Pada tanggal 8 April 2017, guru, siswa dan orang tua diminta untuk menentukan secara mandiritingkat penguasaan pengetahuan yang diperoleh selama “Pekan Internet Aman” menggunakan tes “Menilai tingkat literasi digital dalam mengelola data pribadi di Internet.” Tes ini diambil dari manual pendidikan untuk karyawan sistem pendidikan umum “Psikologi praktis keamanan: mengelola data pribadi di Internet” oleh G.U. Soldatova, A.A. Priezzheva, O.I pengetahuan mereka yang diuji dan akan membantu dalam menentukan rencana kerja lebih lanjut ke arah “Memastikan keamanan informasi untuk anak sekolah.”

PENILAIAN LITERASI DIGITAL

TENTANG MANAJEMEN DATA PRIBADI DI INTERNET

Tes ini bertujuan untuk menilai tingkat literasi digital anak sekolah di bidang pengelolaan data pribadi di Internet dan dapat digunakan untuk menilai efektivitas penguasaan siswa terhadap program. Tekniknya adalah seperangkat 20 tugas tes dengan satu jawaban yang benar. Tes ini membutuhkan waktu 30–40 menit untuk diselesaikan.

instruksi

Anda akan ditawari 20 tugas terkait keamanan penanganan data pribadi di Internet. Diantara pilihan jawabannya adalahhanya satubenar. Tugas Anda adalah memilih dan menandai opsi yang Anda anggap benar. Seluruh tes akan memakan waktu tidak lebih dari 40 menit untuk diselesaikan.

1. Informasi apa saja yang dapat digolongkan sebagai data pribadi?

A. Nama belakang, nama depan, patronimik.

B.Tanggal dan tempat lahir.

C.Tempat belajar.

D. Keyakinan politik dan agama.

2. Manakah dari data pribadi berikut yang memungkinkan Anda mengidentifikasi pengguna secara unik di negara kami?

A. Nama depan, nama belakang, tahun lahir.

B. Nama belakang, tahun lahir, nomor sekolah.

C. Nama, nomor paspor Rusia, kota tempat tinggal.

D. Nama depan, nama belakang, kota tempat tinggal.

3. Musim panas ini Masha Ivanova pergi ke Tsarskoe Selo bersama kelasnya. Di akhir tamasya, guru kelas mengambil foto bersama kelas dengan latar belakang Istana Catherine. Foto tersebut ternyata berhasil, sehingga guru tersebut mempostingnya di halamannya di jejaring sosial dengan tulisan “9 “B” di Tsarskoe Selo” dan menandai beberapa orang di dalamnya, termasuk Masha. Informasi apa tentang Masha Ivanova yang terdapat dalam entri ini?

A.Data eksternal.

B.Tempat belajar.

C.Lokasi tamasya.

D. Nama teman sekelas Masha Ivanova.

E. Semua opsi yang diusulkan.

4. Di akhir pekan, Vasya mengunjungi temannya Petya. Beberapa kali dia menggunakan komputer temannya untuk membeli permainan komputer baru di toko online dan membaca berita. Informasi pribadi apa yang bisa disimpan Vasya di komputer Petya?

A. Riwayat pencarian.

B. Riwayat kunjungan lokasi.

D. File yang diunduh.

E. Tak satu pun dari opsi yang diusulkan.

5. Ksyusha, saat berada di kafe bersama temannya Sveta, menggunakan laptopnya untuk login ke browser. Apa yang perlu dilakukan Ksyusha untuk meninggalkan minimal informasi pribadi di laptop Sveta?

A. Hapus riwayat penelusuran Anda setelah keluar dari browser.

B. Jangan menyimpan kata sandi saat online.

C. Gunakan mode penyamaran saat menjelajah.

D. Mengubah pengguna di laptop.

E. Hapus folder file sementara setelah bekerja di komputer.

6. Tanya bertemu Kolya di portal game online populer Lineage. Untuk waktu yang lama mereka bermain untuk tim yang sama dan lebih dari sekali saling membantu dalam pertempuran virtual. Suatu hari, Tanya bersiap-siap untuk serangan berikutnya, tetapi pada saat terakhir dia mengetahui tentang tes geometri dan menyadari bahwa dia tidak akan dapat mengambil bagian dalam pertempuran tersebut. Kolya menyarankan agar Tanya memberikan password akunnya kepada teman Kolya, yang bisa menggantikannya untuk sementara waktu di dalam game. Apa hal terbaik yang harus dilakukan Tanya dalam situasi seperti ini?

A. Kolya menjamin temannya, sehingga Anda dapat dengan aman memberinya kata sandi.

B. Tidak ada salahnya membagikan kata sandi Anda dengan pemain lain - ini hanya permainan.

C. Anda dapat memberikan kata sandi Anda kepada teman Kolya - meskipun dia mencuri akun Anda, akun tersebut dapat dipulihkan.

Usulan D. Kolya harus ditolak, karena perjanjian pengguna melarang pemain membagikan kata sandi kepada pihak ketiga.

E. Tanya perlu mengumpulkan informasi sebanyak mungkin tentang teman Kolya, lalu mengambil keputusan akhir.

7. Saat mendaftar di situs tersebut, Anda dimintai nomor telepon. Kapan waktu paling aman?

A. Anda mendaftar di sumber online yang besar dan terkenal, misalnya, di portal Mail.ru.

B. Ini pertama kalinya Anda melakukan pembelian di toko online yang websitenya memuat review positif dari pengguna lain.

C. Anda mendaftar di portal permainan yang direkomendasikan oleh teman dan kenalan Anda.

D. Anda ingin mendownload film baru di layanan file hosting, dan Anda diharuskan mendaftar di jendela pop-up.

E. Dalam semua kasus di atas.

8. Kata sandi mana yang dianggap paling aman?

A.SupermanVasya2005.

B.QwErTy123456.

C.A!z8@;).

D.Q1jk45)@da.

E.M@$h@2oo!

9. Metode penyimpanan kata sandi akun Anda yang mana yang dianggap paling dapat diandalkan?

A. Di buku catatan di laci bawah meja.

B. Dalam file teks di folder tersembunyi di komputer Anda.

C. Dalam program khusus yang diunduh secara gratis di Internet.

D. Semua metode di atas dapat dianggap sepenuhnya dapat diandalkan.

E. Semua metode yang tercantum di atas tidak dapat dianggap sepenuhnya dapat diandalkan.

10. Suatu malam, Anya mengetahui bahwa seseorang telah meretas akunnya, memasang gambar-gambar cabul di dindingnya, dan mulai mengirimkan hinaan kepada teman-temannya melalui korespondensi pribadi. Anya mendapatkan kembali akses ke akun tersebut dan mengubah kata sandinya, tetapi sudah terlambat. Banyak yang menghapusnya dari teman-temannya dan menambahkannya ke “daftar hitam”, dan beberapa bahkan berhenti berbicara di sekolah. Apa yang harus Anya lakukan untuk mengembalikan reputasinya?

A. Hapus semua pesan tidak menyenangkan dari halaman Anda.

B. Posting postingan di halaman yang menjelaskan alasan kejadian tersebut dan meminta maaf kepada pembaca.

C. Ubah kata sandi untuk semua akun di sumber online lainnya.

D. Cobalah untuk berbicara langsung dengan teman terdekat Anda dan jelaskan situasinya kepada mereka.

11. Vova menerima pesan pribadi di jejaring sosial yang memberitahukan tentang upaya meretas akunnya dari perangkat orang lain. Vova sangat disarankan untuk mengikuti tautan yang disediakan dalam pesan untuk mengubah kata sandinya. Apa hal yang benar untuk dilakukan dalam situasi seperti ini?

B. Abaikan email tersebut dan tambahkan ke spam.

C. Menulis surat kemarahan sebagai tanggapan atas kritik terhadap kerja jaringan sosial.

D. Masuk sendiri ke akun jejaring sosial Anda dan ubah kata sandi Anda.

E. Membalas surat ini dan memperjelas informasinya.

12. Mila memutuskan untuk mulai menjalani gaya hidup sehat. Dia mengunduh pelacak kebugaran ke ponsel cerdasnya, yang memungkinkannya mencatat jarak yang ditempuh dan jumlah kalori yang terbakar selama berolahraga. Aplikasi ini gratis, tetapi memerlukan akses ke serangkaian data pribadi dan fungsi ponsel cerdas tertentu. Manakah dari persyaratan berikut ini yang bisa

A. Akses kamera dan file media yang tersimpan di perangkat Anda.

B. Informasi lokasi dan pergerakan.

C. Kemampuan untuk melakukan pembelian dalam aplikasi.

D. Jenis kelamin, usia, berat badan, tinggi badan.

E. Semua persyaratan di atas masuk akal.

13. Informasi pribadi apa yang diposting di sumber online yang harus dihapus dari mesin pencari atas permintaan pengguna?

A. Foto grup apa pun yang berisi gambar pengguna ini.

B. Memposting ulang postingan pengguna yang diposting secara publik di halaman pengguna di jejaring sosial.

C. Nomor paspor atau dokumen resmi lainnya milik pengguna.

D. Tidak ada informasi pribadi tentang pengguna yang harus dihapus secara wajib.

E. Segala informasi pribadi harus dihapus dari Internet atas permintaan pengguna.

14. Apa yang harus Anda lakukan jika penyerang meretas akun Anda di sumber online dan mengubah kata sandi serta alamat kotak surat yang terhubung dengan akun tersebut?

J. Tidak perlu membuang energi untuk memulihkan akun Anda - Anda selalu dapat membuat akun baru.

B. Hubungi administrasi sumber daya dengan permintaan untuk memulihkan akses Anda ke akun Anda.

C. Menghubungi penyerang dengan permintaan untuk mengembalikan akun.

D. Hubungi peretas yang Anda kenal dan minta dia untuk meretas akun Anda lagi dan mengembalikannya ke pemilik sahnya.

E. Ini adalah situasi tanpa harapan - akun yang hilang, pada prinsipnya, tidak dapat dikembalikan.

15. Vlad - Tetangga Natasha di mejanya dan seorang pemuda yang sangat penasaran. Tindakan Vlad manakah yang merupakan pelanggaran privasi Natasha?

A. Saya memberi tahu teman sekelas saya bahwa Natasha alergi terhadap permen.

B. Saya mengambil foto Natasha sedang tidur di mejanya dan memposting foto ini di jejaring sosial.

C. Saya mengambil ponsel Natasha dari mejanya dan melihat riwayat panggilan.

D. Saya membacakan dengan lantang catatan yang ditulis Natasha sebelum pelajaran Vanya.

E. Semua opsi di atas.

16. Jenis data pribadi Natasha apa yang dapat disebarkan Vlad dengan keyakinan penuh bahwa hal itu tidak akan merugikannya dengan cara apa pun?

A. Nomor telepon, nama lengkap. orang tua, alamat rumah.

B. Negara tempat tinggal, nomor sekolah, informasi penyakit sebelumnya.

C. Hobi, nomor sekolah dan alamat, login dari halaman jejaring sosial.

D. Usia, tinggi dan berat badan, nilai di majalah.

E. Tak satu pun dari jenis data di atas.

17. Pernyataan manakah yang sepenuhnya benar?

J. Setiap orang perlu melindungi informasi pribadinya dan merahasiakan sebanyak mungkin informasi tentang dirinya dari orang lain.

B. Setiap orang dapat secara mandiri memutuskan informasi apa dan dalam kondisi apa yang dapat dirahasiakan atau dialihkan kepada orang lain.

C. Tidak ada gunanya mengontrol informasi pribadi Anda di Internet, jadi tidak ada gunanya mengkhawatirkannya.

D. Setiap orang harus memberikan informasi sebanyak mungkin tentang dirinya, karena hal ini memungkinkan mereka memanfaatkan Internet secara maksimal.

E. Tak satu pun dari opsi di atas.

18. Olya putus dengan Vasya dan kini berpacaran dengan Anton. Mereka sering berjalan-jalan, berfoto bersama, dan mempostingnya secara online. Olya tetap memperlakukan Vasya dengan baik, namun tidak ingin membuatnya kesal dengan foto bersama pemuda baru. Apa yang harus dia lakukan?

A. Batasi akses Vasya ke foto Anda.

B. Berhenti memposting foto Anda di jejaring sosial.

C. Minta Vasya untuk tidak mengunjungi halamannya.

D. Hapus Vasya dari teman.

E. Tambahkan Vasya ke "daftar hitam".

19. Pilihlah pernyataan yang benar. Postingan penulis diposting oleh pengguna di jejaring sosial dan blog...

A. Mereka menunjukkan keunikan seseorang dan selalu berdampak positif pada reputasinya.

B. Mereka tidak pernah memuat informasi pribadi, sehingga publikasinya tidak menimbulkan konsekuensi serius.

C. Mereka dievaluasi secara berbeda oleh pembaca, sehingga tidak mungkin untuk memprediksi bagaimana publikasi sebuah postingan akan mempengaruhi reputasi penulisnya.

D. Mereka selalu berisi informasi pribadi yang berlebihan tentang seseorang, yang tidak hanya dapat merusak reputasinya, tetapi juga keselamatan pribadinya.

E. Tidak mengandung sesuatu yang baik, karena hanya menunjukkan keinginan untuk pamer.

20. Aturan apa yang TIDAK boleh Anda ikuti saat mempublikasikan informasi di Internet?

A. Tulis postingan, dipandu oleh dorongan emosional pertama, untuk menyampaikan badai emosi Anda kepada pembaca.

B. Publikasikan informasi dan komentar tentang fakta dan peristiwa penting hanya setelah diperiksa di beberapa sumber.

C. Memposting informasi tentang orang lain secara online hanya jika dia telah memberikan persetujuan sebelumnya.

D. Mengevaluasi informasi yang dipublikasikan dari sudut pandang berbagai kategori pengguna.

E. Semua aturan di atas sudah benar.

Jawaban yang Benar

1 - E, 2 - C, 3 - E, 4 - B, 5 - C, 6 - D, 7 - A, 8 - D, 9 - E, 10 - E, 11 -D, 12 - A, 13 - C, 14 - B, 15 - E, 16 - E, 17 - B, 18 - A, 19 - C, 20 - A.

Tingkat penguasaan program dinilai

sesuai tabel berikut:

Jumlah jawaban yang benar Perkiraan penilaian pada skala lima poin

17–20 Luar biasa

14–16 Bagus

10–13 Memuaskan

Kurang dari 10 Tidak Memuaskan

Hari ini kami ingin berbicara dengan Anda tentang data pribadi, kebijakan privasi, perjanjian pengguna, dan perubahan yang akan datang. Mungkin Anda tahu, atau mungkin tidak, tetapi mulai 1 Juli 2017, perubahan Pasal 13.11 Kode Pelanggaran Administratif Federasi Rusia mulai berlaku. Operator data pribadi, semua pemilik situs dengan formulir umpan balik, serta orang yang memproses data pribadi, perlu melakukan penyesuaian untuk menghindari pengenaan denda di masa depan, yang diperburuk oleh perubahan undang-undang terkini.

Pelanggaran prosedur yang ditetapkan oleh undang-undang untuk pengumpulan, penyimpanan, penggunaan atau penyebaran informasi tentang warga negara (data pribadi) - memerlukan peringatan atau pengenaan denda administratif pada warga negara dalam jumlah tiga ratus hingga lima ratus rubel; untuk pejabat - dari lima ratus hingga seribu rubel; untuk badan hukum - dari lima ribu hingga sepuluh ribu rubel.

[runtuh]

Pasal 13.11. Pelanggaran prosedur yang ditetapkan oleh undang-undang untuk pengumpulan, penyimpanan, penggunaan atau penyebaran informasi tentang warga negara (data pribadi)

1. Pemrosesan data pribadi dalam kasus yang tidak ditentukan oleh undang-undang Federasi Rusia di bidang data pribadi, atau pemrosesan data pribadi yang tidak sesuai dengan tujuan pengumpulan data pribadi, kecuali untuk kasus yang ditentukan dalam Bagian 2 ini artikel, jika tindakan ini tidak mengandung tindak pidana - memerlukan peringatan atau pengenaan denda administratif pada warga negara dalam jumlah seribu hingga tiga ribu rubel; untuk pejabat - dari lima ribu hingga sepuluh ribu rubel; untuk badan hukum - dari tiga puluh ribu hingga lima puluh ribu rubel.

2. Pemrosesan data pribadi tanpa persetujuan tertulis dari subjek data pribadi untuk pemrosesan data pribadinya dalam kasus di mana persetujuan tersebut harus diperoleh sesuai dengan undang-undang Federasi Rusia di bidang data pribadi, jika tindakan ini dilakukan tidak mengandung tindak pidana, atau pemrosesan data data pribadi yang melanggar persyaratan yang ditetapkan oleh undang-undang Federasi Rusia di bidang data pribadi untuk komposisi informasi yang termasuk dalam persetujuan tertulis dari subjek data pribadi kepada pemrosesan data pribadinya - memerlukan pengenaan denda administratif pada warga negara dalam jumlah tiga ribu hingga lima ribu rubel; untuk pejabat - dari sepuluh ribu hingga dua puluh ribu rubel; untuk badan hukum - dari lima belas ribu hingga tujuh puluh lima ribu rubel.

3. Kegagalan Operator untuk memenuhi kewajiban yang ditentukan oleh undang-undang Federasi Rusia di bidang data pribadi untuk mempublikasikan atau memberikan akses tidak terbatas ke dokumen yang menjelaskan kebijakan Operator mengenai pemrosesan data pribadi, atau informasi tentang menerapkan persyaratan untuk perlindungan data pribadi - memerlukan peringatan atau pengenaan denda administratif pada warga negara dalam jumlah tujuh ratus hingga seribu lima ratus rubel; untuk pejabat - dari tiga ribu hingga enam ribu rubel; untuk pengusaha perorangan - dari lima ribu hingga sepuluh ribu rubel; untuk badan hukum - dari lima belas ribu hingga tiga puluh ribu rubel.

4. Kegagalan operator untuk memenuhi kewajiban yang ditentukan oleh undang-undang Federasi Rusia di bidang data pribadi untuk memberikan informasi kepada subjek data pribadi mengenai pemrosesan data pribadinya - memerlukan peringatan atau pengenaan sanksi denda administrasi terhadap warga negara dalam jumlah seribu hingga dua ribu rubel; untuk pejabat - dari empat ribu hingga enam ribu rubel; untuk pengusaha perorangan - dari sepuluh ribu hingga lima belas ribu rubel; untuk badan hukum - dari dua puluh ribu hingga empat puluh ribu rubel.

5. Kegagalan operator untuk mematuhi, dalam batas waktu yang ditetapkan oleh undang-undang Federasi Rusia di bidang data pribadi, dengan persyaratan subjek data pribadi atau perwakilannya atau badan yang berwenang untuk perlindungan hak subjek data pribadi untuk mengklarifikasi data pribadi, memblokirnya atau menghancurkannya jika data pribadi tidak lengkap, ketinggalan jaman, tidak akurat, diperoleh secara ilegal atau tidak diperlukan untuk tujuan pemrosesan yang disebutkan - memerlukan peringatan atau pengenaan denda administratif pada warga negara dalam jumlah seribu hingga dua ribu rubel; untuk pejabat - dari empat ribu hingga sepuluh ribu rubel; untuk pengusaha perorangan - dari sepuluh ribu hingga dua puluh ribu rubel; untuk badan hukum - dari dua puluh lima ribu hingga empat puluh lima ribu rubel.

6. Kegagalan operator, saat memproses data pribadi tanpa menggunakan alat otomatisasi, untuk mematuhi kondisi yang menjamin, sesuai dengan undang-undang Federasi Rusia di bidang data pribadi, keamanan data pribadi saat menyimpan materi berwujud media data pribadi dan mengecualikan akses tidak sah ke data tersebut, jika hal ini mengakibatkan akses yang melanggar hukum atau tidak disengaja ke data pribadi, penghancuran, modifikasi, pemblokiran, penyalinan, penyediaan, distribusi, atau tindakan melanggar hukum lainnya sehubungan dengan data pribadi, tanpa adanya tanda-tanda dari tindak pidana - memerlukan pengenaan denda administratif pada warga negara dalam jumlah tujuh ratus hingga dua ribu rubel; untuk pejabat - dari empat ribu hingga sepuluh ribu rubel; untuk pengusaha perorangan - dari sepuluh ribu hingga dua puluh ribu rubel; untuk badan hukum - dari dua puluh lima ribu hingga lima puluh ribu rubel.

7. Kegagalan operator yang merupakan badan negara bagian atau kota untuk memenuhi kewajiban depersonalisasi data pribadi yang diatur oleh undang-undang Federasi Rusia di bidang data pribadi, atau kegagalan untuk mematuhi persyaratan atau metode yang ditetapkan untuk depersonalisasi data pribadi data - memerlukan peringatan atau pengenaan denda administratif kepada pejabat sebesar tiga ribu hingga enam ribu rubel.

[runtuh]

Dengan demikian, mulai 1 Juli 2017, otoritas pengatur memiliki penerapan hukuman yang luas terhadap operator data pribadi, dari satu hingga TUJUH alasan. Dan jumlah total denda akan meningkat dari 10.000 rubel menjadi 290.000 rubel. Banyak atau sedikit terserah Anda yang memutuskan, tetapi tetap ada baiknya membaca artikel kami.

Agar Anda mengetahui dan memahami bagaimana harus bertindak dan apa saja yang mungkin dikenakan denda, kami menawarkan FAQ berikut:

1. Apa itu data pribadi?
Ini adalah informasi apa pun tentang seseorang, bersama-sama atau sendiri-sendiri, baik itu nama depan, nama belakang, nomor telepon, email, dll. Sejak saat ini hampir semua sumber daya Internet berisi langganan buletin, formulir pendaftaran pengguna, atau formulir umpan balik, yang mengumpulkan data pribadi pengguna dengan cara lain, otomatis hampir semua pemilik situs adalah operator data pribadi, meskipun mereka tidak menyadarinya.

2. Kebijakan Privasi, apa itu?
Ini adalah tindakan lokal yang menentukan cara Anda bekerja dengan data pribadi. Anda harus memberikan akses tidak terbatas ke dokumen ini dan, jika Anda memiliki situs web, letakkan di “footer” situs web Anda. Dan seperti yang Anda pahami, jika tidak, Anda dapat dimintai pertanggungjawaban administratif berdasarkan Pasal 13.11 Kode Pelanggaran Administratif Federasi Rusia.

3. Apakah kebijakan privasi harus dipasang di situs web mana pun?
Tidak, tidak kapan pun. Ada baiknya memposting kebijakan jika Anda adalah operator data pribadi, yaitu, Anda menerima data pribadi pengguna.
Saat ini, sebagian besar situs Internet mengumpulkan data pribadi melalui formulir pendaftaran, formulir umpan balik, formulir pemesanan produk, dll.

4. Apakah saya perlu mendapatkan persetujuan untuk memproses data pribadi?
Perlu! Hal ini diwajibkan oleh ketentuan Undang-Undang Federal “Tentang Data Pribadi”. Di situs Internet, hal ini diterapkan dengan memasukkan dalam formulir umpan balik, formulir berlangganan buletin, formulir pendaftaran pengguna, dan formulir lainnya tautan ke kebijakan privasi dan teks terkait.

5. Apa nama dokumen tersebut?
Undang-undang Federal “Tentang Data Pribadi” menyatakan bahwa “Operator yang mengumpulkan data pribadi menggunakan jaringan informasi dan telekomunikasi wajib mempublikasikan di jaringan informasi dan telekomunikasi yang relevan sebuah dokumen yang menjelaskan kebijakannya mengenai pemrosesan data pribadi…”. Oleh karena itu, kami akan menyebut dokumen tersebut sebagai “kebijakan mengenai pemrosesan data pribadi”.

6. Apakah ada kebijakan organisasi yang diterima secara umum mengenai pemrosesan data pribadi (template dokumen)?
Ada banyak templat serupa di Internet; dokumen semacam itu berisi: ketentuan umum, informasi tentang operator, metode pemrosesan data pribadi, daftar data pribadi yang diproses berdasarkan subjek data pribadi, tujuan pemrosesan data pribadi, hak-hak pribadi subjek data dan operator data pribadi, dll. Namun, ketika mengembangkan kebijakan, seseorang harus melanjutkan dari aktivitas spesifik organisasi tertentu, tujuan memperoleh dan memproses data pribadi. Seperti biasa, template gratis harus digunakan dengan bijak.

7. Pemberitahuan tentang pengolahan data pribadi, apa itu, bagaimana cara menyampaikannya, dll?
Anda harus memberi tahu Roskomnadzor tentang niat Anda untuk memproses data pribadi, dan Roskomnadzor, pada gilirannya, wajib memasukkan Anda ke dalam daftar operator data pribadi.
Pemberitahuan dapat disampaikan dengan mengisi formulir melalui tautan; selain itu, mengirimkan pemberitahuan melalui Russian Post adalah benar, Anda tidak pernah tahu apa yang mungkin terjadi pada mereka. Mereka bahkan memblokir diri mereka sendiri, dan sangat mudah untuk kehilangan basis Anda.

8. Bisakah saya tidak mengirimkan pemberitahuan tentang pemrosesan data pribadi?
Memberi tahu Roskomnadzor adalah TANGGUNG JAWAB operator data pribadi. Semua beberapa pengecualian ditentukan dalam Undang-Undang Federal “Tentang Data Pribadi”.

9. Siapa yang dapat memulai peninjauan?
Verifikasi dapat diperintahkan atas permohonan subjek data pribadi mana pun yang data pribadinya sedang Anda proses. Artinya, setiap “orang yang berkeinginan baik” dapat dengan mudah menambah “sedikit” masalah tambahan pada Anda.

10. Apakah perlu melakukan penyesuaian pada templat kontrak dengan mempertimbangkan persyaratan Undang-Undang Federal “Tentang Pemrosesan Data Pribadi”?
Ya. Hal ini disebabkan oleh fakta bahwa, dalam satu atau lain hal, Anda tidak hanya memproses, tetapi juga menggunakan data pribadi pihak lawan, dan terkadang mentransfer data ini ke pihak ketiga.

Sesuai dengan Pasal 20 Undang-Undang Federal “Tentang Data Pribadi”, Anda diberi waktu 30 hari untuk memberikan informasi atas permintaan Roskomnadzor. Anda mungkin berpikir bahwa Anda pasti punya waktu untuk bersiap dalam 30 hari? Jangan terburu-buru mengambil kesimpulan. Kebijakan privasi dan perjanjian pengguna hanyalah sebagian kecil dari dokumen yang mungkin diminta oleh Roskomnadzor dari Anda.

Daftar perkiraan dokumen yang mungkin diminta Roskomnadzor untuk verifikasi

1. Informasi umum
1.1. Salinan dokumen penunjukan kuasa hukum Penyelenggara yang berwenang mewakili kepentingan badan hukum selama pemeriksaan.
1.2. Surat keterangan status Penyelenggara sebagai badan usaha kecil yang menunjukkan jenis usahanya (usaha kecil, usaha mikro, dan lain-lain).
1.3. Salinan Piagam badan hukum.
1.4. Untuk setiap jenis kegiatan Penyelenggara yang tercantum dalam Piagam Perusahaan, sebutkan:
– kategori subjek data pribadi yang data pribadinya diproses;
– daftar kategori PD yang diproses secara terpisah untuk setiap kategori mata pelajaran PD;
– tujuan pengolahan PD untuk setiap kategori mata pelajaran PD;
– Sistem informasi PD (selanjutnya disebut PDIS), dimana PD diproses, secara terpisah untuk setiap kategori subjek PD;
– dasar hukum pengolahan data pribadi (persetujuan, perjanjian, norma/pasal/klausul undang-undang atau anggaran rumah tangga, lainnya).
1.5. Surat keterangan dasar hukum pemrosesan PD tanpa menyampaikan Pemberitahuan pemrosesan PD dengan dilampiri dokumen pendukung (dalam hal tidak menyampaikan Pemberitahuan);
1.6. Dokumen yang memungkinkan Anda menetapkan alamat lokasi, lokasi teritorial bangunan, struktur, bangunan, kantor, dll., yang dimiliki oleh Operator atau disewakan oleh Operator dan disewakan kembali kepada orang lain. Lampirkan salinan perjanjian sewa dengan semua lampiran mengenai alamat kegiatan sebenarnya, dokumen dan diagram yang memungkinkan Anda untuk secara akurat membatasi lokasi kantor (tempat kerja) yang digunakan oleh Operator sendiri dan/atau bersama-sama dengan subpenyewa.
1.7. Salinan tabel kepegawaian (berlaku pada saat pemeriksaan).
1.8. Sertifikat, sesuai dengan tabel kepegawaian, tentang unit struktural tempat Operator mengatur pemrosesan data pribadi: alamat lokasi, lantai, nomor kantor, informasi kontak.
1.9. Salinan dokumen yang menunjuk orang yang bertanggung jawab mengatur pemrosesan data pribadi. Salinan peraturan kerja (tanggung jawab pekerjaan) atau uraian tugas orang yang bertanggung jawab mengatur pemrosesan data pribadi.
1.10. Salinan dokumen yang menjelaskan kebijakan Operator mengenai pemrosesan data pribadi;
1.11. Semua tindakan lokal terkini yang dikeluarkan oleh Operator, yang mencerminkan masalah pemrosesan PD berikut (dalam hal penerbitan dokumen umum, tunjukkan paragraf, bagian, dll. yang relevan):
1) Tujuan pengolahan PD;
2) Dasar hukum pengolahan data pribadi (persetujuan, perjanjian, norma/pasal/klausul undang-undang atau anggaran rumah tangga);
3) Kategori subjek data pribadi yang data pribadinya diproses;
4) Kategori data pribadi untuk masing-masing kategori subjek data pribadi;
5) Uraian tentang prosedur, metode dan metode depersonalisasi data pribadi, untuk tujuan apa depersonalisasi data pribadi dilakukan, sehubungan dengan subjek data pribadi dan kategori data pribadi yang didepersonalisasi;
6) jangka waktu pemrosesan data pribadi subjek data pribadi (dalam bentuk elektronik, pada media berwujud);
7) Jangka waktu penyimpanan data pribadi subjek data pribadi (dalam bentuk elektronik, pada media berwujud);
8) Tempat penyimpanan media penyimpanan data fisik;
9) Ketentuan pemusnahan data pribadi subjek data pribadi dan tata cara pelaksanaannya (dalam bentuk elektronik, pada media berwujud), salinan tindakan pemusnahan data pribadi;
10) Daftar orang-orang yang mempunyai akses dan diperbolehkan langsung bekerja dengan PD subjek PD (dalam bentuk elektronik, pada media berwujud).
1.12. Salinan tindakan lokal yang menetapkan prosedur yang bertujuan untuk mencegah dan mengidentifikasi pelanggaran undang-undang Federasi Rusia, menghilangkan konsekuensi dari pelanggaran tersebut.
1.13. Salinan dokumen yang mengonfirmasi penggunaan tindakan hukum, organisasi, dan teknis untuk menjamin keamanan data pribadi;
1.14. Salinan dokumen yang mengonfirmasi penerapan pengendalian internal dan (atau) audit kepatuhan pemrosesan PD dengan Undang-Undang Federal “Tentang Data Pribadi” dan peraturan yang diadopsi sesuai dengannya, persyaratan untuk perlindungan PD, kebijakan operator mengenai pemrosesan PD, tindakan lokal operator.
1.15 Salinan dokumen yang mengonfirmasikan sosialisasi karyawan operator yang terlibat langsung dalam pemrosesan data pribadi dengan ketentuan undang-undang Federasi Rusia tentang data pribadi, termasuk persyaratan untuk perlindungan data pribadi, dokumen yang menjelaskan kebijakan operator mengenai pemrosesan data pribadi, tindakan lokal dalam memproses masalah data pribadi, dan (atau) pelatihan karyawan tersebut.
1.16. Bentuk dokumen standar (kuesioner, kuesioner, dll), sifat informasi yang menyiratkan atau memungkinkan pencantuman PD di dalamnya. Pesanan menyetujui formulir standar yang ditentukan.
1.17. Salinan jurnal (registrasi, buku) yang berisi PD, diperlukan untuk satu kali perjalanan PD dengan tunduk pada wilayah di mana ia berada
Operator.
1.18. Dokumen yang mengonfirmasi penerapan tindakan selama pemrosesan data pribadi untuk memastikan, sehubungan dengan setiap kategori data pribadi, kemampuan untuk menentukan lokasi penyimpanan data pribadi (media berwujud) dan membuat daftar orang yang memproses data pribadi atau memiliki akses untuk itu.
1.19. Dokumen yang mengonfirmasi penerapan langkah-langkah untuk memastikan penyimpanan terpisah atas data pribadi (media berwujud), yang pemrosesannya dilakukan untuk berbagai tujuan.
1.20. Dokumen yang mengonfirmasi penerapan langkah-langkah untuk mematuhi kondisi yang menjamin keamanan data pribadi dan mengecualikan akses tidak sah ke data tersebut saat menyimpan media fisik. Memberikan daftar tindakan yang ditetapkan oleh Operator yang diperlukan untuk memastikan kondisi tersebut, prosedur penerapannya, dan juga memberikan daftar orang yang bertanggung jawab atas penerapan tindakan tersebut.
1.21. Dokumen yang mengonfirmasi pemberian informasi kepada orang yang memproses data pribadi tanpa menggunakan alat otomatisasi (karyawan Operator dan (atau) orang yang melakukan pemrosesan tersebut berdasarkan perjanjian dengan Operator) tentang fakta pemrosesan data pribadi mereka, yang pemrosesannya dilakukan oleh Operator tanpa menggunakan alat otomatisasi, kategori data pribadi yang diproses, dan juga tentang fitur dan aturan untuk melakukan pemrosesan tersebut yang ditetapkan oleh tindakan hukum pengaturan otoritas eksekutif federal, otoritas eksekutif entitas konstituen Rusia Federasi, serta tindakan hukum setempat dari Penyelenggara (jika ada).
1.22. Salinan persetujuan tertulis yang ditandatangani subjek PD (satu untuk setiap kategori subjek PD) untuk pemrosesan PD mereka, termasuk salinan persetujuan tertulis yang ditandatangani subjek PD untuk pemrosesan PD biometrik, PD kategori khusus, untuk pengambilan keputusan berdasarkan pada pemrosesan PD otomatis eksklusif, untuk implementasi transfer data pribadi lintas batas ke wilayah negara asing yang tidak memberikan perlindungan data pribadi yang memadai.
1.23. Media materi (formulir yang sudah diisi, lamaran, resume, dll) berisi PD yang diterima dari mata pelajaran PD, tersendiri untuk setiap kategori mata pelajaran.
1.24. Media materi (formulir yang sudah diisi, lamaran, resume, dll) berisi PD yang diperoleh secara sah (perjanjian, undang-undang, dll), tersendiri untuk setiap kategori mata pelajaran.
1.25. Media elektronik (formulir yang telah diisi, register, lamaran, resume, dan lain-lain) yang memuat PD yang diterima dari badan dan/atau atas dasar hukum (perjanjian, undang-undang, dan lain-lain), secara terpisah untuk setiap kategori badan.
1.26. Informasi yang mengkonfirmasi legalitas pemrosesan biometrik PD. Lampirkan dokumen pendukung.
1.27. Informasi yang mengonfirmasi legalitas pemrosesan data pribadi kategori khusus. Lampirkan dokumen pendukung.
1.28. Informasi yang mengonfirmasi legalitas pengambilan keputusan hanya berdasarkan pemrosesan otomatis data pribadi. Lampirkan dokumen pendukung.
1.29. Informasi yang mengonfirmasi legalitas transfer data pribadi lintas batas. Lampirkan dokumen pendukung.
1.30. Informasi yang menegaskan legalitas pemrosesan data pribadi untuk tujuan mempromosikan barang, karya, jasa di pasar dengan melakukan kontak langsung dengan calon konsumen melalui komunikasi, serta untuk tujuan propaganda politik. Lampirkan dokumen pendukung.
1.31. Sertifikat tentang prosedur untuk memperoleh persetujuan subjek data pribadi oleh Operator untuk memberikan akses kepada jumlah orang yang tidak terbatas ke data pribadinya jika akses tersebut diperlukan.
1.32. Sertifikat tentang prosedur pemrosesan data pribadi dalam kasus yang diperlukan untuk melindungi kehidupan, kesehatan, atau kepentingan penting lainnya dari subjek data pribadi.
1.33. Salinan perjanjian, salah satu pihak yang menjadi subjek data pribadi (karyawan, klien, dll), satu perjanjian untuk setiap kategori subjek.
1.34. Salinan semua perjanjian yang dibuat dengan pihak ketiga mengenai penugasan (instruksi pemrosesan kepada orang lain dan pemrosesan atas nama orang lain) untuk pemrosesan data pribadi, satu perjanjian untuk setiap kategori subjek.
1.35 Salinan permintaan warga (selama dua tahun kalender terakhir, termasuk tahun ini) mengenai masalah klarifikasi, penghapusan, pemusnahan data pribadi, yang dipertimbangkan oleh Operator. Salinan tanggapan Operator dan tindakan yang diambil atas permintaan warga, dengan salinan dokumen mengenai tindakan yang diambil terlampir.

2. Blok personel
2.1. Sertifikat tata cara pencarian dan seleksi personel dengan melampirkan dokumen pendukung. Dalam sertifikat mengenai data pribadi pelamar untuk posisi yang kosong, sebutkan: sumber memperoleh data pribadi; dasar hukum pemrosesan; tujuan pengolahan; tata cara penerimaan, pencatatan, penggunaan penyimpanan (lokasi penyimpanan, ispdn); orang yang memiliki akses; tata cara dan syarat pemusnahan. Selain itu, tunjukkan kepada siapa PD ditransfer, serta instruksi pemrosesan PD, dan lampirkan salinan perjanjian dengan semua lampirannya.
2.2. Bentuk persetujuan pelamar untuk mengisi posisi kosong untuk pemrosesan data pribadi. Salinan formulir yang telah diisi berisi informasi pribadi pemohon.
2.3. Formulir persetujuan pengunjung kantor untuk pemrosesan data pribadi. Salinan formulir yang telah diisi berisi data pribadi pengunjung.
2.4. Bentuk persetujuan pegawai Operator untuk mengolah data pribadi. Salinan formulir yang telah diisi berisi data pribadi karyawan.
2.5 Bentuk persetujuan kerabat karyawan untuk mengolah data pribadi. Salinan formulir yang telah diisi berisi data pribadi kerabat karyawan.
2.6 Sertifikat susunan dokumen yang termasuk dalam arsip pribadi pegawai Penyelenggara.
2.7 Sertifikat tata cara pemindahan data pribadi pegawai kepada pihak ketiga. Dengan melampirkan dokumen pendukung.
2.8 Sertifikat tentang tata cara pendaftaran proyek gaji dengan lampiran dokumen-dokumen berikut. Lampirkan salinan perjanjian yang dibuat dengan bank.
2.9. Sertifikat asuransi kesehatan bagi karyawan dan kerabatnya dengan salinan kontrak terlampir.
2.10. Informasi tata cara pendaftaran dan pemesanan kamar hotel, tiket perjalanan, dll. pada saat mengirim pegawai dengan melampirkan dokumen pendukung.
2.11 Sertifikat tentang jangka waktu penyimpanan arsip pribadi karyawan Operator yang diberhentikan sampai mereka dipindahkan ke penyimpanan arsip, dilakukan sesuai dengan undang-undang tentang urusan kearsipan di Federasi Rusia (selanjutnya disebut arsip), serta sampai penyimpanan file pribadi dipercayakan kepada pihak ketiga. Tunjukkan susunan dokumen pegawai yang dipindahkan ke arsip (kepada pihak ketiga yang menyimpan dokumen atas nama Penyelenggara). Salinan dokumen yang menetapkan prosedur pemeliharaan (atribusi ke arsip) penyimpanan arsip sesuai dengan undang-undang tentang kearsipan di Federasi Rusia (jika ada).
2.12. Salinan perjanjian yang dibuat dengan pihak ketiga mengenai instruksi pemrosesan data pribadi karyawan dan kerabat karyawan.
2.13. Sertifikat tata cara pengolahan data pribadi pegawai yang diberhentikan.

3. Sistem informasi PD
3.1. Daftar sistem informasi data pribadi yang mengolah data pribadi semua kategori subjek data pribadi.
3.2 Informasi tentang lokasi (alamat) basis data informasi Operator yang berisi data pribadi warga negara Federasi Rusia. Deskripsi sistem informasi, menunjukkan nama, versi perangkat lunak, pengembang perangkat lunak, lokasi komponen.
3.3. Daftar mata pelajaran PD, daftar kelompok mata pelajaran PD yang diproses di ISPD, jika mata pelajaran PD digabungkan menjadi beberapa kelompok.
3.4. Sumber perolehan data pribadi untuk setiap kategori subjek data pribadi masing-masing (subjek sendiri yang menyediakannya atau diperoleh dengan cara lain yang sah).
3.5. daftar kategori data pribadi subjek data pribadi yang diproses dalam sistem informasi.
3.6. Deskripsi dan tujuan ISPD, dimana PD diproses untuk setiap kategori mata pelajaran PD. Petunjuk untuk ISPD, panduan pengguna dan dokumen serupa lainnya mengenai fungsi ISPD, prosedur akses, dan reservasi.
3.7. Daftar operasi, tindakan yang dilakukan dengan PD subjek PD di ISPD.
3.8. Uraian tata cara pengolahan PD (uraian langkah demi langkah tata cara memasukkan, mengumpulkan, memuat, menyimpan, membaca, menggunakan, mentransfer, mengakses, mendistribusikan, mengubah, menghapus, memusnahkan) dalam ISPD untuk setiap kategori PD mata pelajaran masing-masing.
3.9. Informasi tentang tata cara pencadangan, termasuk frekuensi penyalinan, tata cara dan lokasi penyimpanan salinan cadangan, serta tata cara pemusnahan salinan cadangan.
3.10. Deskripsi dukungan teknologi dan informasi ISPDn.
3.11. Salinan perjanjian sewa kapasitas server yang digunakan untuk menampung database data pribadi.
3.12. Salinan dokumen yang mengonfirmasi ketersediaan kapasitas server tempat basis data data pribadi berada;
3.13. Informasi dan dokumen tentang penanggung jawab pemeliharaan, administrasi, dan penggunaan kapasitas server tempat basis data data pribadi pelanggan berada.
3.14. Diagram alur pertukaran informasi bersertifikat yang berisi data pribadi subjek data pribadi, yang mencerminkan arah arus informasi dan peserta pertukaran informasi, yang menunjukkan nama sistem informasi, alamat database, dan kapasitas server.

4. Layanan Internet (Yandex.Metrica, Google Analytics, dll.), aplikasi seluler.
4.1. Sertifikat tentang layanan Internet yang digunakan di situs web Operator, dikembangkan dan dimiliki oleh Operator, serta dikembangkan dan dimiliki oleh organisasi pihak ketiga, dengan bantuan yang memproses data tentang pengunjung dan pengguna situs web Operator, yang menunjukkan tujuannya dan fungsionalitas layanan Internet.
4.2. Lampirkan salinan perjanjian yang dibuat dengan organisasi pihak ketiga yang ditentukan dalam klausul 4.1 dan semua lampiran perjanjian yang diterbitkan.
4.3. Informasi tentang fungsi layanan Internet yang digunakan dalam hal pengumpulan data tentang pengunjung situs web dan aplikasi seluler Operator, secara terpisah untuk setiap layanan.
4.4. Daftar data tentang pengunjung dan pengguna terdaftar situs web dan aplikasi seluler Operator yang diperoleh dengan menggunakan layanan tertentu, secara terpisah untuk setiap layanan. Lampirkan dokumen pendukung.
4.5. Informasi tentang database (alamatnya, siapa pemiliknya) tempat penyimpanan data yang diperoleh menggunakan layanan Internet, kapan dan bagaimana data tersebut dimusnahkan.
4.6. Salinan dokumen dan tindakan lokal yang dikeluarkan oleh Operator mengenai pemrosesan data pribadi pengguna aplikasi perangkat lunak seluler Operator. Salinan dokumentasi teknis mengenai fungsionalitas aplikasi seluler Operator. Sertifikat tentang konten data pengguna yang diproses dalam aplikasi seluler Operator untuk sistem operasi iOS, Android, Windows, yang menunjukkan lokasi penyimpanan data, tujuan pemrosesan, orang kepada siapa data ditransfer, periode pemrosesan dan penyimpanan, tata cara dan syarat pemusnahan;
4.7. Salinan perjanjian dengan semua aplikasi yang dibuat dengan pihak ketiga, yang menjadi dasar penyediaan layanan periklanan, data pengunjung, pengguna situs web, klien (individu) Operator ditransfer. Salinan perjanjian yang menjadi dasar transfer data statistik anonim yang diperoleh setelah agregasi dan modifikasi (perubahan) lainnya terhadap data pengunjung, pengguna situs web, dan klien Operator dilakukan.
4.8. Daftar situs milik Operator.
Data pengunjung dan pengguna terdaftar dari situs web dan aplikasi seluler Operator berarti semua data tentang pengunjung yang dikumpulkan menggunakan fungsi layanan ini, serta data yang dikumpulkan dan diproses oleh layanan itu sendiri menggunakan kekuatan komputasi mereka, yaitu: nama samaran pengguna, pengguna alamat atau alamat perangkat pengguna yang digunakan pengguna untuk mengakses situs web Operator, serta informasi tentang pengguna, termasuk alamat IP, permintaan pencarian pengguna, alamat Internet dari halaman web yang dikunjungi oleh pengguna, subjek informasi yang diposting di Internet Operator sumber daya yang dikunjungi oleh pengguna, ID pengguna, dikonversi oleh Operator menggunakan fungsi hash atau modifikasi lainnya, alamat geografis titik koneksi pengguna ke Internet, informasi yang tidak memungkinkan seseorang untuk mengidentifikasi pengguna atau individu tertentu secara unik, tetapi menyediakan pembentukan informasi yang cukup untuk memberikan informasi periklanan kepada pengguna.
4.9 Dokumen yang menetapkan tata cara pencadangan informasi yang mengandung PD.

[runtuh]

Apakah Anda sekarang yakin bahwa Anda akan punya waktu untuk mempersiapkan segalanya dan semua orang dalam 30 hari?

Layanan kami:

• menyampaikan pemberitahuan ke Roskomnadzor;
• analisis lokasi untuk memenuhi ketentuan Undang-undang;
• analisis dokumen lengkap untuk kepatuhan terhadap Undang-undang;
• pengembangan paket dokumen standar;
• pengembangan paket dokumen turnkey (paket dokumen dikembangkan setelah analisis rinci awal kegiatan organisasi);
• analisis kontrak hukum perdata untuk memenuhi persyaratan Undang-undang, rekomendasi untuk mematuhinya;
• konsultasi.

Mengenai pelanggaran hukum data pribadi. Peraturan ini akan mulai berlaku pada tanggal 1 Juli 2017 dan akan memengaruhi semua orang yang mengumpulkan, memproses, dan menyimpan data pribadi apa pun.

Denda dibagi berdasarkan jenis pelanggaran dan ditingkatkan sepuluh kali lipat. Misalnya, jika Anda tidak memposting kebijakan privasi di situs web, pengusaha perorangan dapat didenda 10 ribu rubel, dan perusahaan - 30 ribu. Dan jika Anda memproses data pribadi tanpa persetujuan klien toko online atau pelanggan kursus informasi, denda untuk badan hukum akan mencapai 75 ribu rubel. Direktur suatu perusahaan atau pengusaha harus membayar hingga 20 ribu. Jika ada beberapa pelanggaran, maka akan ada beberapa denda.

Anda harus segera menata situs web Anda. Pemeriksaan sudah berlangsung 💻

Saat ini, hanya kejaksaan yang bisa menerbitkan protokol pelanggaran. Denda tidak tergantung pada jenis pelanggaran dan maksimum 1.000 rubel untuk pengusaha perorangan atau direktur, dan 10 ribu rubel untuk badan hukum. Prosedurnya memakan waktu lama, dendanya kecil, sehingga jarang dan tidak semua orang memeriksanya.

Bagaimana cara mengetahui apakah saya pengontrol data pribadi?

Data pribadi adalah data apa pun tentang seseorang yang dengannya ia dapat diidentifikasi. Undang-undang tidak memuat daftar data tersebut, jadi Anda harus menebaknya sendiri. Misalnya, dengan nama atau login tidak mungkin untuk memahami orang seperti apa dia, tetapi dengan nama dan nomor telepon atau nama dan email - Anda bisa.

Kemungkinan besar, Anda adalah operator data pribadi jika Anda menerima informasi berikut dari orang mana pun dalam kombinasi apa pun:

• nama belakang
• nama belakang,
• beberapa alamat fisik,
• e-mail,
• telepon,
• tanggal atau tempat lahir,
• foto,
• tautan ke situs web pribadi atau jejaring sosial,
• profesi,
• pendidikan,
• tingkat pendapatan,
• status perkawinan.

Artinya, semua pemilik situs yang memiliki akun pribadi, formulir umpan balik, langganan atau pendaftaran, tempat Anda dapat membeli sesuatu, memasang iklan, atau mengisi formulir, adalah operator data pribadi. Meskipun situs tersebut hanya memiliki tombol untuk memesan panggilan atau mengirim pesan, ini juga merupakan pemrosesan data pribadi.

Dan jika saya mencatat nomor telepon teman atau email perempuan di situs kencan, apakah saya harus mematuhi undang-undang ini?

Tidak, itu tidak perlu. Undang-undang tidak berlaku terhadap data untuk kebutuhan pribadi dan keluarga. Namun jika Anda memberikan nomor telepon teman kepada debt collector atau mempublikasikan iklan dengan alamat email seorang gadis di forum misoginis, ini sudah merupakan pelanggaran.

Bagaimana cara menangani data pribadi dengan benar agar tidak melanggar hukum?

Minimal Anda membutuhkan:

• memperoleh persetujuan tertulis dari setiap pengunjung, klien, atau pelanggan atas pemrosesan, penyimpanan, dan distribusi data pribadi;
• mempublikasikan informasi domain publik tentang segala sesuatu yang berkaitan dengan data pribadi klien dan pengunjung;
• Minta hanya data yang diperlukan untuk tujuan tertentu. Misalnya, Anda tidak dapat meminta alamat rumah atau informasi paspor Anda untuk berlangganan buletin email;
• menggunakan data hanya untuk tujuan yang ditentukan dalam dokumen dan telah diperingatkan kepada orang tersebut;
• menginformasikan, atas permintaan seseorang, data apa yang Anda miliki tentang dia, bagaimana dan mengapa data tersebut diproses dan kepada siapa Anda mentransfernya;
• menghapus, berdasarkan permintaan, data yang digunakan untuk mengirim informasi tentang diskon dan promosi;
• menyimpan database di tempat yang aman, melindunginya dari peretasan dan kebocoran;
• melatih karyawan untuk bekerja dengan data pribadi;
• mendaftar ke Roskomnadzor.

Apa? Haruskah saya mendaftar di tempat lain?

Ya, menurut hukum, operator data pribadi harus memberi tahu Roskomnadzor. Apalagi hal ini harus dilakukan sebelum pengolahan data dimulai atau sesegera mungkin. Roskomnadzor akan memasukkan informasi tentang operator ke dalam daftar umum dan menerbitkannya berdasarkan permintaan.

Pemberitahuan tidak dapat disampaikan jika:

• Hanya data pegawai yang diproses;
• data pribadi diperoleh hanya untuk pelaksanaan kontrak tertentu dengan orang tertentu dan tidak akan digunakan dengan cara apa pun, apalagi disebarluaskan;
• orang tersebut sendiri yang mempublikasikan data ini dalam domain publik;
• Anda hanya memiliki nama lengkap klien dan tidak ada yang lain.

Saya memiliki situs web dan saya menerima data pribadi. Apa yang harus saya lakukan?

Jika Anda belum melakukan apa pun, Anda sudah melanggar hukum dan mungkin akan didenda sekarang. Meskipun situs Anda dikelola oleh studio web atau spesialis TI jarak jauh, denda akan tetap dikenakan kepada perusahaan atau pengusaha perorangan yang terdaftar di situs tersebut.

Menyiapkan dokumen publik dan mempostingnya di website agar dapat diakses di semua halaman. Ini bisa berupa perjanjian pengguna, seperti Lamoda, peraturan penjualan, pemberitahuan resmi, seperti M-Video, kebijakan privasi, seperti Restoran, Adidas atau Ozon. Anda dapat menentukan ketentuan untuk pemrosesan data pribadi dalam kontrak atau penawaran reguler, seperti yang dilakukan Bank Tabungan.

Jangan gunakan dokumen orang lain. Anda dapat menjadikannya sebagai panduan, tetapi Anda perlu menuliskan daftar data dan tujuan penggunaan Anda sendiri. Apa yang dibutuhkan bank untuk mengeluarkan pinjaman atau toko online untuk mengirimkan barang tidak diperlukan untuk buletin email atau papan buletin. Meminta data yang tidak perlu merupakan pelanggaran hukum dan dapat dikenakan denda.

Menerapkan solusi yang dengan jelas menetapkan bahwa orang tersebut telah menyetujui pemrosesan data pribadi. Ini bisa berupa tanda centang pada formulir pendaftaran atau peringatan saat melakukan pemesanan. Agar aman, mintalah halaman web Anda disertifikasi oleh notaris.

Menyiapkan dokumen internal tentang penyimpanan data pribadi dan tanggung jawab karyawan yang bekerja dengannya. Perintah, peraturan, dan uraian tugas tidak perlu dipublikasikan.

Jika perlu, kirimkan pemberitahuan ke Roskomnadzor. Jika Anda yakin pemberitahuan tidak perlu dikirimkan, buatlah dokumen sedemikian rupa sehingga jelas pada saat pemeriksaan. Misalnya, tulis dalam kebijakan bahwa Anda menggunakan data pribadi hanya untuk pelaksanaan kontrak tertentu. Atau tunjukkan bahwa Anda membuat sumber daya yang datanya tersedia untuk umum atas permintaan pengguna.

Benarkah data pribadi hanya bisa disimpan di server Rusia? Jika saya menjadi tuan rumah di Eropa, apakah saya melanggar hukum?

Ada banyak ketidakpastian dalam hukum mengenai hal ini. Di satu sisi, database perlu dikumpulkan, diproses, dan disimpan di server Rusia. Namun ada artikel terpisah tentang transfer data lintas batas. Penjelasan mengenai hal ini telah dimuat di situs Kementerian Telekomunikasi dan Komunikasi Massa, namun juga banyak mengandung kontradiksi.

Buatlah kesimpulan Anda sendiri tentang tempat menyimpan data. Jika Anda tidak tahu harus berbuat apa, kirimkan permintaan ke Roskomnadzor atau Kementerian Telekomunikasi dan Komunikasi Massa. Anda juga dapat menghubungi hoster Anda: paling sering perusahaan tersebut memiliki solusi siap pakai.

Tenang semuanya! Tidak seorang pun akan didenda karena beberapa formulir di situs dan surat-surat yang tidak perlu.

Di wilayah Tambov, kantor kejaksaan mendenda sebuah firma hukum karena mengisi formulir umpan balik tanpa persetujuan pengguna untuk memproses data pribadi. Pengadilan mendukungnya.

Direktur perusahaan pengelola didenda karena menyerahkan data debitur kepada pengacara untuk membuat surat tuntutan. Dia tidak mendapatkan persetujuan untuk mengolah data pribadi warga. Mahkamah Konstitusi tidak membantunya.

Di Astrakhan, jaksa penuntut mendenda pemilik situs web karena formulir masukan berdasarkan abjad.

Selain denda yang menguntungkan negara, karena melanggar aturan pemrosesan data pribadi, mereka dapat dikenakan kompensasi atas kerusakan moral dan bahkan hukuman penjara.

Ada banyak hal yang tidak dapat dipahami dalam undang-undang tentang data pribadi. Kami menemukan jawabannya dan menjawab

Mikhail Khokholkov, INTELLECT-S: “Hal minimum yang perlu dilakukan pemilik situs adalah memposting kebijakan pemrosesan data pribadi di situs.”

Pada tanggal 1 Juli 2017, perubahan Pasal 13.11 Kode Pelanggaran Administratif (CAO RF), yang mengatur tanggung jawab untuk mematuhi undang-undang tentang data pribadi, mulai berlaku.

Sebelumnya, satu pelanggaran diperkirakan - pelanggaran undang-undang tentang data pribadi. Sekarang daftar ini bertambah menjadi 7 poin. Jumlah denda juga meningkat. Kasus pelanggaran administratif di bidang data pribadi akan dipertimbangkan oleh kantor teritorial Roskomnadzor.

Undang-undang “Tentang Data Pribadi” sendiri telah berlaku selama 10 tahun tanpa mengalami perubahan mendasar. Oleh karena itu, kepanikan yang disebarkan oleh beberapa media tidak dapat dipahami. Namun, bagi pemilik situs mana pun yang mengumpulkan data pengguna, saya telah menyoroti poin penting berikut.

Kebijakan pemrosesan data pribadi di situs web

Klausul 3 Pasal 13.11 Kode Pelanggaran Administratif Federasi Rusia: kegagalan operator untuk memenuhi kewajiban yang ditentukan oleh undang-undang Federasi Rusia di bidang data pribadi untuk mempublikasikan atau menyediakan akses tidak terbatas ke dokumen yang mendefinisikan kebijakan operator mengenai pemrosesan data pribadi, atau informasi tentang persyaratan yang diterapkan untuk perlindungan data pribadi - memerlukan peringatan atau pengenaan denda administratif:

• untuk warga negara dalam jumlah 700 hingga 1500 rubel;
• untuk pejabat - dari 3.000 hingga 6.000 rubel;
• untuk pengusaha perorangan - dari 5.000 hingga 10.000 rubel;
• untuk badan hukum - dari 15.000 hingga 30.000 rubel.

Minimal yang perlu dilakukan saat ini adalah menempatkan kebijakan pemrosesan data pribadi di situs web.

Pembuat undang-undang tidak menetapkan persyaratan khusus apa pun untuk lokasi tersebut, tetapi saya menyarankan Anda memasang tautan ke kebijakan di halaman utama, dan juga menggandakannya di tempat formulir pengumpulan data pribadi ditempatkan. Kebijakan pemrosesan data pribadi harus dapat diakses oleh setiap pengguna.

Checklist untuk mengembangkan kebijakan pengolahan data pribadi (PD) di website

Hal-hal yang perlu diperiksa:

• formulir apa pun untuk mengirim pesan seperti "ajukan pertanyaan" dan kolom yang harus diisi. Jumlah tersebut perlu ditentukan dalam kebijakan pemrosesan PD di bagian “Volume PD”;
• pendaftaran pengguna / akun pribadi / otorisasi melalui jejaring sosial. Periksa bidang yang wajib diisi. Cantumkan hal tersebut dalam kebijakan pemrosesan PD di bagian “Cakupan PD”;
• formulir pemesanan panggilan balik - bidang mana yang harus diisi. Data ini perlu dicantumkan dalam kebijakan pemrosesan PD di bagian “Cakupan PD” dan “Tujuan PD”;
• buletin. Jika ada formulir berlangganan buletin, maka Anda harus memberikan persetujuan untuk memproses PD dan persetujuan untuk menerima buletin (semuanya bisa dilakukan dalam satu dokumen). Buletin juga harus dirujuk di bagian “Tujuan PD”;
• review dari pengunjung/klien/mitra dengan PD (surat ucapan terima kasih, dll). Jika pengguna menulis ulasan sendiri, maka persetujuan untuk pemrosesan PD harus diposting. Jika pindaian surat ucapan terima kasih diposting, Anda harus terlebih dahulu mendiskusikan dengan pasangan Anda kemungkinan untuk mendapatkan persetujuan tersebut;
• kemungkinan mengirim resume. Dalam hal ini, persetujuan diperlukan untuk pemrosesan data pribadi untuk tujuan pekerjaan.

Basis data situs web dengan data pribadi pengguna harus berlokasi di Rusia.

Jika kebijakan pemrosesan PD (dokumen tersebut dapat disebut “kebijakan privasi” atau sejenisnya) sudah ada di situs web, periksa daftar periksa untuk tujuan pengumpulan PD dan volume PD. Seharusnya tidak ada informasi yang tidak perlu di sana. Prinsip “sebaiknya kita menunjukkan lebih banyak data, kalau-kalau berguna” tidak dapat diterima. Penting untuk diingat bahwa jumlah data yang dikumpulkan harus sesuai dengan tujuan pemrosesan. Tidak ada kriteria universal untuk kepatuhan tersebut, sehingga seseorang harus berpedoman pada prinsip kewajaran dan kecukupan.

• Untuk memesan tiket pesawat Anda memerlukan informasi paspor, untuk mengantarkan pizza - tidak;
• Untuk mengirimkan pesanan melalui kurir toko online, Anda memerlukan alamat pengiriman, tetapi untuk pengambilan - tidak;
• Untuk memesan tiket bioskop, Anda tidak memerlukan apa pun kecuali Anda membayar secara online.

Jika tidak ada formulir umpan balik di situs, tidak ada cara untuk memesan panggilan balik, dll. - data pribadi tidak diproses, oleh karena itu, tidak perlu memposting kebijakan pemrosesan PD.

Tujuan dan ruang lingkup pengumpulan data pribadi

Pengumpulan data yang berlebihan dari seorang pengguna mungkin merupakan pelanggaran tersendiri. Klausul 1 Pasal 13.11 Kode Pelanggaran Administratif: pemrosesan data pribadi dalam kasus yang tidak diatur oleh undang-undang Federasi Rusia di bidang data pribadi, atau pemrosesan data pribadi yang tidak sesuai dengan tujuan pengumpulan data pribadi, kecuali untuk hal-hal yang diatur dalam bagian 2 pasal ini, jika perbuatan tersebut tidak mengandung tindak pidana yang dapat dihukum - memerlukan peringatan atau pengenaan denda administratif:

• untuk warga negara dalam jumlah 1.000 hingga 3.000 rubel;
• untuk pejabat - dari 5.000 hingga 10.000 rubel;
• untuk badan hukum - dari 30.000 hingga 50.000 rubel.

Jadi, dikumpulkan data pribadi harus relevan dengan tujuannya pengolahannya dan tidak berlebihan.

Oleh karena itu, kebijakan pemrosesan data pribadi harus menunjukkan tujuan pemrosesan dan ruang lingkupnya.

Contoh

Kasus pengumpulan data yang paling umum di situs web adalah memesan panggilan balik.

Dalam hal ini, cukup meminta pengguna untuk memberikan nomor telepon saja. Jika, untuk panggilan balik, Anda meminta untuk menunjukkan email, nama lengkap, alamat, tempat kerja, posisi, maka data tersebut dianggap tidak diperlukan dan tidak sesuai dengan tujuan pemrosesan, dan oleh karena itu, pengumpulannya merupakan pelanggaran. .

Jangan mengumpulkan data paspor kecuali benar-benar diperlukan. Seringkali mereka tidak diperlukan. Untuk menyelesaikan pesanan, misalnya di toko online, Anda hanya perlu mencantumkan nomor telepon dan alamat pengiriman.

Setelah memutuskan tujuan dan ruang lingkup pemrosesan pribadi, buatlah kebijakan pemrosesan Anda dan posting di situs web.

Omong-omong. Saya mengirimkan permintaan berikut ke Roskomnadzor:

Apakah perlu memasang kebijakan pemrosesan data pribadi di situs pengiriman barang jika pengguna hanya memberikan nomor telepon untuk melakukan pemesanan? Operator situs menghubungi pembeli di nomor yang ditentukan, mengklarifikasi detail pesanan dan alamat pengiriman. Di kemudian hari (setelah pengiriman pesanan), nomor telepon, nama depan dan belakang pembeli, alamat pengiriman tidak disimpan dan tidak diproses oleh pemilik situs.

Dan inilah jawaban yang saya terima:

Berdasarkan informasi yang terkandung dalam permohonan banding, tidak mungkin memberikan penilaian hukum atas pokok persoalan yang diangkat.

Pada dasarnya, ini berarti bahwa tidak setiap kasus pengumpulan data pribadi memerlukan kebijakan untuk memproses data tersebut, yang tidak meniadakan kebutuhan untuk mempelajari masalah ini untuk setiap situs secara individual.

Persetujuan untuk pemrosesan data pribadi

Kapan formulir persetujuan tertulis untuk pemrosesan PD diperlukan?

Bentuk tertulis adalah dokumen dalam bentuk cetakan yang dibubuhi tanda tangan asli (bukan pindaian, bukan faksimili). Formulir tertulis tidak akan dihormati jika diterima melalui email sebagai dokumen pindaian. Persetujuan dalam bentuk dokumen elektronik dapat ditandatangani dengan tanda tangan elektronik sesuai dengan Undang-Undang Federal “Tentang Tanda Tangan Elektronik”. Persyaratan isi formulir tertulis ditetapkan oleh paragraf 4 Pasal 9 Undang-Undang Federal “Tentang Data Pribadi”.

Bentuk persetujuan tertulis terhadap pemrosesan data pribadi hanya diperlukan dalam kasus yang secara tegas ditentukan oleh hukum. Total ada lima kasus seperti itu, dan semuanya dijelaskan dalam Pasal 8, 10, 11, 12 dan 16 Undang-Undang Federal “Tentang Data Pribadi”:

• Pasal 8 mengatur kasus-kasus pembuatan sumber informasi yang tersedia untuk umum (direktori, buku alamat, dll.). Anda dapat memasukkan informasi tentang individu dalam direktori ini, setelah sebelumnya menerima persetujuan tertulis dari mereka untuk pemrosesan data pribadi.
• Pasal 10 - kategori khusus data pribadi yang berkaitan dengan ras, kebangsaan, pandangan politik, keyakinan agama atau filosofi, kesehatan, kehidupan intim.
• Pasal 11 mengatur tentang pengolahan data pribadi biometrik: gambar foto dan video, sidik jari, DNA. Foto dan video dianggap sebagai pemrosesan data pribadi jika digunakan untuk mengidentifikasi seseorang. Merekam dari kamera pengintai biasa di kantor, supermarket, atau di jalan bukan merupakan pemrosesan data pribadi.
• Pasal 12 mengatur transfer data pribadi lintas batas negara.
• Pasal 16 melarang adopsi, hanya berdasarkan pemrosesan otomatis data pribadi, keputusan yang menimbulkan konsekuensi hukum sehubungan dengan subjek data pribadi atau memengaruhi hak dan kepentingan sahnya - hanya dengan persetujuan tertulis dari subjek data pribadi. atau dalam kasus yang ditentukan oleh undang-undang federal.

Ada kalanya data pribadi dapat diproses tanpa persetujuan subjek - ini adalah paragraf 2-11 bagian 1 pasal 6, bagian 2 pasal 10 Undang-Undang Federal “Tentang Data Pribadi”.

Dalam semua kasus lainnya (yaitu, ketika tidak ada persyaratan untuk mendapatkan persetujuan secara tertulis atau ketika persetujuan tidak diperlukan), persetujuan dapat diperoleh dalam bentuk apa pun yang memungkinkan adanya bukti persetujuan tersebut. Operator pemrosesan data pribadi harus mengkonfirmasi adanya persetujuan tersebut.

Kami merekomendasikan memasang hyperlink untuk menyetujui pemrosesan data pribadi di sebelah tombol “kirim”, “berikutnya”, “berlangganan buletin” dan tombol serupa, disertai dengan teks: “Dengan mengklik tombol KIRIM, saya mengonfirmasi bahwa saya telah membaca kebijakan pemrosesan data pribadi dan saya memberi menyetujui pemrosesan data pribadi", dimana teks yang dicetak miring merupakan hyperlink ke dokumen terkait.

Pemberitahuan ke Roskomnadzor

Dalam kasus tertentu, perlu untuk menyampaikan pemberitahuan ke Roskomnadzor di tempat pendaftaran (badan hukum, pengusaha atau warga negara - administrator situs) untuk dimasukkan dalam daftar pemrosesan data pribadi. Jika pemberitahuan tersebut tidak diberikan, maka penuntutan berdasarkan Pasal 19.7 Kitab Undang-undang Pelanggaran Administratif dapat dilakukan - peringatan atau pengenaan denda administratif.

• untuk warga negara dalam jumlah 100 hingga 300 rubel;
• untuk pejabat - dari 300 hingga 500 rubel;
• untuk badan hukum - dari 3.000 hingga 5.000 rubel.

Dalam paragraf 2 Seni. 22 Undang-Undang Federal “Tentang Data Pribadi” mencantumkan kasus-kasus ketika pemberitahuan ke Roskomnadzor tidak diperlukan. Total ada sembilan kasus serupa. Yang paling umum adalah data pribadi diperoleh sehubungan dengan penandatanganan kontrak, jika data pribadi tidak didistribusikan atau diberikan kepada pihak ketiga tanpa persetujuan subjek data pribadi. Data ini harus digunakan semata-mata untuk pelaksanaan kontrak yang ditentukan dan kesimpulan perjanjian dengan subjek data pribadi.

Kesimpulan

Jika situs web tidak memuat kebijakan pemrosesan data pribadi, maka pemiliknya tidak mematuhi persyaratan Undang-Undang “Tentang Data Pribadi”.

Persyaratan tambahan mungkin dikenakan pada toko online, layanan rekrutmen, layanan pemesanan tiket, layanan penerimaan pembayaran, publikasi online (media), dll. Saya akan menulis terpisah tentang penggunaan data pribadi di media.

Oleh karena itu, saya meminta Anda untuk mempersiapkan dokumen dengan cermat, tanpa menggunakan “bentuk standar kebijakan pemrosesan data pribadi”, karena dokumen tersebut tidak ada. Untuk bantuan, hubungi pengacara yang berspesialisasi dalam industri ini.

P.S

Tahukah Anda bahwa persyaratan tambahan untuk informasi yang diposting di situs web mana pun juga ditetapkan oleh Undang-Undang Federal “Tentang Informasi”?

Klausul 2 Pasal 10 Undang-Undang Federal 27 Juli 2006 No. 149-FZ (sebagaimana diubah pada 6 Juli 2016) “Tentang informasi, teknologi informasi, dan perlindungan informasi”:

Informasi yang disebarluaskan tanpa menggunakan media harus mencakup informasi yang dapat dipercaya tentang pemiliknya atau tentang orang lain yang menyebarkan informasi tersebut, dalam bentuk dan volume yang cukup untuk mengidentifikasi orang tersebut.

Pemilik situs web di Internet wajib memposting di situs web miliknya informasi tentang nama, lokasi dan alamatnya, alamat email untuk mengirim aplikasi yang ditentukan dalam Pasal 15.7 Undang-undang Federal ini (tindakan pra-persidangan untuk menghentikan pelanggaran hak cipta) , dan juga berhak menyediakan kemungkinan pengiriman aplikasi ini dengan mengisi formulir elektronik di situs Internet.

Mikhail Khokholkov tentang data pribadi

Pada tanggal 28 Juli, Mikhail Khokholkov, pengacara terkemuka INTELLECT-S, berbicara di studio saluran TV Malina.Am tentang amandemen undang-undang tentang data pribadi.