закон «О персональных данных» - Юридические вопросы

Здравствуйте!
Если честно никогда не задумывался о защите персональных данных на Joomla.
Но с выходом нового закона «О персональных данных» (федеральный закон № 152 «О персональных данных» http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=117587) задумался.
Располагаете ли вы какой-либо информацией по этому поводу?
Например если я владелец интернет-магазина и при оформлении заказа покупатель оставляет ФИО адрес и телефон, как это защищать от утечек?
Я понимаю что взламывали и пентагон и что оключенный от сети системник, закопанный на пять метров тоже можно украсть, но тем не менее, есть ли сереьезные решения для Joomla по защите данных?
Хостер предлагает определенный набор действий необходимых для безопасной работы.
Комп должен быть чистым и тд.
А вот что делать с Joomla в этом вопросе пока не понятно. Все что я пока знаю это sh404SEF® + jSecure.
Может есть какие-то коммерческие мощные решения по защите данных?

Вопрос очень актуальный!  !

А какие именно пункты закона необходимо реализовать?

Здравствуйте Voland, спасибо за проявленный интерес!
Я далеко не юрист и не могу с точностью указать все необходимы пункты но судя по тексту и смыслу закона в Главе 2:

Статья 7
Операторы и иные лице не должны раскрывать третьим лицам.... и тд. Те например если я не имею специальной сертифицированной кем-то программы защиты (вот почитайте вообще ужас, внизу "Вариант №3. Сертифицированный хостинг и программное обеспечение" http://intaro.ru/magazine/2011/03/11/personal-data/) то есть возможность привлечения в суд?

Статья 9 пункт 4
согласие на обработку возможно тлько в письменной форме или с помощью электроной подписи. - это вообще непонятно. Судя по тому как сейчас работает Озон - при регистрации появилась галочка о согласии на обработку перс данных, но в законе об этом (что галочка с согласием приравнивается к согласию клиента на обработку как письменное заявление или ЭЦП) пока ничего не сказано если я правильно понимаю.

Что делать? 
Возможно есть решение по шифрованию ПД (перс данных) на Joomla, хотябы.
И еще вопрос кто может подать в суд? Клиент? Или гос структура какая нибудь? Как вообще это на практике работает не понятно.

Не знаю, но хотелось бы понять.
Если переведете закон на человекопонятный язык, можно поразбирать по пунктам.

Насчет шифрования - пароли и так шифруются, тут как я написал выше - надо все расписать, в частности - что относится к персональным данным, а что нет.

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
оператор - (иными словами админ сайта) - …физическое лицо, самостоятельно или совместно с другими лицами, организующие или осуществляющие обработку ПД. (более подробно в основных понятиях закона)
Иными словами - ФИО телефон и адрес это персональные данные

Постараюсь на человеческом языке, хоть это и не просто тк я не юрист.

С выходом этого закона получается что если пользователь регистрируется на сайте интернет-магазина для совершения покупки и оставляет свои ФИО адрес и телефон - он по сути передает свои персональные данные владельцу сайта.
Данные идут на сервер владельца. И он по сути несет за это ответственность.

В законе сказано, что владелец интернет сайта должен во первых доказать, что клиент передал ему эти данные по своей воле, а так же обеспечить сохранность этих данных от утечки.
То что передал по своей воле - сейчас идет активная дискуссия по поводу галочки и клика "согласен…" при регистрации. Но пока поправок в законе на эту тему нет.

А вот в плане сохранности…. очень бы хотелось узнать что необходимо предпринять на Joomla для этой самой сохранности. Сертифицированные хостинги? Что-то еще? Извините я не специалист и сам пытаюсь найти ответ, собрать все в кучу и понять тк скть, что же нужно.
Или к чему готовиться?

Есть мнение, что сайты которые работают с ПД будут проверять на предмет соответствия неким нормам "программной части интернет-магазина".
Например битрикс якобы соответствует.
Есть даже сертификат соответствия №2003 ФСТЭК России
Но даже если ты и прошел сертификацию, при доработках сайта и внесении изменений ее нужно пройти повторно.
Вопрос соответствует ли Joomla каким либо нормам? Думаю разработчики об этом и не думали. Хотя…

В этой статье есть подробное описание возможных проблем интернет-магазина в связи с вступлением данного закона: http://www.osp.ru/os/2011/06/13010157/

ну вот как то так…
  !

Фактически - такая бумажка не более чем юридическая формальность.
Так как Joomla бесплатна, то вряд ли кто-то будет нанимать юристов и заниматься этим.

Насчет хостингов - требовать с них лицензию на предоставление телематических услуг.
Не бог весть, какая защита, зато бумажка если что.

Насчет фактической стороны дела - не использовать варез ни в каком виде, только проверенные и поддерживаемые версии расширений и движка.

Это в общем.

владелец интернет сайта должен во первых доказать, что клиент передал ему эти данные по своей воле

офигеть, это как мы интересно будем доказывать?!
я ж не зарегистрирую его по своей личной инициативе...

на тему подписалась...

офигеть, это как мы интересно будем доказывать?!
я ж не зарегистрирую его по своей личной инициативе...

на тему подписалась...

Оферта в электронном виде очевидно.
"Труляля, согласен на то-то и то-то"

Закон в принципе конечно верный.
Но, там похоже одна бюрократия.
Ни слова про хранения паролей солеными и сложность декодирования, ничего по существу. Или я не прав?

Ни слова про хранения паролей солеными и сложность декодирования, ничего по существу. Или я не прав?

ну вообщем-то - да, видимо тех. специалистов не подпускают/не спрашивают

Спасибо за ответ!

На счет вареза это 100%. С хостером вроде тоже норм. С репутацией. Осталось дождатся решения по требованию изменить данный закон.
Эти изменения как раз и коснутся того, как мы это будем доказывать.
Надеюсь все же законом будет регламентирована процедура типа: "Нажимая кнопку "Продолжить", я подтверждаю свою дееспособность, даю согласие на обработку своих персональных данных." + ссылка на разъяснение "о защите персональной информации"

С кнопкой все понятно, а вот с защитой пока нет.

Надеюсь кислород не перекроют!
Если все же появится информаци о серьезных плагинах и т.п. защиты и шифровки данных буду благодарен если поделитесь 
Кстати, попробую завтра связаться с хостером и проконсультироваться у него, посмотрим, что скажет, если будет вменяемый ответ выложу сюда.

На невменяемый закон едва ли можно получить вменяемый ответ. Даже от самих законодателей. Ощущение что писал его какой-то кандидат юр. наук с большого бодуна, а приняли вообще по пьянке.

А в законе ничего не сказано про оплату на сайте за товары/услуги? (извините, сильно не читала, спрашиваю у ТС, т.к. он глубоко вникал)

То есть непосредственно сама оплата (ввод паролей от карты или эл. кошелька) будет проходить через платежный модуль (обычно клиент редиректится на сайт платежной системы) - в данном случае сайт будет отвечать или плат.система за неразглашение ПД (перс. данных)??

- вот тоже важный и довольно интересный вопрос....

А разые платежная система передает эти данные?
Вроде не должна, соответсвенно и ответсвенность на ней.

Нет, voland, может сложиться такая ситуация что клиент до_усрачки будет доказывать, что платил он на моем сайте за то-то и то-то (это же еще доказать надо будет, что он оплачивал фактически на другом сайте - на сайте платежной системы), а через полчаса оказалось, что на счете чего-то не хватает.....ну, ситуация приблизительная..
вот как, в законе что-нибудь сказано по этому поводу?

то есть нужно ли будет дополнительно делать галочки - "вы согласны перейти на такой-то сайт для оплаты покупки"

Здравствуйте ELLE, Lex и еще раз Voland,
абсолютно согласен c Lex и тем не менее, подумать об этом на будущее думаю стоит, особенно тем у кого интернет-магазины ведь как-то жить с этим придется. Иметь пусть и не "сертифицированные решения" по защите этих самых данных на Joomla, но хоть какие-то хотелось бы...

Смотрите что пишет при регистрации Озон "Продавец при обработке персональных данных принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного доступа к ним, а также от иных неправомерных действий в отношении персональных данных." - это сейчас больше всего беспокоит.
Кто эти меры регламентирует и чем они достигаются?

По поводу доказательства получения данных пока нашел только эту информация из последней: "Интернет-магазины требуют изменить закон «О персональных данных» ссылка на Известия: http://izvestia.ru/news/531308

Как я понимаю, как минимум в публичной оферте должен быть пункт типа:
"В случае если Заказчик является физическим лицом, то в соответствии со ст. 6. ФЗ «О персональных данных» № 152-ФЗ от 27 июля 2006 года в период с момента заключения настоящего Договора и до прекращения обязательств Сторон по настоящему Договору Заказчик выражает согласие на обработку Исполнителем следующих персональных данных Заказчика: ФИО, паспортные данные, адрес места регистрации, .... блабла", а так же разяснения о защите ПД...

(Пишу это сообщение захожу на свой сайт а там это Database connection error (2): Could not connect to MySQL. не смешно как то даже стало =))))  )

ELLE, по поводу платежных систем вроде все ОК. По крайней мере я нигде не видел сообщений на данную тему. Но спасибо что спросили, так же буду уточнять в своей системе данный вопрос.

Проконсультировавшись с хостером получил следующее:

"Мы со своей стороны в соответствии с условиями договора и законом "О
персональных данных" не разглашаем информацию, размещенную на Вашем аккаунте,
третьим лицам, но и Вы также несете ответственность в первую очередь за
сохранность Ваших регистрационных данных (логина и пароля) и электронного
адреса, который указан Вами в качестве административного.

Чтобы свести риск взлома аккаунта и утери Ваших личных данных и данных Ваших
клиентов к минимуму, рекомендуем Вам:

1. Регулярно (рекомендовано раз в 3 месяца) менять пароль доступа к аккаунту и
дополнительным FTP-клиентам, если таковые создавались. Новые пароли не
рекомендуется сохранять в FTP-клиенте;
2. Установить фильтрацию доступа к панели управления хостингом по IP.
3. В корне аккаунта создать файл с именем ftp.allow и указать в нём IP-адреса,
с которых будут производиться работы с аккаунтом по FTP.
4. Регулярно обновлять все программное обеспечение используемое на аккаунте
(CMS, ПО, обеспечивающее работу блогов, форумов и т.п.) до последних доступных
стабильных версий."

И сразу вопрос по поводу ftp.allow - как его создавать? Просто в текстовом редакторе написать список IP с которых будет доступ (каждый IP  с новой строки?) и сохранить этот файл с расширением .allow и положить в корень public_html?

Пока как-то так…=)

офигеть, это как мы интересно будем доказывать?!

Если пользователь не оставляет явных данных, которые только ему извесны, например номер счёта, номер паспорта, номер какой-то страховки, то рекомендуется при регистрации сохранять ещё и IP пользователя, или его хост, время.
Клиенты высылать емайл со всеми его данными, копию себе для будущих подтверждений.

2Aleks Shurikoff:
Смысл закона- это предотвратить передачу, продажи личных данных клиентов без их разрешения третим лицам и запрет выкладывания этой информации в открытый доступ. Если Вы этого не делаете, то ничего и не надо с Joomla менять.

Защита Ваших доступов- это сюда не относится. Если кто-то грубой силой (физически или взлом программного обеспечения) получает доступ к данным клиентов, то Вы за это не отвечаете. Доказательство применения грубой силы лежит на Вас.

Здравствуйте _ib_
Спасибо за мнение. Смысл закона понятен. Было непонятно каким образом к нему готовиться. По поводу IP и тд тоже может быть не лично пользователя, а кого-то еще. Согласен, маразм полный. Закон нерабочий, это факт. Думаю иметь на руках официальный ответ от хостера тоже не помешает, для галочки так сказать. А на счет доказательств, лично я решил, что буду использовать специальную разработанную форму-заявление к счет-фактуре, до тех пор пока поправки не приняты + кнопку с галочкой "согласен блаблабла..." Клиент обычно подписывает все накладные документы, это в его интересах, думаю и с этим проблем быть не должно. Спасибо всем за ответы! =)

к персональным данным относятся и номера мобильных телефонов и е-меил как ни странно))
Чисто теоретически в суде требуется доказать, что вы не предприняли действий по защите персональных данных ваших клиентов... а вам в суде показать, что вы эти действия предпринимали, на счет того достаточно или не достаточно усилий вы приложили при защите персональных данных... тут вопрос сложный... потому что как бы сказать... в этом отношении закон вообще не проработан... во всяком случае когда я его читал, я толковых указаний на это счет для веб-сайтов не нашел...
По сути тут больше завит от того, обновляли вы CMS, имеет ли соответствующие лицензии ваш хостер, да и все по сути... Но так под закон о персональных данных попадает любой сайт на котором человек регистрируется оставляет свои какие то контактные данные и даже просто указывает имя и фамилию, формально можно прокопаться к любому такому сайту.

Пришел к такому же выводу и на том успокоился. Лицензионный хостер + его рекомендации полученные по официальному запросу из админки сайта на майл + бумажка, думаю можно  в счет фактуре внизу прописать о ПД, как в оферте вместо доп бумажки. Еще раз спасибо всем за ответы! =)