Przetwarzanie danych osobowych 1s 8. Procedura aktualizacji bezpiecznego pakietu oprogramowania

W dniu 29 maja 2014 r. w Moskwie w 1C: Wykłady (Moskwa, ul. Seleznevskaya 34) odbył się wykład. Nasi czytelnicy, którzy nie mogli uczestniczyć w wykładzie, przesyłali swoje pytania w ramach konferencji internetowej o tej samej nazwie. Podczas wydarzenia Jurij Kontemirow, szef Departamentu Ochrony Praw Osób Danych Osobowych Roskomnadzoru oraz Irina Bajmakowa, ekspert z 1C, odpowiadali na pytania dotyczące ochrony danych osobowych, a także analizowali główne błędy stwierdzone przez Roskomnadzor podczas wdrażania środków kontrolnych.

Użytkownik kot : 1C:Enterprise 8.2z dla małych i średnich przedsiębiorstw. Medycyna, pracownicy państwowi, wojsko...? Dla kogo i po co jest ta platforma? W trybie użytkownika powinno to być zakopane z uprawnieniami. Z połączenia strony trzeciej za pomocą DBMS?

Od 4 lat domyślam się, że jest to zwykłe pompowanie pieniędzy przez analogię do "problemu roku 2000". Przychodząc, uruchomiłeś program na swoim komputerze, coś zrobił, powiedziałeś, że wszystko jest w porządku i dostałeś zapłatę.

Irina Bajmakowa : Wymogi ustawy federalnej „O danych osobowych” mają zastosowanie do wszelkich operatorów danych osobowych, tj. każda organizacja, w której przetwarzane są dane osobowe. Tak, rzeczywiście, wymagania dotyczące ochrony danych osobowych, w zależności od kategorii danych i ich objętości, mogą się znacznie różnić.

: Co jest takiego specjalnego w wersji 8.2z? Dlaczego dane osobowe są w nim chronione i co jest złego w ochronie danych osobowych w innych wersjach ośmiu programów?

Irina Bajmakowa : ZPK „1C:Enterprise, wersja 8.2z” to certyfikowana wersja platformy technologicznej 1C:Enterprise 8.2. Nie ma różnic funkcjonalnych między wersją certyfikowaną a wersją zwykłą. Ulepszenia wprowadzone z uwzględnieniem wymagań FSTEC Rosji są wdrażane zarówno w zwykłej, jak i certyfikowanej wersji platformy technologicznej.

Korzystanie z ZPK „1C:Enterprise, wersja 8.2z” umożliwia spełnienie wymogu określonego w art. 2, art. 19 ustawy federalnej „O danych osobowych” w zakresie obowiązkowego korzystania z narzędzi bezpieczeństwa informacji, które przeszły ocenę zgodności w w odniesieniu do danych osobowych przetwarzanych przy użyciu oprogramowania 1C.

Niezarejestrowany użytkownik : Nie bardzo widzę jak program może stać się panaceum w dziedzinie ochrony danych osobowych. Ale co z osławionym czynnikiem ludzkim? W końcu w programie pracują ludzie.

Irina Bajmakowa : W tym przypadku nie można powiedzieć, że program jest panaceum. Bezpieczny pakiet oprogramowania „1C:Enterprise, wersja 8.2z” jest jednym z „elementów składowych”, które pozwalają zbudować system bezpieczeństwa informacji i zapewnić zgodność z wymogami obowiązującego ustawodawstwa Federacji Rosyjskiej w zakresie danych osobowych ochrona.

Niezarejestrowany użytkownik : Czy zdarzały się przypadki wycieku danych chronionych 1?

Irina Bajmakowa : Nie posiadam takich danych.

Niezarejestrowany użytkownik : Czy 1C ponosi jakąkolwiek odpowiedzialność za utratę i wyciek danych?

Irina Bajmakowa : Odpowiedzialność za utratę danych ponosi operator danych osobowych.

Niezarejestrowany użytkownik : Kto musi używać ZPK „1C:Enterprise, 8.2z”? Co zawiera pakiet ZPK?

Irina Bajmakowa

ZPK „1C:Enterprise, wersja 8.2z” zawiera pakiet dystrybucyjny platformy technologicznej, formularz i dokumentację.

Niezarejestrowany użytkownik : Jakiego innego oprogramowania można użyć do ochrony danych osobowych?

Irina Bajmakowa : Na rynku istnieje znaczna liczba narzędzi do zabezpieczania informacji. Konieczność korzystania z określonego produktu jest uzależniona od zidentyfikowanych aktualnych zagrożeń oraz wymogów ochrony danych osobowych dla danego operatora.

Niezarejestrowany użytkownik : Jakie są główne potencjalne zagrożenia dla danych osobowych, które widzisz? Co dokładnie gwarantuje lub wyklucza ochrona?

Jurij Kontemirow : Głównym niebezpieczeństwem jest wyciek i nielegalne rozpowszechnianie danych osobowych, które może prowadzić do negatywnych konsekwencji dla osoby, naruszenia jej prywatności. Prawdziwą ochronę PD można zagwarantować jedynie przy zintegrowanym podejściu do organizacji ochrony informacji, zwracając szczególną uwagę na czynnik „ludzki”.

Niezarejestrowany użytkownik : Jak często Twoim zdaniem małe firmy mają do czynienia z wyciekiem danych księgowych?

Jurij Kontemirow : Informacji na ten temat niestety nie posiadam.

Niezarejestrowany użytkownik : Dlaczego „1C: Enterprise 8.2z” nazywa się chronionym? Jaka jest jego podstawowa różnica w stosunku do innych produktów?

Irina Bajmakowa : W tym przypadku „chroniony” to nazwa, tj. sprawdzone przez laboratorium badawcze pod kątem braku niezadeklarowanych możliwości i zgodności z innymi wymaganiami określonymi przez FSTEC Rosji.

ZPK „1C:Enterprise, wersja 8.2z” to specjalny produkt zapewniający spełnienie wymagań obowiązujących przepisów dotyczących danych osobowych przez organizacje i przedsiębiorców korzystających z oprogramowania 1C.

Użytkownik Kaufen : Organizacja zakupiła ZPK „1C: Enterprise 8.2z”. Jakie są główne różnice między platformą a 1C:Enterprise 8.2, z wyjątkiem certyfikatu FSTEC? Czy ktoś spotkał się z taką platformą?

Irina Bajmakowa : ZPK „1C: Enterprise, wersja 8.2z” - certyfikowana wersja platformy technologicznej 1C: Enterprise 8.2. Nie ma różnic funkcjonalnych między wersją certyfikowaną a wersją zwykłą.

Główna różnica polega na tym, że certyfikowane zwolnienie jest weryfikowane przez laboratorium badawcze i potwierdza spełnienie wymagań podanych w certyfikacie, a także zawiera sumy kontrolne podane w formularzu 1C:Enterprise, wersja 8.2z ZPK.

Niezarejestrowany użytkownik : Jesteśmy instytucją budżetową. Czy istnieje modyfikacja ZPK „1C:Enterprise 8.2z” specjalnie dla pracowników państwowych i ile kosztuje wersja ze wsparciem?

Irina Bajmakowa : ZPK „1C: Enterprise, wersja 8.2z” - certyfikowana wersja platformy technologicznej 1C: Enterprise 8.2, z której można korzystać w dowolnych typowych konfiguracjach, w tym dla instytucji budżetowych (na przykład „1C: Wynagrodzenie i personel państwa instytucja”, „ 1C: Dział księgowości instytucji państwowej”).

Procedura sprzedaży i aktualizacji ZPK 1C: Enterprise wersja 8.2z” jest zdefiniowana w liście informacyjnym firmy 1C nr 12891. Można go znaleźć pod następującym linkiem -http://1c.ru/news/info.jsp ?id=12891

Niezarejestrowany użytkownik : Zapowiedź wykładu i konferencji internetowej mówi o głównych błędach stwierdzonych przez Roskomnadzor podczas realizacji działań kontrolnych. Chciałbym dowiedzieć się więcej na ten temat, jakie błędy są najczęściej wykrywane przez dział?

Jurij Kontemirow : Najbardziej typowe naruszenia prawa ujawnione w trakcie działań kontrolnych Roskomnadzoru znajdują odzwierciedlenie w corocznych raportach publikowanych na stronie resortu.

Niezarejestrowany użytkownik : Poinformuj nas o certyfikacji ZPK „1C:Enterprise, wersja 8.2z”.

Irina Bajmakowa : Pytania dotyczące celów, procedury, wyników certyfikacji przeprowadzanej przez 1C są szczegółowo omawiane i przedstawiane na stronie internetowej buh.ru, w tym w artykule „Certyfikacja programów w celu zapewnienia zgodności z przepisami o ochronie danych osobowych” na temat podstawowej certyfikacji w 2010 oraz w artykule „Ochrona danych osobowych – od 2011 do 2013 lub zmiany dwuletnie” o przeprowadzonej w 2013 roku certyfikacji i odnowieniu certyfikatu.

Niezarejestrowany użytkownik : Czy uważa Pan/Pani, że potrzebne są nowe środki zapobiegające wyciekom danych osobowych i zwiększające poziom ich ochrony? Jeśli to konieczne, czym one są?

Jurij Kontemirow : Aby zapobiec wyciekom danych osobowych, ważne jest rozsądne zintegrowane podejście, a szczególną uwagę należy zwrócić na czynnik „ludzki”.

Niezarejestrowany użytkownik : Czy korzystanie z takiego oprogramowania dla indywidualnych przedsiębiorców i małych firm ma sens?

Irina Bajmakowa : Zgodnie z ust. 3 ust. 2 art. 19 ustawy federalnej z dnia 27 lipca 2006 r. Nr 152-FZ „O danych osobowych”, jednym ze środków jest stosowanie narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności zgodnie z ustaloną procedurą zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania.

Zgodnie z wymogami Rozporządzenia Rządu nr 1119 z dnia 1 listopada 2012 r., stosowanie narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności z wymogami ustawodawstwa Federacji Rosyjskiej w zakresie bezpieczeństwa informacji, jest obowiązkowe, gdy wykorzystanie takich narzędzi jest niezbędne do neutralizacji obecnych zagrożeń. W ten sposób możliwe jest określenie potrzeby lub braku potrzeby korzystania z narzędzi ochrony informacji, które przeszły ocenę zgodności, w tym 1C:Enterprise wersja 8.2z ZPK, w oparciu o model zagrożeń.

Korzystanie z ZPK „1C:Enterprise, wersja 8.2z” pozwala spełnić wymagania obowiązującego prawodawstwa opisane powyżej, a także szereg wymagań określonych w rozporządzeniu FSTEC Rosji z dnia 18 lutego 2013 r. Nr 21 , po najniższych kosztach.

Niezarejestrowany użytkownik : Jakie są negatywne skutki naruszenia ochrony danych? Na przykład dla indywidualnych przedsiębiorców bez pracowników.

Irina Bajmakowa : Głównym niebezpieczeństwem jest wyciek i nielegalne rozpowszechnianie danych osobowych, które może prowadzić do negatywnych konsekwencji dla osoby, naruszenia jej prywatności.

Jeśli indywidualny przedsiębiorca nie ma pracowników, a zatem PD nie jest przetwarzany ani przez pracowników, ani przez inne osoby, to w takim przypadku trudno jest założyć ewentualny wyciek PD.

Weszła w życie ustawa federalna nr 152 „O danych osobowych”, na żądanie której wszyscy operatorzy danych osobowych są zobowiązani do spełnienia szeregu wymagań dotyczących ochrony i przechowywania danych osobowych.

Świadczymy usługi umieszczania systemów informatycznych na 1C w celu przetwarzania danych osobowych zgodnie z 152-FZ. Jakie są rozwiązania 1C o ochronie danych osobowych (ISPD)?

Firma 1C otrzymała certyfikat zgodności nr 2137 wydany przez FSTEC Rosji, który potwierdza, że ​​bezpieczny pakiet oprogramowania (ZPK) „1C:Enterprise, wersja 8.2z” jest uznawany za narzędzie programowe ogólnego przeznaczenia z wbudowanymi informacjami narzędzia ochrony przed nieautoryzowanym dostępem (UAS) do informacji niezawierających informacji stanowiących tajemnicę państwową.

Zgodnie z wynikami certyfikacji potwierdzono zgodność z wymaganiami wytycznych ochrony przed dostępem osób nieupoważnionych – klasa 5, zgodnie ze stopniem kontroli braku niezgłoszonych zdolności (NDV) na 4 poziomie kontroli możliwość wykorzystanie do tworzenia zautomatyzowanych systemów (AS) do klasy bezpieczeństwa 1G (tj. AS, zapewniających ochronę informacji poufnych w sieci LAN) włącznie, a także do ochrony informacji w systemach informacyjnych danych osobowych (ISPD) do klasy K1 włącznie.

Certyfikowane egzemplarze platformy 1C są oznaczone znakami zgodności od nr G 420000 do nr G 429999.

1CAir oferuje te programy do wynajęcia. Jak zacząć używać?

Jak stworzyć system do przetwarzania danych osobowych na 1C, zgodnie z 152-FZ?

Wszystkie konfiguracje opracowane na platformie 1C:Enterprise 8.2 można wykorzystać do stworzenia systemu informacji o danych osobowych dowolnej klasy, a dodatkowa certyfikacja rozwiązań aplikacyjnych nie jest wymagana.

Dodatkowe wyjaśnienia otrzymano od firmy „1C”:

1. Sama ustawa federalna nr 152-FZ „O danych osobowych” nie nakłada żadnych wymagań na oprogramowanie (z dzisiejszymi zmianami).

2. Wymóg konieczności oceny zgodności narzędzi bezpieczeństwa informacji zawarty jest w paragrafie 5 Regulaminu wprowadzonego Dekretem Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. N 781 „O zatwierdzeniu Regulaminu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informacji o danych osobowych”.

3. Bezpośrednio wymagania w zakresie oprogramowania określa Rozporządzenie FSTEC Rosji nr 58. W szczególności wymagania dotyczą podsystemów kontroli dostępu, rejestracji i rozliczania oraz kontroli integralności. Podsystemy te są związane wyłącznie z platformą technologiczną, a nie z konfiguracjami.

4. Przeprowadzając certyfikację pierwotnie należało określić wymagania dotyczące konfiguracji (warunków technicznych). Jednak pod koniec certyfikacji laboratorium badawcze odmówiło spełnienia jakichkolwiek wymagań konfiguracyjnych.

Zatem certyfikacja (lub inna ocena zgodności) produktów oprogramowania niebędących narzędziami bezpieczeństwa informacji, które obejmują typowe konfiguracje, nie jest przewidziana w obowiązujących przepisach, nie są przewidziane żadne techniczne warunki konfiguracji. W związku z tym każda konfiguracja dla tej platformy może być używana z bezpiecznym pakietem oprogramowania.

Jednocześnie podczas certyfikacji przedmiotem są nie tylko programy, ale cały zespół przepisów i środków administracyjnych (wymagania bezpieczeństwa, model zagrożenia, akty klasyfikacyjne, plan ochrony danych osobowych itp.) oraz cały system informatyczny wykorzystywany w organizacja.
O zaliczeniu systemu danych osobowych do odpowiedniej klasy musi zdecydować podmiot przetwarzający dane osobowe.

Pomimo faktu, że dane są przechowywane poza Federacją Rosyjską, ustawa federalna nr 152-FZ wyraźnie przewiduje możliwość transgranicznego przesyłania danych, a mianowicie art. 12. przetwarzanie danych osobowych, a także innych państw obcych, które zapewniają odpowiednie ochrona praw osób, których dane dotyczą, odbywa się zgodnie z niniejszą ustawą federalną ...”. Dane osobowe są przechowywane w centrach danych tylko w tych krajach europejskich, które podpisały tę Konwencję, zgodnie z pismem Ministerstwo Komunikacji i Środków Masowego Przekazu Federacji Rosyjskiej „O realizacji transgranicznego przekazywania danych osobowych”.
Zgodnie z art. 12 ust. 3 ustawy nr 152-FZ zapewniliśmy odpowiednią ochronę praw osób, których dane dotyczą, przed rozpoczęciem transgranicznego przekazywania danych osobowych. Jest to ustalone w naszej umowie z centrami danych i znajduje odzwierciedlenie w Umowie z klientem.

W tej chwili używana jest standardowa platforma „1C:Enterprise, wersja 8.2”, z wymaganiami dotyczącymi ochrony danych, jak wskazano powyżej. Dlatego z pomocą 1CAir możliwe jest budowanie systemów bezpieczeństwa informacji w systemach informacji o danych osobowych (ISPD) do klasy K2 włącznie.

Pomimo korzystania z 1CAir administratorem przetwarzania Twoich danych osobowych pozostaje Twoja organizacja, a nie my. Tworzysz własny model bezpieczeństwa i zgodnie z tym modelem definiujesz parametry ochrony. Na podstawie tych parametrów technicznych możesz dowiedzieć się od nas, czy świadczymy taką usługę (np. szyfrowanie) i stworzyć pożądany system za pomocą programów w 1CAir.

Na łamach magazynu wielokrotnie pisaliśmy o potrzebie środków organizacyjnych zgodnie z ustawą federalną z dnia 27 lipca 2006 r. Nr 152-FZ „O danych osobowych”. Od 1 stycznia 2011 r. ustawa ta wejdzie w pełni w życie, w związku z czym na organizacje zostaną nałożone dodatkowe obowiązki w celu zapewnienia ochrony danych osobowych. Wśród nich jest potrzeba kontrolowania braku niezadeklarowanych możliwości oprogramowania narzędzi bezpieczeństwa informacji. W proponowanym artykule I.A. Baymakova (metodolog w 1C) odpowie na pytania najczęściej zadawane przez użytkowników oprogramowania 1C.

Do 1 stycznia 2011 r. - daty wejścia w życie „O danych osobowych” (dalej - ustawa federalna nr 152-FZ), pozostało niewiele czasu. Coraz więcej operatorów danych osobowych, którymi są niemal wszystkie organizacje i przedsiębiorcy, planuje i wdraża zestaw działań, aby spełnić wymagania tej ustawy i regulacyjnych aktów prawnych.

1) Jakie regulacyjne akty prawne przewidują certyfikację?
2) Kto i kiedy musi korzystać z certyfikowanego oprogramowania?
3) Kto może certyfikować oprogramowanie?
4) Czy korzystanie z certyfikowanego programu jest wystarczające do zapewnienia ochrony danych osobowych?

Certyfikacja programów pod kątem zgodności z przepisami o ochronie danych osobowych

Do 1 stycznia 2011 r. - data wejścia w życie ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych” (dalej - ustawa federalna nr 152-FZ), pozostało niewiele czasu . Coraz więcej operatorów danych osobowych, którymi są niemal wszystkie organizacje i przedsiębiorcy, planuje i wdraża zestaw działań, aby spełnić wymagania tej ustawy i regulacyjnych aktów prawnych.

Użytkownicy oprogramowania 1C są zainteresowani tym, czy oprogramowanie, którego używają, jest certyfikowane. W ramach tego artykułu odpowiemy na to pytanie, ale najpierw spróbujemy spojrzeć na problem nieco głębiej i rozważyć następujące pytania:

1) Jakie regulacyjne akty prawne przewidują certyfikację?
2) Kto i kiedy musi korzystać z certyfikowanego oprogramowania?
3) Kto może certyfikować oprogramowanie?
4) Czy korzystanie z certyfikowanego programu jest wystarczające do zapewnienia ochrony danych osobowych?

FSTEC zakończył certyfikację (152-FZ „O danych osobowych”) bezpiecznego pakietu oprogramowania „1C:Enterprise, 8.2z”, który obejmuje kompletny zestaw platformy technologicznej w wersji 8.2 (w tym ze wszystkimi typami serwerów aplikacji). Uzyskano Certyfikat Zgodności nr 2137 na 10 000 egzemplarzy platformy (ważny do 20.07.2013). Niniejszy certyfikat potwierdza, że ​​pakiet oprogramowania 1C:Enterprise 8.2z jest uznawany za narzędzie programowe ogólnego przeznaczenia z wbudowanymi środkami ochrony informacji przed nieautoryzowanym dostępem do informacji, które nie zawierają informacji stanowiących tajemnicę państwową. Zgodnie z wynikami certyfikacji potwierdzono zgodność z wymaganiami dokumentów regulujących:

  • Do ochrony przed niepowołanym dostępem - 5 klasa
  • Według poziomu kontroli braku NDV - według 4. poziomu kontroli
  • Potwierdzono możliwość wykorzystania do tworzenia AS do klasy 1G włącznie, a także do ochrony informacji w systemach informatycznych danych osobowych do klasy K1 włącznie.

Następujące programy są certyfikowane:

  • Chroniony kompleks oprogramowania i sprzętu „1C:Enterprise, wersja 8.2z” pod kątem zgodności z wymaganiami wytycznych dotyczących ochrony przed nieautoryzowanym dostępem - klasa 5. Klasyfikacja według poziomu kontroli braku NDV zgodnie z 4. poziomem kontroli, stosowanie w AU do klasy 1G włącznie, a także zgodność z wymaganiami dotyczącymi urządzeń bezpieczeństwa informacji zawartych w ISPD, do przetwarzania dane osobowe do klasy K2 włącznie (przewidywany termin uzyskania zaświadczenia to styczeń – luty 2010 r.);
  • Chroniony kompleks programowo-sprzętowy „1C:Enterprise, wersja 7.7z” do przetwarzania danych osobowych do K3 włącznie (przewidywana data otrzymania certyfikatu – luty 2010).

Pomimo tego, że ustawa wejdzie w pełni w życie dopiero 1 stycznia 2011 r., zastanówmy się, co dokładnie kryje się za przestrzeganiem wymienionych klas ochrony informacji.

Zgodność z klasą K2 ochrony danych osobowych

Należy pamiętać, że na systemy klasy K2 w trybie dostępu wielu użytkowników z różnymi uprawnieniami nakładane są następujące wymagania:

  • Identyfikacja i uwierzytelnienie użytkownika podczas logowania do systemu informatycznego przy pomocy hasła półstałego o długości co najmniej sześciu znaków alfanumerycznych
  • Rejestracja wejścia (wyjścia) użytkownika do systemu (z systemu) lub rejestracja załadowania i inicjalizacji systemu operacyjnego oraz wyłączenia jego oprogramowania. Wylogowanie z systemu lub wyłączenie nie następuje w momencie wyłączenia sprzętowego systemu informatycznego. Parametry rejestracji wskazują datę i godzinę wejścia (wyjścia) użytkownika do systemu (z systemu) lub uruchomienia (zatrzymania) systemu, wynik próby logowania (udanej lub nieudanej), identyfikator użytkownika (hasło lub nazwisko ) prezentowany podczas próby dostępu
  • Rozliczanie wszystkich zabezpieczonych nośników poprzez ich oznaczenie i wpisanie referencji do dziennika rozliczeniowego z adnotacją o ich wydaniu (odbiorze)
  • Zapewnienie integralności oprogramowania systemu ochrony danych osobowych, przetwarzanych informacji, a także niezmienności środowiska oprogramowania. Jednocześnie sprawdzana jest integralność oprogramowania podczas uruchamiania systemu przez sumy kontrolne komponentów narzędzi bezpieczeństwa informacji, a integralność środowiska oprogramowania zapewniana jest przez wykorzystanie tłumaczy z języków wysokiego poziomu i brak narzędzi do modyfikowania kodu obiektowego programów w procesie przetwarzania i (lub) przechowywania chronionych informacji
  • Fizyczna ochrona systemu informatycznego (urządzeń i nośników danych), która zapewnia kontrolę dostępu do pomieszczeń systemu informatycznego przez osoby nieupoważnione, obecność niezawodnych barier uniemożliwiających nieuprawnione wejście do pomieszczeń systemu informatycznego oraz przechowywanie informacji głoska bezdźwięczna
  • Okresowe testowanie funkcji systemu ochrony danych osobowych w przypadku zmiany środowiska programistycznego i użytkowników systemu informatycznego z wykorzystaniem programów testowych symulujących próby nieautoryzowanego dostępu
  • Dostępność narzędzi przywracania systemu ochrony danych osobowych, zapewniająca utrzymanie dwóch kopii komponentów programowych narzędzi ochrony informacji, ich okresową aktualizację oraz monitorowanie wydajności

Aby zachować zgodność z klasą K2, firmy 1C wdrożyły w konfiguracjach opartych na platformie 1C:Enterprise 8.2 możliwość rejestracji szeregu zdarzeń, które można skonfigurować na zakładce Ochrona danych osobowych.

Zgodność z wymaganiami wytycznych dotyczących ochrony przed nieuprawnionym dostępem do informacji (klasa 1G)

Oprócz klasy K2 dla ochrony danych osobowych, wymagania dla UA klasy 1G określają wymagania dla podsystemów kontroli dostępu, rozliczania i integralności. Na przykład:

  • Rejestracja prób dostępu przez narzędzia programowe (programy, procesy, zadania, zadania) do chronionych plików
  • Rejestracja wydania dokumentów drukowanych (graficznych) na egzemplarz „wydrukowany”, ze wskazaniem dodatkowych parametrów rejestracyjnych

Zgodność ze stopniem kontroli braku niezgłoszonych zdolności na 4 poziomie kontroli

Wymagania poziomu 4 obejmują:

  • Kontrola składu i zawartości dokumentacji (opis programu ze wskazaniem sum kontrolnych plików wchodzących w skład oprogramowania, kody źródłowe programów wchodzących w skład oprogramowania)
  • Kontrola stanu początkowego oprogramowania (obliczanie aktualnych sum kontrolnych oprogramowania i porównanie ze stanem początkowym)
  • Analiza statyczna kodów źródłowych programów (kontrola kompletności i braku redundancji kodu źródłowego oprogramowania na poziomie pliku, kontrola zgodności kodu źródłowego oprogramowania z jego kodem startowym)
  • Tworzenie raportów w dniach 1-3

W skład zestawu dostawy ZPK wchodzą:

  • zestaw dystrybucyjny certyfikowanej platformy „1C:Enterprise 8.2z”
  • formularz sumy kontrolnej
  • karta rejestracyjna produktu chronionego
  • specyfikacja
  • opis aplikacji
  • dokumentacja testowa
  • opis programu
  • kopię certyfikatu FSTEC

Kliknij, aby powiększyć

Możesz kupić 8.2z już teraz!

Produkt można zamówić pod adresem [e-mail chroniony]

Dostawa do Twojego biura w dowolnym mieście w Rosji jest dla Ciebie bezpłatna na nasz koszt.

1 lipca 2017 r. Weszły w życie zmiany w art. 13 ust. 11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej, zgodnie z którymi kary za naruszenie przepisów w zakresie danych osobowych (PD) zostały znacznie podwyższone.

Dokonując zakupów w sklepach internetowych, kupujący pozostawiają pewne informacje o sobie - imię i nazwisko, adres dostawy oraz inne dane kontaktowe. Dlatego właściciele sklepów internetowych powinni dokładnie przestudiować tę kwestię i zapewnić zgodność z wymogami ustawy federalnej z dnia 27 lipca 2006 r. Nr 152-FZ „O danych osobowych” podczas handlu w Internecie.

Pokażemy Ci, która kasa z naszego katalogu jest odpowiednia dla Twojej firmy.

Co dotyczy danych osobowych osoby fizycznej odwiedzającej sklep internetowy

Dane osobowe to wszelkie informacje, które bezpośrednio lub pośrednio odnoszą się do konkretnej osoby lub umożliwiają jej identyfikację (klauzula 1, art. 3 ustawy „O danych osobowych” nr 152-FZ).

W kontekście organizacji działania sklepu internetowego do danych osobowych, co do zasady, mogą zaliczać się chociażby pliki cookies – wykorzystywane w szczególności do personalizowania ofert produktowych do określonych użytkowników. Istnieją precedensy sądowe potwierdzające przypisanie takich plików do danych osobowych - na przykład Postanowienie Moskiewskiego Sądu Arbitrażowego z dnia 11 marca 2016 r. w sprawie nr A40-14902 / 2016-84-126 11.

Dane osobowe mogą być:

  • obrobiony;
  • wspólny;
  • zmienione;
  • udostępniane określonym osobom (ujawniane);
  • usunięty.

Czynności te wykonuje operator danych osobowych. Może to być dowolna osoba fizyczna, organizacja lub organ państwowy lub miejski. W tym oczywiście sklep internetowy - założony przez osobę fizyczną (IP) lub będący własnością osoby prawnej.

W związku z tym, stając się operatorem danych osobowych, sklep internetowy jest zobowiązany do przestrzegania przepisów ustawy nr 152-FZ. Ale w jakich przypadkach uzyskuje taki status?

Do uzyskania statusu operatora danych osobowych wystarczy, aby podmiot gospodarczy dopełnił dowolnej procedury charakteryzującej ich przetwarzanie, a w szczególności:

  • kolekcja;
  • nagrywać;
  • systematyzacja;
  • akumulacja;
  • wyjaśnienie;
  • aplikacja;
  • Rozpiętość.

Oznacza to, że po przeprowadzeniu przynajmniej pierwszej procedury - zbierania danych (w praktyce - otrzymania od klienta za pośrednictwem formularza internetowego), sklep internetowy staje się operatorem i ma obowiązki przestrzegania norm ustawy nr 152- F Z.

Odrębnym segmentem stosunków prawnych, w których wymagane jest przestrzeganie przepisów dotyczących danych osobowych, jest interakcja sklepu internetowego jako pracodawcy i jego pracowników (pracujących zarówno zdalnie, jak i w oddziałach offline sklepu internetowego). Jednak takie stosunki prawne na ogół odbywają się w jurysdykcji tych norm prawnych, które są właściwe dla interakcji między pracodawcami a pracownikami (na odległość lub offline), niezależnie od rodzaju prowadzonej przez nich działalności.

Z kolei wymiana danych pomiędzy sklepem internetowym a jego klientami stanowi odrębny i w zasadzie unikalny – z punktu widzenia stosowania norm ustawy nr 152-FZ – segment stosunków prawnych, w których podmiot gospodarczy posiada szeroki zakres praw i obowiązków wynikających z przepisów prawa.

Rozważmy bardziej szczegółowo, jakie obowiązki musi spełnić sklep internetowy w związku z koniecznością przestrzegania norm ustawy nr 152-FZ.

Subskrybuj nasz kanał w Yandex Zen - Kasa internetowa !
Bądź pierwszym, który otrzyma gorące wiadomości i życiowe hacki!

Co musi zrobić sklep internetowy, aby spełnić wymagania ustawy federalnej nr 152-FZ

Głównym obowiązkiem każdego operatora danych osobowych (a sklep internetowy nie jest wyjątkiem) jest przestrzeganie procedury ich przetwarzania. Głównym warunkiem tej procedury jest uzyskanie od podmiotu danych osobowych (tj. kupującego) zgody na takie przetwarzanie.

Zgodę taką można uzyskać w dowolnej wiarygodnej formie (klauzula 1, art. 9 ustawy nr 152-FZ). Jednak w przypadkach przewidzianych przez prawo taka zgoda jest wymagana na piśmie - to znaczy na papierze lub przy użyciu dokumentu elektronicznego, który jest poświadczony podpisem elektronicznym (klauzula 4, art. 9 ustawy nr 152-FZ).

Zakup towarów w sklepie internetowym nie jest bezpośrednio przypisany przez prawo do tych operacji, które wymagają pisemnej zgody podmiotu danych osobowych. Uzyskanie takiej zgody jest zatem możliwe co do zasady w dowolnej formie – co jednak powinno umożliwiać jednoznaczne poświadczenie faktu wyrażenia zgody przez osobę fizyczną na przekazanie danych osobowych operatorowi.

Kolejnym obowiązkiem administratora danych osobowych jest podejmowanie działań zmierzających do realizacji praw osób, których dane dotyczą. W szczególności mówimy o prawie:

  • potwierdzenia faktu otrzymania przez sklep internetowy PD i rozpoczęcia ich przetwarzania;
  • otrzymywania informacji o celach i sposobach przetwarzania PD;
  • w celu zapoznania się z osobami (z wyłączeniem osób pracujących w personelu operatora), które są zaangażowane w przetwarzanie PD).

Wśród innych ważnych obowiązków operatorów danych osobowych zasadne jest uwzględnienie zachowania poufności danych. Jeżeli klient sklepu internetowego nie wyraził zgody na udostępnianie jego danych innym osobom, wówczas podmiot gospodarczy nie jest do tego uprawniony - jak również w inny sposób ujawniać dane osobowe (art. 7 ustawy nr 152-FZ). Jednocześnie, nawet w przypadku uzyskania zgody, sam sklep internetowy odpowiada za działania osób trzecich, które otrzymały dane osobowe klienta sklepu internetowego (klauzula 5, art. 6 ustawy nr 152-FZ) .

Ważnym niuansem charakteryzującym przetwarzanie danych osobowych jest obowiązek operatora umieszczania danych na serwerach zlokalizowanych w Rosji- o ile przepisy prawa nie stanowią inaczej (klauzula 5, art. 18 ustawy nr 152-FZ). Rosyjskie sklepy internetowe nie podlegają wyjątkom i dlatego muszą przestrzegać określonej normy prawnej.

Osobną kwestią jest konieczność zgłoszenia przez operatora danych osobowych do Roskomnadzoru zawiadomienia o ich przetwarzaniu – zgodnie z przepisem ust. 1 art. 22 ustawy nr 152-FZ. Zasadniczo takie powiadomienie jest wymagane. Ale przepisy ust. 2 art. 22 ustawy nr 152-FZ przewiduje szeroki zakres wyjątków od tej zasady.

W szczególności pod. 2 pkt 2 art. 22 ustawy nr 152-FZ stanowi, że operatorzy mają prawo do niezłożenia powiadomienia przy wykonywaniu umowy zawartej z podmiotem danych osobowych i pod warunkiem, że dane osobowe nie są przekazywane osobom trzecim bez zgody podmiotu. Przy takich kryteriach dobrze wypada umowa sprzedaży zawarta pomiędzy sklepem a kupującym. Dlatego w ogólnym przypadku sklep internetowy nie musi podczas interakcji z klientami przesyłać przedmiotowych powiadomień (ale możliwe są wyjątki od tej reguły – omówimy je w dalszej części artykułu).

Zatem do głównych obowiązków operatora danych osobowych należy:

  • uzyskania zgody na ich przetwarzanie;
  • w celu zapewnienia poufności PD;
  • w celu spełnienia innych wymagań ustawodawstwa (w sprawie umieszczenia PD na terytorium Rosji, w sprawie spełnienia próśb podmiotów PD dotyczących sposobu ich wykorzystania).

Przyjrzyjmy się bardziej szczegółowo, w jaki sposób te obowiązki mogą być technicznie wykonywane przez sklep internetowy.

Kasy fiskalne online dla każdego rodzaju działalności! Dostawa na terenie całej Rosji.

Zostaw prośbę i uzyskaj konsultację w ciągu 5 minut.

Jak uzyskać zgodę na przetwarzanie danych osobowych przez Internet

Skoro więc prawo nie określa wymogów uzyskania pisemnej zgody na przetwarzanie danych osobowych w związku z działalnością sklepów internetowych, to taką zgodę można uzyskać w dowolny wiarygodny sposób. Ale co dokładnie?

Dostępne są następujące opcje:

  1. Gdy sklep internetowy żąda podania danych osobowych za pośrednictwem formularza zamówienia.

W takim przypadku zgodę na przetwarzanie danych można uzyskać poprzez ustawienie warunku, pod którym przesłanie danych zamówienia przez formularz jest możliwe tylko w przypadku umieszczenia haczyka (lub innego elementu formularza pełniącego podobną funkcję) przed wierszem, w którym treść jest napisana w stylu „Wyrażam zgodę na przetwarzanie danych osobowych przekazanych operatorowi za pośrednictwem tego formularza.

Zgoda zazwyczaj obejmuje:

  • celu dostarczenia dokumentu operatorowi (w przypadku sklepu internetowego – w celu dostarczenia towaru oraz innych celów określonych procedurą sprzedaży i zakupu);
  • lista PD przekazanych operatorowi;
  • warunki i tryb przechowywania PD;
  • procedura przekazywania PD niektórym stronom trzecim (na przykład usługa dostawy towarów).

Jednocześnie obok zaznaczenia i linku do Zgody należy dołączyć link do specjalnego dokumentu, który szczegółowo wyjaśnia procedurę przetwarzania danych osobowych przez sklep internetowy zgodnie z ustawą nr 152-FZ – Prywatność Polityka. Może być wystawiony jako załącznik do formularza zamówienia. W opisie linku powinno znaleźć się sformułowanie, które może brzmieć: „Zapoznałem się z załącznikiem do niniejszego formularza, który odzwierciedla procedurę przetwarzania danych osobowych zgodnie z przepisami prawa”.

Polityka Prywatności – dokument, który musi być publicznie dostępny. Ponadto można to uznać za część lokalnych ram regulacyjnych organizacji, która zakłada sklep internetowy. Pracownicy podmiotu gospodarczego powinni być zatem zobowiązani do przestrzegania zatwierdzonej Polityki.

Polisa zazwyczaj obejmuje:

  • Postanowienia ogólne;
  • sformułowania odzwierciedlające cele zbierania PD przez podmiot gospodarczy;
  • przepisy dotyczące podstaw prawnych zbierania PD;
  • klasyfikacja zastosowanego PD, procedura i warunki pracy z nimi;
  • tryb zapewnienia realizacji przez podmioty PD praw określonych ustawą.

Polityka może obejmować:

  • w jaki sposób sklep internetowy zapewnia prawa użytkowników do żądania informacji o przetwarzaniu PD;
  • jak zorganizowane jest przechowywanie danych (w tym przypadku można podać informacje w celu ustalenia faktu, że serwery z PD kupujących znajdują się w Rosji).
  1. Gdy sklep internetowy żąda podania danych osobowych za pośrednictwem formularza mailingu reklamowego (subskrypcje materiałów tematycznych z serwisu – np. książeczki ze zniżkami, kody promocyjne).

Zbieranie danych osobowych tutaj może odbywać się w podobny sposób – poprzez zaznaczenie obok pozycji „Zgadzam się”, plik Zgody oraz link do Polityki Prywatności z treścią odzwierciedlającą fakt, że kupujący sklepu internetowego przeczytaj Politykę.

Wśród informatyków i ekspertów z zakresu legislacji danych osobowych panuje powszechny pogląd, że uzyskanie zgody osoby na przetwarzanie danych osobowych powinno odbywać się w trybie implikującym ustanowienie „zwiększonej wiarygodności” jej będzie. Powszechny schemat z wykorzystaniem checkboxa ze Zgodą i linkiem do Polityki Prywatności jest rozważany przez takich ekspertów z krytycznych stanowisk – i muszę powiedzieć nie bez powodu, bo zdaniem ekspertów:

  • kleszcza można umieścić losowo;
  • formularz online może załadować się z błędem - opcjonalnie bez linku do Polityki Prywatności, z brakiem zaznaczenia lub towarzyszącego mu sformułowania;
  • przypadkowo lub celowo użytkownik może wprowadzić w formularzu dane osobowe innych osób.

Biorąc pod uwagę te niuanse proponuje się uzupełnienie rozpatrywanego systemu – przy zachowaniu jego głównych elementów w postaci zaznaczenia, Zgody oraz linku do Polityki Prywatności, o mechanizm uzyskiwania zgody wtórnej. Opcje zorganizowania takiego mechanizmu w przypadku sklepu internetowego mogą być następujące:

  1. Obowiązkowa rejestracja użytkownika przed dokonaniem zakupu.

Taka rejestracja polega de facto na wypełnieniu tego samego formularza z zaznaczeniem, Zgodą i linkiem do Polityki Prywatności, a następnie wysłaniem przez sklep internetowy na podany przez użytkownika adres e-mail listu potwierdzającego rejestrację (oraz co jednocześnie do poświadczenia faktu wyrażenia zgody na przetwarzanie danych osobowych i zapoznania się z Polityką Prywatności).

W formularzu tym należy wskazać login i hasło, którymi użytkownik będzie się następnie logował do swojego konta na stronie sklepu internetowego.

Jeżeli użytkownik nie potwierdzi rejestracji listownie, wówczas zgody na przetwarzanie danych osobowych nie uważa się za otrzymaną (ale jednocześnie uznaje się, że użytkownik został zaproszony do zapoznania się z Polityką Prywatności).

Rozważany sposób uzyskiwania zgody na przetwarzanie danych o „zwiększonej wiarygodności” może być wykorzystywany przez sklep w celach marketingowych. Za pośrednictwem osobistego konta kupującego może on być informowany o różnych zniżkach i promocjach, wymieniać z nim wiadomości i rozwiązywać inne zadania specyficzne dla interakcji między sprzedającym a kupującym.

  1. Potwierdzenie odrębnego zamówienia drogą mailową (bez obowiązkowej rejestracji konta na stronie sklepu internetowego).

Algorytm takiego potwierdzenia będzie co do zasady podobny do tego, który charakteryzuje procedurę rejestracji konta kupującego, z wyjątkiem użycia loginu i hasła użytkownika. W takim przypadku potwierdzenie zostanie dokonane de facto wyłącznie w celu uzyskania zgody na przetwarzanie danych osobowych oraz poświadczenia, że ​​dana osoba zapoznała się z propozycją zapoznania się z Polityką Prywatności.

Kolejnym zakrojonym na szeroką skalę zadaniem sklepu internetowego jest zapewnienie w praktyce poufności danych osobowych.

1. Zadaj pytanie naszemu specjaliście na końcu artykułu.
2. Uzyskaj szczegółową konsultację i pełny opis niuansów!
3. Lub znajdź gotową odpowiedź w komentarzach naszych czytelników.

W jaki sposób sklep internetowy może zapewnić poufność PD

Zgodnie z ust. 1 art. 18.1 ustawy nr 152-FZ, operator danych osobowych musi podjąć środki wystarczające do wypełnienia obowiązków przewidzianych przez prawo. Jednocześnie operator samodzielnie określa wykaz odpowiednich środków – chyba że przepisy prawa stanowią inaczej.

Mowa oczywiście przede wszystkim o środkach, które mają zapewnić poufność danych osobowych – czyli:

  • uniemożliwienie dostępu do nich osobom nieposiadającym uprawnień do zapoznania się z odpowiednim PD;
  • zapobieganie nieautoryzowanemu użyciu, modyfikacji, dystrybucji PD;
  • zapewnienie niezbędnej ochrony PD przed różnymi cyberzagrożeniami, modyfikacjami, dystrybucją i innymi nieautoryzowanymi operacjami z PD z powodu awarii technicznych.

Ustawa proponuje następujące środki mające na celu rozwiązanie tych problemów:

  1. Wyznaczenie przez operatora posiadającego status osoby prawnej odpowiedzialnego pracownika - który organizuje przetwarzanie PD w przedsiębiorstwie.
  1. Opracowanie przez operatora lokalnych przepisów regulujących przetwarzanie PD zgodnie z wymogami prawa.
  1. Stosowanie środków technicznych zapewniających ochronę PD.
  1. Przeprowadzanie kontroli wewnętrznej procedur w ramach przetwarzania PD.
  1. Przeprowadzenie oceny szkody, jaka może zostać wyrządzona podmiotom PD w wyniku naruszenia przepisów prawa o przetwarzaniu danych osobowych oraz wyeliminowanie skutków takich naruszeń.
  1. Prowadzenie niezbędnych prac z pracownikami w celu podnoszenia ich wiedzy z zakresu ochrony danych osobowych.

Zgodnie z zasadą analogii prawnej wszystkie te zasady mają również zastosowanie do indywidualnych przedsiębiorców prowadzących sprzedaż internetową. W tym - jeśli indywidualny przedsiębiorca działa samodzielnie, bez udziału pracowników. Potencjalnie, tak czy inaczej, może dysponować kadrą, a do tego czasu powinien mieć aktualne lokalne przepisy regulujące organizację przetwarzania danych osobowych.

Powinieneś wiedzieć, że zgodnie z ust. 4 art. 18 ust. 1 ustawy nr 152-FZ, dokumenty, które sklep internetowy musi wydać w ramach realizacji powyższych instrukcji i zaleceń, mogą zażądać Roskomnadzor podczas przeprowadzania audytu podmiotu gospodarczego.

Tak czy inaczej środki mające na celu zapewnienie, że operator danych osobowych spełnia wymogi prawa (przede wszystkim w zakresie zapewnienia poufności danych osobowych) można podzielić na 2 grupy:

  • organizacyjny (merytorycznie i zasadniczo prawny);
  • techniczny.

Działania organizacyjne (prawne) dotyczą głównie dokumentacyjnego uregulowania stosowania tych mechanizmów do interakcji sklepu internetowego (reprezentowanego przez właściciela lub jego pracowników) z kupującym.

Należy zauważyć, że przy wdrażaniu działań organizacyjno-prawnych przewiduje się jej rozwój

umowa kupna-sprzedaży (oferta) pomiędzy sklepem a kupującym, na podstawie której wydawana jest zgoda na przetwarzanie danych osobowych w innej niż pisemna formie – z zaznaczeniem w formularzu zamówienia i linkiem do Polityki Prywatności Polityka.

Środki techniczne można przedstawić w najszerszym zakresie - rozważmy je bardziej szczegółowo.

Wsparcie techniczne sprzętu. Rozwiążemy wszelkie problemy!

Zostaw prośbę i uzyskaj konsultację w ciągu 5 minut.

Jaka jest techniczna strona zapewnienia poufności PD

Głównym źródłem norm prawnych, którymi należy się kierować przy rozwiązywaniu problemów technicznych w celu zapewnienia poufności danych osobowych są przepisy art. 19 ustawy nr 152-FZ.

Mówi w szczególności, że zapewnienie bezpieczeństwa danych osobowych może być realizowane przez:

  1. Stwierdzanie zagrożeń dla bezpieczeństwa danych w ramach ich przetwarzania z wykorzystaniem systemów informatycznych.

W praktyce wdrożenie takiego środka wiąże się z wykorzystaniem różnych rozwiązań antywirusowych i komplementarnych – które mają być zaimplementowane w systemie zarządzania treścią. Rozwiązania takie mają na celu wczesne wykrywanie prób automatycznego lub ręcznego nieautoryzowanego dostępu przez hakerów do danych osobowych gromadzonych za pomocą formularzy zamówień w serwisie lub przechowywanych na serwerach administrowanych przez sklep internetowy.

  1. Stosowanie środków technicznych zwiększających poziom bezpieczeństwa danych osobowych.

Przede wszystkim mówimy o różnych narzędziach do szyfrowania danych – tak, aby przy dostępie do nich były prezentowane w formie, w której ich odczyt bez późniejszego odszyfrowania jest niemożliwy, pod warunkiem, że samo odszyfrowanie musi zostać autoryzowane przez sklep internetowy.

  1. Wykorzystanie środków technicznych do odzyskania usuniętych, uszkodzonych lub nieuprawnionych zmian danych osobowych.

Tutaj możemy mówić o rozwiązaniach, które stosuje się w celu:

  • powielanie danych osobowych w przypadku ich usunięcia z oryginalnego nośnika (uszkodzenie lub modyfikacja);
  • właściwie odzyskiwanie usuniętych (uszkodzonych lub zmodyfikowanych) danych z istniejących nośników.
  1. Stosowanie środków technicznych do ograniczania dostępu (określania poziomów dostępu) do danych osobowych w zależności od statusu osoby uprawnionej do przetwarzania danych osobowych.

I tak np. kierownik sklepu internetowego może mieć dostęp tylko do danych kontaktowych kupującego (w celu skontaktowania się z nim w razie jakichkolwiek pytań), a kierownik dostawy może mieć również dostęp do adresu. Albo - pierwszy może mieć uprawnienia tylko do odczytu kontaktów, a drugi do ich zmiany.

  1. Stosowanie systemów kontroli osób przetwarzających dane osobowe.

Rzeczywiście, same lokalne przepisy nie wystarczą, aby zapewnić poufność danych osobowych – potrzebny jest mechanizm kontrolujący ich realizację. Rozwiązania mogą być tutaj bardzo różne – od wybiórczego monitorowania działań konkretnych pracowników sklepu internetowego po wprowadzenie narzędzi do ciągłej analizy ruchu pod kątem nieautoryzowanego przekazywania danych osobowych.

To, jak bezpieczny powinien być system informatyczny do przetwarzania danych osobowych, określa się na podstawie potencjalnej szkody, jaką system może wyrządzić pod wpływem typowych dla niego zagrożeń. Listy takich zagrożeń oraz wymagania dotyczące bezpieczeństwa systemu, odpowiadające stopniowi zagrożeń, określa Dekret Rządu Rosji z dnia 1 listopada 2012 r. Nr 1119.

Rozważmy je bardziej szczegółowo.

Jak bezpieczny powinien być sklep internetowy do bezpiecznego przetwarzania PD

Właściciel sklepu internetowego w celu ustalenia, jakie konkretne środki są potrzebne do zapewnienia niezbędnego poziomu ochrony danych osobowych, powinien skorzystać z tabeli znajdującej się w Załączniku do Składu i Treści Środków Organizacyjnych i Technicznych, którą zatwierdza Zarządzeniem Nr 21.

Zwróć uwagę, że ta lista dotyczy przede wszystkim tych samych niuansów personalnych organizacji pracy sklepu internetowego. Ale nawet jeśli jego właścicielem jest indywidualny przedsiębiorca pracujący bez personelu, to w szczególności, aby zapewnić ochronę danych osobowych kupujących co najmniej na poziomie 1, będzie musiał:

  • stosować środki identyfikacji i uwierzytelniania użytkowników;
  • zarządzać kontami użytkowników;
  • kontrolować dostęp do serwera, na którym znajduje się PD;
  • użyj programu antywirusowego;
  • identyfikować incydenty związane z nieautoryzowanym dostępem do PD.

Oczywiście sensowne jest przekazanie znacznej części takiej pracy indywidualnemu przedsiębiorcy (oczywiście osobie prawnej) partnerowi zewnętrznemu - na przykład właścicielowi hostingu, na którym znajduje się strona internetowa firmy sklep internetowy. Jednak przekazanie takich uprawnień musi być odpowiednio zabezpieczone prawnie – za pomocą szczegółowych umów, które kompetentnie określają odpowiedzialność sklepu internetowego i jego partnera, co zapewnia ochronę danych osobowych kupujących zgodnie z przepisami prawa.

W praktyce wiele nowoczesnych systemów zarządzania treścią CMS posiada niezbędną funkcjonalność, aby działanie sklepu internetowego spełniało powyższe wymagania w zakresie ustanowienia poziomów bezpieczeństwa przetwarzania danych osobowych.

Ale oczywiście w wielu przypadkach wymagane jest ich udoskonalenie i dodanie. Z reguły najwięksi dostawcy rozwiązań do zarządzania stronami i usługami hostingowymi starają się oferować swoim klientom produkty, które najlepiej odpowiadają charakterystyce wymagań ustanowionych ustawą nr 152 i normami resortowymi. Jednak przy wyborze konkretnego systemu CMS zawsze warto zasięgnąć dodatkowej porady eksperta w zakresie jego zgodności z przepisami o ochronie danych osobowych.

Są to główne niuanse charakteryzujące spełnienie przez sklep internetowy wymagań ustawy nr 152-FZ i towarzyszących jej aktów prawnych w zakresie interakcji z nabywcami towarów. Jednak taka interakcja może mieć miejsce również w innych kontekstach prawnych. W szczególności – odzwierciedlające rozliczenia między sklepem a kupującym za pomocą innowacyjnego typu CCP

Jak zauważyliśmy na początku artykułu, zgodnie z ustawą nr 152-FZ dane osobowe obejmują wszelkie informacje, które mogą bezpośrednio lub pośrednio odnosić się do konkretnej osoby (lub identyfikować osobę). Oczywiście e-mail czy telefon mogą być co najmniej pośrednimi identyfikatorami.

Jeśli chodzi o e-mail, może on przybrać formę [e-mail chroniony], a jeśli taki adres e-mail wycieknie z baz danych sklepu internetowego, osoby trzecie mogą łatwo zrozumieć, że Stepan Petrov, urodzony w 1976 roku w Moskwie i studiujący na Uniwersytecie Massachusetts, dokonywał zakupów w sklepie.

Z telefonem jest trudniej – ale w razie potrzeby można go zaliczyć również jako identyfikator pośredni. Na przykład osoba, która nieautoryzowana otrzymała numer ze sklepu internetowego, może do niego zadzwonić i udając osobę z firmy kurierskiej, poprosić abonenta o wyjaśnienie jego imienia i nazwiska oraz adresu dostawy – ale w rzeczywistości o wystawienie natrętnej korespondencji reklamowej .

Tak więc, pomimo faktu, że zgodnie z ustawą nr 54-FZ, która reguluje korzystanie z kas fiskalnych online, kupujący sklepy internetowe dobrowolnie opuszczają swoje kontakty w celu otrzymania czeków, mówimy o przekazywaniu danych osobowych sprzedawcy.

Czy to oznacza, że ​​operacje z takimi danymi będą podlegać tym samym wymogom, które charakteryzują przetwarzanie innych danych osobowych?

Należy zauważyć, że niektóre z tych wymagań pozostają aktualne. Na przykład sklep internetowy, który płaci za pośrednictwem kasy online, musi:

  • zagwarantować kupującym prawo do otrzymywania informacji o przetwarzaniu PD;
  • zapewnić poufność danych;
  • przestrzegać innych wymagań ustawy nr 152-FZ (w szczególności w sprawie umieszczania PD na rosyjskich serwerach).

Przede wszystkim wymogi takie nie będą obejmowały uzyskania zgody na przetwarzanie danych osobowych.

Faktem jest, że w ust. 1 art. 6 ustawy nr 152-FZ wymienia szereg wyjątków od zasady dotyczącej konieczności uzyskania zgody. Wyjątki takie obejmują przetwarzanie danych w ramach wykonywania przez operatora funkcji i obowiązków powierzonych mu przez przepisy prawa. Takie funkcje i obowiązki sklepu internetowego mogą zgodnie z prawem obejmować przepisy ustawy nr 54-FZ - o tworzeniu pokwitowań gotówkowych do rozliczeń z klientami.

Tym samym zgody na otrzymywanie wiadomości e-mail i telefonu – jako odmiany danych osobowych, sklep internetowy nie ma obowiązku żądać od kupującego.

Oczywiście nie ma przeszkód prawnych, aby prosić kupujących o zgodę na przetwarzanie danych osobowych przekazywanych drogą mailową i telefoniczną, jednocześnie z prośbą o wyrażenie zgody na przetwarzanie innych danych osobowych. Oznacza to, że w Zgodzie – pobieranej podczas potwierdzania formularza zamówienia oraz w towarzyszącej jej Polityce Danych Osobowych może być odzwierciedlone, że część danych – e-mail i numer telefonu kupującego, będą wykorzystywane przez sklepu internetowego w celu zachowania zgodności z przepisami ustawy nr 54-FZ. To znaczy - aby wysłać kupującemu elektroniczne pokwitowania gotówkowe.

Ale ta procedura, ściśle mówiąc, jest fakultatywna z punktu widzenia legislacji - choć wcale nie jest trudna.

Jednocześnie sprzedawca powinien pamiętać, że otrzymanie danych osobowych w celu zachowania zgodności z normami ustawy nr 54-FZ nie podlega wyjątkom określonym w ust. 2 art. 22 ustawy nr 152-FZ - te, które dotyczą obowiązku poinformowania Roskomnadzoru o otrzymaniu danych osobowych. To znaczy - w przypadku przyjmowania płatności online takie powiadomienie będzie wymagane. Agencja po otrzymaniu zgłoszenia od sklepu internetowego dokonuje wpisu do rejestru operatorów danych osobowych.

Zawiadomienie musi zawierać:

  1. Dokument nosi nazwę „Informacja o przetwarzaniu danych osobowych”.
  1. Nazwa operatora, jego adres prawny.
  1. Podstawa prawna, cele przetwarzania danych.
  1. Rodzaje przetwarzanych danych.
  1. Kategorie osób, które stają się podmiotami danych osobowych.
  1. Metody przetwarzania danych.
  1. Środki bezpieczeństwa przetwarzania danych.
  1. Informacje o lokalizacji serwerów, na których przechowywane są dane osobowe.
  1. Daty rozpoczęcia przetwarzania danych.
  1. Warunki zaprzestania przetwarzania danych.

Podaje się pełne imię i nazwisko oraz stanowisko nadawcy zawiadomienia. Zapisuje datę dokumentu, podpisuje go.

Tym samym ustawa nakłada na właścicieli sklepów internetowych imponującą ilość obowiązków. A sankcje za nieprzestrzeganie przepisów są dość poważne. Przestudiujmy je.

Odpowiedzialność i nowe kary

Za naruszenie wymogów prawa w tej kwestii przewidziane są następujące sankcje:

  1. Kary administracyjne.

Ich główny wykaz określa art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej. Ale niektóre są określone w odpowiednich artykułach Kodeksu.

Typowe kary obejmują:

  • za przetwarzanie PD bez zgody ich właściciela - do 20 tysięcy rubli dla urzędników i indywidualnych przedsiębiorców, do 75 tysięcy rubli - dla osób prawnych (art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej);
  • za odmowę udzielenia osobie informacji, z którymi ma prawo zapoznać się z prawem - do 10 tysięcy rubli dla urzędników i indywidualnych przedsiębiorców (art. 5.39 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej);
  • za nielegalne (nieprzewidziane w wyznaczonych celach) przetwarzanie danych osobowych - do 10 tysięcy rubli dla urzędników i indywidualnych przedsiębiorców, do 50 tysięcy rubli dla osób prawnych (art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej);
  • za brak opublikowanej Polityki prywatności - do 6 tysięcy rubli dla urzędników, dla indywidualnych przedsiębiorców - do 10 tysięcy rubli, dla osób prawnych - do 30 tysięcy rubli (art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej) ;
  • za odmowę zapoznania osoby fizycznej z informacjami o przetwarzaniu jej PD - do 6 tysięcy rubli dla urzędników, do 15 tysięcy rubli - dla indywidualnych przedsiębiorców, do 40 tysięcy rubli - dla osób prawnych (art. 13.11 Kodeksu administracyjnego przestępstwa Federacji Rosyjskiej).
  1. Odpowiedzialność karna.

Zgodnie z art. 137 Kodeksu karnego Federacji Rosyjskiej nielegalne gromadzenie danych osobowych stanowiących tajemnicę osobistą obywatela może prowadzić do grzywny do 200 tysięcy rubli lub wyznaczenia pracy naprawczej, dyskwalifikacji i pozbawienia wolności do 2 lat .

  1. ustalone w postępowaniu cywilnym.

Tutaj możemy mówić o różnych sankcjach, ale do typowych należą:

  • obowiązek zrekompensowania strat wyrządzonych podmiotowi PD w wyniku naruszenia przez operatora przepisów ustawy nr 152-FZ;
  • obowiązek naprawienia szkody moralnej podmiotu PD.

Tak czy inaczej, najprawdopodobniej jeśli sklep internetowy naruszy normy ustawy nr 152-FZ, zostaną na niego nałożone sankcje administracyjne. Jednocześnie należy mieć na uwadze, że najdotkliwsze z nich – w szczególności grzywna za nieuzyskanie zgody na przetwarzanie danych (do 75 tys. rubli) stosowane są w przypadku naruszenia wymogów uzyskania pisemnego zgoda na przetwarzanie danych osobowych. Jeżeli dopuszczalne jest uzyskanie zgody w jakiejkolwiek wiarygodnej formie, to w przypadku jej nieuzyskania nakładana jest sankcja w postaci grzywny za nielegalne przetwarzanie danych (do 50 tys. rubli).

Istnieje możliwość nałożenia na operatora szeregu dodatkowych sankcji administracyjnych. Na przykład:

  • w formie grzywny za nieprzestrzeganie wymogów ochrony danych - do 2 tysięcy rubli dla urzędników i indywidualnych przedsiębiorców, do 15 tysięcy rubli - dla osób prawnych (art. 13.12 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej);
  • w formie grzywny za niedostarczenie powiadomienia Roskomnadzorowi - do 500 rubli dla urzędników i indywidualnych przedsiębiorców, do 5000 rubli - dla osób prawnych (art. 19 ust. 7 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).

Teoretycznie możliwe jest zablokowanie strony sklepu internetowego – decyzją sądu. Na przykład, jeśli zezwala na bezprawną publikację danych osobowych kupujących bez ich zgody w recenzjach zakupów.

W zależności od konkretnego naruszenia oraz obszaru stosunków prawnych, w których doszło do naruszenia, wobec operatora danych osobowych mogą być zatem wszczęte różne sankcje.