Обработка на лични податоци 1s 8. Постапката за ажурирање на безбедниот софтверски пакет

На 29 мај 2014 година, во Москва се одржа предавање во 1C: Предавања (Москва, ул. Селезневскаја, 34). Нашите читатели, кои не можеа да присуствуваат на предавањето, ги испратија своите прашања во рамките на истоимената Интернет-конференција. За време на настанот, Јуриј Контемиров, раководител на Одделот за заштита на правата на субјектите на лични податоци на Роскомнадзор и Ирина Баимакова, експерт од 1C, одговараа на прашања за заштитата на личните податоци, а ги анализираа и главните грешки идентификувани од Роскомнадзор при спроведување на контролните мерки.

Корисник kot : 1C: Enterprise 8.2z за мали и средни претпријатија. Медицина, државни службеници, војска...? За кого и за што е оваа платформа? Во кориснички режим, ова треба да се закопа со дозволи. Од поврзување со трета страна со помош на DBMS?

Веќе 4 години нагаѓам дека се работи за едноставно испумпување пари по аналогија со „проблемот на 2000 година“. Кога дојдовте, пуштивте програма на компјутерот, направи нешто, рече дека се е во ред и си платен.

Ирина Баимакова : Барањата од Федералниот закон "За лични податоци" се однесуваат на сите оператори на лични податоци, т.е. секоја организација во која се обработуваат личните податоци. Да, навистина, барањата за заштита на личните податоци, во зависност од категоријата на податоци и нивниот обем, може значително да се разликуваат.

: Што е толку посебно во верзијата 8.2z? Зошто во него се заштитени личните податоци и што не е во ред во однос на заштитата на личните податоци во другите верзии на осумте програми?

Ирина Баимакова : ZPK „1C:Enterprise, верзија 8.2z“ е сертифицирана верзија на технолошката платформа 1C:Enterprise 8.2. Нема функционални разлики помеѓу сертифицираната верзија и обичната верзија. Подобрувањата направени земајќи ги предвид барањата на FSTEC на Русија се имплементирани и во редовните и во сертифицираните верзии на технолошката платформа.

Употребата на ZPK „1C: Enterprise, верзија 8.2z“ ви овозможува да го исполните условот пропишан со член 2, член 19 од Федералниот закон „За лични податоци“ во смисла на задолжителна употреба на алатки за безбедност на информации што ја поминале усогласеноста проценка во однос на личните податоци обработени со користење на софтверски производи 1C.

Нерегистриран корисник : Навистина не гледам како програмата може да стане лек во областа на заштитата на личните податоци. Но, што е со озлогласениот човечки фактор? На крајот на краиштата, луѓето работат во програмата.

Ирина Баимакова : Во овој случај, не можеме да кажеме дека програмата е лек. Безбедниот софтверски пакет „1C: Enterprise, верзија 8.2z“ е еден од градежните блокови што ви овозможува да изградите систем за безбедност на информации и да обезбедите усогласеност со барањата на постојното законодавство на Руската Федерација во областа на заштитата на личните податоци.

Нерегистриран корисник : Дали имало случаи на истекување на податоци на заштитени 1?

Ирина Баимакова : Немам такви податоци.

Нерегистриран корисник : Дали 1C сноси каква било одговорност за губење и истекување на податоци?

Ирина Баимакова : Одговорноста за губење на податоци е на операторот на лични податоци.

Нерегистриран корисник : Кој треба да користи ZPK „1C: Enterprise, 8.2z“? Што е вклучено во пакетот ZPK?

Ирина Баимакова

ZPK „1C: Enterprise, верзија 8.2z“ вклучува комплет за дистрибуција на технолошката платформа, формулар и документација.

Нерегистриран корисник : Кои други софтверски производи може да се користат за заштита на личните податоци?

Ирина Баимакова : Има значителен број на алатки за безбедност на информации на пазарот. Потребата за користење на одреден производ зависи од идентификуваните моментални закани и барањата за заштита на личните податоци за одреден оператор.

Нерегистриран корисник : Кои се главните потенцијални опасности што ги гледате за личните податоци? Што точно гарантира или исклучува заштитата?

Јуриј Контемиров : Главната опасност е истекувањето и незаконската дистрибуција на лични податоци, што може да доведе до негативни последици за едно лице, нарушување на неговата приватност. Можно е да се гарантира вистинската заштита на личните податоци само со интегриран пристап кон организацијата на заштитата на информациите, обрнувајќи посебно внимание на „човечкиот“ фактор.

Нерегистриран корисник : Колку често мислите дека малите компании се соочуваат со истекување на сметководствени податоци?

Јуриј Контемиров : Информации за ова прашање, за жал, немам.

Нерегистриран корисник : Зошто „1C: Enterprise 8.2z“ се нарекува заштитен? Која е неговата фундаментална разлика од другите производи?

Ирина Баимакова : Во овој случај „заштитено“ е името, т.е. проверено од лабораторијата за тестирање за отсуство на непријавени способности и усогласеност со други барања утврдени од FSTEC на Русија.

ЗПК „1C: Enterprise, верзија 8.2z“ е специјален производ за обезбедување на барањата на постојното законодавство за лични податоци од страна на организации и претприемачи кои користат софтверски производи 1C.

Корисник Кауфен : Организацијата го купи ЗПК „1C: Enterprise 8.2z“. Кои се главните разлики помеѓу платформата и 1C:Enterprise 8.2, освен сертификатот FSTEC? Дали некој наишол на ваква платформа?

Ирина Баимакова : ZPK „1C: Enterprise, верзија 8.2z“ - сертифицирана верзија на технолошката платформа 1C: Enterprise 8.2. Нема функционални разлики помеѓу сертифицираната верзија и обичната верзија.

Главната разлика е во тоа што сертифицираното издание е потврдено од лабораторијата за тестирање и ја потврдува усогласеноста со барањата дадени во сертификатот, а ги содржи и контролните суми дадени во формуларот 1C: Enterprise, верзија 8.2z ZPK.

Нерегистриран корисник : Ние сме буџетска институција. Дали има модификација на ZPK „1C:Enterprise 8.2z“ специјално за државни службеници и колку чини верзијата со поддршка?

Ирина Баимакова : ZPK „1C: Enterprise, верзија 8.2z“ - сертифицирана верзија на технолошката платформа 1C: Enterprise 8.2, која може да се користи со какви било типични конфигурации, вклучително и за буџетски институции (на пример, „1C: Плата и персонал на државата институција“, „1C: Сметководство на државна институција“).

Постапката за продажба и ажурирање на ZPK 1C: Enterprise version 8.2z" е дефинирана во информативното писмо на 1C бр. 12891. Можете да го најдете на следниот линк -http://1c.ru/news/info.jsp?id =12891

Нерегистриран корисник : Најавата за предавањето и Интернет-конференцијата зборува за главните грешки што ги идентификуваше Роскомнадзор при спроведувањето на контролните мерки. Би сакал да знам повеќе за ова, кои грешки најчесто ги открива одделот?

Јуриј Контемиров : Најтипичните прекршувања на законот откриени во текот на контролните активности на Роскомнадзор се рефлектираат во годишните извештаи објавени на веб-страницата на агенцијата.

Нерегистриран корисник : Кажете ни за сертификацијата на ZPK „1C: Enterprise, верзија 8.2z“.

Ирина Баимакова : Прашањата за целите, постапката, резултатите од сертификацијата спроведени од 1C се детално дискутирани и поставени на веб-страницата buh.ru, вклучително и во написот „Сертификација на програми со цел да се усогласат со законодавството за заштита на лични податоци“ за примарното сертифицирање во 2010 година и во членот „Заштита на лични податоци - од 2011 до 2013 година или двегодишни промени“ за сертификацијата извршена во 2013 година и обновувањето на сертификатот.

Нерегистриран корисник : Дали мислите дека се потребни нови мерки за да се спречи истекување на лични податоци и да се зголеми нивото на нивна заштита? Доколку е потребно, кои се тие?

Јуриј Контемиров : За да се спречи протекување на лични податоци, важен е разумен интегриран пристап и посебно внимание треба да се посвети на „човечкиот“ фактор.

Нерегистриран корисник : Дали има смисла да се користат вакви софтверски производи за индивидуални претприемачи и мали бизниси?

Ирина Баимакова : Во согласност со под. 3, став 2 од член 19 од Федералниот закон од 27 јули 2006 година бр. 152-ФЗ „За лични податоци“, употребата на алатки за безбедност на информации кои ја поминале постапката за оцена на сообразност во согласност со утврдената постапка е една од мерки за обезбедување на безбедноста на личните податоци при нивната обработка.

Според барањата на владината уредба бр. употребата на такви алатки е неопходна за да се неутрализираат сегашните закани. Така, можно е да се утврди потребата или недостатокот од употреба на алатки за заштита на информации кои ја поминале проценката на сообразноста, вклучително и верзијата 1C: Enterprise 8.2z ZPK, врз основа на моделот за закана.

Употребата на ZPK „1C: Enterprise, верзија 8.2z“ ви овозможува да ги исполните барањата на тековното законодавство опишано погоре, како и голем број барања пропишани со Редот на FSTEC на Русија од 18 февруари 2013 година бр. 21 , по најниска цена.

Нерегистриран корисник : Кои се негативните ефекти од прекршувањето на податоците? На пример, за индивидуални претприемачи без вработени.

Ирина Баимакова : Главната опасност е истекувањето и незаконската дистрибуција на лични податоци, што може да доведе до негативни последици за едно лице, нарушување на неговата приватност.

Ако индивидуален претприемач нема вработени и, соодветно, ПД не се обработува ниту од вработени ниту од други поединци, тогаш во овој случај тешко е можно да се претпостави можно истекување на ПД.

Стапи во сила Федералниот закон бр. 152 „За лични податоци“, на чие барање од сите оператори на лични податоци се бара да се придржуваат до голем број барања за заштита и складирање на личните податоци.

Ние обезбедуваме услуги за поставување на информациски системи на 1C за обработка на лични податоци, во согласност со 152-FZ. Кои се решенијата 1C за заштита на лични податоци (ISPD)?

1C доби сертификат за сообразност бр. 2137 издаден од FSTEC на Русија, кој потврдува дека безбедниот софтверски пакет (ZPK) „1C: Enterprise, верзија 8.2z“ е препознаен како софтверска алатка за општа намена со вградени средства за заштита на информации од неовластен пристап (UAS) до информации што не содржат информации што претставуваат државна тајна.

Според резултатите од сертификацијата, потврдена е усогласеноста со барањата на упатствата за заштита од неовластен пристап - класа 5, според нивото на контрола на отсуството на непријавени способности (NDV) на 4-то ниво на контрола, можноста на користење за создавање на автоматизирани системи (AS) до безбедносна класа 1G (т.е. AS , обезбедување заштита на доверливи информации во LAN) вклучително, како и за заштита на информации во информациски системи за лични податоци (ISPD) до класа К1 инклузивна.

Сертифицираните примероци на платформата 1C се означени со ознаки за усогласеност од бр. G 420000 до бр. G 429999.

1CAir ги нуди овие програми за изнајмување. Како да започнете со користење?

Како да креирате систем за обработка на лични податоци на 1C, во согласност со 152-FZ?

Сите конфигурации развиени на платформата „1C:Enterprise 8.2“ може да се користат за создавање информациски систем за лични податоци од која било класа и не е потребна дополнителна сертификација на апликативни решенија.

Дополнителни појаснувања добија од компанијата „1Ц“:

1. Самиот Федерален закон бр. 152-ФЗ „За лични податоци“ не наметнува никакви барања за софтверот (како што е изменет денес).

2. Условот за потребата да се процени сообразноста на алатките за безбедност на информации е содржан во став 5 од Правилникот воведен со Уредба на Владата на Руската Федерација од 17 ноември 2007 година N 781 „За одобрување на прописите за обезбедување на безбедноста на лични податоци при нивна обработка во информациски системи за лични податоци“.

3. Директно барањата во однос на софтверот се предвидени со Редот на FSTEC на Русија бр. 58. Особено, барањата се предвидени за потсистеми за контрола на пристап, регистрација и сметководство и контрола на интегритетот. Овие потсистеми се поврзани исклучиво со технолошката платформа, а не со конфигурациите.

4. При извршувањето на сертификацијата, првично требаше да обезбеди барања за конфигурации (технички услови). Сепак, на крајот од сертификацијата, лабораторијата за тестирање одби да направи какви било барања за конфигурација.

Така, сертификација (или друга проценка на сообразност) на софтверски производи кои не се алатки за безбедност на информации, кои вклучуваат типични конфигурации, не е предвидено со сегашното законодавство, не се обезбедени никакви технички услови за конфигурации. Според тоа, секоја конфигурација за оваа платформа може да се користи со безбеден софтверски пакет.

Во исто време, за време на сертификацијата, објектот не се само програмите, туку целиот комплекс на административни прописи и мерки (барања за безбедност, модел на закана, акти за класификација, план за заштита на лични податоци итн.) и целиот информациски систем што се користи во организација.
Операторот на обработка на лични податоци мора да одлучи за доделување на системот на лични податоци од соодветната класа.

И покрај фактот дека податоците се чуваат надвор од Руската Федерација, федералниот закон бр. заштита на правата на субјектите на лични податоци, се врши во согласност со овој Федерален закон ...“. Личните податоци се чуваат во центри за податоци само во оние европски земји кои ја потпишале оваа Конвенција, се вели во писмото Министерство за телекомуникации и масовни комуникации на Руската Федерација „За спроведување на прекуграничен пренос на лични податоци“.
Согласно член 12, клаузула 3 од Законот бр. 152-ФЗ, се погриживме да се обезбеди соодветна заштита на правата на субјектите на лични податоци пред почетокот на прекуграничниот пренос на лични податоци. Ова е фиксирано во нашиот договор со центрите за податоци и се рефлектира во Договорот со клиентот.

Во моментов се користи стандардната платформа „1C: Enterprise, верзија 8.2“, со барања за заштита на податоците како што е наведено погоре. Затоа, со помош на 1CAir, можно е да се изградат системи за безбедност на информации во информациски системи за лични податоци (ISPD) до класа K2 инклузивна.

И покрај употребата на 1CAir, вашата организација останува контролор на обработката на вашите лични податоци, а не ние. Вие креирате сопствен безбедносен модел и ги дефинирате заштитните параметри во согласност со овој модел. Врз основа на овие технички параметри, можете да дознаете од нас дали обезбедуваме таква услуга (на пример, шифрирање) и да го креирате саканиот систем користејќи програми во 1CAir.

На страниците на списанието, постојано пишувавме за потребата од организациски мерки во согласност со Федералниот закон од 27 јули 2006 година бр. 152-ФЗ "За лични податоци". Од 1 јануари 2011 година, овој закон ќе стапи во целосна сила, а соодветно на тоа, на организациите ќе им бидат доделени дополнителни одговорности за обезбедување заштита на личните податоци. Меѓу нив е потребата да се контролира отсуството на непријавени софтверски способности на алатките за безбедност на информациите. Во предложениот член, И.А. Бајмакова (методолог на 1C) ќе одговори на прашањата кои најчесто ги поставуваат корисниците на софтверските производи 1C.

До 1 јануари 2011 година - датумот на влегување во целосна сила на „За лични податоци“ (во натамошниот текст - Федерален закон бр. 152-ФЗ), нема уште многу време. Сè повеќе оператори со лични податоци, кои се речиси сите организации и претприемачи, планираат и спроведуваат сет мерки за усогласување со барањата на овој закон и регулаторните правни акти.

1) Кои регулаторни правни акти предвидуваат сертификација?
2) Кој треба да користи сертифициран софтвер и кога?
3) Кој може да го потврди софтверот?
4) Дали е доволна употребата на сертифицирана програма за да се обезбеди заштита на личните податоци?

Сертификација на програми со цел усогласување со законската регулатива за заштита на личните податоци

До 1 јануари 2011 година - датумот на влегување во целосна сила на Федералниот закон од 27 јули 2006 година бр. 152-ФЗ „За лични податоци“ (во натамошниот текст - Федерален закон бр. 152-ФЗ), не останува многу време . Сè повеќе оператори со лични податоци, кои се речиси сите организации и претприемачи, планираат и спроведуваат сет мерки за усогласување со барањата на овој закон и регулаторните правни акти.

Корисниците на софтверските производи 1C се заинтересирани дали софтверот што го користат е сертифициран. Во оваа статија ќе одговориме на ова прашање, но прво ќе се обидеме да го разгледаме проблемот малку подлабоко и да ги разгледаме следните прашања:

1) Кои регулаторни правни акти предвидуваат сертификација?
2) Кој треба да користи сертифициран софтвер и кога?
3) Кој може да го потврди софтверот?
4) Дали е доволна употребата на сертифицирана програма за да се обезбеди заштита на личните податоци?

FSTEC ја заврши сертификацијата (152-FZ „За лични податоци“) на безбедниот софтверски пакет „1C:Enterprise, 8.2z“, кој вклучува комплетен сет на технолошка платформа верзија 8.2 (вклучувајќи ги и сите видови апликациски сервери). Добиен е сертификат за усогласеност бр. 2137 за 10.000 копии на платформата (важи до 20.07.2013 година). Овој сертификат потврдува дека софтверскиот пакет 1C:Enterprise 8.2z е препознаен како софтверска алатка за општа намена со вградени средства за заштита на информации од неовластен пристап до информации што не содржат информации што претставуваат државна тајна. Според резултатите од сертификацијата, потврдена е усогласеноста со барањата на владејачките документи:

  • За заштита од неовластен пристап - 5-та класа
  • Според нивото на контрола на отсуството на НДВ - до 4-то ниво на контрола
  • Потврдена е можноста за користење за создавање на AS до класа 1G инклузивна, како и за заштита на информации во информациски системи за лични податоци до класа K1 инклузивна.

Следниве програми се сертифицирани:

  • Заштитен софтверски и хардверски комплекс „1C: Enterprise, верзија 8.2z“ за усогласеност со барањата на упатствата за заштита од неовластен пристап - класа 5. Класификација според нивото на контрола на отсуство на NDV според 4-то ниво на контрола, употреба во AU до класа 1G вклучено, како и усогласеност со барањата за објекти за информациска безбедност вклучени во ISPD, за обработка на лични податоци до класа К2 инклузивна (очекуваното време за добивање на сертификат е јануари - февруари 2010 година);
  • Заштитен софтверски и хардверски комплекс „1C:Enterprise, верзија 7.7z“ за обработка на лични податоци до и вклучувајќи го K3 (очекуван датум на прием на сертификатот - февруари 2010 година).

И покрај фактот дека законот ќе стапи во целосна сила дури на 01 јануари 2011 година, да размислиме што точно се крие зад усогласеноста со наведените класи за заштита на информации.

Усогласеност со класата К2 за заштита на личните податоци

Имајте предвид дека следните барања се наметнати на системите од класа К2 во режим на пристап со повеќе корисници со различни права:

  • Идентификација и автентикација на корисникот при логирање во системот на информацискиот систем користејќи полу-постојана лозинка со должина од најмалку шест алфанумерички знаци
  • Регистрација на влез (излез) на корисникот во системот (од системот) или регистрација на вчитување и иницијализација на оперативниот систем и исклучување на неговиот софтвер. Регистрација на излез од системот или исклучување не се врши во моментите на хардверско исклучување на информацискиот систем. Параметрите за регистрација го означуваат датумот и времето на влегување (излез) на корисникот во системот (од системот) или подигање (стоп) на системот, резултатот од обидот за најава (успешен или неуспешен), корисничкиот ID (шифра или презиме ) претставени при обид за пристап
  • Сметководство за сите заштитени медиуми со нивно означување и внесување на ингеренциите во сметководствениот дневник со забелешка за нивното издавање (прием)
  • Обезбедување интегритет на софтверот на системот за заштита на лични податоци, обработените информации, како и непроменливоста на софтверското опкружување. Во исто време, интегритетот на софтверот се проверува кога системот е вчитан од контролните суми на компонентите на алатките за безбедност на информации, а интегритетот на софтверската околина е обезбеден со употреба на преведувачи од јазици на високо ниво и отсуство на алатки за менување на објектниот код на програмите во процесот на обработка и (или) складирање на заштитени информации
  • Физичка заштита на информацискиот систем (уреди и медиуми за складирање), која предвидува контрола на пристапот до просториите на информацискиот систем од страна на неовластени лица, присуство на сигурни бариери за неовластен влез во просториите на информацискиот систем и складирање на информативни медиуми
  • Периодично тестирање на функциите на системот за заштита на лични податоци кога софтверското опкружување и корисниците на информацискиот систем се менуваат со помош на програми за тестирање кои симулираат обиди за неовластен пристап
  • Достапност на алатки за обновување за системот за заштита на лични податоци, кои обезбедуваат одржување на две копии на софтверски компоненти на алатките за заштита на информации, нивно периодично ажурирање и следење на перформансите

За да се усогласат со класата K2, компаниите 1C имплементираа во конфигурациите засновани на платформата 1C:Enterprise 8.2 способноста да регистрираат голем број настани, кои може да се конфигурираат на табулаторот Заштита на лични податоци.

Усогласеност со барањата на упатствата за заштита од неовластен пристап до информации (класа 1G)

Покрај класата K2 за заштита на лични податоци, барањата за UA класа 1G ги специфицираат барањата за контрола на пристап, сметководство и потсистеми за интегритет. На пример:

  • Регистрација на обиди за пристап преку софтверски алатки (програми, процеси, задачи, задачи) до заштитени датотеки
  • Регистрација на издавање на печатени (графички) документи за „тврда“ копија, што укажува на дополнителни параметри за регистрација

Усогласеност со нивото на контрола на отсуство на непријавени способности на 4-то ниво на контрола

Барањата за ниво 4 вклучуваат:

  • Контрола на составот и содржината на документацијата (опис на програмата што ги означува контролните суми на датотеките вклучени во софтверот, изворните кодови на програмите вклучени во софтверот)
  • Контрола на почетната состојба на софтверот (пресметка на тековните контролни суми на софтверот и споредба со почетната состојба)
  • Статичка анализа на изворните текстови на програмата (контрола на комплетноста и недостаток на вишок на изворни текстови на софтвер на ниво на датотека, контрола на усогласеноста на изворните текстови на софтверот со неговиот код за подигање)
  • Формирање на известување на 1-3

Комплетот за испорака ZPK вклучува:

  • комплет за дистрибуција на сертифицираната платформа „1C: Enterprise 8.2z“
  • формулар за контролна сума
  • картичка за регистрација на заштитен производ
  • спецификација
  • опис на апликацијата
  • тест документација
  • опис на програмата
  • копија од сертификатот FSTEC

Кликнете за зголемување

Можете да купите 8,2z токму сега!

Производот можете да го нарачате на [заштитена е-пошта]

Доставата до вашата канцеларија во кој било град во Русија е бесплатна за вас на наш трошок.

На 1 јули 2017 година, стапија на сила измените на член 13.11 од Кодексот за административни прекршоци на Руската Федерација, во согласност со кои казните за прекршување на законодавството во областа на личните податоци (ПД) беа значително зголемени.

Кога купувате во онлајн продавниците, купувачите оставаат некои информации за себе - полно име, адреса за испорака и други информации за контакт. Затоа, сопствениците на онлајн продавниците треба внимателно да го проучат ова прашање и да обезбедат усогласеност со барањата на Федералниот закон од 27 јули 2006 година бр. 152-ФЗ „За лични податоци“ при тргување на Интернет.

Ќе ви покажеме која каса од нашиот каталог е погодна за вашиот бизнис.

Што се однесува на личните податоци на поединец кој е посетител на онлајн продавницата

Лични податоци се секоја информација што директно или индиректно се однесува на одредено поединец или дозволува негова идентификација (клаузула 1, член 3 од Законот „За лични податоци“ бр. 152-ФЗ).

Во контекст на организирање на работата на онлајн продавницата, личните податоци, во принцип, може да вклучуваат дури и колачиња - што се користат, особено, за персонализирање на понудите на производи на одредени корисници. Постојат судски преседани кои го потврдуваат припишувањето на таквите датотеки на лични податоци - на пример, Одлуката на Московскиот арбитражен суд од 11 март 2016 година во случај бр. A40-14902 / 2016-84-126 11.

Личните податоци може да бидат:

  • обработени;
  • заеднички;
  • сменето;
  • обезбедени на одредени лица (откриени);
  • отстранети.

Овие дејствија ги врши операторот на лични податоци. Тоа може да биде секој поединец, организација или државен или општински орган. Вклучувајќи, се разбира, онлајн продавница - основана од поединец (IP) или во сопственост на правно лице.

Затоа, станувајќи оператор на лични податоци, онлајн продавницата е должна да ги почитува одредбите од Законот бр. 152-ФЗ. Но, во кои случаи тој стекнува таков статус?

За стекнување на статус на оператор на лични податоци, доволно е економскиот субјект да ја заврши секоја постапка што ја карактеризира нивната обработка, особено:

  • колекција;
  • рекорд;
  • систематизација;
  • акумулација;
  • појаснување;
  • апликација;
  • Ширење.

Односно, откако ќе ја спроведе барем првата постапка - собирање податоци (во пракса - примање од клиентот преку онлајн формулар), онлајн продавницата станува оператор и има обврски да ги почитува нормите од Законот бр. 152- ФЗ.

Посебен сегмент од правните односи во кој е потребна усогласеност со законската регулатива за лични податоци е интеракцијата на онлајн продавницата како работодавач и нејзините вработени (работа и од далечина и во офлајн поделби на онлајн продавницата). Меѓутоа, таквите правни односи, генерално, се спроведуваат во јурисдикција на оние правни норми кои се релевантни за интеракцијата помеѓу работодавачите и вработените (далечински или офлајн), без оглед на видот на активноста што ја вршат.

За возврат, размената на податоци помеѓу онлајн продавницата и нејзините клиенти формира посебна и, всушност, единствена - во однос на примената на нормите на Законот бр. 152-ФЗ, сегмент од правните односи во кои деловниот субјект има широк опсег на права и обврски во согласност со закон .

Да разгледаме подетално какви обврски мора да ги исполни онлајн продавницата во врска со потребата да се усогласат со нормите на Законот бр. 152-ФЗ.

Претплатете се на нашиот канал во Yandex Zen - Онлајн каса !
Бидете први што добивате жешки вести и хакери во животот!

Што треба да направи онлајн продавницата за да се усогласат со барањата на Федералниот закон бр. 152-ФЗ

Главната должност на секој оператор на лични податоци (и онлајн продавницата не е исклучок) е да се придржува кон постапката за нивна обработка. Главниот услов на оваа постапка е добивање согласност од субјектот на лични податоци (односно, купувачот) за таква обработка.

Таквата согласност може да се добие во која било веродостојна форма (клаузула 1, член 9 од Законот бр. 152-ФЗ). Но, во случаите предвидени со закон, таквата согласност е потребна во писмена форма - односно на хартија или со користење на електронски документ, кој е заверен со електронски потпис (клаузула 4, член 9 од Законот бр. 152-ФЗ).

Купувањето стоки во онлајн продавница не се припишува директно со закон на оние операции за кои е потребна писмена согласност од субјектот на лични податоци. Затоа, добивањето таква согласност е можно, во принцип, во која било форма - што, сепак, треба да овозможи недвосмислено да се потврди фактот дека поединецот одобрил пренос на лични податоци на операторот.

Следна должност на операторот на лични податоци е да врши дејствија насочени кон остварување на законските права на субјектите на лични податоци. Конкретно, зборуваме за правото:

  • да го потврди фактот за прием на ПД од онлајн продавницата и почетокот на нивната обработка;
  • да добива информации за целите и методите на обработка на ПД;
  • да се запознаат со лицата (со исклучок на лицата кои работат во персоналот на операторот) кои се вклучени во обработката на ПД).

Меѓу другите важни должности на операторите на лични податоци, легитимно е да се вклучи и почитувањето на доверливоста на податоците. Доколку клиентот на онлајн продавницата не се согласил на дистрибуција на неговите податоци на други лица, тогаш деловниот субјект нема право да го стори тоа - како и на друг начин да открие лични податоци (член 7 од Законот бр. 152-ФЗ). Во исто време, дури и ако се добие согласност, тогаш самата онлајн продавница е одговорна за дејствијата на трети лица кои ги добиле личните податоци на клиентот на онлајн продавницата (клаузула 5, член 6 од Законот бр. 152-ФЗ) .

Важна нијанса што ја карактеризира обработката на личните податоци е обврската на операторот да поставува податоци на сервери лоцирани во Русија- освен ако поинаку не е предвидено со закон (клаузула 5, член 18 од Законот бр. 152-ФЗ). Руските онлајн продавници не спаѓаат под исклучоците и затоа мора да се усогласат со наведената норма на законот.

Посебно прашање е потребата операторот на лични податоци да достави известување дека тие се обработуваат до Роскомнадзор - во согласност со прописот од став 1 од чл. 22 од Законот бр.152-ФЗ. Во принцип, таквото известување е потребно. Но, одредбите од став 2 од чл. 22 од Законот бр. 152-ФЗ предвидува широк опсег на исклучоци од ова правило.

Конкретно, под. 2 стр. 2 уметност. 22 од Законот бр. 152-ФЗ предвидува дека операторите имаат право да не поднесуваат известување при извршување на договор склучен со субјектот на лични податоци и под услов личните податоци да не се пренесуваат на трети лица без согласност на субјектот. Според таквите критериуми, договорот за продажба, склучен помеѓу продавницата и купувачот, добро паѓа. Затоа, во општиот случај, онлајн продавницата не треба, при интеракција со клиентите, да испраќа известувања за кои станува збор (но можни се исклучоци од ова правило - ќе ги разгледаме подоцна во статијата).

Значи, главните должности на операторот со лични податоци се:

  • да се добие согласност за нивна обработка;
  • да се обезбеди доверливост на ПД;
  • да ги исполни другите барања од законодавството (за поставување на ПД на територијата на Русија, за исполнување на барања од субјекти на ПД во врска со тоа како тие се користат).

Дозволете ни да проучиме подетално како овие должности може технички да ги извршува онлајн продавницата.

Онлајн фискални каси за секаков вид бизнис! Испорака низ цела Русија.

Оставете барање и добијте консултација во рок од 5 минути.

Како да добиете согласност за обработка на лични податоци преку Интернет

Значи, бидејќи законот не утврдува барања за добивање писмена согласност за обработка на лични податоци во врска со активностите на онлајн продавниците, таквата согласност може да се добие на кој било сигурен начин. Но, што точно?

Опциите овде се следните:

  1. Кога онлајн продавницата бара лични податоци преку формулар за нарачка.

Во овој случај, согласност за обработка на податоците може да се добие со поставување на услов под кој е можно испраќање на податоци за нарачката преку формуларот само ако пред линијата во која се стави знак за проверка (или друг елемент на формата што врши слична функција) формулацијата е напишана како „Давам согласност за обработка на личните податоци пренесени на операторот преку овој формулар.

Согласноста обично вклучува:

  • целта на обезбедување на документот на операторот (во случај на онлајн продавница - за испорака на стоки и други цели утврдени со постапката за продажба и купување);
  • листа на ПД пренесени на операторот;
  • рокови и постапка за чување на ПД;
  • постапката за пренос на ПД на одредени трети лица (на пример, услуга за испорака на стоки).

Во исто време, до ознаката за проверка и врската до Согласноста, треба да се приложи врска до посебен документ кој детално ја објаснува постапката за обработка на лични податоци од страна на онлајн продавницата во согласност со Законот бр. 152-ФЗ - Приватност Политика. Може да се издаде како прилог на формуларот за нарачка. Описот на врската треба да содржи формулација што може да звучи како „Запознаен сум со анексот на овој формулар, кој ја одразува процедурата за обработка на личните податоци во согласност со законот“.

Политика за приватност - документ кој мора да биде јавно достапен. Покрај тоа, може да се смета како дел од локалната регулаторна рамка на организацијата што ја основа онлајн продавницата. Затоа, од вработените во деловниот субјект треба да се бара да ја следат одобрената Политика.

Политиката обично вклучува:

  • општи одредби;
  • формулација што ги одразува целите на собирањето на ПД од страна на економски субјект;
  • одредби за законските основи за собирање на ПД;
  • класификација на користените ПД, постапката и условите за работа со нив;
  • постапката за обезбедување остварување од страна на субјектите на ПД на правата утврдени со закон.

Политиката може да вклучува:

  • како онлајн продавницата ги обезбедува правата на корисниците по барање за информации за обработката на ПД;
  • како е организирано складирањето податоци (во овој случај, може да се обезбедат информации за да се утврди фактот дека серверите со PD на купувачите се наоѓаат во Русија).
  1. Кога онлајн продавницата бара лични податоци преку форма на рекламна мејлинг листа (претплати на тематски материјали од страницата - на пример, брошури со попусти, промотивни кодови).

Собирањето лични податоци овде може да се изврши според слична шема - со користење на штиклирање спроти ставката „Се согласувам“, датотека за согласност и врска до Политиката за приватност со формулација што го одразува фактот дека купувачот на онлајн продавницата има прочитајте ја Политиката.

Меѓу ИТ-специјалистите и експертите од областа на законодавството за лични податоци, постои широко распространето гледиште дека добивањето согласност од лице за обработка на личните податоци треба да се врши на начин што подразбира воспоставување „зголемена веродостојност“ на неговите ќе. Заедничката шема со употреба на полето за избор со Согласност и врска до Политиката за приватност се разгледува од такви експерти од критични позиции - и, морам да кажам, не без причина, бидејќи, според експертите:

  • крлежот може да се стави по случаен избор;
  • онлајн формуларот може да се вчита со грешка - како опција, без врска до Политиката за приватност, со отсуство на знак за проверка или формулацијата што ја придружува;
  • случајно или намерно, корисникот може да внесе туѓи лични податоци во формуларот.

Имајќи ги предвид овие нијанси, се предлага да се дополни системот што се разгледува - притоа задржувајќи ги неговите главни елементи во форма на ознака за проверка, Согласност и врска до Политиката за приватност, со механизам за добивање секундарна согласност. Опциите за организирање на таков механизам во случај на онлајн продавница може да бидат:

  1. Задолжителна регистрација на корисникот пред купување.

Таквата регистрација вклучува пополнување, всушност, истиот формулар со ознака за проверка, согласност и врска до Политиката за приватност, со последователно испраќање од онлајн продавницата на е-поштата наведена од корисникот на писмо со кое се потврдува регистрацијата (и на во исто време да го потврди фактот за согласност за обработка на лични податоци и запознавање со Политиката за приватност).

Во оваа форма, треба да се наведат најавувањето и лозинката што корисникот ќе ги користи за последователно најавување на неговата сметка на веб-страницата на онлајн продавницата.

Доколку корисникот не ја потврди регистрацијата со писмо, тогаш согласноста за обработка на личните податоци нема да се смета за добиена (но, во исто време, ќе се смета дека корисникот е поканет да ја прочита Политиката за приватност).

Разгледаниот метод за добивање согласност за обработка на податоци со „зголемена веродостојност“ продавницата може да го користи за маркетиншки цели. Преку личната сметка на купувачот, тој може да се информира за различни попусти и промоции, да разменува пораки со него и да решава други задачи специфични за интеракцијата помеѓу продавачот и купувачот.

  1. Потврда за посебна нарачка преку е-пошта (без задолжителна регистрација на сметка на веб-страницата на онлајн продавницата).

Алгоритмот на таквата потврда, во принцип, ќе биде сличен на оној што ја карактеризира постапката за регистрирање на сметката на купувачот, со исклучок на користење на најава и лозинка на корисникот. Во овој случај, потврдата ќе биде направена, всушност, со единствена цел да се добие согласност за обработка на личните податоци и да се потврди фактот дека лицето ја прочитало понудата за читање на Политиката за приватност.

Следната голема задача на онлајн продавницата е да обезбеди доверливост на личните податоци во пракса.

1. Поставете прашање до нашиот специјалист на крајот од статијата.
2. Добијте детална консултација и целосен опис на нијансите!
3. Или најдете готов одговор во коментарите на нашите читатели.

Како може онлајн продавницата да обезбеди доверливост на ПД

Во согласност со став 1 од чл. 18.1 од Законот бр. 152-ФЗ, операторот со лични податоци мора да преземе мерки доволни за исполнување на обврските предвидени со закон. Во исто време, операторот самостојно ја утврдува листата на релевантни мерки - освен ако поинаку не е предвидено со закон.

Очигледно, зборуваме, пред сè, за мерки кои се дизајнирани да обезбедат доверливост на личните податоци - тоа е:

  • спречување на пристап до нив на лица кои немаат дозвола за читање на релевантното ПД;
  • спречување на неовластена употреба, модификација, дистрибуција на ПД;
  • обезбедување на потребната заштита на ПД од разни сајбер закани, модификација, дистрибуција и други неовластени операции со ПД поради технички дефекти.

Законот ги предлага следните мерки за решавање на овие проблеми:

  1. Назначување од оператор со статус на правно лице на одговорен вработен - кој организира обработка на ПД во претпријатието.
  1. Развој од страна на операторот на локални регулативи со кои се регулира обработката на ПД во согласност со барањата на законот.
  1. Употребата на технички средства за да се обезбеди заштита на ПД.
  1. Спроведување на внатрешна контрола на постапките во рамките на обработката на ПД.
  1. Спроведување на проценка на штетата што може да им се нанесе на субјектите на ПД како резултат на прекршување на законодавството за обработка на лични податоци и отстранување на последиците од таквите повреди.
  1. Спроведување на потребната работа со вработените за подобрување на нивните знаења од областа на заштитата на личните податоци.

Според принципот на правна аналогија, сите овие правила се применливи и за индивидуални претприемачи кои продаваат онлајн. Вклучувајќи - ако индивидуалниот претприемач работи самостојно, без вклучување на вработените. Во потенцијалот, вака или онака, тој може да има персонал, а дотогаш треба да има актуелни локални регулативи кои ја регулираат организацијата на обработката на личните податоци.

Треба да знаете дека во согласност со став 4 од чл. 18.1 од Законот бр. 152-ФЗ, оние документи што онлајн продавницата мора да ги издаде како дел од спроведувањето на горенаведените упатства и препораки може да ги побара Роскомнадзор при спроведување на ревизија на економски субјект.

На еден или друг начин, мерките насочени кон обезбедување дека операторот со лични податоци ги исполнува барањата на законот (првенствено во смисла на обезбедување на доверливост на личните податоци) може да се поделат во 2 групи:

  • организациски (во суштина и во основа законски);
  • технички.

Организациските (правни) мерки се однесуваат главно на документарното регулирање на примената на овие механизми за интеракција на онлајн продавница (претставувана од сопственикот или неговите вработени) со купувачот.

Треба да се напомене дека при спроведување на организациско-правните мерки се очекува да се развие

договор за купопродажба (понуда) помеѓу продавницата и купувачот, врз основа на кој се издава согласност за обработка на лични податоци во форма различна од писмена - со ознака во формуларот за нарачка и врска до Политиката за приватност .

Техничките мерки можат да бидат претставени во најширокиот опсег - да ги разгледаме подетално.

Техничка поддршка на опремата. Ќе ги решиме сите проблеми!

Оставете барање и добијте консултација во рок од 5 минути.

Која е техничката страна на обезбедување на доверливост на ПД

Главниот извор на правни норми што мора да се следат при решавање на технички проблеми за да се обезбеди доверливост на личните податоци се одредбите од чл. 19 од Законот бр.152-ФЗ.

Конкретно се вели дека обезбедувањето на безбедноста на личните податоци може да се изврши преку:

  1. Воспоставување закани за безбедноста на податоците како дел од нивната обработка со користење на информациски системи.

Во пракса, имплементацијата на ваква мерка подразбира употреба на различни антивирусни и комплементарни решенија - кои треба да се имплементираат во системот за управување со содржина. Ваквите решенија се дизајнирани за навремено откривање обиди за автоматски или рачен неовластен пристап од страна на хакери до личните податоци собрани со користење на формулари за нарачки на страницата или складирани на сервери администрирани од онлајн продавницата.

  1. Употреба на технички средства за зголемување на нивото на безбедност на личните податоци.

Пред сè, зборуваме за различни алатки за шифрирање на податоци - така што при пристап до нив, тие се претставени во форма во која нивното читање без последователно дешифрирање е невозможно, под услов самата дешифрирање да биде овластена од онлајн продавницата.

  1. Употреба на технички средства за враќање на избришани, оштетени или неовластени изменети лични податоци.

Овде можеме да зборуваме за решенија кои се применуваат со цел:

  • дуплирање на лични податоци во случај на нивно отстранување од оригиналниот медиум (оштетување или измена);
  • всушност, враќање на избришаните (оштетени или изменети) податоци од постоечките медиуми.
  1. Употреба на технички средства за разграничување на пристапот (одредување нивоа на пристап) до лични податоци во зависност од статусот на лицето кое има овластување да обработува лични податоци.

Така, на пример, менаџерот на онлајн продавница може да има пристап само до податоците за контакт на купувачот (за да го контактира во случај на какви било прашања), а менаџерот за испорака исто така може да има пристап до адресата. Или - првиот може да има овластување само да чита контакти, а вториот - да ги менува.

  1. Примена на системи за контрола врз лица кои обработуваат лични податоци.

Навистина, само локалните регулативи не се доволни за да се обезбеди доверливост на личните податоци - потребен е механизам за контрола на нивното спроведување. Решенијата овде можат да бидат многу различни - од селективно следење на постапките на конкретни вработени во онлајн продавница до воведување алатки за континуирана анализа на сообраќајот за неовластен пренос на лични податоци.

Колку треба да биде безбеден информацискиот систем за обработка на лични податоци се одредува врз основа на потенцијалната штета што може да му се нанесе на системот поради влијанието на заканите типични за него. Списоците на такви закани и барањата за безбедност на системот, што одговараат на степенот на закани, се дефинирани во Уредбата на Владата на Русија од 1 ноември 2012 година бр. 1119.

Ајде да ги разгледаме подетално.

Колку треба да биде безбедна онлајн продавницата за сигурна обработка на ПД

Со цел да се утврди кои конкретни мерки се потребни за да се обезбеди потребното ниво на заштита на личните податоци, сопственикот на онлајн продавница треба да ја користи табелата во Додатокот на Составот и содржината на организациските и техничките мерки, која е одобрена со налог бр. 21.

Забележете дека оваа листа се однесува, пред сè, на сите исти кадровски нијанси за организирање на работата на онлајн продавницата. Но, дури и ако неговиот сопственик е индивидуален претприемач кој работи без персонал од вработени, тогаш, особено, за да обезбеди заштита на личните податоци на купувачите барем на ниво 1, тој ќе мора:

  • применуваат средства за идентификација и автентикација на корисниците;
  • управување со кориснички сметки;
  • контролирајте го пристапот до серверот на кој се наоѓа PD;
  • користете антивирус;
  • идентификувајте инциденти поврзани со неовластен пристап до ПД.

Се разбира, има смисла да се делегира значителен дел од таквата работа на индивидуален претприемач (и правно лице, се разбира, исто така) на партнер од трета страна - на пример, сопственикот на хостингот што е домаќин на веб-страницата на онлајн продавница. Но, преносот на таквите овластувања мора да биде соодветно обезбеден законски - користејќи детални договори кои компетентно ја оцртуваат одговорноста на онлајн продавницата и нејзиниот партнер, што обезбедува заштита на личните податоци на купувачите во согласност со законот.

Во пракса, многу од современите системи за управување со содржина CMS ја имаат потребната функционалност за да се осигура дека работата на онлајн продавницата ги исполнува горенаведените барања во врска со воспоставувањето на безбедносни нивоа за обработка на лични податоци.

Но, се разбира, во многу случаи, потребно е нивно префинетост и дополнување. Како по правило, најголемите даватели на решенија за управување со веб-страници и услуги за хостирање се обидуваат на своите клиенти да им понудат производи кои најдобро ги задоволуваат барањата утврдени со Законот бр. 152 и стандардите на одделенијата. Меѓутоа, при изборот на конкретен CMS систем, секогаш е добра идеја да се побараат дополнителни стручни совети за неговата усогласеност со законите за заштита на личните податоци.

Ова се главните нијанси што го карактеризираат исполнувањето од страна на онлајн продавницата на барањата од Законот бр. 152-ФЗ и неговите придружни правни акти во однос на интеракцијата со купувачите на стоки. Меѓутоа, таквата интеракција може да се спроведе и во други правни контексти. Конкретно - одразување на населбите помеѓу продавницата и купувачот користејќи иновативен тип на CCP

Како што забележавме на почетокот на статијата, според Законот бр. 152-ФЗ, личните податоци вклучуваат какви било информации што може директно или индиректно да се однесуваат на одредено лице (или да идентификуваат лице). Очигледно, е-поштата или телефонот можат да бидат барем индиректни идентификатори.

Што се однесува до е-поштата, таа може да има форма на [заштитена е-пошта], а доколку ваквата е-пошта протече од базите на податоци на онлајн продавницата, трети лица лесно можат да разберат дека Степан Петров, кој е роден 1976 година во Москва и студира на Универзитетот во Масачусетс, купувал во продавницата.

Потешко е со телефон - но по желба може да се брои и како индиректен идентификатор. На пример, лице кое неовластено добило број од онлајн продавница може да му се јави и, претставувајќи се како лице од курирска услуга, да побара од претплатникот да го разјасни неговото полно име и адресата за испорака - но всушност, да издаде наметливо рекламно испраќање .

Така, и покрај фактот што, според Законот бр. 54-ФЗ, кој ја регулира употребата на онлајн каси, купувачите на онлајн продавниците ги оставаат своите контакти доброволно да примаат чекови, зборуваме за пренос на лични податоци на продавачот.

Дали ова значи дека операциите со такви податоци ќе подлежат на истите барања што ја карактеризираат обработката на други лични податоци?

Забележете дека некои од овие барања остануваат релевантни. На пример, онлајн продавница која плаќа преку онлајн наплата мора:

  • им гарантира на купувачите правото да добиваат информации за обработката на ПД;
  • обезбеди доверливост на податоците;
  • усогласете се со другите барања од Законот бр. 152-ФЗ (особено, за поставување на ПД на руски сервери).

Најзначајно, таквите барања нема да вклучуваат добивање согласност за обработка на лични податоци.

Факт е дека во став 1 од чл. 6 од Законот бр. 152-ФЗ наведува голем број исклучоци од правилото за потребата да се добие согласност. Таквите исклучоци вклучуваат обработка на податоци во рамките на извршувањето од страна на операторот на функциите и должностите што му се доделени со закон. Ваквите функции и одговорности на онлајн продавница може легитимно да ги вклучат одредбите од Законот бр. 54-ФЗ - за формирање на готовински прими за порамнувања со клиенти.

Така, согласноста за примање е-пошта и телефон - како сорти на лични податоци, онлајн продавницата не е потребно да ја бара од купувачот.

Секако, нема законски пречки да се бара од купувачите согласност за обработка на личните податоци доставени преку е-пошта и телефон, истовремено со барањето согласност за обработка на други лични податоци. Односно, во Согласноста - која се презема при потврдување на формуларот за нарачка, и во придружната Политика за лични податоци, може да се одрази дека дел од податоците - е-пошта и телефонскиот број на купувачот, ќе ги користи онлајн продавница со цел да се усогласат со одредбите од Законот бр. 54-ФЗ. Тоа е - да се испратат електронски сметки за готовина до купувачот.

Но, оваа постапка, строго кажано, е изборна од гледна точка на законодавството - иако воопшто не е тешка.

Во исто време, продавачот треба да има на ум дека приемот на лични податоци со цел да се усогласат со нормите на Законот бр. 54-ФЗ не спаѓа под исклучоците пропишани во став 2 од чл. 22 од Законот бр. 152-ФЗ - оние кои се однесуваат на обврската да се информира Роскомнадзор за приемот на лични податоци. т.е. кога прифаќате плаќање преку Интернет, ќе треба да се достави такво известување. Агенцијата, откако добила известување од онлајн продавницата, го внесува во регистарот на оператори на лични податоци.

Известувањето мора да содржи:

  1. Името на документот е „Известување за обработка на лични податоци“.
  1. Името на операторот, неговата правна адреса.
  1. Правни основи, цели на обработка на податоците.
  1. Видови обработени податоци.
  1. Категории на лица кои стануваат субјекти на лични податоци.
  1. Методи за обработка на податоци.
  1. Безбедносни мерки за обработка на податоци.
  1. Информации за локацијата на серверите на кои се чуваат личните податоци.
  1. Датуми за почеток на обработката на податоците.
  1. Услови за прекин на обработката на податоците.

Наведено е целосното име и позицијата на доставувачот на известувањето. Го става датумот на документот, го потпишува.

Така, законот наметнува импресивен износ на обврски на сопствениците на онлајн продавниците. А санкциите за непочитување се доста сериозни. Ајде да ги проучуваме.

Одговорност и нови казни

За прекршување на барањата на законот по ова прашање, предвидени се следните санкции:

  1. Административни казни.

Нивната главна листа е дефинирана во чл. 13.11 од Кодексот за административни прекршоци на Руската Федерација. Но, некои се наведени во соодветните членови од Кодексот.

Вообичаените казни вклучуваат:

  • за обработка на ПД без согласност на нивниот сопственик - до 20 илјади рубли за службеници и индивидуални претприемачи, до 75 илјади рубли - за правни лица (член 13.11 од Кодексот за административни прекршоци на Руската Федерација);
  • за одбивање да му даде на поединец информации со кои има право да се запознае со закон - до 10 илјади рубли за службеници и индивидуални претприемачи (член 5.39 од Кодексот за административни прекршоци на Руската Федерација);
  • за незаконско (не е предвидено со назначените цели) обработка на лични податоци - до 10 илјади рубли за службеници и индивидуални претприемачи, до 50 илјади рубли за правни лица (член 13.11 од Кодексот за административни прекршоци на Руската Федерација);
  • за отсуство на објавена Политика за приватност - до 6 илјади рубли за службеници, за индивидуални претприемачи - до 10 илјади рубли, за правни лица - до 30 илјади рубли (член 13.11 од Кодексот за административни прекршоци на Руската Федерација) ;
  • за одбивање да се запознае поединецот со информации за обработката на неговиот ПД - до 6 илјади рубли за службеници, до 15 илјади рубли - за индивидуални претприемачи, до 40 илјади рубли - за правни лица (член 13.11 од Кодексот на управата Прекршоци на Руската Федерација).
  1. Кривична одговорност.

Во согласност со чл. 137 од Кривичниот законик на Руската Федерација, незаконското собирање лични податоци што претставуваат лична тајна на граѓанинот може да доведе до парична казна до 200 илјади рубли или назначување на корективна работа, дисквалификација и затвор до 2 години. .

  1. утврдени во парнична постапка.

Овде можеме да зборуваме за различни санкции, но типичните вклучуваат:

  • обврската да се надоместат загубите предизвикани на субјектот на ПД како резултат на повреда од страна на операторот на одредбите од Законот бр. 152-ФЗ;
  • обврската за надомест на морална штета на субјектот на ПД.

На еден или друг начин, најверојатно, ако онлајн продавницата ги прекрши нормите на Законот бр. 152-ФЗ, против неа ќе се применат административни санкции. Во исто време, треба да се има на ум дека најтешките од нив - особено, парична казна за неуспех да се добие согласност за обработка на податоци (до 75 илјади рубли) се применуваат во случај на прекршување на барањата за добивање писмена согласност за обработка на лични податоци. Ако е дозволено да се добие согласност во која било сигурна форма, тогаш ако таквата согласност не се добие, се применува санкција во форма на парична казна за незаконска обработка на податоци (до 50 илјади рубли).

Постои можност за примена на голем број дополнителни административни санкции кон операторот. На пример:

  • во форма на парична казна за непочитување на барањата за заштита на податоците - до 2 илјади рубли за службеници и индивидуални претприемачи, до 15 илјади рубли - за правни лица (член 13.12 од Кодексот за административни прекршоци на Руската Федерација);
  • во форма на парична казна за неизвестување до Роскомнадзор - до 500 рубли за службеници и индивидуални претприемачи, до 5.000 рубли - за правни лица (член 19.7 од Кодексот за административни прекршоци на Руската Федерација).

Теоретски, можно е да се блокира веб-страницата на онлајн продавница - со судска одлука. На пример, ако дозволи незаконско објавување на личните податоци на купувачите без нивна согласност во прегледите за купување.

Во зависност од конкретната повреда и областа на правните односи во која е сторена повредата, на тој начин може да се покренат различни санкции против операторот на лични податоци.