В августе компанией «Код безопасности» были организованы вебинары для предприятий, ведущих бизнес в Интернете, по вопросам выполнения требований ФЗ-152 «О персональных данных». На днях журнал «Открытые системы» опубликовал мою статью «Защита персональных данных в электронной коммерции», в которой подробно рассматриваются проблемы электронной коммерции в терминах ФЗ-152.
Некоторые из рассматриваемых в статье вопросов:
• Какие главные проблемы соответствия ФЗ-152 встают перед Интернет-магазином, можно ли их преодолеть?
• Без каких локальных нормативных актов не может обойтись Интернет-магазин, как и до кого он обязан их доводить?
• Проблемы технической архитектуры предприятий электронной коммерции и соответствие архитектуры требованиям по защите персональных данных.
• Направлять или не направлять Интернет-магазину уведомление об обработке персональных данных в Роскомнадзор?
При чтении следует учесть, что статья была написана в июле этого года в период подготовки и принятия Думой новой редакции ФЗ-152.
Некоторые из рассматриваемых в статье вопросов:
• Какие главные проблемы соответствия ФЗ-152 встают перед Интернет-магазином, можно ли их преодолеть?
• Без каких локальных нормативных актов не может обойтись Интернет-магазин, как и до кого он обязан их доводить?
• Проблемы технической архитектуры предприятий электронной коммерции и соответствие архитектуры требованиям по защите персональных данных.
• Направлять или не направлять Интернет-магазину уведомление об обработке персональных данных в Роскомнадзор?
При чтении следует учесть, что статья была написана в июле этого года в период подготовки и принятия Думой новой редакции ФЗ-152.
>Я хочу организовать доставку букета приятельнице, проживающей в Барбадосе
ОтветитьУдалить1. Как "Континенты" будете вывозить за границу?
2. Не рассматривали п.4 ч.4 ст.12 ЗоПД (если интернет-магазин оформляет оферту на продажу) и главу 50 ГК РФ (в части одобрения/не одобрения сделки путем принятия/не принятия букета приятельницой)
2Alex.
ОтветитьУдалить1. Никак. Особенно в Барбадос.
2. И правильно не рассматривал. п.4 ч.4 ст.12 - про субъекта, являющего стороной договора. А приятельница - выгодоприобретатель. По нее ничего здесь нет, это не часть 2 ст.6. Гл.50 ГК- поздно пить боржоми и отказываться от букета. Российский оператор уже совершил трансграничную передачу в неадекватную страну. А взяли или нет букет - значения не имеет. Во всяком случае, в терминах ФЗ-152.
>А приятельница - выгодоприобретатель
ОтветитьУдалитьНе-а. Приятельница сторона договора в интересах которой Вы совершили сделку. И она может одобрить сделку приняв букет, а может и не одобрить (муж приревновал, например) - тогда Вам все прелести неодобренных действий в чужом интересе без доверенности ;-)
Так это мои риски. А я про оператора.
ОтветитьУдалитьКстати, в данном случае стороной договора был В.В.Пупкин, оплативший заказ дебетовой карточкой Иванова. Работает - проверял.
>А я про оператора
ОтветитьУдалитьА у оператора договор открытой оферты с заказчиком доставки. И его не волнуе в своем интересе он действет или в чужом
>стороной договора был В.В.Пупкин, оплативший заказ дебетовой карточкой Иванова
Презумпция добросовестности гражданско-правовых действий (по ГК РФ) против презумпции виновности оператора (по ЗоПД)
;-)
Кстати. Основание для п.7 ч.1 ст.6 ЗоПД (с изменениями от июля 2011): http://personal-data.livejournal.com/188571.html
ОтветитьУдалитьСобственно, про презумпцию виновности оператора я и писал. И про доказывание согласия. А п.7 ч.1 ст.6 - это хорошо. Если при этом не нарушены права субъекта. А если получатель посчитал их нарушенными? Долгий суд, тем более Вы же видите - все больше и больше людей считают ФЗ-152 отличным инструментом сведения счетов с оператором - работодателем, поставщиком и исполнителем, особенно когда в нормальный гражданский процесс впрягаться не хочется. А здесь все просто....
ОтветитьУдалить>А если получатель посчитал их нарушенными? Долгий суд
ОтветитьУдалитьЕсли не вмешиваются Роскомнадзор и/или Роспотребнадзор, то обычный юзверь чаще всего проигрывает. Ну а с админресурсом получается "басманное правосудие"...
Михаил Юрьевич, можно задать запоздалый вопрос по тематике вчерашнего вебинара и этой статьи?
ОтветитьУдалить1) Будет ли считаться трансграничной передачей ПДн передача трафика с ПДн в момент, например, просмотра пользователем своего личного кабинета, в следующих 2-х случаях:
а) оператор и пользователь находятся в одной стране, но трафик передается через точку в другой стране (так составился маршрут пакетов);
б) оператор - российский, пользователь -- украинец (трансграничная передача в Украину самому субъекту ПДн).
Разумеется, шифрования нет -- передача идет по открытым каналам.
2) Являются ли актуальными (применимыми в настоящее время) в связи с изменениями в 152-ФЗ выводы известного решения ФАС по СЗФО а56-73636/2009 (http://www.resheniya-sudov.ru/2010/245464/ -- сразу извиняюсь за картинки на этом сайте)? Насколько я понимаю, галочка в форме + инструкция по порядку заполнения приравнены к согласию в _письменной_ (!) форме.
2zhylik.
ОтветитьУдалить1а. А откуда оператора это знает? Если сам так маршрутизирует - будет, во всех остальных случаях пусть доказывают надзорные органы.
1б. Однозначно, трансграничная. Украина закон приняла. Адекватная, наверное, теперь.
Пока решение суда не отменено - оно действует, и , соответственно, актуально. Но в России, в отличие от США и Великобритании - не прецедентное право. Поэтому суд сделал свое дело (выразил свое мнение) и может уходить. Новый суд вправе по эти же вопросам принять прямо противоположено решение. Дело может дойти до ВАС, за ним - последнее слово.
спасибо)
ОтветитьУдалить>Украина закон приняла. Адекватная, наверное, теперь.
ОтветитьУдалитьРоссия уже 5 лет как приняла - а Европа не считает адекватной ;-)
За это мы Европе жестоко отомстили, поручив РКН оценивать адекватность всего мира. С нетерпением жду официальной реакции разных там Китаев и Казахстанов на первый перечень неадекватных для России.
ОтветитьУдалить>С нетерпением жду официальной реакции
ОтветитьУдалитьЯ тоже предвкушаю как "оплот демократии" (САСШ) и Ипонамать, вместе с Канадчиной попадут в перечень стран не обеспечивающих адекватную защиту ПДн :lol:
Заранее прошу прощения за придирки :) Но исключения из ч.2 ст.22 №152-ФЗ в статье приведены в старой редакции.
ОтветитьУдалить2mikech74. Так я честно в блоге и написал: "При чтении следует учесть, что статья была написана в июле этого года в период подготовки и принятия Думой новой редакции ФЗ-152". Тогда окончательной редакции еще не было. А путь от написания до издания долог :-(
ОтветитьУдалитьОМГ. Передавать заграницу низзя, ежели на гранце не наша крипта. Чего тут думать-то?
ОтветитьУдалитьКриптуха -- это уровень ФСБ, уровень техсредств ЗИ. А вот трансграничка в общей своей форме — это деятельность РКН. Вероятность, что в мой магазин придет ФСБ гораздо меньше, чем вероятность прихода РКН.
ОтветитьУдалитьБольшинству интернет-магазинов, ввиду их размещения в облаках и хостингах, не светит защититься в соответствии с техническими требованиями, которые были установлены и будут установлены правительством (фстэк/фсб). А вот от РКН -- вполне.
2Алексей Волков. Жизнь остановить. Движение запретить. Торговлю - отменить. И всем защищать ПДн. И про новые технологии - ни-ни. Для них требований регуляторов нет.
ОтветитьУдалить2Ваня Жилин. Пишите локальные акты. Публикуйте политику. Тыкайте проверяющим в нос сайты госорганов с поднятым https. И да поможет Вам Европейская конвенция.
ОтветитьУдалить