Доброго времени суток всем,

Подбираю движок для ИМ, остановился на престе. Очень интересует кто и как соблюдает закон 152? И мысли по этому закону в отношении ИМ.

Мои мысли - думаю открыть ИМ класса 4 по классификации ИС ПДн, т.е. обработка обезличенных или общедоступных персональных данных. В связи с этим в принципе планирую собирать ПДн в составе:
- имя регистрации (не обязательно реальное имя клиента);
- контактный телефон;
- адрес доставки глубиной до дома (доставка до подъезда).
Для моих целей больше данных не нужно, т.к. планируется только курьерская доставка (либо выдача со склада) и оплата наличными с выдачей кассового чека. В идеале конечно еще и адрес доставки отвязать от клиента и привязать к заказу.

Для ИС ПДн 4 класса защита ПДн организовывается на усмотрение оператора ПДн, т.е. не подлежит аттестации ФСТЭК.

Те ПДн, которые собирает преста, на мой взгляд относятся к 3 классу. Из всех просмотренных мною магазинов на престе не увидел ни одного, где при регистрации хотя бы спрашивается у пользователя о согласии обработки его ПДн. Ну и все ИМ собирают стандартный набор ПДн, некоторые еще и расширяют это набор своими атрибутами, такими как отчество, контактный телефон и прочее.

Не кидайте в меня сильно помидорами, если что-то понимаю не так. В области розничной торговли через ИМ впервые. Соответственно очень интересует опыт реальных ИМ по соблюдению ФЗ 152.

З.Ы. Прошу прощение если тема баян, но на форуме не нашел ничего подобного, если тема уже обсуждалась, прошу дать просто ссылку.

А что мешает изменить набор запрашиваемых даных?

Можно еще в пользовательском соглашении написать, что нажимая кнопку купить пользователь соглашается предоставить данные о себе.

Всю админку перелазил, но не нашел как изменить набор запрашиваемых данных о пользователе. Укажите пожалуйста куда копать то?

вот блин, буду я еще выполнять, что какие-то дебилы понаписали!
вообще, речь, видимо, об очередном неработающем законе идет.
всем насрать на него. не берите в голову.

$moker http://www.prestadev.ru/forum/redir-153-727.html

Cimmerian Может закон и неработающий, а штрафовать на его основании могут. Вроде вступает в силу с 1 января 2011.

К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).

Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона

Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).

Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?

Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).

В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).

Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.

Далее...

п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):





Поздравляю. Мы все - операторы.

Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.

Закон определяет перечнь таких требований:





ст. 19 Закона

Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности

Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.

Санкции.
Санкции за нарушение Закона незначительны:





ст. 13.11 КоАП РФ

Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:





ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.

ors за линк спасибо, но все же хочется услышать кто и как собирается защищать свой магазин от регуляторов?

Ну если вы будете собирать данные по 4 классу, то и защищать, наверное, не требуется. А аттестация вроде 250т стоит. Тем более ей все не ограничится. Потребуют сертифицированный фаервол, винду и прочий софт ставить на тот комп с которого будет управляться им.
Проще заплатить регуляторам, когда придут.

Если очковать всякой такой херни, бизнес никогда не поднимете... Регулятор настолько колхозная шарага, что еще не скоро доберется до вашего магаза, к тому времени на штраф накопите.

Уникальный пост. Автор, ширьте мысле - тогда никакие регуляторы не страшны будут. Всегда удивляло, насколько в этой стране люди затюканые всякими "регуляторами".