Ответить Новая тема Новый опрос 
Всего: 2 1 2 >
 Федеральный закон 152 о защите персональных данных
$moker
Новичок
Сообщений: 5
Регистрация: 19-06-2010


19-06-2010 16:08
Доброго времени суток всем,

Подбираю движок для ИМ, остановился на престе. Очень интересует кто и как соблюдает закон 152? И мысли по этому закону в отношении ИМ.

Мои мысли - думаю открыть ИМ класса 4 по классификации ИС ПДн, т.е. обработка обезличенных или общедоступных персональных данных. В связи с этим в принципе планирую собирать ПДн в составе:
- имя регистрации (не обязательно реальное имя клиента);
- контактный телефон;
- адрес доставки глубиной до дома (доставка до подъезда).
Для моих целей больше данных не нужно, т.к. планируется только курьерская доставка (либо выдача со склада) и оплата наличными с выдачей кассового чека. В идеале конечно еще и адрес доставки отвязать от клиента и привязать к заказу.

Для ИС ПДн 4 класса защита ПДн организовывается на усмотрение оператора ПДн, т.е. не подлежит аттестации ФСТЭК.

Те ПДн, которые собирает преста, на мой взгляд относятся к 3 классу. Из всех просмотренных мною магазинов на престе не увидел ни одного, где при регистрации хотя бы спрашивается у пользователя о согласии обработки его ПДн. Ну и все ИМ собирают стандартный набор ПДн, некоторые еще и расширяют это набор своими атрибутами, такими как отчество, контактный телефон и прочее.

Не кидайте в меня сильно помидорами, если что-то понимаю не так. В области розничной торговли через ИМ впервые. Соответственно очень интересует опыт реальных ИМ по соблюдению ФЗ 152.

З.Ы. Прошу прощение если тема баян, но на форуме не нашел ничего подобного, если тема уже обсуждалась, прошу дать просто ссылку.
 
Вне форума
ПМ Отправить эл.сообщение 
Щелкните, и это сообщение будет добавлено в ваш ответ как цитата Цитировать этот ответ
ors
Профессионал
Сообщений: 1885
Регистрация: 09-11-2009


19-06-2010 18:45
А что мешает изменить набор запрашиваемых даных?

Можно еще в пользовательском соглашении написать, что нажимая кнопку купить пользователь соглашается предоставить данные о себе.
 
Вне форума
ПМ Отправить эл.сообщение 
Щелкните, и это сообщение будет добавлено в ваш ответ как цитата Цитировать этот ответ
$moker
Новичок
Сообщений: 5
Регистрация: 19-06-2010


19-06-2010 19:39
Всю админку перелазил, но не нашел как изменить набор запрашиваемых данных о пользователе. Укажите пожалуйста куда копать то?
 
Вне форума
ПМ Отправить эл.сообщение 
Щелкните, и это сообщение будет добавлено в ваш ответ как цитата Цитировать этот ответ
Cimmerian
Новичок
Сообщений: 11
Регистрация: 04-11-2009


19-06-2010 20:24
вот блин, буду я еще выполнять, что какие-то дебилы понаписали!
вообще, речь, видимо, об очередном неработающем законе идет.
всем насрать на него. не берите в голову.
 
Вне форума
ПМ Отправить эл.сообщение 
Щелкните, и это сообщение будет добавлено в ваш ответ как цитата Цитировать этот ответ
ors
Профессионал
Сообщений: 1885
Регистрация: 09-11-2009


19-06-2010 20:41
$moker http://www.prestadev.ru/forum/redir-153-727.html

Cimmerian Может закон и неработающий, а штрафовать на его основании могут. Вроде вступает в силу с 1 января 2011.
 
Вне форума
ПМ Отправить эл.сообщение 
Щелкните, и это сообщение будет добавлено в ваш ответ как цитата Цитировать этот ответ
ors
Профессионал
Сообщений: 1885
Регистрация: 09-11-2009


19-06-2010 20:44
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).

Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона

Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).

Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?

Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).

В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).

Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.

Далее...

п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;




Поздравляю. Мы все - операторы.

Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.

Закон определяет перечнь таких требований:


Цитата:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.



ст. 19 Закона

Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности

Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.

Санкции.
Санкции за нарушение Закона незначительны:


Цитата:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) 
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - 
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.



ст. 13.11 КоАП РФ

Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:


Цитата:
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) 
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - 
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.



ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.
 
Вне форума
ПМ Отправить эл.сообщение 
Щелкните, и это сообщение будет добавлено в ваш ответ как цитата Цитировать этот ответ
$moker
Новичок
Сообщений: 5
Регистрация: 19-06-2010


19-06-2010 21:25
ors за линк спасибо, но все же хочется услышать кто и как собирается защищать свой магазин от регуляторов?
 
Вне форума
ПМ Отправить эл.сообщение 
Щелкните, и это сообщение будет добавлено в ваш ответ как цитата Цитировать этот ответ
ors
Профессионал
Сообщений: 1885
Регистрация: 09-11-2009


19-06-2010 21:36
Ну если вы будете собирать данные по 4 классу, то и защищать, наверное, не требуется. А аттестация вроде 250т стоит. Тем более ей все не ограничится. Потребуют сертифицированный фаервол, винду и прочий софт ставить на тот комп с которого будет управляться им.
Проще заплатить регуляторам, когда придут.
 
Вне форума
ПМ Отправить эл.сообщение 
Щелкните, и это сообщение будет добавлено в ваш ответ как цитата Цитировать этот ответ
YellowDuck


Профессионал
Сообщений: 1054
Откуда: Ярославль
Регистрация: 29-09-2009


20-06-2010 21:44
Если очковать всякой такой херни, бизнес никогда не поднимете... Регулятор настолько колхозная шарага, что еще не скоро доберется до вашего магаза, к тому времени на штраф накопите.
 



Интернет-магазин товаров для детей yellowduck.ru
Хороший хостинг для Prestashop и не только one-hosting.ru
Вне форума
ПМ Отправить эл.сообщение 
Щелкните, и это сообщение будет добавлено в ваш ответ как цитата Цитировать этот ответ
solus
Новичок
Сообщений: 10
Регистрация: 02-06-2010


21-06-2010 21:46
Уникальный пост. Автор, ширьте мысле - тогда никакие регуляторы не страшны будут. Всегда удивляло, насколько в этой стране люди затюканые всякими "регуляторами".


Сообщение отредактировано solus 21-06-2010 22:55 ...
 
Вне форума
ПМ Отправить эл.сообщение 
Щелкните, и это сообщение будет добавлено в ваш ответ как цитата Цитировать этот ответ
Ответить Новая тема Новый опрос 
Всего: 2 1 2 >