Система и способ приведения веб-сайта, собирающего личную информацию, в соответствие с законодательством о персональных данных при выявлении нарушений Российский патент 2019 года по МПК G06F21/62 G06F21/30 

Описание патента на изобретение RU2690763C1

Область техники

Настоящее изобретение относится к средствам информационной безопасности в электронных сетях и, более конкретно, к средствам приведения веб-сайтов (веб-ресурсов), обрабатывающих персональные данные пользователей, в соответствие с законодательством о персональных данных, в том числе при выявлении нарушений, связанных с невыполнением требований соответствующего законодательства государства.

Уровень техники

В настоящее время все больше людей взаимодействуют с другими людьми через электронные сети, как глобальные, такие как сеть Интернет, так и локальные, например, сеть Интранет. Развитие электронных сетей позволило их использовать как средство получения или предоставления различных услуг. Различные веб-ресурсы (веб-сайты) предоставляют различные услуги. Примерами веб-ресурсов являются информационные ресурсы, интернет-представительства, в том числе интернет-магазины, и веб-сервисы, включающие, социальные сайты и поисковые и почтовые сервисы. В зависимости от ресурса, чтобы получить доступ к услуге, пользователю требуется предоставить различную информацию, в том числе личные (персональные) данные. Примерами персональных данных являются такие данные как паспортные данные, информация о кредитных картах и другой финансовой информации, данные о его семье и многое другое.

Кроме того, веб-сайты также собирают различные данные о пользователях для их обработки, например, с целью предоставления лучшей услуги и потребностей конкретному пользователю. Собираемая информация может касаться и сведений о пользователе во время его работы с соответствующим веб-сайтом. Например, какую информацию просмотрел пользователь, на какие страницы произвел переход, какие действия совершил и т.д. Например, для завершения онлайн-транзакции или регистрации на веб-сайте обычно необходимо предоставить личную информацию, такую как имя, адрес, номер телефона, адрес электронной почты, номера кредитных карт и т.д. Кроме того, широкое распространение мобильных устройств повлияло на появление ряда приложений, которые также производят сбор информации о пользователе устройства для дальнейшего использования, например, для улучшения приложения. После предоставления указанной информации на соответствующие веб-сайты или приложения мобильных устройств пользователь теряет дальнейший контроль над использованием предоставленной им личной информации, а кроме того находится в неведении относительно собираемой о нем информации.

Таким образом, появилась необходимо предусмотреть систему контроля и управления использованием персональной информации. Так, например, в заявке US 20170193624 A1 компании PAYPAL INC. описывается система сертификации и управления персональной информацией для обмена персональной информацией в сети, при этом система включает процессоры, связанные с памятью, для выполнения определения предварительно авторизованного согласия, связанного с веб-сайтом.

Также действия, связанные с управлением и контролем собираемой и обрабатываемой информацией пользователей, начали регулироваться и на законодательном уровне различных государств, в частности Российской Федерации (РФ), США, Канады и стран Евросоюза. Например, в РФ - федеральным законом №152-ФЗ «О персональных данных», в странах Евросоюза - это актом о защите персональных данных (англ. General Data Protection Regulation, GDPR), и в Канаде - актом «Canadian Personal Information Protection and Electronic Documents Act (PIPEDA)». Законы о персональных данных накладывают ряд стандартов и требований на веб-ресурсы, которые производят обработку, в том числе сбор и использование, личных данных пользователей, а также данных о пользователе. Примерами таких требований являются требования по обеспечению конфиденциальности, информировании пользователя о сборе его личных данных, получение явного согласия (разрешения) пользователя на дальнейшее использование его личных данных и другие.

В тоже время выполнения требований законодательства в области персональных данных и организация надлежащей защиты персональных данных находятся на крайне низком уровне. Одной из причин роста числа нарушений и связанных с ними утечек персональных данных является невыполнение требований законодательства значительным числом как предприятий, в частности связанных с малым или средним бизнеса, так и частных лиц.

В связи с этим существует задача в обеспечении исполнения и контроля над исполнением указанного законодательства лицами, которым принадлежит веб-сайт, подпадающий под требования соответствующего законодательства, т.е. осуществляющий обработку персональных данных пользователей. Для решения указанной задачи появилась необходимость в создании подхода по оценки соответствия веб-сайтом указанных требований с последующим выявления нарушений, и подхода по автоматическому приведению веб-сайта, собирающего личную информацию пользователей, в соответствие с законодательством соответствующей государства. В частности, чтобы в соответствии с законодательством соответствующего государства веб-сайт содержал требуемый уровень защищенности/обработки персональных данных пользователей, в частности, обязательное информирование пользователя о типе, степени и цели использования его данных на веб-сайтах или в приложениях мобильных устройств.

Раскрытие изобретения

Настоящее изобретение было выполнено с учетом описанных выше проблем, и цель настоящего изобретения состоит в том, чтобы выявить и исправить (привести в соответствие) нарушения требований законодательства о персональных данных на веб-сайтах, собирающих личную информацию. Также необходимо учитывать законодательство по меньшей мере именно той страны (юрисдикции), которое соответствует веб-сайт или лицо, которому принадлежит указанный веб-сайт.

Технический результат настоящего изобретения заключается в обеспечении соответствия по меньшей мере части законодательства о персональных данных веб-ресурса (веб-сайта), который собирает личные данные пользователей, в том числе и в случае выявления нарушения указанного законодательства. Указанный технический результат достигается за счет модификации информационной системы (например, веб-страниц), на которой производится сбор или использование данных, путем внедрения в указанную веб-страницу программного кода (скрипта), который устраняет нарушение путем создания соответствующего решения. Например, будет формировать уведомление о сборе личных данных пользователя или получать согласие от пользователя на обработку его данных.

В качестве одного варианта исполнения предлагается способ приведения веб-сайта, собирающего личную информацию пользователей, в соответствие с законодательством о персональных данных, при этом способ содержит этапы, на которых: производят сбор сведений на указанном веб-сайте, связанный с элементами, содержащими признаки обработки персональных данных пользователей, и сведений о действиях необходимых произвести пользователю при взаимодействии с указанными элементами; производят анализ собранных сведений при помощи критериев оценки, во время которого определяется соответствия каждого выявленного элемента каждому критерию оценки; выносят решение о несоответствии по крайней мере одного указанного элемента веб-сайта требованиям законодательства о персональных данных на основании результатов анализа; запрашивают у владельца сайта посредством электронного взаимодействия необходимые данные, которые включают по крайней мере информацию о владельце веб-сайта; на основании полученных данных формируют в электронном виде пакет документов для каждого элемента, который не соответствует требованиям законодательства; создают программный код, который размещается на указанном веб-сайте, для созданного пакета документов, при этом программный код связывает пакет документов с соответствующим элементом.

В другом варианте исполнения способа критерием оценки являются по крайней мере один из следующих критериев:

- наличие окна ввода согласия пользователя на обработку персональных данных для каждого выявленного элемента,

- наличие окна ввода согласия пользователя об отказе от ответственности владельца сайта при обработке данных, связанных со сведениями о пользователе,

- наличие передачи данных по защищенным протоколам и наличие SSL-сертификата,

- наличие документов, связанных с информированием о политике обработки персональных данных.

В еще одном варианте исполнения способа запрашиваемыми данными о владельца веб-сайта является по крайней мере один из: налоговый идентификатор организации или идентификационный номер налогоплательщика (ИНН).

В другом варианте исполнения способа в автоматическом режиме производятся обновления указанного пакета документов, при выявлении изменений в требованиях законодательства.

В еще одном варианте исполнения способа периодически производится проверка обновлений в требованиях законодательства на соответствующих информационных ресурсах.

В другом варианте исполнения способа программный код является по крайней мере одним из следующих скрипт и виджет.

В еще одном варианте исполнения способа местом хранения указанных пакетов документов является либо удаленный веб-ресурс, либо указанный веб-сайт.

В качестве другого из вариантов исполнения предлагается система приведения веб-сайта, собирающей личную информацию пользователей, в соответствие с законодательством о персональных данных, при этом система содержит: модуль сканирования, предназначенный для сбора сведений на указанном веб-сайте, связанных с элементами, содержащими признаки обработки персональных данных пользователей, и сведений о действиях, которые необходимо производить пользователю веб-сайта при взаимодействии с указанными элементами, и передачи собранных сведений модулю анализа; модуль анализа, предназначенный для анализа собранных сведений при помощи критериев оценки, во время которого определяет соответствие каждого выявленного элемента каждому критерию оценки, и передачи результатов анализа модулю формирования результата оценки; модуль формирования результата оценки, предназначенный для вынесения решение о несоответствии по крайней мере одного указанного элемента веб-сайта требованиям законодательства о персональных данных на основании результатов анализа, при этом в случае несоответствия указанного элемента по крайней мере одному критерию оценки, выносится решение о несоответствии указанного элемента требованиям законодательства о персональных данных, и формирования результата оценки, который содержит сведения об обнаруженных нарушениях; модуль подготовки требуемых изменений, связанный с модулем приведения в соответствия, предназначенный для формирования и передачи запроса владельцу веб-сайта посредством электронного взаимодействия необходимые данные, которые включают по крайней мере информацию о владельце веб-сайта, и формирования на основании полученного ответа в электронном виде индивидуального пакета документов для каждого указанного элемента, который нарушает указанные требования законодательства; модуль приведения в соответствия, предназначенный для создания программного кода для сформированных пакетов документов и размещения на указанном веб-сайте созданного программного кода, при этом программный код связывает пакет документов с соответствующим элементом; хранилище данных, связанную с указанными модулями и предназначенную для хранения по крайней мере требований законодательства о персональных данных различных стран, критериев оценки и созданных пакетов документов.

В другом варианте исполнения системы критерием оценки являются по крайней мере один из следующих критериев:

- наличие окна ввода согласия пользователя на обработку персональных данных для каждого выявленного элемента,

- наличие окна ввода согласия пользователя об отказе от ответственности владельца сайта при обработке данных, связанных со сведениями о пользователе,

- наличие передачи данных по защищенным протоколам и наличие SSL-сертификата,

- наличие документов, связанных с информированием о политике обработки персональных данных.

В еще одном варианте исполнения системы запрашиваемыми данными о владельце веб-сайта является по крайней мере один из: налоговый идентификатор организации или идентификационный номер налогоплательщика (ИНН).

В другом варианте исполнения системы указанная система дополнительно содержит модуль обновления требований законодательства, предназначенный для проведения периодической проверки обновлений в требованиях законодательства о персональных данных на соответствующих информационных ресурсах, и обновления документов в созданных пакетах документов, при выявлении изменений в указанных требованиях законодательства.

В еще одном варианте исполнения системы модуль приведения в соответствия создает программный код для веб-сайта в виде скрипта или виджета.

В другом варианте исполнения системы модуль приведения в соответствия сохраняет созданные пакеты документов на указанном веб-сайте.

Краткое описание чертежей

Прилагаемые чертежи включены в данное описание и составляют его часть, иллюстрируют один или несколько вариантов осуществления предметов заявленной технологии вместе с подробным описанием и служат для пояснения принципов и вариантов осуществления заявленной технологии.

Фиг. 1 иллюстрирует схему взаимодействия информационной системы вида веб-сайт с заявленным изобретением во время ее аудита или приведения в соответствия с законодательством.

Фиг. 2 иллюстрирует структурную схему системы оценки веб-сайта на соответствие требованиям законодательства и приведения в соответствия, в случае выявления нарушений.

Фиг. 3 представляет способ оценки информационной системы в виде веб-сайта на соответствие законодательству о персональных данных и выявления нарушения.

Фиг. 4 представляет способ приведения веб-сайта, собирающего личную информацию пользователей, в соответствие с законодательством о персональных данных при выявлении нарушений.

Фиг. 5 и 6 демонстрируют примеры элементов, содержащих признаки обработки персональных данных пользователей.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.

Настоящее изобретение позволяет произвести проверку информационных систем типа веб-сайт (далее - веб-сайт) на их соответствие требованиям законодательства о защите и обработки персональных данных пользователей, в частности законодательства РФ о персональных данных, такого как Федеральный закон N 152-ФЗ "О персональных данных". Проверка осуществляется на основании оценки соответствия проверяемого веб-сайта указанным в законодательстве о персональных данных требованиям с выявлением возможных нарушений, в случае определения о несоответствии веб-сайта какому-либо требованию указанного законодательства о персональных данных. В частности, требования законодательства связаны с информированием пользователей (например, путем уведомления) о сборе личных данных, проверкой согласия пользователя или с наличием возможности дать такое согласие на обработку персональных данных для каждой определенной категории персональных данных и обеспечением безопасности при передаче данных между веб-браузером, содержащемся на компьютере пользователя, и веб-сервером, содержащим проверяемый веб-сайт. В случае выявления нарушения представленное изобретение имеет возможность сформировать решение о необходимых изменениях на веб-сайте с последующим предоставлением таких изменений, чтобы веб-сайт удовлетворял необходимым требованиям.

При описании настоящего изобретения будет использоваться, по меньшей мере, следующие термины:

Юридически значимые действия - это действия, которые влекут за собой возникновение каких-либо юридических последствий. В рамках заявленного изобретения примерами таких действий могут являться действия, направленные на удовлетворения требований законодательства.

Под требованиями законодательства подразумеваются формализованные критерии законодательства страны, к которой относится веб-сайт, при этом на основании критериев производится оценка соответствия требованиям. Другими словами, критерии формируются на основании требований законодательства. Стоит отметить, при изменении требований законодательства о персональных данных, критерии приводятся в соответствия с ними.

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая, но не ограничиваясь, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники, такой как персональный компьютер или веб-сервер.

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому пользователю, т.е. физическому лицу или субъекту персональных данных. Так, примерами персональных данных являются фамилия, имя, отчество, дата и место рождения, образование, адрес, списки геолокаций, идентификаторы внешних информационных ресурсов пользователя в социальных сетях, семейное, социальное, имущественное положение, профессия, личные аудио, фото и видео файлы, финансовая информация, а также cookie и другими метаданными, IP-адрес, идентификаторы устройства (IMEI, UDID, IMSI, MAC address), через который взаимодействует пользователь с веб-сайтом, номер мобильного телефона и т.д.

Веб-сайт - информационная система, представляющая собой веб-ресурс, размещенные на хостинге провайдера. При этом информационная система может принадлежать как организации (юридическому лицу), так и другому пользователю (физическому лицу).

Элемент веб-сайта - является частью веб-страницы и/или некой формой, содержащей сведения о персональных данных, при этом форма может является заполняемой и/или выдаваемой.

Оператор - юридическое или физическое лицо, которые организуют и/или осуществляют обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Сценарий или скрипт (англ. script) - последовательность команд и/или действий, небольшая программа или макрос, исполняемые приложением или ОС при конкретных обстоятельствах, например, при регистрации пользователя в системе. Сценарии часто хранятся в виде текстовых файлов, которые интерпретируются во время исполнения.

Виджет (англ. Widget) - визуальный элемент интерфейса, например, для веб-сайта, который имеет определенную функцию. В настоящем изобретении виджет выполняет функцию предоставления необходимой информации пользователю веб-сайта.

Реализация представленного изобретения включает в себя выявление элементов, содержащий признаки обработки личных и/или персональных данных пользователей, на веб-сайте, сбор сведений на веб-сайте, связанных с признаками обработки персональных данных пользователей и с информацией о веб-сайте, их анализ, во время которого определяется категория/тип данных, на выявленных элементах веб-сайта, и вынесения решения о наличии несоответствий веб-сайта с сайта требованиям законодательства о персональных данных. Кроме того, заявленное изобретение позволяет привести в соответствие веб-сайт для устранения выявленных нарушений. Далее описываются варианты реализации изобретения в виде систем и способов.

На Фиг. 1 представлена схема взаимодействия информационной системы вида веб-сайт с системой оценки веб-сайта 105 во время ее аудита или приведения в соответствия с законодательством стран о персональных данных.

Система оценки веб-сайта 105 реализуется при помощи компьютерной системы (не показана на Фиг. 1) общего назначения, которая может быть, как персональным компьютером, так и веб-сервером 110. Компьютерной системе (далее - компьютер) присущи все компоненты современных компьютерных устройств и/или веб-серверов. Компьютер, в том числе имеет файловую систему, на которой содержится записанная операционная система, а также дополнительные программные приложения, программные модули и данные программ. Компьютер способен работать в сетевом окружении, при этом используется сетевое соединение с одним или несколькими удаленными компьютерами. Удаленный компьютер (или компьютеры) являются такими же персональными компьютерами или веб-серверами. Кроме того, в вычислительной сети, например, сети Интернет 102, могут присутствовать также и другие вычислительные устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы, через которые осуществляется взаимодействие с веб-сайтом 120.

Сетевые соединения могут образовывать как локальную вычислительную сеть (LAN), так и глобальную вычислительную сеть (WAN), включая сети операторов мобильной связи. Такие сети, например, применяются в корпоративных компьютерных сетях и, как правило, имеют доступ к сети Интернет 102. В LAN- или WAN-сетях компьютер подключен к локальной сети через сетевой адаптер или сетевой интерфейс. При использовании сетей компьютер может использовать различные средства обеспечения связи с глобальной вычислительной сетью, такой как сеть Интернет 102, например, модем. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети.

Веб-сайт 120 представляет собой веб-ресурс, объединяющий некоторое количество веб-страниц 130 и размещенный, например, на веб-сервере 110б. Как правило, веб-сервер 110б принадлежит хостинг-провайдеру. Хостинг-провайдер объединяет в себе возможности хостинга (от англ. hosting) и провайдера (от англ. internet service provider). Веб-сервером может также называться компьютерная программа, выполняющую функции обычного сервера (компьютерной системы), на котором данная программа работает, но с возможностью взаимодействия в глобальной сети. Помимо веб-сервера могут быть установлены различные серверные приложения, например, почтовый сервер, файловый сервер и т.д., каждый из которых предоставляет свой собственный сервис. Для доступа к подобным сервисам используются специальные программы, такие как веб-браузер, почтовый клиент, клиент службы доступа к файлам и другие. Соответственно пользователи 170 с помощью веб-браузера 180 могут получить доступ к представляемым данным на веб-сайтах 120 по URL-адресу требуемой им веб-страницы 140 веб-сайта 120.

Стоит отметить, что взаимодействие между веб-сайтом 120 и пользователями 170, в том числе и с системой оценки веб-сайта 105, производится с помощью различных протоколов передачи данных, такие как HTTP(S), (S)FTP, SSH, POP3, SMTP и IMAP4. Таким образом, система оценки веб-сайта 105 во время проверки веб-сайта 120 на соответствия требованиям законодательства производит удаленное взаимодействие с ним, через сети связи, такие как сеть Интернет 102.

Кроме того, для выполнения своего предназначения система оценки веб-сайта 105 также может взаимодействовать с различными внешними сервисами (источниками информации) с целью обновления данных, например, связанных с требованиями законодательства стран, в случае изменения указанных требований или же появления новых требований или законов.

Веб-сайт 120 при взаимодействии с пользователем 170 через веб-браузер 180, установленный на компьютере 110в пользователя, в большинстве случаев будет осуществлять обработку данных о пользователе или данных, вводимых пользователем, как по требованию веб-сайта, так и самостоятельно. Поэтому система оценки веб-сайта, описанная далее, позволяет произвести проверку веб-сайта на соответствие требованиям законодательства о персональных данных, подготовить и внести изменения, устраняющие выявленные нарушения.

Фиг. 2 иллюстрирует структурную схему системы оценки веб-сайта 105 на соответствие требованиям законодательства и приведения в соответствия, в случае выявления нарушений.

Система оценки сайта 105 предназначена для оценки веб-сайта, обрабатывающего персональные данные пользователя, на соответствие указанного веб-сайта требованиям законодательства о персональных данных. При этом система оценки сайта 105 в зависимости от территориального размещения хостинг-провайдера, который предоставляет ресурсы для размещения веб-сайта, и лица (оператора), которому принадлежит веб-сайт, производит формирования перечня требований к веб-сайту в соответствии с требованиями законодательства той страны, к которой относится веб-сайт. Так, например, если хостинг-провайдера, на котором содержится веб-сайт, территориально размещен на территории РФ, то перечень требований будет формироваться в соответствии с требованиями российского законодательства. Если оператор сайта является лицом РФ, то перечень требований также будет сформирован в соответствии с законодательством РФ.

Так, примером требований законодательства РФ являются такие требования как: выполнение владельцем (оператором) веб-сайта обязанностей оператора при обработки данных в соответствии ФЗ; согласие пользователя на обработку его персональных данных и на те цели обработки, которые заявлены оператором; обеспечение конфиденциальности и защиты обрабатываемых данных.

Система оценки сайта 105 при получении запроса на проверку веб-сайта на соответствия указанным требованиям производит выявление, по крайней мере, одного элемента, содержащего признаки обработки персональных данных пользователей, на одной веб-странице веб-сайта. В качестве таких элементов, как упоминалось выше, служат по крайней мере различные формы персональных данных, которые заполняются и выдаются на веб-сайте. Формы персональных данных могут включать в себя такие типовые поля как фамилия и имя, идентификаторы пользователя, номер кредитной карты, почтовый ящик, заказа обратного звонка, корзина, оплата, регистрация, подписка на новости (email) и так далее. Кроме того, на веб-сайте могут быть установлены различные механизмы, которые производят сбор сведений о действиях пользователя на веб-сайте во время его взаимодействия с веб-сайтом. Такие механизмы также являются элементами, содержащими признаки обработки персональных данных, и должны соответствовать требованиям законодательства. Примером такого механизма является технология по сбору кук-файлов (от англ. HTTP cookies).

Система оценки сайта 105 включает по меньшей мере следующие модули при реализации: модуль сканирования 210, модуль анализа 220, модуль формирования результатов оценки 230 и хранилище данных 250. Кроме того, система оценки веб-сайта 105 для приведения в соответствия веб-сайт к требованиям законодательства в случае выявления нарушений также содержит модуль приведения в соответствия 270 и модуль подготовки изменений 260. В еще одном частном случае реализации система оценки веб-сайта 105 содержит и модуль обновления требований законодательства 280. Каждый указанный модуль системы оценки сайта 105 может представлять собой как аппаратное, так и программное средство, который реализуется с помощью компьютера, или же их совокупностью.

Модуль сканирования 210 предназначен для сканирования веб-сайта с возможностью выявления упомянутых выше элементов веб-сайта и сбора необходимых сведений. Во время сканирования веб-сайта модуль сканирования 210 производит сбор сведений, включающих как сведения, связанные с признаками обработки персональных данных (первые сведения), так и сведения о самом веб-сайте (вторые сведения). Первые сведения включают в себя любую информацию об указанных элементах, в том числе сведения связанные с требованиями законодательства. Стоит отметить, что при реализации указанной системы требования законодательства преобразуются в необходимые критерии оценки, для последующего анализа. Вторые сведения включают в себя, не ограничиваясь, юридическую и контактную информацию об организации или лице, осуществляющих программно-аппаратное обеспечение работы веб-сайта и его доступность в сети Интернет, а также информацию о хостинг-провайдере, предоставляющем ресурсы для размещения указанного веб-сайта. В свою очередь данная информация (вторые сведения) позволяет определить территориальную принадлежность сайта и официальный статус хранения персональных данных на соответствующей территории (например, территории РФ), который указывает на соответствующие требования законодательства. Кроме того, сведения могут содержать и технические сведения об интернет-адресах, к которым привязано программно-аппаратное обеспечение. По этим адресам определяется физическое расположение хостинга, что во время анализа модулем анализа 220 позволяет проверить достоверность заявленного юридического адреса. Всю собранную информацию модуль сканирования 210 передает в модуль анализа 220 для последующей работы. В предпочтительном варианте реализации, сбор сведений производится удалено через сети связи, такие как сеть Интернет.

Модуль анализа 220 выполнен с возможностью проведения анализа полученных сведений от модуля сканирования 210. Анализ сведений можно условно разделить на две части. Одна часть заключается в анализе упомянутых выше вторых сведений, во время которого производится определение территориальной принадлежности веб-сайта и оператора с последующим подбором необходимого перечня требований законодательства о персональных данных, который актуален для проверяемого веб-сайта на момент проверки. Поэтому перечень требований подбирается в зависимости от нужд оценки веб-сайта. В частности, во время анализа вторых сведений проверяются сведения о хостинге веб-сайта, какому законодательству и какому государству они соответствуют. Другая часть анализа заключается в проверке указанных выше первых сведений о выявленных элементах, содержащих признаки обработки персональных данных. Каждый указанный элемент проверяют с помощью критериев оценки, сформированных на основании требований законодательства. Поэтому после определения соответствующего перечня требований законодательства выбирается критерии оценки. Анализ первых сведений производится на основании выбранных критериев оценки, во время которого определяется соответствия каждого выявленного элемента каждому критерию оценки. Так, например, одними из критериев оценки являются по крайней мере следующие критерии:

- наличие окна ввода согласия пользователя на обработку персональных данных (например, в виде установки «галочки», кнопки);

- наличие окна ввода согласия пользователя об отказе от ответственности (англ. Disclaimer) владельца сайта при обработке данных, связанных со сведениями о пользователе (например, куки-файлы);

- наличие передачи данных по защищенным протоколам (HTTPS) и с использование SSL сертификата, его актуальность;

- наличие документов (данных), связанных с информированием пользователя о политике обработки персональных данных.

- наличие соответствующих документов в виде файлов или электронной ссылки на них для каждой формы, содержащей признаки обработки персональных данных.

Стоит отметить, что критерии оценки также могут учитывать класс обрабатываемых данных, так как законодательство о персональных данных может накладывать требования в зависимости от класса персональных данных. Классами персональных данных являются, например, такие классы как обычные персональные данные (такие как Ф.И.О., место рождения, ИНН), специальные персональные данные (такие как состояние здоровья, расовая принадлежность, религиозные убеждения) и биометрические персональные данные (такие как копия фотографии с документа, отпечатки пальцев, форма ладони). Класс персональных данных позволяет регулировать уровень значимости, в случае реализации механизма определения класса персональных данных. Так, хранение только фамилии, имени, отчества задает класс персональных данных как имеющий низкую значимость в силу отсутствия уникальности для таких наборов значений полей. Хранение же уникальных персональных идентификаторов, таких как ИНН, СНИЛС, номеров свидетельств медицинского страхования и номеров именных транспортных билетов и электронных платежных карт повышает значимость элемента и класс персональных данных до высокого. Чем выше значимость этого элемента, тем выше риски несанкционированного доступа к персональным данным, и потенциально нанесенный ущерб. Соответственно, в зависимости от класса персональных данных также могут изменяться критерии оценки, например, связанные с проверкой требований по обеспечению защиты или конфиденциальности персональных данных.

В частном случае реализации изобретения система оценки сайта (модуль анализа 220) может быть сконфигурирована таким образом, что будет содержать всегда один перечень требований законодательства, который изначально был сформирован для конкретной страны или же конкретного законодательства (закона). Так, один вариант реализации будет содержать один печень требований, которые будет описывать федеральный закон №152-фз «о персональных данных». Другой вариант реализации будет содержать другой перечень требований, которые будет содержать требования согласно всему законодательству конкретной страны. При этом перечни могут быть обновляемыми. Такая реализация изобретения позволяет оптимизировать систему оценки сайта к условиям конкретной страны или законодательства. Таким образом исключив этап подбора требований, но ограничив территорией использования, - позволит адаптировать систему оценки и ускорить процесс анализа, но при этом все равно останется необходимость проверки веб-сайта на территориальную принадлежность.

В еще одном частном случае реализации изобретения еще одной характеристикой для подбора требований и, соответственно, критериев оценки является определение возможных операций, которые могут быть совершены над персональными данными. Примерами операций над данными являются чтение, запись, модификация и удаление данных. Так, возможность использования той или иной операции в элементе, содержащего признаки обработки персональных данных пользователей, веб-сайта будет накладывать свой отпечаток в анализе собранных сведений.

В другом варианте реализации при анализе сведений в соответствии с критериями оценки каждому указанному элементу может рассчитываться весовое значение, в соответствии с которым будет определяться с помощью модуля принятия решения 230 наличие нарушения. Весовое значение зависит от степени несоответствия указанного элемента какому-либо критерию оценки. Определение весовых значений производится с помощью сопоставления сведений, собранных об элементе, и содержание критерия. Например, элемент должен содержать положение об информировании пользователя о сборе соответствующего класса данных, но такого положения для непосредственного элемента нет, при этом есть информирующее положение на главной странице веб-сайта. Соответственно, согласно указанным условиям будет рассчитано весовое значение.

В одном из вариантов реализации весовое значение может использовать двоичную систему определения несоответствии элемента требованиям законодательства. В этом случае, в случае полного отсутствия нарушения, будет определяться как элемент, соответствующий требованиям. В противном случае, если будет выявлено даже незначительное несоответствие, то будет определяться как элемент не соответствует требованиям законодательства.

Модуль анализа 220 по окончанию анализа сведений, полученных от модуля сканирования, передает результаты анализа модулю формирования результатов оценки 230. Результаты анализа содержат, по крайней мере, информацию о проверки каждого элемента, содержащего признаки обработки персональных данных, на основании критериев оценки. Также в зависимости от реализации изобретения результаты анализа могут содержать еще информацию о классе персональных данных, их значимости и весовых значениях каждого элемента.

Модуль формирования результата оценки 230 (далее - модуль 230) выполнен с возможностью вынесения решения о соответствии сайта требованиям законодательства о персональных данных и формирования отчета оценки, который содержит сведения об обнаруженных нарушениях. Решение принимается на основании полученных результатов анализа. Результаты анализа содержат по крайней мере сведения о соответствии каждого указанного элемента критериям оценки.

Также, в частности, решение может выноситься на основании весовых значений выявленных элементов, которые описывают результаты оценки соответствия каждого выявленного элемента критериям оценки. Кроме того, модуль 230 во время формирования отчета оценки для каждого выявленного элемента, который не соответствует требованиям законодательства, формирует/вносит информацию о необходимых изменениях. Далее модуль 230 предоставляет подготовленный отчет оценки запрашиваемому лицу (оператору).

В одном из вариантов реализации системы оценки веб-сайта 200 указанная система производит автоматическую подготовку требуемых изменений с целью приведения веб-сайта в соответствие с требованиями законодательства. В этом случае система дополнительно содержит модуль подготовки изменений 260 и модуль приведения в соответствия 270.

Так, если отчет оценки содержит сведения об обнаруженных нарушениях требований законодательства, то модуль 230 уведомляет модуль 260 о выявленных нарушениях. Например, передает отчет оценки.

Модуль 260 выполнен с возможностью формирования в электронном виде пакета документов для каждого элемента, в том числе тех, которые не соответствуют требованиям законодательства. Для этого модуль 260 запрашивает у владельца (оператора) веб-сайта посредством электронного взаимодействия данные необходимые для формирования пакета документов для каждого элемента веб-сайта. Запрашиваемыми данными являются, но не ограничиваются, такие данные как идентификационный номер владельца (ИНН) или налоговый идентификатор организации. После получения данных модуль 260 формирует пакет документов для каждого элемента веб-сайта с учетом требований законодательства страны, которой принадлежит веб-сайт и владелиц. Примерами документов, которые могут входить в создаваемый перечень, являются документы: документ согласия пользователя на обработку персональных данных в объеме собираемых данных соответствующим элементом, документ информирования пользователя об обработки персональных данных, перечень обрабатываемых персональных данных, политики в отношении обработки персональных данных, положения о защите персональных данных, поручение на обработку персональных данных и другие. Стоит отметить, что электронные образцы документов хранятся в хранилище данных 250 и могут публиковаться и обновляться на веб-сайте дистанционно либо же переноситься на веб-сайт и сохраняться на нем локально. В частности, пакет документов содержит также и документы, которые могут быть предназначены сразу для нескольких элементов веб-сайта. Так, например, формируется дисклеймер (англ. Disclaimer) - письменный отказ от ответственности за возможные деликатные последствия того или иного поступка в результате действий заявившего данный отказ либо третьих лиц.

Модуль приведения в соответствия 270 предназначен для создания программного кода, позволяющего предоставлять пользователю веб-сайта необходимый документ или же весь пакет документов, в случае взаимодействия пользователя с элементом, который содержит признаки обработки персональных данных, веб-сайта. Модуль 270 формирует указанный программный код, который связывает подготовленные документы из пакета документов с соответствующими элементами веб-сайта. В одном из вариантов реализации формирование программного кода производится на основании образца, хранящегося в хранилище данных 250. Т.е. производится адаптация под конкретный веб-сайт. Далее модуль устанавливает сформированный программный код на веб-сайте автоматически или же с помощью оператора веб-сайта. В случае автоматической установки оператор веб-сайт совместно с предоставляемыми данными, о которых написано выше, предоставляет и доступ для модификации веб-сайта. В противном случае, модуль предоставляет сформированный программный код оператору для размещения на веб-сайте и ждет ответа о проведении такой установки. Сформированный программный код в зависимости от реализации может представлять из себя, например, скрипт или виджет.

Стоит отметить, что пакет документов для элементов веб-сайта может храниться как совместно с веб-сайтом, так и удаленно, например, в хранилище данных 250 системы оценки веб-сайта 200.

Принцип работы после формирования пакета документов и установки программного кода будет следующий: 1) пользователь заходит на веб-сайт и обращается к элементу, содержащему признаки обработки персональных данных; 2) в этот момент пользователю предоставляются текст документов, которые соответствуют требованиям законодательства, с помощью установленного программного кода; 3) в части, касающейся информирования пользователя с помощью документов, осуществляется выполнение требований законодательства.

В еще одном варианте реализации система оценки веб-сайта содержит модуль обновления требований законодательства 280. Модуль 280 предназначен для поддержания в актуальном виде образцов, содержащихся в хранилище данных, и сформированных пакетов документов для элементов веб-сайта. Для этого модуль 280 взаимодействует со специальными веб-ресурсами, на которых хранятся или публикуются изменения в законодательстве. В случае выявления нового изменения производит изменения самостоятельно, например, в образцах документов, либо формирует задачу модулю подготовки изменений 260 для корректировки пакетов документов. Таким образом, модуль 280 производит периодическую проверку на актуальность и обновление документов при необходимости.

Стоит отметить, хранилище данных 250 выполнено таким образом, чтобы взаимодействовать со всеми модулями системы оценки веб-сайта 200 и обеспечивать хранение данных, необходимых для работы указанной системы 200. В частности, хранилище данных 250 содержит требования законодательства о персональных данных различных стран, критерии оценки, связанные с требованиями, образцы электронных документов, перечень актуальной документации, скрипт для получения необходимых данных для подготовки документов, образец программного кода для размещения на веб-сайте с целью устранения выявленных нарушений.

На Фиг. 3 представлен способ оценки информационной системы в виде веб-сайта на соответствие законодательству о персональных данных и выявления нарушения.

Способ оценки информационной системы в виде веб-сайта (способ оценки веб-сайта) позволяет выявить возможные нарушения элементами, содержащими признаки обработки персональных данных пользователей, веб-сайта требований законодательства о персональных данных. Способ оценки веб-сайта реализуется с помощью компьютерной системы, в частности с помощью средств системы оценки веб-сайта 200.

На этапе 310 производят сканирования веб-сайта, во время которого выявляют элементы, содержащие признаки обработки персональных данных пользователей, на сканируемом веб-сайте. Если по крайней мере один указанный элемент на одной веб-странице веб-сайт выявлен, то переходят к этапу 320. В противном случае, если указанных элементов не выявлено завершают работу.

На этапе 320 производят сбор сведений, который включает сбор сведений, связанные с указанными элементами и признаками обработки персональных данных пользователей, на веб-сайте и сведений о веб-сайте. Сведения о веб-сайте собираются как на самом веб-сайте, так и с других веб-ресурсов, содержащих сведения о сканируемом веб-сайте. Примеры собираемых сведений и варианты из сбора представлены при описании Фиг. 2. В частности, в качестве сведений, собираемых о элементах и признаках обработки, включают сведения об обрабатываемых персональных данных и сведения о выполнении требований законодательства о персональных данных связанных с обрабатываемыми персональными данными. Так, например, производится поиск документов об информировании пользователя об обработки их персональных данных, о согласие пользователей на обработку их персональных данных и других требований. Сведения о веб-сайте включают в себя, не ограничиваясь, юридическую и контактную информацию о владельце веб-сайта (операторе) и информацию о хостинг-провайдере, предоставляющем ресурсы для размещения указанного веб-сайта. После сбора необходимой информации переходят к этапу 330.

На этапе 330 определяют необходимый перечень требований законодательства о персональных данных, который будет содержать актуальные требования для оценки веб-сайта. Определение заключается в выявлении территориальной принадлежности веб-сайта и его владельца на основании собранных данных о веб-сайте и последующего подбора соответствующих территории требований законодательства. Территориальная принадлежность (принадлежность к государству, например, к Российской Федерации) указывает на отношении веб-сайта к тому и иному законодательству и соответственно к их требованиям. После определения необходимого законодательства для оценки веб-сайта формируется перечень требований из требований, содержащихся в хранилище данных. Хранилище данных содержит все актуальные требования законодательства различных стран на момент оценки веб-сайта. Указанные требования предварительно формализованы и приведены в вид, позволяющий производить оценки веб-сайта автоматически, т.е. без участия человека. Одним из вариантов такой реализации являются создания критериев оценки для оценки веб-сайта на основании требований законодательства. Примеры критериев оценки представлены при описании Фиг. 2.

Стоит отметить, что этап 330 в зависимости от реализации может быть и опциональным этапом. Так, например, в случаях, когда заведомо известна принадлежность веб-сайта к конкретной территории/государству и/или известен перечень требований, в соответствии с которым необходима проверка. Например, оператор веб-сайта заранее уведомил систему оценки веб-сайта (предоставил необходимую информацию), либо же способ реализуется таким образом, чтобы произвести оценку на соответствие конкретному перечню требований. Тогда перечень требований будет содержать требования, которые соответствуют законодательству государства, для которого адаптировано настоящее изобретение (способ или система). Соответственно, этап 330 может быть заключаться только в проверки соответствия веб-сайта соответствующему веб-сайту или же вообще этап 330 будет исключен, в случае, когда будем предполагать, что веб-сайт соответствует конкретным требованиям, а веб-сайт закреплен за конкретной территорией.

На этапе 340 производят анализ собранных сведений об элементах и их признаках обработки персональных данных в соответствии с определенным перечнем требований законодательства (критериев оценки). Так для каждого выявленного элемента производится проверка сведений об этом элементе согласно критериям оценки. В одном из вариантов реализации каждому критерию оценки может быть назначено весовое значение. В этом случае при оценке элемента на соответствие производится подсчет весовых значений. В другом варианте может быть сформирована более жесткая оценка, когда в случае несоответствия хотя бы одному критерию оценки, элемент будет признаваться не соответствующим требованиям законодательства.

На этапе 350 выносят решение о наличии несоответствия веб-сайта требованиям законодательства о персональных данных на основании проанализированных сведений об элементах веб-сайта. Выносимое решение базируется на результатах анализа каждого выявленного элемента веб-сайта. Так в случае, если по крайней мере один элемент не соответствует требованиям законодательства, то выносится решение о нарушении веб-сайта действующего законодательства, которое распространяется на оцениваемый веб-сайт. В противном случае, если каждый элемент соответствует указанным требованиям, то выносится решение о соответствии веб-сайта действующему законодательству.

На этапе 360 формируется результаты оценки веб-сайта. Способы формирования результатов оценки могут быть различные и зависят от конкретного вида реализации изобретения. Результаты оценки формируются в предпочтительный вид содержащие сведения об обнаруженных нарушениях. В одном варианте является текстовым файлом, содержащим сведения об оценки веб-сайта, которые содержат по крайней мере вывод оценки в виде нарушает или не нарушают и в случае нарушения сведения об элементе, который не соответствует требованиям и каким критериям оценки. В другом варианте является заданием для модуля подготовки изменений 260, которое содержит сведения о нарушениях, для последующей подготовки необходимых изменений для удовлетворения выявленных несоответствий.

Фиг. 4 представлен способ приведения веб-сайта, собирающего личную информацию пользователей, в соответствие с законодательством о персональных данных при выявлении нарушений.

На этапе 420 производят сбор сведений аналогично этапу 320, представленному при описании Фиг. 3, и с учетом того, что уже известно или были выявлены элементы, содержащие признаки об обработки персональных данных пользователей. На этапе 440 производят анализ собранных сведений аналогично этапу 340. На этапе 450 выносят решение о наличии нарушений веб-сайтом требований законодательства. В случае, если ни одного не соответствия у каждого выявленного элемента веб-сайта не обнаружено, то переходят к этапу 455, на котором выносят решение о соответствии веб-сайта требованиям законодательства и завершают работу. В противном случае, если по крайней мере одно не соответствие у одного элемента веб-сайта выявлено, то переходят к этапу 460. На этапе 460 формируют результаты оценки, которые содержат сведения об обнаружении нарушений. Сведения по крайней мере включают информацию об элементах веб-сайта и критериях оценки, которым не соответствуют элементы веб-сайта. Далее на этапе 470 на основании сформированного отчета с помощью модуля 260 создают и отправляют запрос на получения дополнительных данных для владельца/оператора веб-сайта. Запрос отправляют посредством электронного взаимодействия. После получения ответа переходят к этапу 480. На этапе 480 формируется в электронном виде пакет документов для каждого элемента, который был определен как не соответствующий требованиям законодательства, в соответствии с нарушенными критериями оценки на основании образцов документов, хранящихся в хранилище данных 250, и с учетом полученных данных от владельца веб-сайта. Другими словами, формируется персонализированный пакет документов для каждого указанного элемента веб-сайта для устранения выявленных нарушений и удовлетворения требований законодательства. На этапе 490 создают программный код, который размещается на веб-сайте, с целью создания связи между сформированным пакетом документов и элементом веб-сайта. В этом случае при взаимодействии пользователя с элементом веб-сайта будет предоставляться соответствующий пакет документов. Примером программного кода является скрипт (англ. JavaScript) код/файл или виджет. Размещение/встраивание программного кода на веб-сайте может быть реализовано как с помощью оператора веб-сайта, так и в автоматическом режиме. При автоматическом режиме необходимо иметь доступ к веб-сайту для его модификации. Стоит отметить, что сформированные перечни документов могут храниться как вместе с веб-сайтом, так и удаленно, например, в хранилище данных 250.

На Фиг. 5 и 6 продемонстрированы примеры веб-страниц веб-сайтов, которые содержат элементы, содержащие признаки обработки персональных данных пользователей.

На Фиг. 5 представлен пример веб-страницы 500, на которой содержится элемент 510 в виде формы, которая в свою очередь содержит поля для ввода персонализированных данных пользователя, таких как логин 512 для идентификации пользователя веб-сайте и пароль 514 входа на вебсайт. На веб-странице 500 также содержать элементы 520 и 530, которые требуют проверку на наличие персональных данных пользователя. Например, в случае повторного входа ранее зарегистрированного пользователя на веб-сайте элемент 520 может содержать фотографию пользователя, которая ранее была получена при первом входе на веб-сайт.

На Фиг. 6 демонстрируется пример веб-страницы онлайн банка. На веб-странице 600 представлен элемент (раздел) 610 для перевода денежных средств или оплаты финансовых счетов. В разделе 610 требуется ввести персональные данных пользователя для получения соответствующей услуги онлайн-банка. Раздел 620 содержит информационное поле, которое также может содержать некие персональные данные пользователя, например, идентификационные данные пользователя на веб-сайте.

В заключении следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Похожие патенты RU2690763C1

название год авторы номер документа
Система и способ оценки веб-сайта на соответствие законодательству о персональных данных 2017
  • Михальский Олег Олегович
RU2682863C1
СПОСОБ ВЫЯВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ОТКРЫТЫХ ИСТОЧНИКОВ НЕСТРУКТУРИРОВАННОЙ ИНФОРМАЦИИ 2013
  • Хуснояров Фарит Фаритович
RU2549515C2
Система деперсонализации и миграции персональных данных пользователей на веб-сайтах на основе технологии резервного копирования 2018
  • Михальский Олег Олегович
RU2731110C2
Система защиты персональных данных пользователей в информационной системе на основании деперсонализации и миграции в безопасное окружение 2017
  • Михальский Олег Олегович
RU2698412C2
ТЕЛЕКОММУНИКАЦИОННАЯ СИСТЕМА ДЛЯ ОСУЩЕСТВЛЕНИЯ В НЕЙ ЗАЩИЩЕННОЙ ПЕРЕДАЧИ ДАННЫХ И УСТРОЙСТВО, СВЯЗАННОЕ С ЭТОЙ СИСТЕМОЙ 2016
  • Фриджерьо Томмазо
  • Ридзутти Лука
RU2722393C2
СПОСОБ АНАЛИЗА И ВЫЯВЛЕНИЯ ВРЕДОНОСНЫХ ПРОМЕЖУТОЧНЫХ УЗЛОВ В СЕТИ 2012
  • Голованов Сергей Юрьевич
RU2495486C1
СПОСОБ ОБНАРУЖЕНИЯ ВРЕДОНОСНЫХ ПРОГРАММ И ЭЛЕМЕНТОВ 2015
  • Рабинович Илья Самуилович
RU2613535C1
Система и способ оценки опасности веб-сайтов 2015
  • Михальский Олег Олегович
  • Балепин Иван Владимирович
RU2622870C2
СПОСОБ И СИСТЕМА ДЛЯ ПРОВЕДЕНИЯ ТОРГОВЫХ ОПЕРАЦИЙ С ИСПОЛЬЗОВАНИЕМ ЭЛЕКТРОННЫХ СРЕДСТВ ОБРАБОТКИ ИНФОРМАЦИИ 2022
  • Посаженников Владимир Владимирович
RU2775442C1
СПОСОБ ФОРМИРОВАНИЯ И ЭКСПЛУАТАЦИИ БАЗЫ ДАННЫХ 2013
  • Панфилова Татьяна Валентиновна
RU2555232C2

Иллюстрации к изобретению RU 2 690 763 C1

Реферат патента 2019 года Система и способ приведения веб-сайта, собирающего личную информацию, в соответствие с законодательством о персональных данных при выявлении нарушений

Настоящее изобретение относится к средствам информационной безопасности в электронных сетях. Технический результат – обеспечение приведения в соответствие веб-ресурса, собирающего личные данные пользователя, законодательству о персональных данных. Способ приведения веб-сайта, собирающего личную информацию пользователей, в соответствие с законодательством о персональных данных содержит этапы модификации информационной системы, на которой производится сбор или использование данных, путем внедрения в указанную веб-страницу программного кода (скрипта), который устраняет нарушение путем создания соответствующего решения. 2 н. и 11 з.п. ф-лы, 6 ил.

Формула изобретения RU 2 690 763 C1

1. Реализуемый компьютером способ приведения веб-сайта, собирающего личную информацию пользователей, в соответствие с законодательством о персональных данных, при этом способ содержит этапы, на которых:

а) производят сбор сведений на указанном веб-сайте, связанных с элементами, содержащими признаки обработки персональных данных пользователей, и сведений о действиях, которые необходимо произвести пользователю при взаимодействии с указанными элементами;

б) производят анализ собранных сведений при помощи критериев оценки, во время которого определяется соответствие каждого выявленного элемента критериям оценки;

в) выносят решение о несоответствии по крайней мере одного указанного элемента веб-сайта требованиям законодательства о персональных данных на основании результатов анализа на этапе б);

г) запрашивают у владельца сайта посредством электронного взаимодействия необходимые данные, которые включают по крайней мере информацию о владельце веб-сайта;

д) на основании полученных данных формируют в электронном виде пакет документов для каждого элемента, который не соответствует требованиям законодательства;

е) создают программный код, который размещается на указанном веб-сайте, для созданного пакета документов, при этом программный код связывает пакет документов с соответствующим элементом.

2. Способ по п. 1, в котором критерием оценки является по крайней мере один из следующих критериев:

- наличие окна ввода согласия пользователя на обработку персональных данных для каждого выявленного элемента,

- наличие окна ввода согласия пользователя об отказе от ответственности владельца сайта при обработке данных, связанных со сведениями о пользователе,

- наличие передачи данных по защищенным протоколам и наличие SSL-сертификата,

- наличие документов, связанных с информированием о политике обработки персональных данных.

3. Способ по п. 1, в котором запрашиваемыми данными о владельца веб-сайта является по крайней мере один из: налоговый идентификатор организации или идентификационный номер налогоплательщика (ИНН).

4. Способ по п. 1, в котором в автоматическом режиме производятся обновления указанного пакета документов, при выявлении изменений в требованиях законодательства.

5. Способ по п. 5, в котором периодически производится проверка обновлений в требованиях законодательства на соответствующих информационных ресурсах.

6. Способ по п. 1, в котором программный код является по крайней мере одним из следующих скрипт и виджет.

7. Способ по п. 1, в котором местом хранения указанных пакетов документов является либо удаленный веб-ресурс, либо указанный веб-сайт.

8. Система приведения веб-сайта, собирающая личную информацию пользователей в соответствии с законодательством о персональных данных, при этом система содержит:

а. модуль сканирования, предназначенный для:

i) сбора сведений на указанном веб-сайте, связанных с элементами, содержащими признаки обработки персональных данных пользователей, и сведений о действиях, которые необходимо производить пользователю веб-сайта при взаимодействии с указанными элементами;

ii) передачи собранных сведений модулю анализа;

б. модуль анализа, предназначенный для анализа собранных сведений при помощи критериев оценки, во время которого определяется соответствие каждого выявленного элемента каждому критерию оценки, и передачи результатов анализа модулю формирования результата оценки;

в. модуль формирования результата оценки, предназначенный для:

i) вынесения решения о несоответствии по крайней мере одного указанного элемента веб-сайта требованиям законодательства о персональных данных на основании результатов анализа, при этом в случае несоответствия указанного элемента по крайней мере одному критерию оценки, выносится решение о несоответствии указанного элемента требованиям законодательства о персональных данных,

ii) формирования результата оценки, который содержит сведения об обнаруженных нарушениях;

г. модуль подготовки требуемых изменений, связанный с модулем приведения в соответствие, предназначенный для:

i) формирования и передачи запроса владельцу веб-сайта посредством электронного взаимодействия необходимых данных, которые включают по крайней мере информацию о владельце веб-сайта,

ii) формирования на основании полученного ответа в электронном виде индивидуального пакета документов для каждого указанного элемента, который нарушает указанные требования законодательства;

д. модуль приведения в соответствие, предназначенный для создания программного кода для сформированных пакетов документов и размещения на указанном веб-сайте созданного программного кода, при этом программный код связывает пакет документов с соответствующим элементом;

е. хранилище данных, связанное с указанными модулями и предназначенное для хранения по крайней мере требований законодательства о персональных данных различных стран, критериев оценки и созданных пакетов документов.

9. Система по п. 8, в которой критерием оценки являются по крайней мере один из следующих критериев:

- наличие окна ввода согласия пользователя на обработку персональных данных для каждого выявленного элемента,

- наличие окна ввода согласия пользователя об отказе от ответственности владельца сайта при обработке данных, связанных со сведениями о пользователе,

- наличие передачи данных по защищенным протоколам и наличие SSL-сертификата,

- наличие документов, связанных с информированием о политике обработки персональных данных.

10. Система по п. 8, в которой запрашиваемыми данными о владельце веб-сайта являются по крайней мере один из: налоговый идентификатор организации или идентификационный номер налогоплательщика (ИНН).

11. Система по п. 8, которая дополнительно содержит модуль обновления требований законодательства, предназначенный для:

а. проведения периодической проверки обновлений в требованиях законодательства о персональных данных на соответствующих информационных ресурсах,

б. обновления документов в созданных пакетах документов, при выявлении изменений в указанных требованиях законодательства.

12. Система по п. 8, в которой модуль приведения в соответствие создает программный код для веб-сайта в виде скрипта или виджета.

13. Система по п. 8, в которой модуль приведения в соответствие сохраняет созданные пакеты документов на указанном веб-сайте.

Документы, цитированные в отчете о поиске Патент 2019 года RU2690763C1

Система и способ управления доступом к персональным данным пользователя 2015
  • Черешнев Евгений Михайлович
  • Минасян Вартан Минасович
RU2622883C2
RU 2015149052 A, 22.05.2017
Автомобиль-сани, движущиеся на полозьях посредством устанавливающихся по высоте колес с шинами 1924
  • Ф.А. Клейн
SU2017A1
Способ защиты переносных электрических установок от опасностей, связанных с заземлением одной из фаз 1924
  • Подольский Л.П.
SU2014A1
US 7234065 B2, 19.06.2007.

RU 2 690 763 C1

Авторы

Михальский Олег Олегович

Лагутин Максим Дмитриевич

Даты

2019-06-05Публикация

2017-12-15Подача