Штраф до 75 тыс. руб. за Яндекс.Метрику или Google Analytics
С 1 июля штрафы за нарушение Закона о персональных данных (152-ФЗ) увеличены до 75 тысяч рублей.
В феврале внесены поправки в статью 13.11 КоАП о нарушений закона о персональных данных.
Поправки вступили в силу 1 июля 2017 года и касаются всех, кто собирает, обрабатывает и хранит любые персональные данные на сайте.
При этом количество статей КоАП, нарушение которых влечет наложение штрафа, увеличено до семи. И при несоблюдении нескольких параграфов сумма вырастает в несколько раз.
Это касается всех сайтов, на которых есть:
форма заказа обратного звонка
форма обратной связи
форма заказа товара или услуги
если вы занимаетесь таргетированной или контекстной рекламой своей компании, используя данные систем аналитики от Яндекса, Google и др.;
собираете сведения о действиях пользователей на сайте для персональных предложений товаров и услуг;
каким-либо образом используете сведения о посетителях сайта, храните их, передаете веб-разработчикам и рекламным агентствам
принимаете онлайн оплату;
До 1 июля протоколы о нарушениях могла выписывать только прокуратура. С 1 июля выписывать протоколы может Роскомнадзор — дело пойдет быстрее. Кроме штрафов в пользу государства, за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.
Как избежать штрафа?
Необходимо разработать подходящую вашему сайту «Политику конфиденциальности» (описание условий сбора, хранения и обработки данных пользователей).
Создать отдельную страницу и разместить на ней «Политику конфиденциальности».
Ссылки на эту страницу размещаются на главной странице сайта и во всех формах сбора данных.
Жуйк, какие права ты бы предоставил, а какие зарезал бы для, например, dating-приложения
Учитывай, что часть твоих данных (номер телефона, имя) могут быть слиты другими юзерами, которые доступ приложениям не ограничивают.
У меня просто накопился некоторое количество групповых фото 20-летней давности, которые для findFace бесполезны, но которые уже слиты в соц.сети "добрыми друзьями" и кое где даже с отметками моих Ф.И.О/профилей.
Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. 2.bp.blogspot.com
Вчера в 16.30 ФСТЭК опубликовала на своем сайте информационное сообщение fstec.ru датированное 30-м мая и номером №240/22/2222, по вопросу необходимости получения лицензии ФСТЭК России на деятельность по ТЗКИ.
[...]
Если организация не извлекает прибыль из деятельности по ТЗКИ, если эта деятельность не прописана в учредительных документах (например, в Уставе), либо если эта деятельности не осуществляется по поручению обладателя информации или заказчика информационной системы в соответствие с трехглавым ФЗ-149, то лицензия ФСТЭК на ТЗКИ организации не нужна. Иными словами, абсолютному большинству организаций, теперь не требуется искать основания и заниматься юридическим крючкотворством, чтобы обосновать отсутствие лицензии ФСТЭК на ТЗКИ.
Интересный набор новостей.
1) Планируется ввести новое понятие "Уровень защищенности ИСПДн", четыре уровня.
2) Также новое понятие "Модель нарушителя", три категории. В зависимости от модели нарушителя будет выбираться тот или иной уровень защищенности (т.е., например, данные, попадающие под 1 категорию, можно будет защищать по-разному, в зависимости от модели нарушителя).
3) ФСТЭК разрабатывает множество РД и для всех классов устройств, для которых РД уже есть, сертификация будет не на соответствие ТУ, а на выполнение требований РД.
4) Планируется в частности выход в свет РД по ЗИ для госорганов, который (аллилуйя) заменит СТР-К.
5) Наконец-то формализовали — нужна или нет лицензия ФСТЭК на техзащиту конфиденциальной информации для собственных нужд, компания решает самостоятельно.
6) Аттестация ИСПДн обязательна для госструктур и на усмотрение компании для коммерческих.
Алексей Лукацкий в своем блоге сделал выжимку (http://lukatsky.blogspot.com/2011/05/blog-post.html) из нового закона "О лицензировании отдельных видов деятельности".
Что приятно (выжимка из выжимки):
1) Теперь не надо получать лицензию на деятельность, которую компания обязана выполнять по законодательству. Т.е. — ура-ура — для эксплуатации собственной сети туннелей, которые шифруются для выполнения требований защиты ПДн, уже не нужна лицензия на техническое обслуживание средств шифрования.
2) И из другого изменения то же самое следует — не требуется лицензия на техническое обслуживание, если оно осуществляется "для обеспечения собственных нужд". Что такое "собственные нужды", правда, не расшифровали, но если оказания услуг не будет — уже можно не опасаться преследования за отсутствие лицензии.
3) И все выданные лицензии становятся бессрочными (прямо удивительно, как такую золотую жилу отпускают).
graph.document.kremlin.ru Закон о переносе сроков приведения в соответствие информационных систем, обрабатывающих персональные данные, подписан. Правда, срок перенесли не на год, а на полгода — до 1 июля 2011 года.
asozd2.duma.gov.ru
Коротко — предлагают сроки "приведения в соответствие" отодвинуть еще на год.
Думаю, что должны принять. Девяносто процентов информационных систем в стране к требованиям законодательства не приведены.
Внимательно изучая и сопоставляя нормы различных нормативно-правовых актов (НПА), мы зачастую сталкиваемся с казусами их противоречия между собой. В области персональных данных на текущий момент времени не устранены, на наш взгляд, следующие противоречия и спорные ситуации:
ФСТЭК выпустил в свет проект нового документа "Положение о методах и способах защиты информации в информационных системах персональных данных". fstec.ru — ссылка на сам документ. malotavr.blogspot.com — неплохой комментарий. Рекомендуется к изучению.
Осталось меньше 11 месяцев до очередного часа Икс.
А все обратили внимание, что апокалипсис откладывается на год? Депутаты в третьем чтении приняли закон "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" (в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных")".
Так что можно еще год пропинать балду (тем более, что сейчас затачивать сети бессмысленно, потому что требования ФСТЭК будут за этот год переработаны).
