateikti šių duomenų, jis turi palikti svetainę arba sukonfigūruoti savo programinę įrangą ir (arba) įrangą taip, kad svetainė negautų šių duomenų arba vartotojas pagal ją negalėtų būti identifikuojamas.
  4. Nustatykite, ar turėtumėte pateikti „Roskomnadzor“ pranešimą apie asmens duomenų tvarkymą. Nuo reikalavimo pranešti „Roskomnadzor“ yra išimčių   (plačiau apie tai skaitykite toliau, taip pat žiūrėkite Įstatymo 22 straipsnio 2 dalį).

Kokia atsakomybė?

Iki 2017 m. Liepos 1 d. Tik prokuroras turėjo teisę inicijuoti administracines bylas, susijusias su asmens duomenimis; nuo 2017 m. Liepos 1 d. „Roskomnadzor“ priklausantys pareigūnai turės teisę inicijuoti bylas pagal Administracinių teisės pažeidimų kodekso 13.11 straipsnį (Administracinių teisės pažeidimų kodekso 58 straipsnio 2 dalies 28 straipsnio 2 dalis). . Jei iki 2017 m. Liepos 1 d. Buvo vienas korpusinis delikatesas (bendras pažeidimas asmens duomenų srityje), dabar jų yra daug:

Įžeidimas Administracinė nuobauda Rizikos apsauga
Asmens duomenų tvarkymas „kitais“ tikslais
Asmens duomenų tvarkymas įstatymų nenumatytais atvejais arba asmens duomenų tvarkymas, nesuderinamas su asmens duomenų rinkimo tikslais (Rusijos Federacijos administracinio kodekso 13.11 straipsnio 1 dalis).		    Įspėjimas arba nuobauda:
  • piliečiams - nuo 1000 iki 3000 rublių .;
  • pareigūnams - nuo 5000 iki 10 000 rublių .;
  • juridiniams asmenims - nuo 30 000 iki 50 000 rublių.
    Apdorokite asmens duomenis tik sutikime ir politikoje nurodytais tikslais ir vadovaudamiesi 1 straipsnio 1 dalimi. Asmens duomenų įstatymo 3 str.
Asmens duomenų tvarkymas be sutikimo
   Asmens duomenų tvarkymas be rašytinio sutikimo tais atvejais, kai toks sutikimas turi būti gautas pagal Rusijos Federacijos įstatymus (Rusijos Federacijos administracinio kodekso 13.11 straipsnio 2 dalis).		    Bausmė:
  • piliečiams - nuo 3000 iki 5000 rublių .;
  • pareigūnams (pavyzdžiui, direktoriui, personalo pareigūnui ar individualiam verslininkui) - nuo 10 000 iki 20 000 rublių;
  • organizacijoms - nuo 15 000 iki 75 000 rublių.
    Gauti sutikimą perdirbti. Tokiu atveju sutikime dėl asmens duomenų tvarkymo turėtų būti pateikta informacija, nurodyta Įstatymo Nr. 152-FZ 9 straipsnio 4 dalyje.
Nepateikiama prieiga prie asmens duomenų tvarkymo politikos
   Operatoriui neskelbiant ar kitaip neribojant prieigos prie dokumento, apibrėžiančio operatoriaus politiką dėl asmens duomenų tvarkymo, arba informacijos apie įgyvendinamus asmens duomenų apsaugos reikalavimus. (Rusijos Federacijos administracinio kodekso 13.11 straipsnio 3 dalis).		    Įspėjimas arba nuobauda:
  • piliečiams - nuo 700 iki 1500 rublių .;
  • pareigūnams (pavyzdžiui, direktoriui ar vyriausiajam buhalteriui) - nuo 3000 iki 6000 rublių .;
  • individualiems verslininkams - nuo 5000 iki 10 000 rublių .;
  • organizacijoms - nuo 15 000 iki 30 000 rublių.
    Svetainėje paskelbkite dokumentą, kuriame būtų apibrėžta jos asmens duomenų tvarkymo politika ir informacija apie įgyvendinamus asmens duomenų apsaugos reikalavimus, taip pat suteikite prieigą prie nurodyto dokumento.
Paslėpta tiriamojo asmens informacija apie apie jį surinktus asmens duomenis
   Operatorius nepateikia informacijos apie asmens duomenų tvarkymą, įskaitant informaciją, nurodytą straipsnio 7 dalyje 2006 m. Liepos 27 d. Įstatymo Nr. 152-ФЗ 14 straipsnis (Rusijos Federacijos administracinio kodekso 13.11 straipsnio 4 dalis).		    Įspėjimas arba nuobauda:
  • piliečiams - nuo 1000 iki 2000 rublių;
  • pareigūnams (pavyzdžiui, direktoriui, personalo pareigūnui ar buhalteriui) - nuo 4000 iki 6000 rublių;
  • individualiems verslininkams - nuo 10 000 iki 15 000 rublių .;
  • juridiniams asmenims (organizacijoms) - nuo 20 000 iki 40 000 rublių.
 Pateikite informaciją asmens duomenų subjektui dėl jo asmens duomenų tvarkymo per įstatymų nustatytus terminus.
Asmens duomenų sunaikinimo ir blokavimo reikalavimų nesilaikymas
   Operatoriui nepaaiškinus asmens duomenų, juos užblokuojant ar sunaikinus (Administracinio kodekso 13.11 straipsnio 5 dalis).		    Įspėjimas arba nuobauda:
  • piliečiams - nuo 1000 iki 2000 rublių;
  • pareigūnams (pavyzdžiui, direktoriui, personalo pareigūnui ar vyriausiajam buhalteriui) - nuo 4 000 iki 10 000 rublių;
  • individualiems verslininkams - nuo 10 000 iki 20 000 rublių;
  • juridiniams asmenims - nuo 25 000 iki 45 000 rublių.
    Vykdykite asmens duomenų išaiškinimo, jų blokavimo ar sunaikinimo reikalavimus per įstatymų nustatytus terminus.
Asmens duomenų gedimas
   Operatorius neužtikrina asmens duomenų saugumo, jei dėl to buvo neteisėtai ar atsitiktinai suteikta galimybė susipažinti su asmens duomenimis. Tai, savo ruožtu, buvo jų sunaikinimo, pakeitimo, blokavimo, kopijavimo, aprūpinimo, paskirstymo ar kitų neteisėtų veiksmų priežastis. (Rusijos Federacijos administracinio kodekso 13.11 straipsnio 6 dalis).		    Bausmė:
  • piliečiams - nuo 700 iki 2000 rublių;
  • pareigūnams (pavyzdžiui, vadovui) - nuo 4 000 iki 10 000 rublių;
  • individualiems verslininkams - nuo 10 000 iki 20 000 rublių;
  • organizacijoms - nuo 25 000 iki 50 000 rublių.
    Pasirūpinkite asmeninių duomenų nešėjų saugojimu, patvirtinkite prieigos prie asmens duomenų taisykles.
Nepranešimas „Roskomnadzor“ apie duomenų tvarkymą
   Pranešimo apie asmens duomenų tvarkymą nepateikimas „Roskomnadzor“, jo nesavalaikis pateikimas arba pranešimo, kuriame yra neišsami ar netiksli informacija, pateikimas (Rusijos Federacijos administracinio kodekso 19.7 straipsnis).		    Įspėjimas arba nuobauda:
  • piliečiams - nuo 100 iki 300 rublių .;
  • pareigūnams (įskaitant individualius verslininkus - atkreipkite dėmesį į Rusijos Federacijos administracinio kodekso 2.4 straipsnį) - nuo 300 iki 500 rublių. Be to, remiantis pastaba str. 2.4 Rusijos Federacijos administracinis kodeksas, tokie asmenys yra organizacijų vadovai, atliekantys organizacines ir administracines ar administracines funkcijas;
  • juridiniams asmenims - nuo 3000 iki 5000 rublių.
    Jei tvarkote, saugote asmens duomenis - esate operatorius ir turite pranešti „Roskomnadzor“ (Įstatymo 22 straipsnio 1 dalis, 3 straipsnio 2 dalis).

Išimtis:   pranešti „Roskomnadzor“ nereikia   (Įstatymo 22 straipsnio 2 dalis), jei:

  • Jūs tvarkote darbuotojo duomenis (Įstatymo 22 straipsnio 1 dalies 2 punktas).
  • Jei tvarkomi tik asmens duomenų subjektų pavardės, vardai ir patronimas (įstatymo 5 straipsnio 2 dalis, 22 straipsnis).

Įsipareigojimo pranešti „Roskomnazdor“ nebuvimas neatleidžia nuo prievolės gauti sutikimą tvarkyti asmens duomenis ir turėti tvarkymo politiką. Pvz., Jei turite darbuotojų, turite arba sutikti, kad asmens duomenys būtų tvarkomi kaip atskiras dokumentas, arba palikti darbo sutartyje eilutę darbuotojo parašui (teismų praktika mano, kad jei sutikimas dėl asmens duomenų tvarkymo yra duotas darbo sutartyje, tačiau nėra vietos darbuotojo parašui nebuvo duotas darbuotojo sutikimas).

Svarbu atsiminti:   politika, sutikimas tvarkyti turėtų būti pateiktas atsižvelgiant į tai, kokius duomenis ir kokiais būdais tvarkote. Tai reiškia, kad neužtenka tik atsisiųsti šiuos dokumentus internetu, bet jūs turite juos patys pasidaryti. Jei dokumentuose neatsižvelgiama į jūsų tvarkymo procesus, pagalvokite, kad šių dokumentų neturite.

Ir svarbiausia, kokia reali rizika būti atsakingam?

Atsakymas čia bus labai neaiškus. Atsižvelgiant į naujas „Roskomnadzor“ galias, naujus Administracinių nusižengimų kodekso straipsnius ir dideles jų sumas, rizika būti patrauktam atsakomybėn padidės, palyginti su tuo, koks buvo anksčiau. Bet kiek? Praktika parodys.

Ir paskutinis dalykas, kuris jaudina dėl artėjančių pokyčių:   Dabar domenų vardų registratoriai (ypač dideli), advokato prašymu autorių teisių savininko vardu, nori pateikti informaciją apie domeno vardo administratorių (asmenį), kurio domeno vardas ar svetainė šiame domeno pavadinime pažeidžia šio autorių teisių savininko teises.

Kas bus po liepos 1 dienos, neaišku. Jei registratoriai nustos išduoti informaciją apie individualų administratorių (jo vardas, pavardė, adresas), nurodant poreikį išsaugoti asmens duomenis, autorių teisių savininkas atsidurs sudėtingoje situacijoje: jis negalės kreiptis į teismą, nes nežino, kam kreiptis į teismą.

Autorių teisių savininkas gali paprašyti svetainės savininko (jei, žinoma, jo kontaktai yra svetainėje), o ne domeno administratoriaus, tada teismo prašymo išsiaiškinti, kas yra domeno administratorius. Tačiau arbitražo teismas ir toliau nenagrinės ieškinio administratoriui dėl ieškinių dėl ginčų sprendimo tvarkos nesilaikymo. Tačiau autorių teisių savininkas negalėjo laikytis šios ieškinio pateikimo tvarkos, nes nežinojo, kam rašyti.

Ir paaiškėja, kad po kelių mėnesių teismo proceso, autorių teisių savininkui išsiaiškinus, kas yra administratorius, ir nusiųstas jam skundas, autorių teisių savininkui padarytos žalos dydis gali tapti labai didelis.

Be to, atsižvelgiant į intelektinės nuosavybės teisių teismo išaiškinimus, kai kurios pretenzijos gali būti pateikiamos tik domeno administratoriui, bet ne svetainės savininkui. Iš to išplaukia, kad autorių teisių savininkas vis tiek turi išleisti pinigus teisme su svetainės savininku, kurių jam taip nereikia. Jei domeno administratorius yra juridinis asmuo, tokios problemos nėra, tačiau pavienių administratorių yra daugybė.