Обработка и хранение персональных данных в РФ.

[XTRO 154]

(из рассылки IT Patrol inc.)

C 1 сентября 2015 года в Российской Федерации начинает действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

Основная цель этого текста, донести до наших клиентов суть закона и как он влияет на размещение вашего сайта на заграничном хостинге. 

Я постараюсь внести ясность и сделать выжимку трактовки закона.

Цель данного закона: обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

 

Хочу сразу указать что данный закон не распространяется  на личный сайт, сайт сообщества, научный, литературный или творческий сайт. При условии что не нарушаются права и законные интересы субъекта персональных данных.

Самый важный момент, это определение Персональные данные (далее ПД):

- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

 

В законе указаны следующие основные категории персональных данных:

- персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

 

Если исключить пункты, созданные для государственных нужд, для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме или подписанное электронной подписью.

 

- биометрические персональные данные - характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных;

 

Если исключить пункты, созданные для государственных нужд, для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме.

 

- в общедоступные источники ПД (в том числе справочники, адресные книги)  могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

 

Для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме или подписанное электронной подписью.

 

Основное беспокойство с размещением сайтов наших клиентов за границей связано со следующим пунктом закона:

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

 

Если исключить пункты, созданные для государственных нужд, остается пункт:

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

 

При этом, оператор, который решает обрабатывать ПД обязан уведомить о своем намерении осуществлять обработку ПД (статья 22 пункт 1).

Возможна обработка данных без уведомления (статья 22 пункт 2) (не все пункты, выжимка):

•  - полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных
•  - относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных
•  - сделанных субъектом персональных данных общедоступными
•  - включающих в себя только фамилии, имена и отчества субъектов персональных данных
•  - необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях

 

 

Подводя итог, можно сказать следующее. Ваш личный сайт, сайт сообщества, научный, литературный или творческий сайт может быть размещен на заграничном хостинге. При условии что не нарушаются права и законные интересы субъекта персональных данных.

Если вы осуществляете предоставление услуг, на основе договора - вы не обязаны регистрироваться как Оператор, но обязаны получить письменное или подписанное электронным ключем разрешение от субъекта ПД. При этом вы можете передавать ПД за рубеж при письменном разрешении субъекта ПД .

 

Если вы анализируете ПД для оптимизации выдачи контента (перечня услуг, товаров) - вы обязаны получить разрешение (в письменном виде или подписанное электронным ключем) субъекта ПД до начала обработки ПД

Для ПД полученных не от субъекта ПД, вы обязаны до начала обработки ПД послать субьекту данные указанные в статье 18 пункт 3 этого закона. 

За исключением если ПД были сделаны субъектом ПД общедоступными или получены из общедоступного источника а также если обработка осуществляется для профессиональной деятельности журналиста ибо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных

 

При этом, чтоб пользоваться зарубежным хостингом, базу клиентов (для осуществления обработки собранных персональных ,систематизации, накопления, хранения, уточнения, извлечения) Вам необходимо хранить на территории Российской Федерации в обязательном порядке с соблюдением всех требований безопасности хранения ПД. 

 

Запрета на передачу данных в страны, являющихся сторонами Конвенции Совета Европы - нет, но сбор, обработка, накопление, хранение, уточнение и извлечение данных должна происходить из базы данных на территории Российской Федерации

В случае если вы занимаетесь коммерческой деятельностью, я настоятельно рекомендую Вам обратиться к юристу, для более детального рассмотрения применения данного закона к вашей деятельности.

Ссылки:

Текст закона: http://www.consultant.ru/document/cons_doc_LAW_61801/

Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных http://www.rg.ru/2013/04/26/perechen-dok.html

Разъяснения к закону: http://www.minsvyaz.ru/ru/personaldata/

Хороший обзор (смотрите секцию Хостинг за рубежом в контексте персональных данных)

http://megamozg.ru/post/18456/

 

[Дмитрий Кондин 690]

email - относится к ПД?

мобильный телефон?

[XTRO 154]

email - относится к ПД?

мобильный телефон?

имхо да, поскольку

определение Персональные данные (далее ПД):

- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

[Chernetskiy 469]

В таком случае счета из ЖКХ, за телефон, электричество и т.п. тоже персональная информация. Да чего там, окурок, брошенный мимо урны тоже несет в себе информацию о ДНК курильщика... не говоря об отпечатках пальцев, которые мы оставляем ежедневно и повсеместно. Всё зашифровать!

[abushyk 694]

и даже числовой идентификатор пользователя в БД тоже может быть отнесен к персональной информации. тут точно без сто грамм юриста будет не разобраться))

[XTRO 154]

 тут точно без сто грамм юриста будет не разобраться))

думается и с юристом нас захотят поиметь в этом государстве.

посему, уж лучше 100 г ...и не брать в голову, во всяком случае пока.

[Chernetskiy 469]

А вы собрались всем показывать, как у вас хранятся персональные данные? Иными словами, открывать административный доступ? Ага, сейчас, шнурки поглажу...!

Всё, что от вас на текущий момент требуется, это назначить козла отпущения и провести это приказом по организации + разработать положение о доступе к перс.данным (если мне не изменяет память). Но, поскольку ИП и организаций в стране миллионы, а проверяющих - 1,2 и обчелся, да и те не имеют представления что и как проверять (ПТУшники с улицы), то и шанс нарваться на проверку 1/1000000

[AndreyTs 7]

 Но мне кажется что если проблемы у владельца сайта и появиться с этим, то когда начнут на него жаловаться посетители. По данному скрипту предположу когда такое может быть, даже если напрямую сайт будет и не виноват.

 Сейчас спамеры уже добрались даже до Вибера и Ватцапа, вот представьте к вам пришёл человек подать объявление которого уже бесят спамеры в вибере, в почте, он подаёт объявление и вдруг видит что его номер и почта видна всем а если он ещё хоть каплю понимает как спамеры могут получать его данные, то он вполне может написать и кляузу. Я не понимаю зачем разработчики так хотят откровенно подставляться?

 Видел кучу сайтов где или пока не войдёшь как пользователь этих данных не увидишь, есть не мало сайтов где надо нажать отдельную кнопку что бы увидеть эти данные а вчера столкнулся с одним интересным сайтом где эти данные представлены в виде графической картинки, на другой направленности сайтов это видел и ранее но на подобном впервые увидел. И видно сразу данные и в тоже время не так их просто выудить от туда спамерам. В этом случае конечно это дополнительная нагрузка на хост и базу, но сама реализация очень интересна. 

 Зачем испытывать судьбу и потом бегать по юристам и доказывать что ты не олень когда можно что то сделать что бы возможность самих таких кляуз снизить?

[Chernetskiy 469]

 Но мне кажется что если проблемы у владельца сайта и появиться с этим, то когда начнут на него жаловаться посетители. По данному скрипту предположу когда такое может быть, даже если напрямую сайт будет и не виноват.

Будет виноват владелец сайта, но жалобы должны быть обоснованы. Если пользователь не читал пользовательское соглашение, добавляя на сайт объявление со своими контактными данными, поставил галочку и кликнул на ОК, то это его проблемы и владелец сайта ничего не нарушил.

К тому-же как вы представляете реакцию посетителя на конкретное объявление, если в нем нет контактных данных? Вы будете сами и за даром выступать в качестве посредника в организации общения между продавцом и покупателем, только потому, что надо скрыть контакты продавца?

А что мешает продавцу на время подключить отдельный номер телефона, который только и будет предназначен для продажи объекта? Продаст объект, номер отключит/выбросит...

 

Сейчас спамеры уже добрались даже до Вибера и Ватцапа, вот представьте к вам пришёл человек подать объявление которого уже бесят спамеры в вибере, в почте, он подаёт объявление и вдруг видит что его номер и почта видна всем а если он ещё хоть каплю понимает как спамеры могут получать его данные, то он вполне может написать и кляузу. Я не понимаю зачем разработчики так хотят откровенно подставляться?

Ничто не мешает блокировать спамера хотя-бы занесением в черный список. А для того, чтобы написать кляузу, никому и никакие основания не нужны. В любом случае, подобные обращения подлежат проверке и решения по ним выносятся не от балды а обоснованно, основываясь, в том числе и на ваших объяснениях. Одного не понял, на чем разработчики-то подставляются? Если вам продали автомашину а вы на ней начнете народ по деревне косить, будет виноват производитель или тот, у кого нет мозгов?

 

Видел кучу сайтов где или пока не войдёшь как пользователь этих данных не увидишь, есть не мало сайтов где надо нажать отдельную кнопку что бы увидеть эти данные а вчера столкнулся с одним интересным сайтом где эти данные представлены в виде графической картинки, на другой направленности сайтов это видел и ранее но на подобном впервые увидел. И видно сразу данные и в тоже время не так их просто выудить от туда спамерам. В этом случае конечно это дополнительная нагрузка на хост и базу, но сама реализация очень интересна. 

И подобный геморрой сильно повышает привлекательность сайта? Может быть это сильно осложнило жизнь тому, кто хочет извлечь телефоны и е-mail продавцов? В первую очередь, о безопасности персональных данных должен думать их владелец. Если у владельца, от жадности или недоумия не хватает ума завести временный телефонный номер и e-mail, а еще лучше - обратиться в агентство, то пусть светит свои данные себе-же в минус.

В любом случае, если вам так необходим указанный функционал, фриланс вам в помощь.

 

Зачем испытывать судьбу и потом бегать по юристам и доказывать что ты не олень когда можно что то сделать что бы возможность самих таких кляуз снизить?

Даже бегать не собираюсь! Ссылка на Пользовательское соглашение или договор публичной оферты решит ваш вопрос....

Вы не обязаны скрывать номер телефона и e-mail продавца, если он одним кликом объявил его в публичный доступ.

Включите в настройках соответствующую галочку.

К тому-же, персональные данные должны быть привязаны к конкретным Фамилии, имени, отчеству, что напрямую будет идентифицировать эти данные с конкретным человеком а не с Иваном или Василием (как обычно регистрируются), коих миллионы.

[AndreyTs 7]

К тому-же как вы представляете реакцию посетителя на конкретное объявление, если в нем нет контактных данных?

 

 Во первых я предлагал сделать их или невидимыми для незарегистрированного а значит и для разного рода парсеров, а второй вариант в виде картинки

Вот пример реализации, хотя есть и более картиночные

http://nov.kvadroom.ru/obyavleniya/sdaetsiya-1-komnatnaya-kvartira-velikij-novgorod/206304443.html

Отдельный номер телефона, который только и будет предназначен для продажи объекта? Продаст объект, номер отключит/выбросит...

 

Знаете сколько людей передумывает порой что то писать из-за номера? или вам это всё равно? Примерно столько же, сколько уходят с сайтов из-за сложной капчи. Вы просто для занятия времени занимаетесь недвижимостью или каждый посетитель это возможность своего заработка? 

 На сайте DLE, владельцы сайтов долго бились что бы капчу к чертям убрали и многие радуются теперь системе вопрос-ответ. А вы усложнить что то предлагаете. Пользователь пришёл и увидел что ему нужно либо сделать какое то действие к примеру нажать на кнопку показать номер, или регистрироваться. Вам правда очень интересно что если ваш сайт будет поставщиком для спамеров? Уверены что хотя бы каждого сотого скажем не потеряли потенциально спонсора вашего финансового состояния?

[Chernetskiy 469]

 Во первых я предлагал сделать их или невидимыми для незарегистрированного а значит и для разного рода парсеров, а второй вариант в виде картинки

Вот пример реализации, хотя есть и более картиночные

http://nov.kvadroom.ru/obyavleniya/sdaetsiya-1-komnatnaya-kvartira-velikij-novgorod/206304443.html

Может быть в этом есть смысл, если  у вас на сайте будут тысячи объявлений. Не думаю, что спамерам будет большая радость лопатить контакты на местячковых сайтах, с количеством контактов до сотни. Таких сайтов в каждом городе сотни и подгонять программу-сканер под каждый или лопатить всё это вручную - не интересно. Проще купить диск с много-миллионной базой контактов.

 

 

Знаете сколько людей передумывает порой что то писать из-за номера? или вам это всё равно? Примерно столько же, сколько уходят с сайтов из-за сложной капчи. Вы просто для занятия времени занимаетесь недвижимостью или каждый посетитель это возможность своего заработка? 

На моем сайте размещаются объявления моего агентства, в контактах которого стоят номера мои и моих агентов.

Меня абсолютно не интересует, покажет-ли свои контакты желающий поиграться в продажи недвижимости и сэкономить на моих услугах. Может размещать объявление, а может и не размещать. Я подобных "клиентов" вижу в достатке и не имею с них практически ничего, чтобы меня этот вопрос волновал. Если их не будет вообще, мой бизнес в упадок не придет. Спустя время, такие наигравшиеся обращаются ко мне за помощью купить/продать на договорной основе и взять весь объем звонков, показов и торг на себя.

Каптчу я у себя убрал и проблем в связи с её отсутствием не заметил, однако на всех клиентов не угодишь... лично меня напрягает тыкать в каждый закрытый телефон, чтобы он открылся... думаю, что большинство того-же мнения. 

 

Тенденция последнего времени смещается в сторону покупателя, и сейчас основной проблемой риэлтора является не столько найти продавца, сколько выйти на хорошего покупателя. Контакты покупателя у нас на сайте не светятся.

[AndreyTs 7]

На моем сайте размещаются объявления моего агентства

 Так и я вот именно об этом) На вашем сайте! Но я же обращаюсь в первую очередь к разработчикам, от их гибкости к клиентам и зависит в немалой степени распространённость их продукта. То что достаточно или устраивает одного, может не совсем быть достаточно одному, ну а кому то может показаться и избыточным. Так же как и с той же капчёй на том же DLE, там не мало и тех кто просит капчу сделать по жёстче) наверное вообще хотят посетителей убить) 

 Про многомиллионные продажные базы... знать бы от куда они берутся, может в том же мегафоне-мтс и т.д. покупают, а может кто не ленится и собирает и с мелких сайтов. Ведь есть разница в номерах тех кто инетом и не пользуется и те кто там светятся. Особенно если учитывать то на каких сайтах они светятся больше. 

 Вам бы к примеру какой спамер предложил бы скажем прогнать смс рекламу, вы по какой бы базе выбрали, без разницы от куда или дать её тем кто взять с подобных ресурсов как ваш? 

 Я не говорю о том что всё, без этого конец света, но если на десятках CMS это есть, то что претит так сильно сделать на данном движке? Я же об этом. 

 Идти нужно вперёд а не ждать пока пнут сзади. Как и с мобильной версией сайта, заходить на сайт на этом движке, по крайней мере на шаблоне по дефолту смысла нет, то есть мобильный трафик потерян уже. 

[Chernetskiy 469]

 Так и я вот именно об этом) На вашем сайте! Но я же обращаюсь в первую очередь к разработчикам, от их гибкости к клиентам и зависит в немалой степени распространённость их продукта.

Андрей, похоже этот функционал нужен только вам.

 

 Про многомиллионные продажные базы... знать бы от куда они берутся, может в том же мегафоне-мтс и т.д. покупают, а может кто не ленится и собирает и с мелких сайтов. 

Основная часть номеров и e-mail, откуда-бы их не взяли, относительно стабильна и ими можно пользоваться даже спустя 10 лет.

 

  Вам бы к примеру какой спамер предложил бы скажем прогнать смс рекламу, вы по какой бы базе выбрали, без разницы от куда или дать её тем кто взять с подобных ресурсов как ваш? 

Я-бы и выбирать не стал. С одной стороны - мне это не интересно, с другой стороны - обсудил-бы со спамером оплату по результату, поскольку не знаю ни его баз, ни его возможностей а платить за воздух не привык.

Сейчас достаточно контор, которые предлагают рекламу за процент от агентского вознаграждения или стоимости объекта и мне до фонаря как они приведут ко мне клиента. Причем, даже не требуют предоплаты.