1 сентября 2011 г.

Проблемы электронной коммерции в терминах ФЗ-152

В августе компанией «Код безопасности» были организованы вебинары для предприятий, ведущих бизнес в Интернете, по вопросам выполнения требований ФЗ-152 «О персональных данных». На днях журнал «Открытые системы» опубликовал мою статью «Защита персональных данных в электронной коммерции», в которой подробно рассматриваются проблемы электронной коммерции в терминах ФЗ-152.

Некоторые из рассматриваемых в статье вопросов:

• Какие главные проблемы соответствия ФЗ-152 встают перед Интернет-магазином, можно ли их преодолеть?

• Без каких локальных нормативных актов не может обойтись Интернет-магазин, как и до кого он обязан их доводить?

• Проблемы технической архитектуры предприятий электронной коммерции и соответствие архитектуры требованиям по защите персональных данных.

• Направлять или не направлять Интернет-магазину уведомление об обработке персональных данных в Роскомнадзор?

При чтении следует учесть, что статья была написана в июле этого года в период подготовки и принятия Думой новой редакции ФЗ-152.

20 комментариев:

  1. >Я хочу организовать доставку букета приятельнице, проживающей в Барбадосе

    1. Как "Континенты" будете вывозить за границу?
    2. Не рассматривали п.4 ч.4 ст.12 ЗоПД (если интернет-магазин оформляет оферту на продажу) и главу 50 ГК РФ (в части одобрения/не одобрения сделки путем принятия/не принятия букета приятельницой)

    ОтветитьУдалить
  2. 2Alex.
    1. Никак. Особенно в Барбадос.
    2. И правильно не рассматривал. п.4 ч.4 ст.12 - про субъекта, являющего стороной договора. А приятельница - выгодоприобретатель. По нее ничего здесь нет, это не часть 2 ст.6. Гл.50 ГК- поздно пить боржоми и отказываться от букета. Российский оператор уже совершил трансграничную передачу в неадекватную страну. А взяли или нет букет - значения не имеет. Во всяком случае, в терминах ФЗ-152.

    ОтветитьУдалить
  3. >А приятельница - выгодоприобретатель

    Не-а. Приятельница сторона договора в интересах которой Вы совершили сделку. И она может одобрить сделку приняв букет, а может и не одобрить (муж приревновал, например) - тогда Вам все прелести неодобренных действий в чужом интересе без доверенности ;-)

    ОтветитьУдалить
  4. Так это мои риски. А я про оператора.
    Кстати, в данном случае стороной договора был В.В.Пупкин, оплативший заказ дебетовой карточкой Иванова. Работает - проверял.

    ОтветитьУдалить
  5. >А я про оператора

    А у оператора договор открытой оферты с заказчиком доставки. И его не волнуе в своем интересе он действет или в чужом

    >стороной договора был В.В.Пупкин, оплативший заказ дебетовой карточкой Иванова

    Презумпция добросовестности гражданско-правовых действий (по ГК РФ) против презумпции виновности оператора (по ЗоПД)
    ;-)

    ОтветитьУдалить
  6. Кстати. Основание для п.7 ч.1 ст.6 ЗоПД (с изменениями от июля 2011): http://personal-data.livejournal.com/188571.html

    ОтветитьУдалить
  7. Собственно, про презумпцию виновности оператора я и писал. И про доказывание согласия. А п.7 ч.1 ст.6 - это хорошо. Если при этом не нарушены права субъекта. А если получатель посчитал их нарушенными? Долгий суд, тем более Вы же видите - все больше и больше людей считают ФЗ-152 отличным инструментом сведения счетов с оператором - работодателем, поставщиком и исполнителем, особенно когда в нормальный гражданский процесс впрягаться не хочется. А здесь все просто....

    ОтветитьУдалить
  8. >А если получатель посчитал их нарушенными? Долгий суд

    Если не вмешиваются Роскомнадзор и/или Роспотребнадзор, то обычный юзверь чаще всего проигрывает. Ну а с админресурсом получается "басманное правосудие"...

    ОтветитьУдалить
  9. Михаил Юрьевич, можно задать запоздалый вопрос по тематике вчерашнего вебинара и этой статьи?

    1) Будет ли считаться трансграничной передачей ПДн передача трафика с ПДн в момент, например, просмотра пользователем своего личного кабинета, в следующих 2-х случаях:
    а) оператор и пользователь находятся в одной стране, но трафик передается через точку в другой стране (так составился маршрут пакетов);
    б) оператор - российский, пользователь -- украинец (трансграничная передача в Украину самому субъекту ПДн).
    Разумеется, шифрования нет -- передача идет по открытым каналам.

    2) Являются ли актуальными (применимыми в настоящее время) в связи с изменениями в 152-ФЗ выводы известного решения ФАС по СЗФО а56-73636/2009 (http://www.resheniya-sudov.ru/2010/245464/ -- сразу извиняюсь за картинки на этом сайте)? Насколько я понимаю, галочка в форме + инструкция по порядку заполнения приравнены к согласию в _письменной_ (!) форме.

    ОтветитьУдалить
  10. 2zhylik.
    1а. А откуда оператора это знает? Если сам так маршрутизирует - будет, во всех остальных случаях пусть доказывают надзорные органы.
    1б. Однозначно, трансграничная. Украина закон приняла. Адекватная, наверное, теперь.

    Пока решение суда не отменено - оно действует, и , соответственно, актуально. Но в России, в отличие от США и Великобритании - не прецедентное право. Поэтому суд сделал свое дело (выразил свое мнение) и может уходить. Новый суд вправе по эти же вопросам принять прямо противоположено решение. Дело может дойти до ВАС, за ним - последнее слово.

    ОтветитьУдалить
  11. >Украина закон приняла. Адекватная, наверное, теперь.

    Россия уже 5 лет как приняла - а Европа не считает адекватной ;-)

    ОтветитьУдалить
  12. За это мы Европе жестоко отомстили, поручив РКН оценивать адекватность всего мира. С нетерпением жду официальной реакции разных там Китаев и Казахстанов на первый перечень неадекватных для России.

    ОтветитьУдалить
  13. >С нетерпением жду официальной реакции

    Я тоже предвкушаю как "оплот демократии" (САСШ) и Ипонамать, вместе с Канадчиной попадут в перечень стран не обеспечивающих адекватную защиту ПДн :lol:

    ОтветитьУдалить
  14. Заранее прошу прощения за придирки :) Но исключения из ч.2 ст.22 №152-ФЗ в статье приведены в старой редакции.

    ОтветитьУдалить
  15. 2mikech74. Так я честно в блоге и написал: "При чтении следует учесть, что статья была написана в июле этого года в период подготовки и принятия Думой новой редакции ФЗ-152". Тогда окончательной редакции еще не было. А путь от написания до издания долог :-(

    ОтветитьУдалить
  16. ОМГ. Передавать заграницу низзя, ежели на гранце не наша крипта. Чего тут думать-то?

    ОтветитьУдалить
  17. Криптуха -- это уровень ФСБ, уровень техсредств ЗИ. А вот трансграничка в общей своей форме — это деятельность РКН. Вероятность, что в мой магазин придет ФСБ гораздо меньше, чем вероятность прихода РКН.

    Большинству интернет-магазинов, ввиду их размещения в облаках и хостингах, не светит защититься в соответствии с техническими требованиями, которые были установлены и будут установлены правительством (фстэк/фсб). А вот от РКН -- вполне.

    ОтветитьУдалить
  18. 2Алексей Волков. Жизнь остановить. Движение запретить. Торговлю - отменить. И всем защищать ПДн. И про новые технологии - ни-ни. Для них требований регуляторов нет.

    ОтветитьУдалить
  19. 2Ваня Жилин. Пишите локальные акты. Публикуйте политику. Тыкайте проверяющим в нос сайты госорганов с поднятым https. И да поможет Вам Европейская конвенция.

    ОтветитьУдалить