К чему странный вопрос о том, будет ли документ в поп-апе новой страницей сайта или все-таки той же самой?
А вот к чему.
Сейчас в законе о персональных данных написано (сразу перевожу на человеческий язык), что если на сайте собираются персональные данные, то на нем должна быть размещена политика обработки персональных данных и обеспечен доступ пользователя к этому документу. Все это знают, политику размещают, активную ссылку во фразе-согласии на сбор данных делают. Обычный вариант – политика должна открываться на отдельной странице, чтобы посетитель сайта, когда откроет это занудство и сразу решит его закрыть, случайно не закрыл единственную активную вкладку и не ушел с сайта совсем.
⚠️ А с 1 сентября 2022 года закон меняется. Теперь доступ к политике должна быть обеспечен «в том числе, на страницах сайта... с использованием которых осуществляется сбор персональных данных».
Если читать буквально, получается следующая картина: есть если есть страница с формой сбора данных, то НА ЭТОЙ ЖЕ странице должна быть размещена и политика.
Я не знаю, из чего исходили законодатели и как они представляли себе реализацию нормы. Потому что размещать полный текст политики под формой – это дурость.
Теоретически, задумка могла быть про то, что не сама политика должна быть на странице, а доступ к ней должен быть обеспечен с той же страницы сайта (то есть просто подчеркнули, что ссылка в согласии с политикой должна быть активной). Но нет, написано «доступ НА страницах», а не «доступ ПОСРЕДСТВОМ страниц». Разъяснений и практики, понятное дело, пока нет.
И вот я думала-думала, и придумала, что для исполнения такого требования политику можно загонять в поп-ап. По мнению большинства дизайнеров, поп-ап - это та же самая страница сайта, не новая.
Мне кажется, это логично – у поп-апа нет своего адреса, технически он добавляется как обычный блок на странице. То есть формально требование закона будет соблюдено, хотя само действо бессмысленно. Другого варианта пока не нашла.
Что думаете?
А вот к чему.
Сейчас в законе о персональных данных написано (сразу перевожу на человеческий язык), что если на сайте собираются персональные данные, то на нем должна быть размещена политика обработки персональных данных и обеспечен доступ пользователя к этому документу. Все это знают, политику размещают, активную ссылку во фразе-согласии на сбор данных делают. Обычный вариант – политика должна открываться на отдельной странице, чтобы посетитель сайта, когда откроет это занудство и сразу решит его закрыть, случайно не закрыл единственную активную вкладку и не ушел с сайта совсем.
⚠️ А с 1 сентября 2022 года закон меняется. Теперь доступ к политике должна быть обеспечен «в том числе, на страницах сайта... с использованием которых осуществляется сбор персональных данных».
Если читать буквально, получается следующая картина: есть если есть страница с формой сбора данных, то НА ЭТОЙ ЖЕ странице должна быть размещена и политика.
Я не знаю, из чего исходили законодатели и как они представляли себе реализацию нормы. Потому что размещать полный текст политики под формой – это дурость.
Теоретически, задумка могла быть про то, что не сама политика должна быть на странице, а доступ к ней должен быть обеспечен с той же страницы сайта (то есть просто подчеркнули, что ссылка в согласии с политикой должна быть активной). Но нет, написано «доступ НА страницах», а не «доступ ПОСРЕДСТВОМ страниц». Разъяснений и практики, понятное дело, пока нет.
И вот я думала-думала, и придумала, что для исполнения такого требования политику можно загонять в поп-ап. По мнению большинства дизайнеров, поп-ап - это та же самая страница сайта, не новая.
Мне кажется, это логично – у поп-апа нет своего адреса, технически он добавляется как обычный блок на странице. То есть формально требование закона будет соблюдено, хотя само действо бессмысленно. Другого варианта пока не нашла.
Что думаете?
А меж тем, я это сделала! Горжусь собой невероятно. Сил и времени потратила огромное количество, чтоб написать.
- прошла двухмесячный курс повышения квалификации «Юрист цифровой эпохи»;
- перечитала пачку законов, разъяснений Роскомнадзора и судебных решений;
- перевела это все с юридического на человеческий язык.
Завтра расскажу, что получилось!
- прошла двухмесячный курс повышения квалификации «Юрист цифровой эпохи»;
- перечитала пачку законов, разъяснений Роскомнадзора и судебных решений;
- перевела это все с юридического на человеческий язык.
Завтра расскажу, что получилось!
В сухом остатке - пока никуда не бежим. Напишу запрос в Роскомнадзор.
Рассказываю про свое Руководство по персональным данным для веб-дизайнеров 🥰
Скажите, вы как дизайнер, который работает с персональными данными своих заказчиков, уведомляли (или будете уведомлять) Роскомнадзор об этом?
Anonymous Poll
77%
😳 Чегоо? Первый раз про такое слышу
8%
😎 Нет, я все изучил(а) и попадаю под исключения
9%
😈 Нет, я сознательно нарушаю
6%
🤓 Да, обязательно!
В общем, дело такое:
Представьте обычную ситуацию - вы фрилансер и делаете сайты на заказ. Записали имя заказчика, его номер телефона, мейл, чтобы обмениваться информацией. Вот это все - персональные данные вашего заказчика. А вы теперь оператор, который эти данные обрабатывает.
В законе о персональных данных есть обязанность оператора уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных. И эта обязанность касается любого оператора. Даже если вы не компания и не ИП.
✅ Хорошая новость - бывают исключения. Случаи, когда уведомлять Роскомнадзор не нужно. Например, если данные используются в связи с заключением и исполнением договора и не передаются никому без согласия субъекта. Это как раз наша ситуация - вы делаете сайт, исполняя соглашение с заказчиком.
Это мое любимое исключение - оно подходит для многих сценариев бизнеса.
Есть и другие, но они менее жизненные - если обрабатываются только ФИО, если данные нужны для однократного пропуска на территорию и т.д.
🙄 Плохая новость - в полночь карета превратится в тыкву. С 1 сентября большинство исключений отменяются. В том числе, про договор. Более-менее рабочим останется только одно - если данные обрабатываются без использования средств автоматизации.
✍🏻Без автоматизации - это не только про запись ручкой на листочке. Если для того, чтобы что-нибудь сделать (отправить письмо по электронной почте, например), требуется участие человека, то автоматизации нет. Если человек не нужен, автоматизация есть. Очень упрощенно, но смысл такой.
С учетом того, что многие «бизнесы» в той или иной форме автоматизируют процессы обработки данных клиентов, повышается вероятность того, что уведомлять Роскомнадзор все-таки нужно.
В качестве вишенки на торте - как обычно, приближенных к реальности разъяснений и судебной практики про автоматизацию пока нет. Каждый читает и понимает по-своему. То, как это понимаю я, чуть подробнее рассказала в руководстве.
В следующий раз - о том, как составить уведомление.
Представьте обычную ситуацию - вы фрилансер и делаете сайты на заказ. Записали имя заказчика, его номер телефона, мейл, чтобы обмениваться информацией. Вот это все - персональные данные вашего заказчика. А вы теперь оператор, который эти данные обрабатывает.
В законе о персональных данных есть обязанность оператора уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных. И эта обязанность касается любого оператора. Даже если вы не компания и не ИП.
✅ Хорошая новость - бывают исключения. Случаи, когда уведомлять Роскомнадзор не нужно. Например, если данные используются в связи с заключением и исполнением договора и не передаются никому без согласия субъекта. Это как раз наша ситуация - вы делаете сайт, исполняя соглашение с заказчиком.
Это мое любимое исключение - оно подходит для многих сценариев бизнеса.
Есть и другие, но они менее жизненные - если обрабатываются только ФИО, если данные нужны для однократного пропуска на территорию и т.д.
🙄 Плохая новость - в полночь карета превратится в тыкву. С 1 сентября большинство исключений отменяются. В том числе, про договор. Более-менее рабочим останется только одно - если данные обрабатываются без использования средств автоматизации.
✍🏻Без автоматизации - это не только про запись ручкой на листочке. Если для того, чтобы что-нибудь сделать (отправить письмо по электронной почте, например), требуется участие человека, то автоматизации нет. Если человек не нужен, автоматизация есть. Очень упрощенно, но смысл такой.
С учетом того, что многие «бизнесы» в той или иной форме автоматизируют процессы обработки данных клиентов, повышается вероятность того, что уведомлять Роскомнадзор все-таки нужно.
В качестве вишенки на торте - как обычно, приближенных к реальности разъяснений и судебной практики про автоматизацию пока нет. Каждый читает и понимает по-своему. То, как это понимаю я, чуть подробнее рассказала в руководстве.
В следующий раз - о том, как составить уведомление.
Что-нибудь прояснилось?
Anonymous Poll
29%
Вообще ничего не понимаю
56%
Стало немного понятнее, но все равно сложно
15%
Теперь понятно, да
Тема персональных данных сложная. Попробуем упростить. Сегодня учимся определять, оператор вы или нет.
Тест ⤵️
Тест ⤵️
Это, конечно, упрощенно. Но смысл такой: если вы используете в своей предпринимательской деятельности данные других лиц, вы - оператор персональных данных.
Рубрика «Вредные советы».
Тут ещё дело такое с уведомлением Роскомнадзора. Штрафы за неуведомление очень маленькие, сроки привлечения к ответственности - короткие.То есть вы понимаете, да?
Тут ещё дело такое с уведомлением Роскомнадзора. Штрафы за неуведомление очень маленькие, сроки привлечения к ответственности - короткие.
💡 Ещё мысль важная. Как оказалось, не все поняли:
Уведомлять нужно именно о факте, что вы обрабатываете данные клиентов. В принципе. Один раз и без всяких перечислений конкретных заказчиков.
Уведомлять нужно именно о факте, что вы обрабатываете данные клиентов. В принципе. Один раз и без всяких перечислений конкретных заказчиков.