Логирование согласий (IP, время, версия политики)/ Возможно?

В связи с политикой РКН. которая ужесточается каждый год (с этого года РКН осуществляет проверку сайта в автоматическом режиме), возможно ли доработать опцию, которая есть в шаблоне модерн до компонента, который позволяет делать Логирование согласий (IP, время, версия политики)?

Если кто может сделать за доп оплату и положить в паблик для свободного скачивания, пишите)

Друзья, речь про эту опцию, а также при регистрации и у всех форм обратной связи (компонент конструктора форм) как в движке, так и в других компонентах. Желательно в движке иметь свой компонент с хуками, которые добавлялись бы в сторонние компоненты, чтобы взаимодействовать с данным компонентом.

И в формах обратной связи когда ставится галочка и отправляется запрос.  Сейчас это все надо логировать. А в будущем скорее всего при отправке формы надо будет вводить код, который либо отправлять на почту, либо по sms, либо автодозвоном. Т.е в идеале делать интеграцию с сервисом, который это позволяет сделать. Иначе РКН может посчитать, что данные указал не владелец указанных в форме контактов.

Если кто может за доп плату, пишите) В идеале, чтобы потом Fuze мог включить ее в сборку.

А еще нужно версионирование политики обработки персональных данных. Так как надо фиксировать это в реестре согласий.

возможно ли доработать опцию, которая  будет делать Логирование согласий (IP, время, версия политики)

Какой в этом смысл? Юридически, что ты эти параметры к себе в базу записал — это ничего не значит.

Пусть Яндекс.Метрика этот параметр логирует. А версионность политик (и сами политики) можешь держать в dokuwiki или в sourcecraft

А версионность политик (и сами политики) можешь держать в dokuwiki или в sourcecraft

как много владельцев сайтов могут это делать? Не больше 0,00001%. А стать оператором обработки перс данных должны стать все, кто имеет на сайте форму обратной связи или регистрацию, так как перс данными являются ip+почта, ник, имя, телефон и т.д

Какой в этом смысл? Юридически, что ты эти параметры к себе в базу записал — это ничего не значит

РКН важно само наличие таких реестров при запросе информации. Да, можно сидеть рисовать эти реестры, только зачем. если можно сделать технически компонент. 

Пример у Битрикс24 helpdesk.bitrix24.ru/open/9611971/
А битрикс это точно та компания, которая следит за всеми требованиями и выполняет их, чтобы не было проблем ни у него лично, ни у клиентов. Можно просто платить штрафы, так как сейчас в бюджете большой недобор денег.

как много владельцев сайтов могут это делать? Не больше 0,00001%

этих людей тут и не будет, они на конструкторы сайтов уйдут, нафиг им хостинги и другие пляски с бубнами...

Пример у Битрикс24

да у битрикса может хоть Х… на лбу вырасти, причем тут коммерческий битрикс и бесплатный inctantcms?

Какие реестры? Вы о чём?

Логин/пароль — об остальных данных забудьте, если у вас нет минимального штата специалистов: инфобезопасник, юрист, айтишник-универсал.

Надо минимизировать кол-во персональных данных при взаимодействии пользователя с вашим сайтом, реестр с проставленными галочками не поможет среднестатистическому владельцу сайта. Не надо пытаться «в одну каску» забубенить себе битрикс-комбаин или гос-услуги.

Задача среднестатистического владельца сайта, в данном случае рассматриваем InstantCMS, спроектировать/перепроектировать свой сайт так: 

— минимизировать кол-во персональных данных при взаимодействии пользователя с сайтом.

Например так: логин(он же email) и пароль (никаких фио, телефонов, домашних адресов) + авторизация через соц сети (но без сохранения на сайте данных из этих соц сетей)

Например так: логин(он же email) и пароль (никаких фио, телефонов, домашних адресов) + авторизация через соц сети (но без сохранения на сайте данных из этих соц сетей)

Это вы говорите про информационники. На инстанте многие делают сайты и другого плана, когда через форму обратной связи собираются данные. Не просто так в комопннетах появился официальный компонент форм. Fuze обычно делает то, что просит сообщество в достаточно большом количестве. А это уже перс данные и попадает под законодательство. 

Для авторизации и регистрации вообще в идеале использовать телефон и код по смс для подтверждения, а потом по паролю + телефон вход осуществлять. По почте уже мало кто готов входить, если проект ориентирован не на б2б сегмент, а на физиков. А это уже перс данные. 

компонент форм

это любые отправляемые пользователем данные, например мой текущий комментарий — уже отправляемая форма.

Для авторизации и регистрации вообще в идеале использовать телефон и код по смс для подтверждения

да могут хоть паспортные данные президента принимать. То что я описал, это для снижения административной нагрузки, т.к. большинство пользователей инстанта законы то читать не умеют, не говоря о том чтоб уметь под них правовую основу сайта подстраивать.

Вы штрафы видели за утечку персональных данных? Боты могут прибежать и в комментарии или сообщения форума накидать персональных данных и хана владельцу сайта, сразу пачку штрафов миллионов на 20 руб. РКН вывалит. Я по этому выше и писал «реестр с проставленными галочками не поможет среднестатистическому владельцу сайта», потому что нужно контролировать содержимое каждого сообщения, каждого комментария.

Т.е. нужна либо тотальная минимизация пользовательских данных и ограничение функционала сайта, либо полноценный модуль цензуры по принимаемым от пользователей данным, конечно же с функцией версионирования соглашений (как в dokuwiki), сервис отслеживания обращений объектов персональных данных (а это полноценный help desk)

На инстанте многие делают сайты и другого плана, когда через форму обратной связи собираются данные.

Я думаю так будет понятней (по видимому закон вы не читали либо не поняли его)

152-ФЗ (ред. от 24.06.2025) «О персональных данных»

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Имеется ввиду, НЕ email, номер телефона введенные при регистрации на сайте, а ВООБЩЕ если перс. данные любым образом оказались на сайте оператора ПД — в комментариях, на страницах сайта или в сообщениях форума.

Т.е. какой-нибудь пользователь к вам в сообщения форума в виде вложения прикрепил файл с персональными данными и ваш сайт принял это сообщение — то вы обработали эти данные, а если у вас это сообщение провисело месяц и этот файл скачало какое-то кол-во человек — то вы распространили эти персональные данные. А это уже штрафы, и зависеть сумма будет от того на сколько убедительно вы докажите в суде, что это не по вашей вине произошла утечка (изначально вина именно ваша — т.к. сайт ваш и вы оператор ПД).

уже отправляемая форма.

Эта форма не имеет ничего общего с компонентом «Конструктор форм».

Если кто-то выложит чужие данные к вам на форум, то ответственность несет пользователь (а для этого надо иметь данные по нему ip адрес, почту..., которые вы предоставите в РКН при запросе), который это сделал и вас точно не будут тянуть за уши. 

т.к. большинство пользователей инстанта законы то читать не умеют, не говоря о том чтоб уметь под них правовую основу сайта подстраивать.

Именно поэтому Fuze  как раз и делал функционал с кукисами, так как это стало обязательным. Раз уже дорога проторена, то логично и остальные моменты реализовать корректно, чтобы такой функционал был в виде компонента, который можно включить и пользоваться, а не ломать голову как это сделать костылем, так как этот функционал уже обязателен для сайтов, которые имеют регистрацию или формы обратной связи, т.е фактически 90% сайтов. 

Если кто-то выложит чужие данные к вам на форум, то ответственность несет пользователь

с чего это вдруг только пользователь? Это ваши личные домыслы ничего не имеющие общего с судебной практикой. Да, он несет ответственность, но уровень вашей ответственности будет определяться как быстро вы это заметите, сообщите в РКН и пресечете это происшествие. (об этом ниже)

Вы даже упрощенный текст не смогли прочитать, а я точно выделил жирным чтоб было понятней, перечитайте снова. Надеюсь другие прочитают без домыслов — т.е. буквально.

а я продолжу и закончу, именно по законам

420-ФЗ (ред. от 23.05.2025) «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

… (три точки чтоб большую портянку не копировать)

11. Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных,

— влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц — от четырехсот тысяч до восьмисот тысяч рублей; на юридических лиц — от одного миллиона до трех миллионов рублей.

12. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния,

— влекут наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц — от двухсот тысяч до четырехсот тысяч рублей; на юридических лиц — от трех миллионов до пяти миллионов рублей.

16. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных, (например вам «прикрепили» в сообщение форума или комменты файл с перс данными фсбешников)

— влекут наложение административного штрафа на граждан в размере от трехсот тысяч до четырехсот тысяч рублей; на должностных лиц — от одного миллиона до одного миллиона трехсот тысяч рублей; на юридических лиц — от десяти миллионов до пятнадцати миллионов рублей.

Более того, кроме штрафов появилась ещё и гражданская ответственность перед самим субъектами ПД (т.е. штрафы+гражданка), а именно:

152-ФЗ (ред. от 24.06.2025) «О персональных данных»

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

ответственность несет пользователь (а для этого надо иметь данные по нему ip адрес, почту..., которые вы предоставите в РКН при запросе)

Не только пользователь несёт ответственность но и владелец сайта (оператор ПД). читайте закон выше, со словами — Действия (бездействие) оператора.

Банально, но дело обстоит так:

владелец сайта (он же оператор ПД) говорит: я не могу технически отслеживать все действия пользователей на моём сайте.

а суд 100% скажет: как не можете? всё вы можете, раз нет технических возможностей — не открывайте сайт для доступа третьих лиц, пользуйтесь им сами (лично, персонально, без общего доступа к нему).

владелец сайта (он же оператор ПД) говорит: я не могу технически отслеживать все действия пользователей на моём сайте.

Я общался с РКН и с отделом К. Не знаю везде ли так, но общение несколько лет назад было абсолютно адекватным. Общение было по поводу размещения сообщений на форуме как раз. В итоге обменялись запросом и ответами на эти запросы. Никто не хочет лишний раз судиться.

А так как сейчас автоматизированные системы проверки, то надо реализовать все корректно, чтобы как раз минимизировать претензии со стороны гос структур. Не понимаю какую иную мысль вы хотите донести.

общение несколько лет назад было

Это ключевые☝️  слова, поэтому результат того общения в этом году уже не актуален

руководствуйтесь законодательством с мая 2025-го года. А по судам им пофигу, они реестрами в суд отправляют, почти в полностью автоматическом режиме, тем более времена такие, что казну надо наполнять

Не понимаю какую иную мысль вы хотите донести.

я всё об одном и том же, с первого моего ответа — кол-во пользовательских данных, а так же возможность их загрузки нужно сводить к минимуму.

— минимизировать кол-во персональных данных при взаимодействии пользователя с сайтом.

Например: нет автоматического цензора (модератора) для проверки пользовательских комментариев, подключаете комменты от ВК, нет модератора на проверку всех сообщений форума — подключаете сторонний форум-сервис или форумы от ВК, нет возможности модерировать все посты — отключайте возможность публикации постов пользователями, нет возможности контролировать все публикуемые объявления на сайте — отключаете и т.д.

Контроль регистрации на сайте, например пользователь «слил данные» через ваш сайт, а сам он находится на Бали и вообще он гражданин Литвы, то ответственность почти на 100% ляжет на вас, т.к. его никто на Бали искать не станет. Проверка юрисдикции ваших пользователей это именно ваша ответственность. Т.е. запрещайте регистрацию из ряда не дружественных стран, либо ограничивайте их, например — пользовательский режим «read only», разрабатывайте полноценную систему безопасности (модерации) контента сайта.

Ну это не более чем совет, штрафы не мне платить, поэтому можете делать как душе приятней. Другим пользователям сайта instantcms.ru мои комменты выше, помогут сотни тысяч рублей сэкономить.

Элементарно разрешение на сбор кукисов должен получить сайт от пользователя. И это надо зафиксировать в реестре. РКН может запросить реестр. Если он есть — оК. Если нет — нарушение и предписание или штраф. 

Аналогично с формами обратной связи — надо вести реестр согласных на обработку с возможностью дальнейшего отзыва этого разрешения. 

Далее желательно к конструктору приделать проверку не только каптчей, но и кодом по смс или звонку. Это позволит точно идентифицировать пользователя, который дал разрешение на обработку персональных данных 

Это базовый функционал, который нужен в движке, чтобы им просто пользоваться без ожиданий предписания РКН.

Все остальные нюансы уже лирика, так как каждый определяет нужен вообще ему сайт или нет и для чего.

Элементарно разрешение на сбор кукисов должен получить сайт от пользователя. И это надо зафиксировать в реестре. РКН может запросить реестр. Если он есть — оК. Если нет — нарушение и предписание или штраф.

Спорить особо не буду, так как пока ещё я не видел, в какой форме должны быть такие реестры, какой формат, как уже их хранить (они же тоже перс. данными будут)) и т.д....

Имхо (возможно ошибаюсь) БД  саму по себе можно считать реестром, запросят данные, уточнить какие именно.

Экспортировать из БД нужную таблицу (например _users) в более менее распространенном формате (если не будет затребовано в каком то конкретном) .csv, .xml они будут содержать поля с согласием ( в нем будет стоять 1), дату регистрации, пароль в зашифрованном виде, телефон, IP и т.д. то есть вполне себе «логирование»))...

Как то так… Может я в чем то ошибаюсь… тогда хотелось бы увидеть конкретные мануалы или требования по этому реестру, после этого и думать...

ЗЫ:  Def, но может кто то откликнется на ваше ТЗ и сделает запрашиваемый вами компонент...

 Dublic, т.е. пользователь, который на Бали публикует в соцсети например ВК у себя на стене, фотографии паспортов людей, а заодно и подговаривает своих «коллег» чтобы они тоже такое сделали. И ВК закрывают?

своих «коллег» чтобы они тоже такое сделали. И ВК закрывают?

странное трактование законов. Совсем нет, но ВК штраф получит если не успеет вовремя обнаружить и пресечь это нарушение. Выше, в «копипасте» законов мною же всё написано. Логика такая:

Вы заявили в РКН, что работаете только с данными: email, tel, обычных категорий

но вот не задача, кто-кто из пользователей загрузил вам на форум вложение в котором аналогичные данные но 1000 ФСБешников (особая категория, т.е. уже не обычная)

Ваши действия: обнаружить такое деяние чем быстрей тем лучше, сообщить в РКН о происшествии в 10-ти дневный срок, сообщить два факта, 1- об обработке не заявленных данных (вы же изначально не заявляли что данные ФСБэшников будите обрабатывать), 2 факт это утечка данных,  возможность скачать этот файл другими пользователями — это распространение данных. 

Если об этом инциденте, произошедшем на вашем сайте, вы узнали от самого РКН, то у вас намечается три «потенциальных» штрафа:

1. штраф обработка не заявленных данных;
2. штраф  не оповестили своевременно РКН и
3. штраф распространение перс. данных особой категории

потенциальных взял в кавычки, потому что реальные это будут три штрафа или только 2 из них — будет зависеть от настроения РКН.

Конкретика по этому примеру, (что вам грозит):

1-ое. Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных 

(не заявляли что будите данные фсбешников обрабатывать)

влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц — от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц — от ста тысяч до трехсот тысяч рублей

2-ое. Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных

(не обнаружили публикацию перс. данных и не оповестили РКН своевременно)

влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц — от четырехсот тысяч до восьмисот тысяч рублей; на юридических лиц — от одного миллиона до трех миллионов рублей.

3-е. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных

(своим бездействием распространили данные спец категории)

влекут наложение административного штрафа на граждан в размере от трехсот тысяч до четырехсот тысяч рублей; на должностных лиц — от одного миллиона до одного миллиона трехсот тысяч рублей; на юридических лиц — от десяти миллионов до пятнадцати миллионов рублей

По всем трём штрафам, по физикам, ИТОГО: 5000 р + 50 000 руб. + 300 000 руб. = 355 000 руб. (сумма потенциальная — потому что есть несколько ЕСЛИ), первое ЕСЛИ пользователя-распространителя нашли, то 300 тыщ возложат на него, остальные ЕСЛИ не буду описывать т.к. нужны будут ещё детали по происшествию, и какой это случай, первый или повторный и т.д.

ну и до кучи, ко всем трем штрафам РКН еще и ответственность перед субъектом. все эти 1 000 фсбешников (из опубликованного файла) могут на вас подать в суд за моральный вред

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Ну тут тоже есть несколько ЕСЛИ, благодаря которым подавать будут они не на вас, а на пользователя вашего сайта, который опубликовал такие данных. НО! Могут и вас привлечь к солидарной ответственности, т.к. не обеспечили свой сайт техническими средствами  предотвращения утечки таких данных

Вы заявили в РКН, что работаете только с данными: email, tel, обычных категорий

Вы можете не заявлять в РКН, что что-то обрабатываете, а на самом деле обрабатываете и к вам также придет РКН с предписанием встать в реестр, а если не встанете и продолжите обрабатывать, то штраф будет и за то, что не встали в реестр и за незаконный сбор. 

Ну тут тоже есть несколько ЕСЛИ, благодаря которым подавать будут они не на вас, а на пользователя вашего сайта, который опубликовал такие данных. НО! Могут и вас привлечь к солидарной ответственности, т.к. не обеспечили свой сайт техническими средствами  предотвращения утечки таких данных

Как раз и будут определять вашу добросовестность — приняли вы меры, которые указал законодатель или скажете, что ничего не логировалось и у вас нет информации. В таком случае как раз получите все штрафы вы, а не какой-то гипотетический пользователь, который допустил нарушение на самом деле. Поэтому в ВК ничего не прилетит, так как они предоставят всю необходимую информацию и покажут свою добросовестность.

Спасибо вам за такую подробную дискуссию, так как вы еще раз подчеркнули важность наличия такого компонента в системе!