Protecția datelor cu caracter personal, cronice ale mouse-ului înfășurat

Odată cu abordarea organizațiilor neguvernamentale asupra majorității companiilor din această țară, sabia demonică a justiției în persoana legii numărul 152-FZ scade tot mai mult. Această lege are rolul de a monitoriza respectarea drepturilor constituționale ale cetățenilor la viața privată și la păstrarea datelor cu caracter personal. Dacă datele personale sunt utilizate de altcineva decât de proprietar, atunci există un fapt de prelucrare a datelor cu caracter personal. Orice persoană care prelucrează date cu caracter personal este considerată operator de procesare și este supusă certificării, un număr de reguli care îi sunt impuse pe care trebuie să le urmeze. În caz contrar, operatorul poate fi implicat în răspunderea administrativă și penală.







Prelucrarea datelor cu caracter personal înseamnă orice acțiune cu aceste date, inclusiv stocarea.

Responsabilitatea pentru nerespectarea cerințelor legii este foarte gravă și include o gamă largă de sancțiuni. Conform Codului cu privire la contravențiile administrative din Federația Rusă și Codului penal al Federației Ruse, am găsit mai multe articole în conformitate cu care se va stabili responsabilitatea pentru încălcarea cerințelor privind protecția datelor cu caracter personal. Poate cineva va găsi pe alții, nu sunt un avocat.

În general, lista este destul de extinsă. Cu ce ​​viclenie și ambiguitate a interpretării legislației noastre ne permite să aplicăm articole similare în aceleași cazuri. Toate animalele sunt egale, dar unele sunt mai egale. Realitatea este și mai severă, să luăm în considerare un exemplu simplu:

Compania este adresată de un cetățean al cărui date se află în bazele sale de date. cu o cerere de a-i furniza informații despre modul în care sunt procesate datele sale cu caracter personal. Aici este demn de remarcat faptul că o astfel de cerere poate fi depusă de un străin complet, nu o puteți verifica. În orice caz, el are dreptul la un astfel de tratament în conformitate cu articolul 14 partea 4 din Legea N152-FZ. Dar compania nu este gata să dea un răspuns complet în timpul alocat. Nu furnizează informațiile solicitate sau le furnizează incomplet. Clientul, care nu a primit răspunsul în termenii specificați în lege, aplică o plângere la Roskomnadzor. El trimite la parchet o cerere de instituire a unei cauze penale în legătură cu încălcarea drepturilor subiectului datelor cu caracter personal. Eventuală răspundere: conform Codului de contravenție administrativă prevăzut la articolul 5.39 sau al Codului penal din articolul 140. Și tu ai un birou de procuratură sub ușă. La documentarea datelor suplimentare Roskomnadzor face o concluzie preliminară cu privire la inadecvarea măsurilor de protejare a PDN. De exemplu, angajații Roskomnadzor nu primesc copii ale certificatelor pentru instrumentele de securitate a informațiilor, nu sunt afișate licențe pentru FSTEC, FSB sau documente care descriu modelul de amenințare și comportamentul unui potențial infractor. Apoi, Roskomnadzor trimite un apel la FSTEC și / sau FSB pentru a efectua o inspecție neprogramată a organizației pentru a determina gradul de conformitate cu cerințele pentru securizarea PDD. În timpul auditului, se dezvăluie că această organizație administrează un sistem informatic de o anumită clasă și, în legătură cu aceasta, avea să obțină o licență pentru protecția tehnică a informațiilor confidențiale ale FSTEC. Organizația nu deține o licență și nu a început să obțină acest lucru. FSTEC trimite un raport privind auditul către Roskomnadzor, care, la rândul său, trimite materiale către parchetă sau alte agenții de aplicare a legii pentru a rezolva problema inițierii cazului. Eventuală răspundere: în conformitate cu Codul de contravenție administrativă din 13.12 sau Codul penal, art.171.







Ce să faci cu toate acestea și cum să lupți?

În primul rând, aș recomanda să vă grăbiți, deoarece cu cât luați mai mult decizia, cu atât mai mult risc este expus companiei. Conducerea companiei ar trebui să înțeleagă întreaga responsabilitate și importanță a muncii depuse și să promoveze promovarea acesteia în orice mod posibil. Înainte de a începe să lucrați, trebuie să decideți ce avem deja în ceea ce privește protejarea datelor cu caracter personal. Pentru a face acest lucru, sunt necesare documentele de reglementare FSTEC care descriu cerințele tehnice pentru operator. Aceste documente poartă ștampila "pentru uz oficial", dar nu sunt dificil de obținut prin trimiterea unei cereri la biroul FSTEC la biroul de înregistrare al operatorului. Apoi, trebuie să decideți care dintre sistemele informatice utilizate au certificate FSTEC. Este important să aveți software și echipamente certificate de FSTEC, mă opresc chiar și în privința certificării independente - acesta este un proces foarte scump și de lungă durată. Folosind datele obținute este necesară auditarea utilizării datelor personale, rezultatul ar trebui să fie o listă - unde, ce și cât de mult este procesată și stocată.

Mai mult.
Cum ar arata sistemele informatice din punctul de vedere al legii.
- sistemul de informații este separat de rețeaua corporativă printr-un paravan de protecție
- Sistemul utilizează mijloace certificate: Delimitarea accesului (OS, DBMS, sisteme de aplicații), Auditarea accesului la PD (la nivel de sistem de operare, DBMS, sisteme de aplicații), Protecție antivirus.
- Dezvoltarea unui pachet de documente pentru protecția datelor cu caracter personal - pașaportul sistemului, un model de amenințări, instrucțiuni pentru personal și utilizatori.
- sunt documentate măsurile organizatorice.

Ar trebui determinat - ceea ce aveți deja.

Măsurile tehnice sunt inseparabile de măsurile organizatorice.

Aranjamentele organizaționale trebuie gândite cu atenție. Aici nu este suficient să oferim recomandări exacte prin faptul că, în multe privințe, depinde de specificul activității companiei. Voi spune doar că nu trebuie să subestimați acest punct. Multe lucruri pot fi rezolvate prin impunerea unei simple interdicții organizatorice, cel puțin pentru a vă scuti de responsabilitatea personală, cu siguranță veți obține. Pentru o bază este posibil să se ia deja recomandările metodice deja existente ФСТЭК, primite de tine la început de toată vanitatea. Ce ar trebui să fie necesar - pașaportul sistemului (o descriere a ceea ce protejați), modelul de amenințare (de la care apărați), regulile de acordare a accesului și de reacție la incidente (o descriere a ceea ce puteți face și cum). Ca aplicație, puteți emite un pachet de instrucțiuni atât pentru utilizatori, cât și pentru administratori.

Pachetul de documente necesare depinde de clasa sistemului de bare.

Pentru sistemele din clasele 1, 2 și 3 (1000 obiecte), este necesară o licență pentru protecția tehnică a datelor confidențiale și un certificat de certificare a sistemului.

Sistemele din clasele 1, 2 și 3 necesită utilizarea echipamentelor de protecție certificate FSTEC.

Sistemele din clasele 1 și 2 solicită consimțământul scris pentru prelucrarea datelor personale din fiecare subiect. Trebuie să furnizați dovezi privind acordul subiectului pentru prelucrarea datelor sale. Există cazuri în care nu este necesară o astfel de procedură. Dacă operatorul îndeplinește legea federală în cadrul activității sale (esența activității operatorului este implementarea legii), dacă datele cu caracter personal sunt prelucrate în cadrul executării unui contract la care subiectul este una dintre părți. De exemplu, un astfel de consimțământ nu este necesar în timpul angajării unui angajat, înregistrarea în fondurile de pensii, depunerea unei declarații fiscale, înregistrarea de asigurare.

Pentru clasele 1 și 2, este obligată să transmită Roskomnadzor o notificare cu privire la intenția de prelucrare a datelor cu caracter personal. Multe companii nu sunt obligate să se înregistreze ca operatori:
- în cazul în care operatorul și subiectul sunt legați printr-o relație de muncă.
- în cazul unui contract, cu condiția ca operatorul să nu distribuie datele.
- în cazul în care datele cu caracter personal sunt obținute din surse deschise.
- atunci când procesează date personale impersonale.
- în cazul unei singure utilizări a datelor.

De exemplu: o companie obișnuită în care există un departament de personal, organizatori de emiteri de emitere unică pe un teritoriu închis, vânzări de bilete. În astfel de cazuri, Roskomnadzor nu ar trebui să fie notificat.

Rezumând toate cele de mai sus, am ajuns la concluzia că diavolul nu este atât de teribil ...
Să presupunem că, dacă compania dvs. nu este foarte mare, cu departamentele uzuale de contabilitate și personal, personalul de personal este mai mic de o mie de oameni. O astfel de companie intră în a treia clasă de operatori. În acest caz, este suficient să verificați componentele sistemelor utilizate pentru certificarea FSTEC, să organizați compoziția datelor, să întocmiți o listă de utilizatori și să remediați toate cu o comandă.

Multe informații suplimentare pot fi găsite pe site-ul oficial al organismului autorizat pentru protecția drepturilor subiecților de date cu caracter personal.

Aproximativ, mă văd soluția acestei probleme foarte actuale.







Articole similare

Trimiteți-le prietenilor: