Behandling av personopplysninger 1s 8. Prosedyre for oppdatering av den sikre programvarepakken

29. mai 2014 ble det holdt en forelesning i Moskva på 1C: Lectures (Moscow, Seleznevskaya st., 34). Våre lesere, som ikke kunne delta på foredraget, sendte spørsmålene sine på internettkonferansen med samme navn. Under arrangementet svarte Yuri Kontemirov, leder av avdelingen for beskyttelse av rettighetene til personopplysningsobjekter i Roskomnadzor, og Irina Baimakova, en ekspert fra 1C, på spørsmål om beskyttelse av personopplysninger, og analyserte også de viktigste feilene identifisert av Roskomnadzor under gjennomføringen av kontrolltiltak.

Bruker kot : 1C:Enterprise 8.2z for små og mellomstore bedrifter. Medisin, statsansatte, militær...? Hvem og hva er denne plattformen for? I brukermodus bør dette graves med tillatelser. Fra tredjepartsforbindelse ved hjelp av en DBMS?

I 4 år nå har jeg tippet at dette er en enkel pengepumping i analogi med "året 2000-problem". Når du kom, kjørte du et program på datamaskinen din, det gjorde noe, du sa at alt var bra og du ble betalt.

Irina Baimakova : Kravene i den føderale loven "On Personal Data" gjelder for alle operatører av personopplysninger, dvs. enhver organisasjon der personopplysninger behandles. Ja, faktisk, kravene til beskyttelse av personopplysninger, avhengig av kategorien av data og deres volum, kan variere betydelig.

: Hva er så spesielt med versjon 8.2z? Hvorfor er personopplysninger beskyttet i den og hva er galt når det gjelder å beskytte personopplysninger i andre versjoner av de åtte programmene?

Irina Baimakova : ZPK "1C:Enterprise, versjon 8.2z" er en sertifisert versjon av den teknologiske plattformen 1C:Enterprise 8.2. Det er ingen funksjonelle forskjeller mellom den sertifiserte versjonen og den vanlige versjonen. Forbedringer som er gjort under hensyntagen til kravene til FSTEC i Russland, implementeres både i de vanlige og sertifiserte versjonene av den teknologiske plattformen.

Ved å bruke ZPK "1C:Enterprise, versjon 8.2z" kan du oppfylle kravet gitt i artikkel 2, artikkel 19 i den føderale loven "On Personal Data" når det gjelder obligatorisk bruk av informasjonssikkerhetsverktøy som har bestått samsvarsvurdering i forhold til personopplysninger behandlet ved bruk av programvareprodukter 1C.

Uregistrert bruker : Jeg ser egentlig ikke hvordan programmet kan bli et universalmiddel innen beskyttelse av personopplysninger. Men hva med den beryktede menneskelige faktoren? Tross alt jobber folk i programmet.

Irina Baimakova : I dette tilfellet kan vi ikke si at programmet er et universalmiddel. Den sikre programvarepakken "1C:Enterprise, versjon 8.2z" er en av byggesteinene som lar deg bygge et informasjonssikkerhetssystem og sikre overholdelse av kravene i gjeldende lovgivning i Den russiske føderasjonen innen beskyttelse av personopplysninger.

Uregistrert bruker : Har det vært tilfeller av datalekkasje av beskyttede 1-ere?

Irina Baimakova : Jeg har ikke slike data.

Uregistrert bruker : Har 1C noe ansvar for tap av data og lekkasje?

Irina Baimakova : Ansvaret for tap av data ligger hos operatøren av personopplysninger.

Uregistrert bruker : Hvem trenger å bruke ZPK "1C:Enterprise, 8.2z"? Hva er inkludert i ZPK-pakken?

Irina Baimakova

ZPK "1C:Enterprise, versjon 8.2z" inkluderer et distribusjonssett for den teknologiske plattformen, et skjema og dokumentasjon.

Uregistrert bruker : Hvilke andre programvareprodukter kan brukes til å beskytte personopplysninger?

Irina Baimakova : Det finnes et betydelig antall informasjonssikkerhetsverktøy på markedet. Behovet for å bruke et bestemt produkt avhenger av de identifiserte aktuelle truslene og kravene til beskyttelse av personopplysninger for en bestemt operatør.

Uregistrert bruker : Hva er de viktigste potensielle farene du ser for personopplysninger? Hva garanterer eller utelukker beskyttelsen?

Yuri Kontemirov : Hovedfaren er lekkasje og ulovlig distribusjon av personopplysninger, som kan føre til negative konsekvenser for en person, en invasjon av hans privatliv. Det er mulig å garantere reell beskyttelse av PD bare med en integrert tilnærming til organisering av informasjonsbeskyttelse, med spesiell oppmerksomhet til den "menneskelige" faktoren.

Uregistrert bruker : Hvor ofte tror du små selskaper møter lekkasje av regnskapsdata?

Yuri Kontemirov : Informasjon om dette problemet har jeg dessverre ikke.

Uregistrert bruker : Hvorfor kalles "1C:Enterprise 8.2z" sikker? Hva er den grunnleggende forskjellen fra andre produkter?

Irina Baimakova : I dette tilfellet er "beskyttet" navnet, dvs. kontrollert av testlaboratoriet for fravær av uerklærte evner og samsvar med andre krav fastsatt av FSTEC i Russland.

ZPK "1C:Enterprise, versjon 8.2z" er et spesialprodukt for å sikre kravene i gjeldende lovgivning om personopplysninger fra organisasjoner og gründere som bruker 1C-programvareprodukter.

Bruker Kaufen : Organisasjonen kjøpte ZPK "1C: Enterprise 8.2z". Hva er hovedforskjellene mellom plattformen og 1C:Enterprise 8.2, bortsett fra FSTEC-sertifikatet? Har noen vært borti en slik plattform?

Irina Baimakova : ZPK "1C: Enterprise, versjon 8.2z" - en sertifisert versjon av den teknologiske plattformen 1C: Enterprise 8.2. Det er ingen funksjonelle forskjeller mellom den sertifiserte versjonen og den vanlige versjonen.

Hovedforskjellen er at den sertifiserte utgivelsen er verifisert av testlaboratoriet og bekrefter samsvar med kravene gitt i sertifikatet, og inneholder også kontrollsummene gitt i 1C:Enterprise, versjon 8.2z ZPK-skjemaet.

Uregistrert bruker : Vi er en budsjettinstitusjon. Er det en modifikasjon av ZPK "1C:Enterprise 8.2z" spesielt for statsansatte og hvor mye koster versjonen med støtte?

Irina Baimakova : ZPK "1C: Enterprise, versjon 8.2z" - en sertifisert versjon av den teknologiske plattformen 1C: Enterprise 8.2, som kan brukes med alle typiske konfigurasjoner, inkludert for budsjettinstitusjoner (for eksempel "1C: Lønn og personell i en stat institusjon", " 1C: Regnskapsavdelingen til en statlig institusjon").

Prosedyren for salg og oppdatering av ZPK 1C: Enterprise versjon 8.2z" er definert i informasjonsbrevet til selskapet 1C nr. 12891. Du finner det på følgende lenke -http://1c.ru/news/info.jsp ?id=12891

Uregistrert bruker : Kunngjøringen av foredraget og internettkonferansen snakker om de viktigste feilene som ble identifisert av Roskomnadzor under gjennomføringen av kontrolltiltak. Jeg vil gjerne vite mer om dette, hvilke feil oppdages oftest av avdelingen?

Yuri Kontemirov : De mest typiske lovbruddene som avdekkes i løpet av Roskomnadzors kontrollhandlinger, gjenspeiles i årsrapportene som publiseres på avdelingens nettsider.

Uregistrert bruker : Fortell oss om sertifiseringen av ZPK "1C:Enterprise, versjon 8.2z".

Irina Baimakova : Spørsmål om målene, prosedyren, resultatene av sertifiseringen utført av 1C er diskutert i detalj og beskrevet på nettstedet buh.ru, inkludert i artikkelen "Sertifisering av programmer for å overholde personopplysningslovgivningen" om primær sertifisering i 2010 og i artikkelen "Beskyttelse av personopplysninger - fra 2011 til 2013 eller toårige endringer" om sertifiseringen utført i 2013 og fornyelsen av sertifikatet.

Uregistrert bruker : Tror du det er behov for nye tiltak for å forhindre lekkasje av personopplysninger og øke beskyttelsesnivået? Om nødvendig, hva er de?

Yuri Kontemirov : For å forhindre lekkasjer av personopplysninger er en rimelig integrert tilnærming viktig og spesiell oppmerksomhet bør rettes mot den "menneskelige" faktoren.

Uregistrert bruker : Er det fornuftig å bruke slike programvareprodukter for individuelle gründere og små bedrifter?

Irina Baimakova : I henhold til under. 3, paragraf 2 i artikkel 19 i den føderale loven av 27. juli 2006 nr. 152-FZ "Om personopplysninger", er bruken av informasjonssikkerhetsverktøy som har bestått samsvarsvurderingsprosedyren i samsvar med den etablerte prosedyren en av de tiltak for å sikre sikkerheten til personopplysninger under behandlingen av dem.

I henhold til kravene i regjeringsdekret nr. 1119 datert 1. november 2012, er bruk av informasjonssikkerhetsverktøy som har bestått prosedyren for å vurdere samsvar med kravene i lovgivningen i Den russiske føderasjonen innen informasjonssikkerhet obligatorisk når bruk av slike verktøy er nødvendig for å nøytralisere aktuelle trusler. Dermed er det mulig å fastslå behovet eller mangelen på behov for å bruke informasjonsbeskyttelsesverktøy som har bestått samsvarsvurderingen, inkludert 1C:Enterprise versjon 8.2z ZPK, basert på trusselmodellen.

Bruken av ZPK "1C:Enterprise, versjon 8.2z" lar deg oppfylle kravene i gjeldende lovgivning beskrevet ovenfor, samt en rekke krav fastsatt av Order of the FSTEC of Russia datert 18. februar 2013 nr. 21 , til den laveste kostnaden.

Uregistrert bruker : Hva er de negative effektene av et datainnbrudd? For eksempel for individuelle gründere uten ansatte.

Irina Baimakova : Hovedfaren er lekkasje og ulovlig distribusjon av personopplysninger, som kan føre til negative konsekvenser for en person, en invasjon av hans privatliv.

Hvis en individuell gründer ikke har ansatte, og følgelig ikke behandles PD verken av ansatte eller andre individer, er det i dette tilfellet neppe mulig å anta en mulig PD-lekkasje.

Føderal lov nr. 152 "Om personopplysninger" trådte i kraft, på forespørsel som alle personopplysningsoperatører er pålagt å overholde en rekke krav for beskyttelse og lagring av personopplysninger.

Vi leverer tjenester for plassering av informasjonssystemer på 1C for behandling av personopplysninger, i samsvar med 152-FZ. Hva er løsningene 1C for beskyttelse av personopplysninger (ISPD)?

1C har mottatt et samsvarssertifikat nr. 2137 utstedt av FSTEC i Russland, som bekrefter at den sikre programvarepakken (ZPK) "1C:Enterprise, versjon 8.2z" er anerkjent som et generellt programvareverktøy med innebygde midler å beskytte informasjon mot uautorisert tilgang (UAS) til informasjon som ikke inneholder informasjon som utgjør en statshemmelighet.

Basert på resultatene av sertifiseringen ble overholdelse av kravene i retningslinjene for beskyttelse mot uautorisert tilgang - klasse 5 bekreftet, i henhold til kontrollnivået for fravær av uerklærte evner (NDV) på det fjerde kontrollnivået, muligheten for bruker for å lage automatiserte systemer (AS) opp til sikkerhetsklasse 1G (dvs. AS , som sikrer beskyttelse av konfidensiell informasjon i LAN) inkludert, samt for beskyttelse av informasjon i informasjonssystemer for personopplysninger (ISPD) opp til klasse K1 inklusive .

Sertifiserte forekomster av 1C-plattformen er merket med samsvarsmerker fra nr. G 420000 til nr. G 429999.

1CAir tilbyr disse programmene til leie. Hvordan begynne å bruke?

Hvordan lage et system for behandling av personopplysninger på 1C, i samsvar med 152-FZ?

Alle konfigurasjoner utviklet på plattformen "1C:Enterprise 8.2" kan brukes til å lage et informasjonssystem for personopplysninger av enhver klasse, og ytterligere sertifisering av applikasjonsløsninger er ikke nødvendig.

Ytterligere avklaringer ble mottatt fra selskapet "1C":

1. Den føderale loven nr. 152-FZ "Om personopplysninger" i seg selv stiller ingen krav til programvare (som endret i dag).

2. Kravet om behovet for å vurdere samsvar med informasjonssikkerhetsverktøy er inneholdt i paragraf 5 i forskriftene innført ved dekret fra regjeringen i Den russiske føderasjonen av 17. november 2007 N 781 “Om godkjenning av forskriftene om å sikre sikkerheten av personopplysninger under deres behandling i personopplysningssystemer”.

3. Direkte kravene i form av programvare er gitt av Order of the FSTEC of Russia nr. 58. Spesielt er kravene gitt for undersystemer for tilgangskontroll, registrering og regnskap og integritetskontroll. Disse delsystemene er utelukkende knyttet til den teknologiske plattformen, og ikke til konfigurasjoner.

4. Ved gjennomføring av sertifisering var det opprinnelig ment å stille krav til konfigurasjoner (tekniske forhold). På slutten av sertifiseringen nektet imidlertid testlaboratoriet å stille noen konfigurasjonskrav.

Sertifisering (eller annen samsvarsvurdering) av programvareprodukter som ikke er informasjonssikkerhetsverktøy, som inkluderer typiske konfigurasjoner, er derfor ikke gitt av gjeldende lovgivning, eventuelle tekniske betingelser for konfigurasjoner er ikke gitt. Følgelig kan enhver konfigurasjon for denne plattformen brukes med en sikker programvarepakke.

Samtidig, under sertifiseringen, er objektet ikke bare programmer, men hele komplekset av administrative forskrifter og tiltak (sikkerhetskrav, trusselmodell, klassifiseringslover, plan for beskyttelse av personopplysninger, etc.) og hele informasjonssystemet som brukes i organisasjon.
Operatøren av behandlingen av personopplysninger må ta stilling til tildelingen av personopplysningssystemet for den aktuelle klassen.

Til tross for at dataene er lagret utenfor den russiske føderasjonen, gir føderal lov nr. 152-FZ uttrykkelig muligheten for grenseoverskridende dataoverføring, nemlig artikkel 12. behandling av personopplysninger, så vel som andre utenlandske stater som gir tilstrekkelig beskyttelse av rettighetene til personopplysninger, utføres i samsvar med denne føderale loven ...". Personopplysninger lagres kun i datasentre i de europeiske landene som har signert denne konvensjonen, ifølge brevet Kommunikasjons- og massemediedepartementet i den russiske føderasjonen "Om gjennomføring av grenseoverskridende overføring av personopplysninger".
I henhold til artikkel 12, paragraf 3 i lov nr. 152-FZ, sørget vi for at tilstrekkelig beskyttelse av rettighetene til personopplysninger gis før starten av grenseoverskridende overføring av personopplysninger. Dette er fastsatt i vår kontrakt med datasentre, og gjenspeiles i Avtalen med klienten.

For øyeblikket brukes standardplattformen «1C:Enterprise, versjon 8.2″, med databeskyttelseskrav som angitt ovenfor. Derfor er det ved hjelp av 1CAir mulig å bygge informasjonssikkerhetssystemer i persondatainformasjonssystemer (ISPD) opp til klasse K2 inklusive.

Til tross for bruken av 1CAir, forblir organisasjonen din behandlingsansvarlig for behandlingen av dine personopplysninger, og ikke oss. Du lager din egen sikkerhetsmodell og definerer beskyttelsesparametere i henhold til denne modellen. Basert på disse tekniske parameterne kan du finne ut av oss om vi leverer en slik tjeneste (for eksempel kryptering), og lage ønsket system ved hjelp av programmer i 1CAir.

På sidene til bladet har vi gjentatte ganger skrevet om behovet for organisatoriske tiltak i samsvar med føderal lov av 27. juli 2006 nr. 152-FZ "Om personopplysninger". Fra 1. januar 2011 vil denne loven tre i full kraft, og følgelig vil ytterligere ansvar bli tildelt organisasjoner for å sikre beskyttelse av personopplysninger. Blant dem er behovet for å kontrollere fraværet av uerklærte programvarefunksjoner til informasjonssikkerhetsverktøy. I den foreslåtte artikkelen har I.A. Baymakova (metodolog ved 1C) vil svare på spørsmålene som oftest stilles av brukere av 1C-programvareprodukter.

Inntil 1. januar 2011 - datoen for ikrafttredelse av "Personlige data" (heretter - føderal lov nr. 152-FZ), er det ikke mye tid igjen. Flere og flere personopplysningsoperatører, som er nesten alle organisasjoner og gründere, planlegger og implementerer et sett med tiltak for å overholde kravene i denne loven og forskriftsrettslige handlinger.

1) Hvilke regulatoriske rettsakter gir for sertifisering?
2) Hvem trenger å bruke sertifisert programvare og når?
3) Hvem kan sertifisere programvare?
4) Er bruken av et sertifisert program tilstrekkelig for å sikre beskyttelse av personopplysninger?

Sertifisering av programmer for å overholde lovgivning om beskyttelse av personopplysninger

Frem til 1. januar 2011 - datoen for ikrafttredelse av den føderale loven av 27. juli 2006 nr. 152-FZ "Om personopplysninger" (heretter - føderal lov nr. 152-FZ), er det ikke mye tid igjen . Flere og flere personopplysningsoperatører, som er nesten alle organisasjoner og gründere, planlegger og implementerer et sett med tiltak for å overholde kravene i denne loven og forskriftsrettslige handlinger.

Brukere av 1C-programvareprodukter er interessert i om programvareproduktet de bruker er sertifisert. Innenfor rammen av denne artikkelen vil vi svare på dette spørsmålet, men først vil vi prøve å se på problemet litt dypere og vurdere følgende spørsmål:

1) Hvilke regulatoriske rettsakter gir for sertifisering?
2) Hvem trenger å bruke sertifisert programvare og når?
3) Hvem kan sertifisere programvare?
4) Er bruken av et sertifisert program tilstrekkelig for å sikre beskyttelse av personopplysninger?

FSTEC fullførte sertifisering (152-FZ "On Personal Data") av den sikre programvarepakken "1C: Enterprise, 8.2z", som inkluderer et komplett sett med den teknologiske plattformen versjon 8.2 (inkludert med alle typer applikasjonsservere). Samsvarssertifikat nr. 2137 for 10 000 plattformkopier ble oppnådd (gyldig til 20.07.2013). Dette sertifikatet bekrefter at programvarepakken 1C:Enterprise 8.2z er anerkjent som et generellt programvareverktøy med innebygde midler for å beskytte informasjon mot uautorisert tilgang til informasjon som ikke inneholder informasjon som utgjør en statshemmelighet. I henhold til resultatene av sertifiseringen ble overholdelse av kravene i de styrende dokumentene bekreftet:

  • For beskyttelse mot uautorisert tilgang - 5. klasse
  • Etter kontrollnivået for fravær av NDV - etter det fjerde kontrollnivået
  • Muligheten for å bruke for opprettelse av AS opp til klasse 1G inklusive, samt for beskyttelse av informasjon i personopplysningssystemer opp til klasse K1 inklusive, er bekreftet.

Følgende programmer er sertifisert:

  • Beskyttet programvare- og maskinvarekompleks "1C:Enterprise, versjon 8.2z" for samsvar med kravene i retningslinjene for beskyttelse mot uautorisert tilgang - klasse 5. Klassifisering i henhold til kontrollnivået for fravær av NDV i henhold til 4. kontrollnivå, bruk i AU opp til klasse 1G inklusive, samt overholdelse av kravene til informasjonssikkerhetsverktøy som er en del av ISPD, for behandling av personopplysninger opp til klasse K2 inklusive (forventet tidspunkt for å få et sertifikat er januar - februar 2010);
  • Beskyttet programvare- og maskinvarekompleks "1C:Enterprise, versjon 7.7z" for behandling av personopplysninger til og med K3 (forventet dato for mottak av sertifikatet - februar 2010).

Til tross for at loven trer i full kraft først 1. januar 2011, la oss vurdere hva som skjuler seg bak overholdelse av de listede.

Overholdelse av klasse K2 for beskyttelse av personopplysninger

Vær oppmerksom på at følgende krav stilles til klasse K2-systemer i flerbrukertilgangsmodus med forskjellige rettigheter:

  • Identifikasjon og autentisering av en bruker ved pålogging til informasjonssystemsystemet ved hjelp av et semi-permanent passord med en lengde på minst seks alfanumeriske tegn
  • Registrering av brukerinngang (utgang) til systemet (fra systemet) eller registrering av lasting og initialisering av operativsystemet og dets programvareavslutning. Utlogging av systemet eller nedleggelse utføres ikke på tidspunktet for maskinvareavstenging av informasjonssystemet. Registreringsparameterne angir dato og klokkeslett for brukerinngang (avslutt) i systemet (fra systemet) eller oppstart (stopp) av systemet, resultatet av påloggingsforsøket (vellykket eller mislykket), bruker-ID (kode eller etternavn) ) presentert under et tilgangsforsøk
  • Regnskap for alle beskyttede medier ved å merke dem og legge inn legitimasjon i regnskapsloggen med en merknad om utstedelse (mottak)
  • Sikre integriteten til programvaren til beskyttelsessystemet for personopplysninger, behandlet informasjon, samt uforanderligheten til programvaremiljøet. Samtidig kontrolleres integriteten til programvaren når systemet lastes av sjekksummene til komponentene til informasjonssikkerhetsverktøy, og integriteten til programvaremiljøet sikres ved bruk av oversettere fra høynivåspråk og fraværet av verktøy for å endre objektkoden til programmer i prosessen med å behandle og (eller) lagre beskyttet informasjon
  • Fysisk beskyttelse av informasjonssystemet (enheter og lagringsmedier), som sørger for kontroll av tilgang til informasjonssystemets lokaler av uautoriserte personer, tilstedeværelsen av pålitelige barrierer for uautorisert adgang til informasjonssystemets lokaler og lagring av informasjonsmedier
  • Periodisk testing av funksjonene til personopplysningssystemet når programvaremiljøet og brukere av informasjonssystemet endres ved hjelp av testprogrammer som simulerer uautoriserte tilgangsforsøk
  • Tilgjengelighet av gjenopprettingsverktøy for persondatabeskyttelsessystemet, sørger for vedlikehold av to kopier av programvarekomponenter til informasjonsbeskyttelsesverktøy, deres periodiske oppdatering og ytelsesovervåking

For å overholde K2-klassen, implementerte 1C-selskaper i konfigurasjonene basert på 1C:Enterprise 8.2-plattformen muligheten til å registrere en rekke hendelser, som kan konfigureres på fanen Personlig databeskyttelse.

Overholdelse av kravene i retningslinjer for beskyttelse mot uautorisert tilgang til informasjon (klasse 1G)

I tillegg til klasse K2 for beskyttelse av personopplysninger, spesifiserer kravene til UA klasse 1G kravene til tilgangskontroll, regnskap og integritetsdelsystemer. For eksempel:

  • Registrering av tilgangsforsøk fra programvareverktøy (programmer, prosesser, oppgaver, oppgaver) til beskyttede filer
  • Registrering av utstedelse av trykte (grafiske) dokumenter for en "hard" kopi, som indikerer ytterligere registreringsparametere

Overholdelse av kontrollnivået for fravær av uerklærte evner på det fjerde kontrollnivået

Nivå 4 krav inkluderer:

  • Kontroll av sammensetningen og innholdet i dokumentasjonen (beskrivelse av programmet som indikerer kontrollsummene til filene som er inkludert i programvaren, kildekodene til programmene som er inkludert i programvaren)
  • Kontroll av starttilstanden til programvaren (beregning av gjeldende kontrollsummer for programvaren og sammenligning med starttilstanden)
  • Statisk analyse av programkildetekster (kontroll av fullstendighet og mangel på redundans av programvarekildetekster på filnivå, kontroll av overholdelse av programvarekildetekster med oppstartskoden)
  • Dannelse av rapportering på 1.-3

ZPK leveringssett inkluderer:

  • distribusjonssett for den sertifiserte plattformen "1C:Enterprise 8.2z"
  • sjekksumskjema
  • beskyttet produktregistreringskort
  • spesifikasjon
  • søknadsbeskrivelse
  • testdokumentasjon
  • programbeskrivelse
  • en kopi av FSTEC-sertifikatet

Klikk for å forstørre

Du kan kjøpe 8.2z akkurat nå!

Du kan bestille produktet på [e-postbeskyttet]

Levering til kontoret ditt i hvilken som helst by i Russland er gratis for deg på vår regning.

1. juli 2017 trådte endringer i artikkel 13.11 i koden for administrative lovbrudd i Den russiske føderasjonen i kraft, i samsvar med hvilke bøter for brudd på lovgivning innen personopplysninger (PD) ble betydelig økt.

Ved kjøp i nettbutikker legger kjøpere igjen noe informasjon om seg selv – fullt navn, leveringsadresse og annen kontaktinformasjon. Derfor bør eiere av nettbutikker studere dette problemet nøye og sikre overholdelse av kravene i den føderale loven av 27. juli 2006 nr. 152-FZ "Om personopplysninger" når de handler på Internett.

Vi viser deg hvilken kasse fra vår katalog som passer for din bedrift.

Hva gjelder personopplysningene til en enkeltperson som er besøkende i nettbutikken

Personopplysninger er all informasjon som direkte eller indirekte relaterer seg til en bestemt person eller gjør at vedkommende kan identifiseres (klausul 1, artikkel 3 i loven "om personopplysninger" nr. 152-FZ).

I forbindelse med organisering av driften av en nettbutikk, kan personopplysninger i prinsippet til og med inkludere informasjonskapsler – spesielt brukt for å tilpasse produkttilbud til spesifikke brukere. Det er rettspresedenser som bekrefter at slike filer tilskrives personopplysninger – for eksempel avgjørelsen fra Moskva voldgiftsdomstol datert 11. mars 2016 i sak nr. A40-14902 / 2016-84-126 11.

Personopplysninger kan være:

  • Bearbeidet;
  • vanlig;
  • endret;
  • gitt til visse personer (avslørt);
  • fjernet.

Disse handlingene utføres av personopplysningsoperatøren. Det kan være enhver enkeltperson, organisasjon eller statlig eller kommunal myndighet. Inkludert selvfølgelig en nettbutikk – etablert av en enkeltperson (IP) eller eid av en juridisk enhet.

Derfor, som operatør av personopplysninger, er nettbutikken forpliktet til å overholde bestemmelsene i lov nr. 152-FZ. Men i hvilke tilfeller får han en slik status?

For å få status som en personopplysningsoperatør er det nok for en økonomisk enhet å fullføre enhver prosedyre som kjennetegner behandlingen deres, spesielt:

  • samling;
  • ta opp;
  • systematisering;
  • akkumulering;
  • avklaring;
  • applikasjon;
  • Spre.

Det vil si at etter å ha utført minst den første prosedyren - å samle inn data (i praksis - å motta fra klienten gjennom et nettskjema), blir nettbutikken en operatør, og den har forpliktelser til å overholde normene i lov nr. 152- FZ.

Et eget segment av juridiske forhold der overholdelse av lovgivningen om personopplysninger kreves, er samspillet mellom nettbutikken som arbeidsgiver og dens ansatte (som jobber både eksternt og i offline-avdelinger av nettbutikken). Imidlertid utføres slike juridiske forhold generelt innenfor jurisdiksjonen til de juridiske normene som er relevante for samspillet mellom arbeidsgivere og ansatte (eksternt eller offline), uavhengig av hvilken type aktivitet de utfører.

I sin tur utgjør utvekslingen av data mellom nettbutikken og kundene en separat og faktisk unik - når det gjelder anvendelsen av normene i lov nr. 152-FZ, et segment av juridiske forhold der en forretningsenhet har et bredt spekter av rettigheter og plikter i henhold til loven .

La oss vurdere mer detaljert hva slags forpliktelser en nettbutikk må oppfylle i forbindelse med behovet for å overholde normene i lov nr. 152-FZ.

Abonner på kanalen vår i Yandex Zen - Online kasse !
Vær den første til å motta varme nyheter og life hacks!

Hva en nettbutikk må gjøre for å overholde kravene i føderal lov nr. 152-FZ

Hovedplikten til enhver operatør av personopplysninger (og en nettbutikk er intet unntak) er å overholde prosedyren for behandlingen av dem. Hovedbetingelsen for denne prosedyren er å innhente samtykke fra gjenstanden for personopplysninger (det vil si kjøperen) til slik behandling.

Slikt samtykke kan innhentes i enhver pålitelig form (klausul 1, artikkel 9 i lov nr. 152-FZ). Men i tilfeller fastsatt ved lov, kreves slikt samtykke skriftlig - det vil si på papir eller ved bruk av et elektronisk dokument, som er sertifisert av en elektronisk signatur (klausul 4, artikkel 9 i lov nr. 152-FZ).

Kjøp av varer i en nettbutikk tilskrives ikke direkte ved lov til de operasjonene som krever skriftlig samtykke fra gjenstanden for personopplysninger. Derfor er det i prinsippet mulig å innhente et slikt samtykke i enhver form - som imidlertid bør gjøre det mulig å utvetydig bekrefte det faktum at en person har godkjent overføringen av personopplysninger til operatøren.

Den neste plikten til personopplysningsoperatøren er å utføre handlinger rettet mot å realisere de juridiske rettighetene til personopplysninger. Spesielt snakker vi om høyre:

  • å bekrefte faktum om mottak av PD av nettbutikken og begynnelsen av behandlingen deres;
  • å motta informasjon om formål og metoder for behandling av PD;
  • å bli kjent med personene (unntatt personer som jobber i staben til operatøren) som er involvert i behandlingen av PD).

Blant andre viktige plikter til personopplysningsoperatører er det legitimt å inkludere overholdelse av datakonfidensialitet. Hvis klienten til nettbutikken ikke har samtykket til distribusjon av dataene hans til andre personer, har ikke forretningsenheten rett til å gjøre dette - samt ellers utlevere personopplysninger (artikkel 7 i lov nr. 152-FZ). Samtidig, selv om samtykke er innhentet, er nettbutikken selv ansvarlig for handlingene til tredjeparter som mottok personopplysningene til kunden til nettbutikken (klausul 5, artikkel 6 i lov nr. 152-FZ) .

En viktig nyanse som kjennetegner behandlingen av personopplysninger er operatørens forpliktelse til å plassere data på servere i Russland- med mindre annet er bestemt ved lov (klausul 5, artikkel 18 i lov nr. 152-FZ). Russiske nettbutikker faller ikke inn under unntakene, og må derfor overholde lovens spesifiserte norm.

Et eget problem er behovet for at operatøren av personopplysninger skal sende inn en melding om at de blir behandlet til Roskomnadzor - i samsvar med forskriften i paragraf 1 i art. 22 i lov nr. 152-FZ. Generelt er slik melding påkrevd. Men bestemmelsene i paragraf 2 i art. 22 i lov nr. 152-FZ gir et bredt spekter av unntak fra denne regelen.

Spesielt sub. 2 s. 2 art. 22 i lov nr. 152-FZ bestemmer at operatører har rett til ikke å sende inn en melding når de utfører en avtale inngått med gjenstand for personopplysninger og forutsatt at personopplysninger ikke overføres til tredjeparter uten samtykke fra subjektet. Under slike kriterier faller salgskontrakten, inngått mellom butikken og kjøperen, godt. Derfor, i det generelle tilfellet, trenger ikke en nettbutikk å sende inn aktuelle varsler når de samhandler med kunder (men unntak fra denne regelen er mulig - vi vil vurdere dem senere i artikkelen).

Så hovedoppgavene til personopplysningsoperatøren er:

  • for å få samtykke til behandlingen deres;
  • å sikre konfidensialiteten til PD;
  • for å oppfylle andre krav i lovgivningen (om plassering av PD på Russlands territorium, om oppfyllelse av forespørsler fra subjekter av PD om hvordan de brukes).

La oss studere mer detaljert hvordan disse pliktene teknisk kan utføres av en nettbutikk.

Online kasseapparater for alle typer virksomhet! Levering over hele Russland.

Legg igjen en forespørsel og få en konsultasjon innen 5 minutter.

Hvordan få samtykke til behandling av personopplysninger via Internett

Så siden loven ikke fastsetter krav for å innhente skriftlig samtykke til behandling av personopplysninger i forhold til aktivitetene til nettbutikker, kan slikt samtykke innhentes på en hvilken som helst pålitelig måte. Men hva egentlig?

Alternativene her er følgende:

  1. Når en nettbutikk ber om personopplysninger via et bestillingsskjema.

I dette tilfellet kan samtykke til databehandling innhentes ved å sette en betingelse der det kun er mulig å sende ordredata gjennom skjemaet hvis et hakemerke (eller annet skjemaelement som utfører en lignende funksjon) er plassert foran linjen der Ordlyden er skrevet som «Jeg gir samtykke til behandling av personopplysninger som overføres til operatøren gjennom dette skjemaet.

Samtykke inkluderer vanligvis:

  • formålet med å gi dokumentet til operatøren (i tilfelle av en nettbutikk - for levering av varer og andre formål bestemt av salgs- og kjøpsprosedyren);
  • liste over PD overført til operatøren;
  • vilkår og prosedyre for lagring av PD;
  • prosedyren for å overføre PD til visse tredjeparter (for eksempel en vareleveringstjeneste).

Samtidig, ved siden av haken og lenken til samtykket, skal det legges ved en lenke til et spesielt dokument som i detalj forklarer prosedyren for behandling av personopplysninger i nettbutikken i samsvar med lov nr. 152-FZ - Personvern Politikk. Den kan utstedes som vedlegg til bestillingsskjemaet. Beskrivelsen av lenken bør inneholde en formulering som kan høres ut som "Jeg er kjent med vedlegget til dette skjemaet, som gjenspeiler prosedyren for behandling av personopplysninger i samsvar med loven."

Personvernerklæring - et dokument som må være offentlig tilgjengelig. I tillegg kan det betraktes som en del av det lokale regelverket til organisasjonen som etablerer nettbutikken. Ansatte i forretningsenheten bør derfor pålegges å følge den godkjente policyen.

Policyen inkluderer vanligvis:

  • generelle bestemmelser;
  • ordlyd som gjenspeiler målene for innsamling av PD av en økonomisk enhet;
  • bestemmelser om rettsgrunnlaget for innkreving av PD;
  • klassifisering av PD som brukes, prosedyren og betingelsene for å jobbe med dem;
  • prosedyren for å sikre at PD-subjekter utøver rettighetene fastsatt ved lov.

Retningslinjene kan omfatte:

  • hvordan nettbutikken sikrer brukernes rettigheter ved forespørsel om informasjon om behandlingen av PD;
  • hvordan datalagring er organisert (i dette tilfellet kan informasjon gis for å fastslå at servere med PD for kjøpere er lokalisert i Russland).
  1. Når en nettbutikk ber om personopplysninger gjennom et reklameskjema (abonnement på tematisk materiale fra nettstedet - for eksempel hefter med rabatter, kampanjekoder).

Innsamlingen av personopplysninger her kan utføres i henhold til en lignende ordning - ved å bruke et hake ved siden av "Agree" elementet, en samtykkefil og en lenke til personvernerklæringen med en ordlyd som gjenspeiler det faktum at kjøperen av nettbutikken har les policyen.

Blant IT-spesialister og eksperter innen personopplysningslovgivning er det et utbredt synspunkt om at innhenting av en persons samtykke til behandling av personopplysninger bør utføres på en måte som innebærer etablering av "økt pålitelighet" av hans personopplysninger. vil. Den vanlige ordningen med bruk av en avmerkingsboks med samtykke og en lenke til personvernerklæringen vurderes av slike eksperter fra kritiske posisjoner - og, jeg må si, ikke uten grunn, fordi, ifølge eksperter:

  • haken kan festes tilfeldig;
  • det elektroniske skjemaet kan lastes inn med en feil - som et alternativ, uten en lenke til personvernreglene, med fravær av et hake eller ordlyden som følger med den;
  • ved et uhell eller med vilje kan brukeren legge inn andres personopplysninger i skjemaet.

Tatt i betraktning disse nyansene, foreslås det å supplere systemet under vurdering - samtidig som hovedelementene opprettholdes i form av et hakemerke, samtykke og en lenke til personvernreglene, med en mekanisme for å innhente sekundært samtykke. Alternativer for å organisere en slik mekanisme i tilfelle av en nettbutikk kan være:

  1. Obligatorisk brukerregistrering før du foretar et kjøp.

Slik registrering innebærer å fylle ut, faktisk, det samme skjemaet med et hakemerke, samtykke og en lenke til personvernreglene, med påfølgende sending fra nettbutikken til e-posten spesifisert av brukeren av et brev som bekrefter registreringen (og kl. samtidig for å bekrefte faktumet om samtykke til behandling av personopplysninger og kjennskap til personvernreglene).

I dette skjemaet er det ment å angi påloggingsnavnet og passordet som brukeren vil bruke for å logge seg på kontoen sin på nettstedet til nettbutikken.

Hvis brukeren ikke bekrefter registreringen med brev, vil samtykket til behandling av personopplysninger ikke anses som mottatt (men samtidig vil det bli vurdert at brukeren er invitert til å lese personvernreglene).

Den vurderte metoden for å innhente samtykke til behandling av data med "økt pålitelighet" kan brukes av butikken til markedsføringsformål. Gjennom den personlige kontoen til kjøperen kan han bli informert om ulike rabatter og kampanjer, utveksle meldinger med ham og løse andre oppgaver som er spesifikke for samspillet mellom selger og kjøper.

  1. Bekreftelse av egen bestilling på e-post (uten obligatorisk registrering av konto på nettsiden til nettbutikken).

Algoritmen for slik bekreftelse vil i prinsippet være lik den som kjennetegner prosedyren for registrering av en kjøpers konto, bortsett fra bruken av brukerens innlogging og passord. I dette tilfellet vil bekreftelsen faktisk bli gjort med det eneste formål å innhente samtykke til behandling av personopplysninger og bekrefte det faktum at personen har lest tilbudet om å lese personvernerklæringen.

Den neste store oppgaven til nettbutikken er å sikre konfidensialitet av personopplysninger i praksis.

1. Still et spørsmål til spesialisten vår på slutten av artikkelen.
2. Få en detaljert konsultasjon og en fullstendig beskrivelse av nyansene!
3. Eller finn et ferdig svar i kommentarene til våre lesere.

Hvordan kan en nettbutikk sikre konfidensialiteten til PD

I samsvar med paragraf 1 i art. 18.1 i lov nr. 152-FZ må personopplysningsoperatøren treffe tilstrekkelige tiltak for å oppfylle forpliktelsene som følger av loven. Samtidig fastsetter operatøren selvstendig listen over relevante tiltak – med mindre annet følger av lov.

Det er klart at vi først og fremst snakker om tiltak som er utformet for å sikre konfidensialiteten til personopplysninger - det vil si:

  • hindre tilgang til dem av personer som ikke har tillatelse til å lese den aktuelle PD;
  • forebygging av uautorisert bruk, modifikasjon, distribusjon av PD;
  • sikre nødvendig beskyttelse av PD mot ulike cybertrusler, modifikasjon, distribusjon og andre uautoriserte operasjoner med PD på grunn av tekniske feil.

Loven foreslår følgende tiltak for å løse disse problemene:

  1. Utnevnelse av en operatør med status som en juridisk enhet av en ansvarlig ansatt - som organiserer behandlingen av PD i foretaket.
  1. Utvikling av operatøren av lokale forskrifter som regulerer behandlingen av PD i samsvar med lovens krav.
  1. Bruk av tekniske midler for å sikre beskyttelse av PD.
  1. Gjennomføring av internkontroll av prosedyrer innenfor rammen av PD-behandling.
  1. Gjennomføre en vurdering av skader som kan påføres PD-subjekter som følge av brudd på lov om behandling av personopplysninger og eliminere konsekvensene av slike brudd.
  1. Utføre nødvendig arbeid med ansatte for å forbedre deres kunnskap innen personvern.

Etter prinsippet om juridisk analogi, er alle disse reglene også gjeldende for individuelle gründere som selger online. Inkludert - dersom den enkelte gründer jobber selvstendig, uten involvering av ansatte. På den ene eller andre måten kan han ha en stab, og innen den tid bør han ha gjeldende lokale forskrifter som regulerer organiseringen av behandlingen av personopplysninger.

Du bør vite at i samsvar med paragraf 4 i art. 18.1 i lov nr. 152-FZ, kan de dokumentene som en nettbutikk må utstede som en del av implementeringen av instruksjonene og anbefalingene ovenfor, bli forespurt av Roskomnadzor når det gjennomføres en revisjon av en økonomisk enhet.

På en eller annen måte kan tiltak som tar sikte på å sikre at operatøren av personopplysninger oppfyller lovens krav (primært når det gjelder å sikre konfidensialitet av personopplysninger) deles inn i 2 grupper:

  • organisatorisk (i hovedsak og i utgangspunktet lovlig);
  • teknisk.

Organisatoriske (juridiske) tiltak er hovedsakelig knyttet til dokumentarreguleringen av anvendelsen av disse mekanismene for samspillet mellom en nettbutikk (representert av eieren eller hans ansatte) med kjøperen.

Det skal bemerkes at ved implementering av organisatoriske og juridiske tiltak forventes det å utvikle seg

en salgs- og kjøpsavtale (tilbud) mellom butikken og kjøperen, på grunnlag av hvilken samtykke til behandling av personopplysninger gis i annen form enn skriftlig - med hake i bestillingsskjemaet og lenke til personvernet Politikk.

Tekniske tiltak kan presenteres i det bredeste spekteret - la oss vurdere dem mer detaljert.

Teknisk støtte av utstyr. Vi vil løse eventuelle problemer!

Legg igjen en forespørsel og få en konsultasjon innen 5 minutter.

Hva er den tekniske siden av å sikre konfidensialiteten til PD

Hovedkilden til juridiske normer som må følges ved løsning av tekniske problemer for å sikre konfidensialiteten til personopplysninger er bestemmelsene i art. 19 i lov nr. 152-FZ.

Den sier spesielt at å sikre sikkerheten til personopplysninger kan utføres av:

  1. Etablere trusler mot datasikkerhet som en del av deres behandling ved hjelp av informasjonssystemer.

I praksis innebærer implementeringen av et slikt tiltak bruk av ulike antivirus- og komplementære løsninger – som skal implementeres i innholdsstyringssystemet. Slike løsninger er utformet for å oppdage forsøk på automatisk eller manuell uautorisert tilgang fra hackere til personopplysninger samlet inn ved hjelp av bestillingsskjemaer på nettstedet eller lagret på servere administrert av nettbutikken.

  1. Bruk av tekniske midler for å øke nivået av personopplysningssikkerhet.

Først og fremst snakker vi om ulike datakrypteringsverktøy - slik at når de får tilgang til dem, presenteres de i en form der lesing uten påfølgende dekryptering er umulig, forutsatt at selve dekrypteringen må godkjennes av nettbutikken.

  1. Bruk av tekniske midler for å gjenopprette slettede, skadede eller uautoriserte endrede personopplysninger.

Her kan vi snakke om løsninger som brukes for å:

  • duplisering av personopplysninger i tilfelle de fjernes fra det originale mediet (skade eller endring);
  • faktisk gjenoppretting av slettede (skadede eller modifiserte) data fra eksisterende medier.
  1. Bruk av tekniske midler for å avgrense tilgang (bestemme tilgangsnivåer) til personopplysninger avhengig av statusen til personen som har myndighet til å behandle personopplysninger.

Så for eksempel kan lederen av en nettbutikk bare ha tilgang til kontaktinformasjonen til kjøperen (for å kontakte ham ved eventuelle spørsmål), og leveringssjefen kan også ha tilgang til adressen. Eller - den første kan bare ha myndighet til å lese kontakter, og den andre - til å endre dem.

  1. Anvendelse av kontrollsystemer over personer som behandler personopplysninger.

Lokale forskrifter alene er faktisk ikke nok til å sikre konfidensialiteten til personopplysninger – en mekanisme er nødvendig for å kontrollere implementeringen av dem. Løsningene her kan være svært forskjellige - fra selektiv overvåking av handlingene til spesifikke ansatte i en nettbutikk til innføring av verktøy for kontinuerlig trafikkanalyse for uautorisert overføring av personopplysninger.

Hvor sikkert et informasjonssystem skal være for behandling av personopplysninger avgjøres ut fra den potensielle skaden som kan påføres systemet på grunn av påvirkning av trusler som er typiske for det. Listene over slike trusler og kravene til systemsikkerhet, tilsvarende graden av trusler, er definert i dekret fra Russlands regjering datert 1. november 2012 nr. 1119.

La oss vurdere dem mer detaljert.

Hvor sikker bør en nettbutikk være for sikker behandling av PD

For å avgjøre hvilke spesifikke tiltak som er nødvendige for å sikre det nødvendige beskyttelsesnivået for personopplysninger, bør eieren av en nettbutikk bruke tabellen i vedlegget til sammensetning og innhold av organisatoriske og tekniske tiltak, som er godkjent av bestillingsnr. 21.

Vær oppmerksom på at denne listen først og fremst gjelder alle de samme personelle nyansene for å organisere arbeidet til en nettbutikk. Men selv om eieren er en individuell entreprenør som jobber uten ansatte, må han, spesielt for å sikre beskyttelsen av personopplysninger til kjøpere på minst nivå 1:

  • bruke midler for identifikasjon og autentisering av brukere;
  • administrere brukerkontoer;
  • kontrollere tilgangen til serveren som PD-en er plassert på;
  • bruk et antivirus;
  • identifisere hendelser knyttet til uautorisert tilgang til PD.

Selvfølgelig er det fornuftig å delegere en betydelig del av slikt arbeid til en individuell gründer (og en juridisk enhet, selvfølgelig også) til en tredjepartspartner - for eksempel eieren av vertskapet som er vert for nettstedet til online-butikk. Men overføringen av slike fullmakter må være forsvarlig sikret juridisk - ved hjelp av detaljerte avtaler som kompetent avgrenser ansvaret til nettbutikken og dens partner, som sikrer beskyttelse av kjøpers personopplysninger i samsvar med loven.

I praksis har mange av de moderne CMS innholdsstyringssystemene den nødvendige funksjonaliteten for å sikre at driften av nettbutikken oppfyller ovennevnte krav til etablering av sikkerhetsnivåer for behandling av personopplysninger.

Men, selvfølgelig, i mange tilfeller er deres foredling og tillegg nødvendig. Som regel prøver de største leverandørene av løsninger for administrasjon av nettsider og hostingtjenester å tilby sine kunder produkter som best oppfyller kravene i lov nr. 152 og avdelingsstandarder. Men når du velger et bestemt CMS-system, er det alltid en god idé å søke ytterligere ekspertråd om samsvar med lovene om beskyttelse av personopplysninger.

Dette er hovednyansene som karakteriserer oppfyllelsen av en nettbutikk av kravene i lov nr. 152-FZ og dens medfølgende rettsakter når det gjelder samhandling med kjøpere av varer. Slik interaksjon kan imidlertid også gjennomføres i andre juridiske sammenhenger. Spesielt - gjenspeiler oppgjørene mellom butikken og kjøperen ved å bruke en innovativ type CCP

Som vi bemerket i begynnelsen av artikkelen, i henhold til lov nr. 152-FZ, inkluderer personopplysninger all informasjon som direkte eller indirekte kan relateres til en bestemt person (eller identifisere en person). Selvfølgelig kan e-post eller telefon være i det minste indirekte identifikatorer.

Når det gjelder e-post, kan det ha form av [e-postbeskyttet], og hvis en slik e-postadresse lekkes fra databasene til nettbutikken, kan tredjeparter lett forstå at kjøpene i butikken ble gjort av Stepan Petrov, som ble født i 1976 i Moskva og studerer ved University of Massachusetts.

Det er vanskeligere med en telefon – men om ønskelig kan den også telles som en indirekte identifikator. For eksempel kan en person som uautorisert mottok et nummer fra en nettbutikk ringe det og, utgir seg for å være en person fra en budtjeneste, be abonnenten om å oppklare sitt fulle navn og leveringsadresse - men faktisk sende ut en påtrengende reklamepost. .

Til tross for at kjøpere av nettbutikker i henhold til lov nr. 54-FZ, som regulerer bruken av nettbutikker, forlater kontaktene sine for å motta sjekker frivillig, snakker vi altså om overføring av personopplysninger til selgeren.

Betyr dette at operasjoner med slike data vil være underlagt de samme kravene som kjennetegner behandlingen av andre personopplysninger?

Merk at noen av disse kravene fortsatt er relevante. For eksempel må en nettbutikk som betaler gjennom en nettkasse:

  • garantere kjøpere rett til å motta informasjon om behandlingen av PD;
  • sikre datakonfidensialitet;
  • overholde andre krav i lov nr. 152-FZ (spesielt om plassering av PD på russiske servere).

Mest bemerkelsesverdig vil slike krav ikke omfatte innhenting av samtykke til behandling av personopplysninger.

Faktum er at i paragraf 1 i art. 6 i lov nr. 152-FZ lister opp en rekke unntak fra regelen om behovet for å innhente samtykke. Slike unntak inkluderer behandling av data innenfor rammen av utførelsen av operatøren av funksjonene og pliktene som er tildelt ham ved lov. Slike funksjoner og ansvar for en nettbutikk kan legitimt inkludere bestemmelsene i lov nr. 54-FZ - om dannelse av kontantkvitteringer for oppgjør med kunder.

Dermed samtykket til å motta e-post og telefon - som varianter av personopplysninger, er ikke nettbutikken pålagt å be om fra kjøperen.

Det er selvsagt ingen juridiske hindringer for å be kjøpere om samtykke til behandling av personopplysninger som sendes inn på e-post og telefon, samtidig som man ber om samtykke til behandling av andre personopplysninger. Det vil si at i samtykket - som lastes ned ved bekreftelse av bestillingsskjemaet, og i den medfølgende personopplysningspolicyen, kan det gjenspeiles at en del av dataene - e-posten og telefonnummeret til kjøperen, vil bli brukt av nettbutikk for å overholde bestemmelsene i lov nr. 54-FZ. Det vil si - å sende elektroniske kontantkvitteringer til kjøper.

Men denne prosedyren er strengt tatt valgfri fra et lovsynspunkt – selv om den slett ikke er vanskelig.

Samtidig bør selgeren huske på at mottak av personopplysninger for å overholde normene i lov nr. 54-FZ ikke faller inn under unntakene foreskrevet i paragraf 2 i art. 22 i lov nr. 152-FZ - de som gjelder plikten til å informere Roskomnadzor om mottak av personopplysninger. Det er - når du aksepterer betaling online, må en slik melding sendes inn. Byrået, etter å ha mottatt en melding fra nettbutikken, legger den inn i registeret over personopplysningsoperatører.

Meldingen må inneholde:

  1. Navnet på dokumentet er «Melding om behandling av personopplysninger».
  1. Navnet på operatøren, dens juridiske adresse.
  1. Juridisk grunn, formål med databehandling.
  1. Typer behandlede data.
  1. Kategorier av personer som blir gjenstand for personopplysninger.
  1. Databehandlingsmetoder.
  1. Sikkerhetstiltak for databehandling.
  1. Informasjon om plasseringen av serverne som personopplysninger lagres på.
  1. Datoer for oppstart av databehandling.
  1. Vilkår for opphør av databehandling.

Fullt navn og stilling til opphavsmannen til meldingen er angitt. Han legger ned datoen på dokumentet, signerer det.

Dermed pålegger loven eierne av nettbutikker en imponerende mengde forpliktelser. Og sanksjonene for manglende overholdelse er ganske alvorlige. La oss studere dem.

Ansvar og nye bøter

For brudd på kravene i loven om dette spørsmålet, er følgende sanksjoner gitt:

  1. Administrative bøter.

Hovedlisten deres er definert i art. 13.11 i den russiske føderasjonens kode for administrative lovbrudd. Men noen er skrevet ut i de tilsvarende artiklene i koden.

Typiske straffer inkluderer:

  • for behandling av PD uten samtykke fra eieren deres - opptil 20 tusen rubler for tjenestemenn og individuelle gründere, opptil 75 tusen rubler - for juridiske personer (artikkel 13.11 i koden for administrative lovbrudd i Den russiske føderasjonen);
  • for å nekte å gi en person informasjon som han har rett til å bli kjent med ved lov - opptil 10 tusen rubler for tjenestemenn og individuelle gründere (artikkel 5.39 i koden for administrative lovbrudd i Den russiske føderasjonen);
  • for ulovlig (ikke gitt av de utpekte formålene) behandling av personopplysninger - opptil 10 tusen rubler for tjenestemenn og individuelle gründere, opptil 50 tusen rubler for juridiske personer (artikkel 13.11 i koden for administrative lovbrudd i Den russiske føderasjonen);
  • for fravær av en publisert personvernpolicy - opptil 6 tusen rubler for tjenestemenn, for individuelle gründere - opptil 10 tusen rubler, for juridiske personer - opptil 30 tusen rubler (artikkel 13.11 i koden for administrative lovbrudd i Den russiske føderasjonen) ;
  • for å nekte å gjøre en person kjent med informasjon om behandlingen av hans PD - opptil 6 tusen rubler for tjenestemenn, opptil 15 tusen rubler - for individuelle gründere, opptil 40 tusen rubler - for juridiske personer (artikkel 13.11 i administrasjonskoden Den russiske føderasjonens lovbrudd).
  1. Strafferettslig ansvar.

I samsvar med art. 137 i den russiske føderasjonens straffelov kan ulovlig innsamling av personopplysninger som utgjør en borgers personlige hemmelighet føre til en bot på opptil 200 tusen rubler eller utnevnelse av korrigerende arbeid, inhabilitet og fengsel i opptil 2 år .

  1. avgjøres i sivile rettssaker.

Her kan vi snakke om en rekke sanksjoner, men typiske inkluderer:

  • forpliktelsen til å kompensere for tap forårsaket av PD-subjektet som følge av operatørens brudd på bestemmelsene i lov nr. 152-FZ;
  • plikten til å kompensere for den moralske skaden til PD-subjektet.

På en eller annen måte er det mest sannsynlig at hvis en nettbutikk bryter normene i lov nr. 152-FZ, vil administrative sanksjoner bli brukt på den. Samtidig bør det tas i betraktning at de mest alvorlige av dem - spesielt en bot for manglende samtykke til databehandling (opptil 75 tusen rubler) brukes i tilfelle brudd på kravene for å få skriftlig samtykke til behandling av personopplysninger. Hvis det er tillatt å innhente samtykke i hvilken som helst pålitelig form, så hvis slikt samtykke ikke oppnås, pålegges en sanksjon i form av en bot for ulovlig databehandling (opptil 50 tusen rubler).

Det er mulighet for å ilegge en rekke administrative sanksjoner til operatøren. For eksempel:

  • i form av en bot for manglende overholdelse av databeskyttelseskrav - opptil 2 tusen rubler for tjenestemenn og individuelle gründere, opptil 15 tusen rubler - for juridiske personer (artikkel 13.12 i koden for administrative lovbrudd i Den russiske føderasjonen);
  • i form av en bot for unnlatelse av å gi melding til Roskomnadzor - opptil 500 rubler for tjenestemenn og individuelle gründere, opptil 5000 rubler - for juridiske personer (artikkel 19.7 i koden for administrative lovbrudd i Den russiske føderasjonen).

Teoretisk sett er det mulig å blokkere nettsiden til en nettbutikk - ved en rettsavgjørelse. For eksempel hvis han tillater ulovlig publisering av kjøpers personopplysninger uten deres samtykke i kjøpsanmeldelser.

Avhengig av det konkrete bruddet og området for rettsforhold bruddet ble begått i, kan det således iverksettes ulike sanksjoner mot personopplysningsoperatøren.