Все это — онлайн, с заботой о вас и по отличным ценам.
А я удалила месяца 3 назад с сайта Google Analytics Поможете грамотно ответить?
Добрый день! С РОСКОМНАДЗОР пришло письмо о нашем сайте, что цитирую - На Сайте установлено программное средство Google Analytics,
использование функционала которого позволяет определить уникального
посетителя Сайта, формировать сведения о его предпочтениях и поведении на
Сайте, что указывает на обработку его персональных данных.
А я удалила месяца 3 назад с сайта Google Analytics
Поможете грамотно ответить?
- nk_requirement.pdf
Добрый день.
Тут проблема заключается не только в том, что у Вас на сайте использовался сервис аналитики Google.
Проблема в том, что на Вашем сайте отсутствует политика конфиденциальности и Вами своевременно не было подано уведомление о начале обработки персональных данных согласно 152-ФЗ.
А учитывая что Вами в действительности обрабатываются персональные данные Ваших клиентов это необходимо.
Далее продолжу.
Здравствуйте. В целом, уведомление от РКН, которое направлено Вами в вопросе содержит в себе требование о приведении Вашей работы с перс. данными клиентов (туристов, которые обращаются к Вам за бронированием туристского продукта) в соответствие с требованием Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ.
Не буду цитировать оттуда статьи вышеуказанного закона, Вы это Уведомление итак уже, наверняка, сами прочитали.
Но, в целом, резюмирую, что хочет РКН:
1. РКН требует разработать политику обработки персональных данных, которая включает в себя сроки обработки таких данных.
2. Если используются сервисы аналитики (неважно, Гугл, Яндекс и пр.) — направить в РКН уведомление о трансграничной передаче данных.
3. Проинформировать РКН в срок, установленный ч. 4 ст. 20 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ (10 рабочих дней), письменно, по адресу: ул. Энгельса, д. 44Д, г. Челябинск, 454080, и по электронной почте: rsockanc74@rkn.gov.ru.
У меня есть наработки политики обработки перс. данных, прошедшие проверку РКН. Если Вам требуется разработка такой политики, помощь в направлении уведомления по п. 2 моего ответа, а также помощь с подготовкой ответа на уведомление РКН — Вы можете обратиться ко мне в чат за возмездными услугами, нажав кнопку «Общаться в чате».
Здравствуйте!
Первая претензия РКН заключается в том, что политика обработки персональных данных
не содержит конкретных сроков обработки персональных данных
На Вашем сайте найти этот документ не удалось вообще. В соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ, он должен быть и поддерживаться в актуальном состоянии. В отношении сроков сформулировать пункт можно с отсылкой к ч. 7 ст. 5 ФЗ №152:
не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных
В идеале рекомендую дать юристу проверить весь текст политики (если она есть), а также вывести ссылку на нее на более видное место.
Вторая претензия касается осуществления трансграничной передачи персональных данных. То, что Вы удалили счетчик сейчас, не означает, что его не было там раньше. А ч. 3 ст. 12 ФЗ №152 обязывает уведомлять об этом уполномоченный орган.
Так что уведомление придется направить даже несмотря на то, что данными метриками Вы больше не пользуетесь.
Обо всех осуществленных действиях нужно будет уведомить РКН в течение 10 рабочих дней с даты получения письма.
Проведя беглый анализ Вашего сайта уже видно, что Вами обрабатываются персональные данные например заявка на обратный звонок содержит поле Имя и телефон, что уже является персональными данными.
Персональные данные — это любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу.
Так согласно ст. 22 ФЗ О Персональных данных
Согласно ч. 1 ст. 6 ФЗ О персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.
В силу ч. 1 ст. 9 ФЗ О персональных данных субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Таким образом, при использовании на сайте электронных форм, предполагающих сбор персональных данных, для субъекта персональных данных должна быть предусмотрена возможность дать конкретное, предметное, информированное, сознательное и однозначное согласие на обработку персональных данных.
В соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 Nº 152-Ф3 «О персональных данных» к мерам, необходимым и достаточным для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, в том числе, относится издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.
Согласно п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 Nº 152-Ф3 «О персональных данных» к мерам, необходимым и достаточным для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, втом числе относится издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.