Android. Operativni sistem. Multimedija. Društveni mediji. Alati. Kodeci. Graficka umjetnost
Jesi li tu: » »

Zaštita ličnih podataka u banci. Zaštita ličnih podataka u ruskim bankama: postoje li pravila? Termini i definicije

Sigurnost ličnih podataka u banci

Šta su lični podaci?

Prema definiciji saveznog zakona, lični podatak je svaka informacija koja se odnosi na pojedinca identifikovana ili utvrđena na osnovu takvih podataka (subjekt ličnih podataka), uključujući njegovo prezime, ime, patronimiju, godinu, mjesec, datum i mjesto. rođenja, adrese, porodice, socijalnog, imovinskog stanja, obrazovanja, profesije, prihoda, drugih podataka.

Gdje se nalaze lični podaci?

Lični podaci (PD) u banci se nalaze u sledećim sistemima:

Automatizovani bankarski sistem (ABS);

Sistemi klijent-banka;

Sistemi za trenutni prijenos novca;

Računovodstveni sistemi;

Sistemi računovodstva osoblja;

Korporativni informacioni sistem;

Interni web portal.

PD može biti prisutan na papirnim dokumentima (ugovori, obrasci, nalozi, uputstva, upitnici, ugovori itd.).

Koji dokumenti utvrđuju zahtjeve za zaštitu ličnih podataka?

Savezni zakoni

Federalni zakon br. 149-FZ od 27. jula 2006. „O informacijama, informacione tehnologije i zaštita informacija";

Vladine uredbe

Uredba Vlade Ruske Federacije br. 781 od 17. novembra 2007. „O usvajanju propisa o osiguranju sigurnosti ličnih podataka prilikom obrade u informacioni sistemi lični podaci";

Uredba Vlade Ruske Federacije br. 957 od 29. decembra 2007. „O odobravanju propisa o licenciranju određenih vrsta aktivnosti u vezi sa šifriranjem (kriptografskim) sredstvima”;

Uredba Vlade Ruske Federacije br. 687 od 15. septembra 2008. godine „O odobravanju propisa o specifičnostima obrade ličnih podataka koja se vrši bez upotrebe alata za automatizaciju“.

FSTEC Rusije

Zajednička naredba FSTEC Rusije, FSB Rusije i Ministarstva informacija i komunikacija Rusije od 13. februara 2008. br. 55/86/20 „O odobravanju procedure za klasifikaciju informacionih sistema ličnih podataka“;

Vodeći dokument FSTEC Rusije „Osnovni model pretnji po bezbednost ličnih podataka tokom njihove obrade u informacionim sistemima ličnih podataka“;

Vodeći dokument FSTEC Rusije „Metodologija za utvrđivanje aktuelnih pretnji po bezbednost ličnih podataka tokom njihove obrade u informacionim sistemima ličnih podataka“;

Naredba FSTEC Rusije od 5. februara 2010. br. 58 „O odobravanju pravilnika o metodama i sredstvima zaštite informacija u ličnim podacima“.

FSB Rusije

Naredba FAPSI-a broj 152 od 13.06.2001. godine „O davanju saglasnosti na uputstvo o organizovanju i obezbjeđivanju sigurnosti skladištenja, obrade i prenosa putem komunikacionih kanala korišćenjem sredstava kriptografske zaštite informacija sa ograničen pristup, koji ne sadrži podatke koji predstavljaju državnu tajnu”;

Naredba FSB-a Ruske Federacije od 9. februara 2005. br. 66 „O odobravanju pravilnika o razvoju, proizvodnji, prodaji i radu šifriranih (kriptografskih) sredstava za sigurnost informacija (propisi PKZ-2005)”;

Vodeći dokument FSB Rusije od 21. februara 2008. br. 149/54-144 “ Smjernice o osiguranju, uz pomoć kripto-sredstava, sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima ličnih podataka korišćenjem alata za automatizaciju”;

Vodeći dokument FSB Rusije od 21. februara 2008. br. 149/6/6-622 „Standardni zahtjevi za organizovanje i osiguranje funkcionisanja enkripcijskih (kriptografskih) sredstava namijenjenih zaštiti informacija koje ne sadrže informacije koje predstavljaju državnu tajnu, ako koriste se za osiguranje sigurnosti ličnih podataka tokom njihove obrade u informacionim sistemima ličnih podataka”;

Standard Banke Rusije

STO BR IBBS-1.0-2010 “Pružanje sigurnost informacija organizacije bankarskog sistema Ruske Federacije. Opće odredbe";

STO BR IBBS-1.1-2007 “Osiguranje informacione sigurnosti organizacija bankarskog sistema Ruske Federacije. Revizija sigurnosti informacija";

STO BR IBBS-1.2-2010 „Osiguranje informacione sigurnosti organizacija bankarskog sistema Ruske Federacije. Metodologija za procjenu usklađenosti informacione sigurnosti organizacija bankarskog sistema Ruske Federacije sa zahtjevima STO BR IBBS-1.0-20xx";

RS BR IBBS-2.0-2007 “Osiguranje informacione sigurnosti organizacija bankarskog sistema Ruske Federacije. Uputstvo za dokumentaciju u oblasti informacione bezbednosti u skladu sa zahtevima STO BR IBBS-1.0“;

RS BR IBBS-2.1-2007 “Osiguranje informacione sigurnosti organizacija bankarskog sistema Ruske Federacije. Smjernice za samoprocjenu usklađenosti informacione sigurnosti organizacija bankarskog sistema Ruske Federacije sa zahtjevima STO BR IBBS-1.0";

RS BR IBBS-2.3-2010 “Pružanje sigurnosti informacija organizacijama bankarskog sistema Ruske Federacije. Zahtjevi za osiguranje sigurnosti ličnih podataka u informacionim sistemima ličnih podataka organizacija bankarskog sistema Ruske Federacije";

RS BR IBBS-2.4-2010 “Pružanje sigurnosti informacija organizacijama bankarskog sistema Ruske Federacije. Industrijski model prijetnji sigurnosti ličnih podataka tokom njihove obrade u informacionim sistemima PD organizacija banaka bankarskog sistema Ruske Federacije";

Metodološke preporuke za ispunjavanje zakonskih uslova prilikom obrade ličnih podataka u organizacijama BS RF, koje su zajednički razvili Banka Rusije, ARB i Udruženje regionalnih banaka Rusije (Asocijacija Rossiya).

Kako treba zaštititi lične podatke?

Prema zahtjevima metodoloških dokumenata za zaštitu PD, sljedeći podsistemi su zajednički za sve vrste ISPD-a:

Podsistem kontrole pristupa;

Registracijski i računovodstveni podsistem;

podsistem integriteta;

Sigurnosni podsistem zaštitnog zida.

Ako je ISPD povezan na Internet, potrebno je dodatno koristiti sljedeće podsisteme:

Antivirusni sigurnosni podsistem;

Podsistem za otkrivanje upada;

Podsistem sigurnosne analize.

Također je potrebno koristiti elektronske brave i/ili elektronske ključeve pouzdana identifikacija i autentifikaciju korisnika.

Ukoliko se PDIS dodatno distribuira radi sprječavanja neovlaštenog pristupa odvajanjem zaštićenih informacija od javno dostupnih, potrebno je koristiti kriptografiju prilikom prijenosa PD-a preko nezaštićenih komunikacijskih kanala, kao i digitalni potpis za potvrdu autentičnosti podataka.

Ova podjela na podsisteme i formiranje na osnovu njih liste proizvoda za zaštitu ličnih podataka je općenito prihvaćena i koristi se u većini slučajeva.

Od čega je potrebno zaštititi lične podatke?

Ako je zadatak da se osigura samo povjerljivost ličnih podataka, potrebno je provesti mjere i/ili koristiti tehnička sredstva u cilju sprječavanja neovlaštenog pristupa, tada takav informacioni sistem postaje tipičan.

Ako se nametnu dodatni zahtjevi za osiguranje drugih svojstava informacione sigurnosti, kao što su osiguranje integriteta, dostupnosti, kao i njihovih derivata (neporicanje, odgovornost, adekvatnost, pouzdanost, itd.), onda takav ISPD postaje poseban. U većini slučajeva, svaki ISPD će biti poseban, odnosno, pored klasa PD-a, da biste odredili mehanizme zaštite, morate se voditi modelom prijetnje kreiranim za tu svrhu.

Kako smanjiti PD klasu?

Kako bi smanjile i pojednostavile mjere zaštite ličnih podataka, banke koriste različite trikove. U nastavku predstavljam najtipičnije načine smanjenja troškova zaštitne opreme. Međutim, ovakvo „precrtavanje“ informacionih sistema Banke samo po sebi je prilično složen i dugotrajan zadatak.

Smanjenje broja sajtova

Kao što je gore prikazano, ako se ISPD distribuira, onda se nameću povećani zahtjevi za njegovu zaštitu kako biste ih smanjili, morate se pokušati odmaknuti od distribuiranog ISPD-a.

Kod distribuiranog ISPD-a, PD se nalaze na različitim lokacijama, PD se prenosi putem komunikacionih kanala koje Banka ne kontroliše, a to općenito znači da PD izlazi ili napušta kontrolirano područje. Zatim, prije svega, potrebno je lokalizirati PD, smanjujući broj lokacija na kojima će se nalaziti. U nekim slučajevima to je moguće, ali ako uzmemo u obzir ABS, onda to najvjerovatnije neće biti moguće.

Smanjenje broja servera

Ako je PDIS lokalni, odnosno radi unutar lokalne mreže Banke, tada bi najlakši način da se smanje troškovi zaštite bili smanjenje broja serverske opreme na kojoj je PD prisutan i/ili obrađen.

Smanjenje broja radnih stanica i osoblja

Kod bilo koje vrste ISPD-a (u obliku automatiziranog radnog mjesta, lokalnog, distribuiranog), završnu obradu PD-a obično obavlja osoblje Banke. Ako ne koristite pristup terminalu, o čemu će biti riječi u nastavku, ima smisla smanjiti broj osoblja Banke koje je uključeno u obradu ličnih podataka ili ima pristup njima.

IC razdvajanje pomoću firewall-a

U cilju smanjenja količine ličnih podataka, a samim tim i smanjenja troškova zaštitne opreme, na dobar način je podjela informacione mreže u segmente u kojima se PD obrađuje. Da biste to učinili, potrebno je instalirati i koristiti firewall na čije portove treba povezati segmente sa PD-om. Često se sva serverska oprema nalazi u demilitarizovanoj zoni, odnosno u segmentima odvojenim od javnih i bankarskih mreža zaštitnim zidovima. Ovaj metod takođe zahteva značajno „precrtavanje“ informacionih mreža. Postoji metoda zasnovana na takozvanoj „linearnoj enkripciji“, odnosno enkripciji kanala klijent-klijent, klijent-server, server-server. Takvo šifriranje mrežnog prometa može se implementirati i pomoću posebnih sigurnosnih alata i korištenjem standardne IPSec tehnologije, međutim, nije certificirano od strane FSB Rusije, što je njegov značajan nedostatak.

Drugi način za dijeljenje ISPD-a kroz cijelu mrežu mogla bi biti tehnologija virtuelne mreže– VLAN, ali zapravo VLAN je samo identifikator u jednom od polja mrežnog paketa, što nam omogućava da o ovoj tehnologiji govorimo kao o „IT“. Stoga vas podjela mreža pomoću VLAN-a ne izuzima od korištenja tehnologija za sigurnost informacija.

Podjela baza podataka na dijelove

Pretpostavimo da postoji baza podataka koja se sastoji od hiljada zapisa: Puno ime. i iznos depozita.

Kreirajmo druge dvije baze podataka. Unesite dodatni jedinstveni identifikator. Podijelimo tabelu na dva dijela, u prvi ćemo postaviti polja Puno ime i ID, u drugi ID i iznos depozita.

Dakle, ako svaki zaposlenik može obraditi samo jednu od ovih novih baza podataka, onda je zaštita osobnih podataka uvelike pojednostavljena, ako ne i poništena. Očigledno je da je vrijednost takve baze podataka znatno niža od originalne. Obje baze podataka će se nalaziti na najsigurnijem serveru. U stvarnosti, međutim, postoji mnogo više polja u bazi podataka ovaj princip može raditi u skoro svakom slučaju, jer broj polja koja su značajna sa stanovišta sigurnosti ličnih podataka nije toliko velik, već prilično ograničen. U ekstremnim slučajevima, ključna podudaranja možete pohraniti na PC koji nije dio lokalna mreža ili čak ne koriste automatsku obradu.

Depersonalizacija ličnih podataka

Prema definiciji iz 152-FZ, depersonalizacija ličnih podataka je radnja zbog koje je nemoguće utvrditi da li lični podaci pripadaju određenom subjektu ličnih podataka. Iz ove definicije slijedi niz metoda pomoću kojih je moguće dobiti PD, kojima je nemoguće utvrditi identitet PD. Na primjer, ako tačni podaci određenih polja nisu važni za potrebe obrade, možete ih ili ne prikazati ili prikazati samo opsege u koje spadaju. Na primjer, 20-30, 30-40, itd. Adresa se može "zaokružiti" na okrug, okrug ili grad: Caricino, Južni, Moskva. U zavisnosti od potrebe, proces depersonalizacije ličnih podataka može biti reverzibilan ili nepovratan. Nepovratno uključuje gore navedene metode „zaokruživanja“, a reverzibilno, na primjer, šifriranje. Sa moje tačke gledišta, enkripcija (kodiranje) može biti način depersonalizacije podataka i treba se koristiti u ove svrhe.

Tanki klijenti i pristup terminalu

Upotreba tehnologija “tankog klijenta” i odgovarajuće tehnologije pristupa terminalu na serverima može značajno smanjiti zahtjeve za zaštitu ličnih podataka. Činjenica je da prilikom korišćenja „tankih klijenata“ i terminalskog pristupa na računarima zaposlenih Banke nema potrebe za instaliranjem specijalizovanog softvera, kao što su klijentski delovi baza podataka, klijentski delovi osnovnih bankarskih sistema itd. Štaviše, nema potrebe za instaliranjem specijalnim sredstvima zaštita. Ove tehnologije vam omogućavaju da prikažete informacije iz baza podataka pohranjenih na serverima na vašem radnom mjestu i upravljate obradom ličnih podataka. Ove tehnologije su a priori sigurne, jer Politike terminala mogu lako ograničiti mogućnost krajnjih klijenata (osoblje banke) da kopiraju i stoga distribuiraju lične podatke. Komunikacioni kanal između servera i računara sa " tanki klijent» je lako šifrirati, tj na jednostavne načine Može se osigurati povjerljivost prenesenih podataka.

Brzina potencijalnog curenja podataka biće ograničena samo vizuelnim kanalom, koji je određen brzinom kamere ili video kamere, međutim, uvođenjem posebnih organizacionih mera, takvo kopiranje postaje veoma teško.

Kako možete zaštititi lične podatke?

U širem smislu, osiguranje zaštite od neovlašćenog pristupa podrazumijeva se kao skup organizacionih i tehničkih mjera. Ove aktivnosti se baziraju na razumijevanju mehanizama za sprječavanje neovlaštenog pristupa različitim nivoima:

Identifikacija i autentifikacija (takođe dvofaktorna ili jaka). To može biti ( operativni sistem, infrastrukturni softver, aplikativni softver, hardver, kao što su elektronski ključevi);

Registracija i računovodstvo. To može biti evidentiranje (logiranje, evidentiranje) događaja u svim gore navedenim sistemima, softverima i alatima);

Osiguravanje integriteta. Ovo bi mogla biti kalkulacija kontrolne sume kontrolisane datoteke, osiguravajući integritet softverske komponente, korištenje zatvoreno softversko okruženje, kao i pružanje pouzdano preuzimanje OS);

Vatrozid, i gateway i lokalni;

Antivirusna sigurnost (koriste se do tri nivoa odbrane, tzv. slojeviti ili viševendor pristup);

Kriptografija (funkcionalno se primjenjuje na različitim nivoima OSI modela (mrežni, transportni i viši) i pruža različite sigurnosne funkcionalnosti).

Postoji nekoliko složenih proizvoda koji imaju razvijenu NSD funkcionalnost. Svi se razlikuju po tipovima aplikacija, hardverskoj podršci, softveru i topologiji implementacije.

Kada je distribuiran ili povezan na mrežu zajednička upotreba(Internet, Rostelecom, itd.) ISDN koristi proizvode za sigurnosnu analizu (MaxPatrol iz Positive Technologies, koji nema direktne konkurente u Ruskoj Federaciji), kao i detekciju i prevenciju upada (IDS/IPS) - kako na nivou gatewaya tako i na nivo krajnjeg čvora.

Kako možete prenijeti lične podatke?

Ako je PDIS distribuiran, to znači potrebu za prijenosom PD-a preko nezaštićenih komunikacijskih kanala. Usput, "zračni" kanal se također odnosi na nezaštićeni kanal. Za zaštitu ličnih podataka u komunikacijskim kanalima mogu se koristiti različite metode:

Šifrovanje komunikacijskog kanala. Može se obezbediti na bilo koji način, kao što je VPN između gateway-a, VPN između servera, VPN između radnih stanica (InfoTecs ViPNet Custom, Informzashchita APKSh Kontinent, itd.);

MPLS komutacija paketa. Paketi se prenose različitim putevima u skladu sa oznakama koje su dodijeljene mrežna oprema. Na primjer, MPLS mreža Rostelecoma ima certifikat o usklađenosti mreže za komutaciju paketa sa zahtjevima za sigurnost informacija FSTEC Rusije, što je garancija visoke sigurnosti usluga koje se pružaju na njenoj osnovi;

Šifrovanje dokumenata. Može se koristiti na različite načine softver za šifrovanje datoteka sa podacima, kao i datoteka kontejnera (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt, itd.);

Šifrovanje arhiva. Mogu se koristiti različiti arhivatori koji vam omogućavaju da arhivirate i šifrirate datoteke pomoću kriptografskih algoritama kao što je AES. (WinRAR, WinZIP, 7-ZIP, itd.).

Trebam li koristiti certificiranu zaštitnu opremu?

Danas postoji samo jedan zahtev FSTEC Rusije u vezi sa sertifikacijom sredstava za zaštitu ličnih podataka. Zahtjev se tiče obezbjeđenja neprijavljenih sposobnosti 4. nivoa, tako da ću o posljednjem pitanju dati samo tri teze:

Sistem sertifikacije za zaštitnu opremu je dobrovoljan;

Dovoljno je ispuniti zakonske zahtjeve;

Nema potrebe za certifikacijom informacionog sistema ličnih podataka u cjelini.

Shauro Evgeniy

kontrolu nad sprovođenjem potrebnih pravila. Spisak korišćene literature:

1. Savezni zakon “O bankama i bankarskoj djelatnosti”

2. www.Grandars.ru [ Elektronski resurs] Način pristupa: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Datum pristupa: 5.5.2016.)

3. In-bank.ru [Elektronski izvor] Način pristupa: http://journal.ib-bank.ru/post/411 (Datum pristupa: 05.5.2016.)

Khlestova Daria Robertovna

Email: [email protected]

OSOBINE ZAŠTITE LIČNIH PODATAKA U BANKARSKOM SEKTORU

anotacija

Ovaj članak govori o karakteristikama zaštite ličnih podataka klijenata u bankarskoj industriji. Naveden je niz regulatornih i pravnih akata na osnovu kojih bi trebalo izgraditi sistem obrade i zaštite ličnih podataka u banci. Istaknuta je lista mjera za organizovanje sigurnosti podataka u bankarskim institucijama.

Ključne riječi

Lični podaci, sigurnost u bankama, sigurnost informacija,

zaštita ličnih podataka

Zaštita ličnih podataka u doba informacionih tehnologija postala je posebno aktuelna. Sve je više slučajeva u kojima napadači dobijaju pristup bilo kojoj poverljivoj informaciji napadom na informacione sisteme organizacija. Bez sumnje, napadi ne zaobilaze bankarski sektor. Od u bankarski sistemi sadrži veliki broj ličnih podataka klijenata, njihova sigurnost treba da bude pod strogom pažnjom države i samih vlasnika finansijskih institucija.

Prvo, vrijedno je razumjeti koji lični podaci osobe mogu postati dostupni banci ako postane njen klijent. Dakle, ovo je potrebno: prezime, ime i patronim; Datum i mjesto rođenja; državljanstvo; mjesto registracije i stvarno prebivalište; svi podaci o pasošu (serija, broj, kada i ko je dokument izdat); broj mobilnog telefona i kućni telefon; mjesto rada, pozicija. U većini slučajeva institucije traže od osobe dodatne informacije, ali i bez njih lista podataka koje osoba povjerava banci ispada impresivna. Naravno, klijent se nada da će njegovi lični podaci biti pouzdano zaštićeni tokom obrade i skladištenja.

Da bi finansijske institucije mogle efikasno da organizuju sistem za obradu i zaštitu ličnih podataka, potrebno je navesti listu regulatornih i pravnih akata na koje banka treba da se oslanja u radu sa ličnim podacima klijenata: Ustav Republike Srbije. Ruska Federacija je najvažniji dokument zemlje; Zakon o radu Ruske Federacije; Građanski zakonik i Krivični zakon Ruske Federacije; Savezni zakon br. 152 “O ličnim podacima”; Savezni zakon br. 149 “O

informacije, informacione tehnologije i zaštita informacija”; Savezni zakon br. 395-1 „O bankama i bankarskoj djelatnosti“. Takođe u bankama, prilikom kreiranja sistema za obradu i čuvanje ličnih podataka, kreiraju se brojni lokalni dokumenti koji omogućavaju dodatnu kontrolu rada sa podacima.

Bankarska organizacija po prijemu svojih ličnih podataka od klijenta, preuzima obavezu sprovođenja svih organizacionih i tehničkih mjera radi zaštite povjerenih mu informacija od neovlaštenog pristupa (slučajnog ili namjernog), blokiranja, modifikacije, uništavanja i drugih nezakonitih radnji. Vrijedi istaknuti niz mjera za kvalitetnu organizaciju obrade i zaštite ličnih podataka u bankama: imenovanje odgovornih za obradu i osiguranje sigurnosti podataka u informacionom sistemu banke; sprovođenje mera kontrole i upoznavanje zaposlenih sa relevantnim regulatornim okvirom i internim dokumentima na kojima se zasniva sistem bezbednosti podataka banke; identifikaciju prijetnji tokom obrade ličnih podataka u banci i mjere za njihovo suzbijanje; ocjenu efikasnosti primijenjenih organizaciono-tehničkih mjera za osiguranje zaštite podataka, prije puštanja sistema zaštite u funkciju; Računovodstvo svih računalnih medija za pohranu osobnih podataka; utvrđivanje pravila za pristup sistemu obrade i sigurnosti zaposlenih; ako se otkrije neovlašteni pristup zaštićenim podacima, poduzimaju se mjere za otklanjanje prijetnje i vraćanje izgubljenih podataka. A obavezna mjera za banke sa postojećim sistemom čuvanja i zaštite ličnih podataka klijenata je stalno praćenje i unapređenje sistema sigurnosti.

Stoga je vrijedno napomenuti da se obrada, pohrana i zaštita osobnih podataka u bankama trebaju vršiti na osnovu uslova definisanih regulatornim okvirom Ruske Federacije. Svaka finansijska institucija mora: da poštuje princip zakonitosti prilikom organizovanja zaštite ličnih podataka svojih klijenata; sprovesti čitav niz mjera za organizaciono-tehničku zaštitu podataka; pri izradi lokalnih dokumenata vezanih za informacionu sigurnost oslanjati se na najbolju rusku i međunarodnu praksu u ovoj oblasti; pridržavati se svih zahtjeva regulatornih tijela (FSTEK, Roskomnadzor, FSB) kako bi osigurali zaštitu ličnih podataka klijenta.

Spisak korišćene literature:

1. Khlestova D.R., Popov K.G. “O pitanju pravnih aspekata zaštite podataka o ličnosti”

2. Savezni zakon “O bankama i bankarskoj djelatnosti”

3. Banka Rusije [Elektronski izvor] Način pristupa: http://www.cbr.ru/ (Datum pristupa: 06.05.2016.)

©Khlestova D.R., Popov K.G., 2016

Khlestova Daria Robertovna

Student 2. godine IUPP BashSU, Ufa, Ruska Federacija E-mail: [email protected] dr Popov Kirill Gennadievich, vanredni profesor, Odsjek za sigurnost informacija, Baškirski državni univerzitet, Ufa, Ruska Federacija

Email: [email protected]

POSLOVNA INTELIGENTNOST KAO NAJLEGNIJI NAČIN DOBIJANJA INFORMACIJA

anotacija

Članak govori o metodama poslovne inteligencije. Takođe objašnjava zašto je poslovna inteligencija legalna aktivnost u poslovanju. Istaknuti osnovni principi kojih se treba pridržavati su:

POZICIJA

o zaštiti ličnih podataka

Klijenti (pretplatnici)

u Ortes-Finance LLC

Termini i definicije

1.1. Lična informacija- sve informacije koje se odnose na osobu koja je identifikovana ili utvrđena na osnovu takvih informacija (subjekt ličnih podataka), uključujući njegovo prezime, ime, patronime, godinu, mjesec, datum i mjesto rođenja, adresu, adresu Email, broj telefona, porodica, društveni, imovinsko stanje, obrazovanje, profesija, prihod, drugi podaci.

1.2. Obrada ličnih podataka— radnje (operacije) sa ličnim podacima, uključujući prikupljanje, sistematizaciju, akumulaciju, skladištenje, pojašnjenje (ažuriranje, mijenjanje), korištenje, distribuciju (uključujući prijenos), depersonalizaciju, blokiranje.

1.3. Povjerljivost ličnih podataka— obavezan uslov za imenovano odgovorno lice koje je steklo pristup ličnim podacima da ne dozvoli njihovo širenje bez pristanka subjekta ili drugog pravnog osnova.

1.4. Širenje ličnih podataka- radnje koje imaju za cilj prenošenje ličnih podataka određenom krugu osoba (prenos ličnih podataka) ili upoznavanje sa ličnim podacima neograničenog broja osoba, uključujući objavljivanje ličnih podataka u medijima, objavljivanje u informaciono-telekomunikacionim mrežama ili omogućavanje pristupa ličnim podacima na bilo koji -ili na drugi način.

1.5. Korišćenje ličnih podataka— radnje (radnje) sa ličnim podacima koje se vrše radi donošenja odluka ili vršenja drugih radnji koje izazivaju pravne posledice u odnosu na subjekte ličnih podataka ili na drugi način utiču na njihova prava i slobode ili prava i slobode drugih lica.

1.6. Blokiranje ličnih podataka— privremeni prestanak prikupljanja, sistematizacije, akumulacije, korišćenja, širenja ličnih podataka, uključujući i njihov prenos.

1.7. Uništavanje ličnih podataka— radnje zbog kojih je nemoguće obnoviti sadržaj ličnih podataka u informacionom sistemu ličnih podataka ili usled kojih su materijalni mediji ličnih podataka uništeni.

1.8. Depersonalizacija ličnih podataka- radnje zbog kojih je nemoguće bez upotrebe Dodatne informacije utvrdi vlasništvo nad ličnim podacima određenom subjektu.

1.9. Javni lični podaci- lične podatke, pristup neograničenom broju osoba kojima je omogućen uz saglasnost subjekta ili za koje, u skladu sa saveznim zakonima, ne podliježu zahtjevi povjerljivosti.

1.10. Informacije— informacije (poruke, podaci) bez obzira na oblik njihovog predstavljanja.

1.11. Klijent (subjekt ličnih podataka)- individualni korisnik usluga Ortes-Finance doo, u daljem tekstu „Organizacija“.

1.12. Operater- državni organ, opštinski organ, pravno ili fizičko lice, samostalno ili zajedno sa drugim licima organizuju i (ili) vrše obradu podataka o ličnosti, kao i utvrđuju svrhe obrade ličnih podataka, sastav ličnih podataka koji se obrađuju , radnje (operacije) izvršene sa ličnim podacima. U okviru ovog pravilnika, Operator je Društvo sa ograničenom odgovornošću „Ortes-Finance“;

2. Opće odredbe.

2.1. Ova Uredba o obradi ličnih podataka (u daljem tekstu Uredba) izrađena je u skladu sa Ustavom Ruske Federacije, Građanskim zakonikom Ruske Federacije, Federalnim zakonom "o informacijama, informacionim tehnologijama i zaštiti informacija", Federalni zakon 152-FZ "O ličnim podacima", drugi savezni zakoni.

2.2. Svrha izrade Pravilnika je da se utvrdi postupak obrade i zaštite ličnih podataka svih Klijenta Organizacije, čiji podaci podležu obradi, na osnovu ovlašćenja operatora; obezbeđivanje zaštite prava i sloboda čoveka i građanina tokom obrade njegovih ličnih podataka, uključujući zaštitu prava na privatnost, lične i porodične tajne, kao i utvrđivanje odgovornosti službenih lica koja imaju pristup ličnim podacima za propust da se pridržavaju zahtjeva pravila koja regulišu obradu i zaštitu ličnih podataka.

2.3. Postupak stupanja na snagu i izmjene Pravilnika.

2.3.1. Ova Uredba stupa na snagu danom usvajanja od strane Generalnog direktora Organizacije i važi neograničeno sve dok se ne zamijeni novom Uredbom.

2.3.2. Izmjene Pravilnika vrše se na osnovu Naredbi generalnog direktora Organizacije.

3. Sastav ličnih podataka.

3.1. Lični podaci klijenata uključuju, između ostalog:

3.1.1. Puno ime.

3.1.2. Godina rođenja.

3.1.3. Mjesec rođenja.

3.1.4. Datum rođenja.

3.1.5. Mjesto rođenja.

3.1.6. Podaci o pasošu

3.1.7. E-mail adresa.

3.1.8. Broj telefona (kućni, mobilni).

3.2. Sljedeći dokumenti i informacije mogu se kreirati (kreirati, prikupljati) i čuvati u Organizaciji, uključujući u elektronskom formatu, koji sadrži podatke o Klijentima:

3.2.1. Prijava za anketu o mogućnosti povezivanja pojedinca.

3.2.2. Ugovor (javna ponuda).

3.2.3. Potvrda pristupanja sporazumu.

3.2.5. Kopije identifikacionih dokumenata, kao i drugih dokumenata koje dostavi Klijent i koji sadrže lične podatke.

3.2.6. Podaci o plaćanju narudžbi (roba/usluga), koji sadrže podatke o plaćanju i druge podatke o Klijentu.

4. Svrha obrade ličnih podataka.

4.1. Svrha obrade ličnih podataka je provođenje niza radnji usmjerenih na postizanje cilja, uključujući:

4.1.1. Pružanje konsultantskih i informativnih usluga.

4.1.2. Ostale transakcije koje nisu zakonom zabranjene, kao i skup radnji sa ličnim podacima neophodnim za izvršenje navedenih transakcija.

4.1.3. U skladu sa zahtjevima zakonodavstva Ruske Federacije.

4.2. Uslov za prestanak obrade ličnih podataka je likvidacija Organizacije, kao i odgovarajući zahtev Klijenta.

5. Prikupljanje, obrada i zaštita ličnih podataka.

5.1. Procedura za dobijanje (prikupljanje) ličnih podataka:

5.1.1. Sve lične podatke Klijenta treba dobiti lično od njega uz njegovu pismenu saglasnost, osim u slučajevima navedenim u tačkama 5.1.4 i 5.1.6 ovih Pravila i drugih slučajeva predviđenih zakonima Ruske Federacije.

5.1.2. Pristanak Klijenta za korištenje njegovih ličnih podataka Organizacija pohranjuje u papirnom i/ili elektronskom obliku.

5.1.3. Saglasnost subjekta za obradu ličnih podataka važi za sve vreme trajanja ugovora, kao i u roku od 5 godina od dana prestanka ugovornog odnosa Klijenta sa organizacijom. Nakon isteka navedenog roka, saglasnost se smatra produženom za svakih narednih pet godina u nedostatku informacija o njenom opozivu.

5.1.4. Ako se lični podaci Klijenta mogu dobiti samo od treće strane, Klijent mora biti unapred obavešten o tome i od njega se mora dobiti pismena saglasnost. Treća strana koja daje lične podatke Klijenta mora imati pristanak subjekta za prijenos ličnih podataka Organizaciji. Organizacija je dužna da dobije potvrdu od treće strane koja prenosi lične podatke Klijenta da se lični podaci prenose uz njegovu saglasnost. Organizacija je dužna da u interakciji sa trećim licima sklopi ugovor sa njima o povjerljivosti informacija u vezi s ličnim podacima Klijenta.

5.1.5. Organizacija je dužna da informiše Klijenta o svrhama, nameravanim izvorima i načinima dobijanja ličnih podataka, kao i o prirodi ličnih podataka koji će biti primljeni i posledicama Klijentovog odbijanja ličnih podataka da da pismeni pristanak za njihovo primanje. .

5.1.6. Obrada ličnih podataka Klijenta bez njihovog pristanka vrši se u sljedećim slučajevima:

5.1.6.1. Lični podaci su javno dostupni.

5.1.6.2. Na zahtjev nadležnih državnih organa u slučajevima predviđenim saveznim zakonom.

5.1.6.3. Obrada podataka o ličnosti vrši se na osnovu saveznog zakona kojim se utvrđuje njena svrha, uslovi za dobijanje ličnih podataka i krug subjekata čiji lični podaci podležu obradi, kao i definisana ovlašćenja operatera.

5.1.6.4. Obrada ličnih podataka vrši se u svrhu zaključivanja i izvršenja ugovora čija je jedna od strana subjekt ličnih podataka - Klijent.

5.1.6.5. Obrada ličnih podataka vrši se u statističke svrhe, uz obaveznu anonimizaciju ličnih podataka.

5.1.6.6. U drugim slučajevima predviđenim zakonom.

5.1.7. Organizacija nema pravo primati i obrađivati ​​lične podatke Klijenta o njegovoj rasi, nacionalnosti, političkim stavovima, vjerskim ili filozofskim uvjerenjima, zdravstvenom stanju, intimnom životu.

5.2. Procedura za obradu ličnih podataka:

5.2.1. Subjekt ličnih podataka pruža Organizaciji pouzdane informacije o sebi.

5.2.2. Samo zaposleni u Organizaciji koji su ovlašteni za rad sa ličnim podacima Klijenta i koji su potpisali Ugovor o neotkrivanju ličnih podataka Klijenta mogu imati pristup obradi ličnih podataka Klijenta.

5.2.3. Pravo pristupa ličnim podacima Klijenta u Organizaciji imaju sljedeće:

 Generalni direktor Organizacije;

 Zaposleni odgovorni za vođenje finansijskih računa (menadžer, računovođa).

 Zaposleni u Odjeljenju za odnose s kupcima (šef odjela prodaje, menadžer).

 IT radnici (tehnički direktor, sistem administrator).

 Klijent kao subjekt ličnih podataka.

5.2.3.1. Spisak imena zaposlenih u Organizaciji koji imaju pristup ličnim podacima Klijenta utvrđuje se naredbom generalnog direktora Organizacije.

5.2.4. Obrada ličnih podataka Klijenta može se vršiti isključivo u svrhe utvrđene Pravilnikom i u skladu sa zakonima i drugim regulatornim pravnim aktima Ruske Federacije.

5.2.5. Prilikom utvrđivanja obima i sadržaja ličnih podataka koji se obrađuju, Organizacija će se rukovoditi Ustavom Ruske Federacije, zakonom o ličnim podacima i drugim saveznim zakonima.

5.3. Zaštita ličnih podataka:

5.3.1. Zaštita ličnih podataka Klijenta podrazumeva skup mera (organizacionih, administrativnih, tehničkih, pravnih) usmerenih na sprečavanje neovlašćenog ili slučajnog pristupa istima, uništavanje, modifikovanje, blokiranje, kopiranje, distribuciju ličnih podataka subjekata, kao i kao i druge protivpravne radnje.

5.3.2. Zaštita ličnih podataka Klijenta vrši se o trošku Organizacije na način utvrđen saveznim zakonom Ruske Federacije.

5.3.3. Prilikom zaštite ličnih podataka Klijenta, Organizacija preduzima sve potrebne organizacijske, administrativne, pravne i tehničke mjere, uključujući:

 Antivirusna zaštita.

 Analiza sigurnosti.

 Detekcija i prevencija upada.

 Kontrola pristupa.

 Registracija i računovodstvo.

 Osiguranje integriteta.

 Organizovanje normativno-metodoloških lokalnih akata koji regulišu zaštitu ličnih podataka.

5.3.4. Opću organizaciju zaštite ličnih podataka Klijenta vrši generalni direktor Organizacije.

5.3.5. Zaposleni u Organizaciji kojima su lični podaci potrebni u vezi sa obavljanjem svojih radnih obaveza imaju pristup ličnim podacima Klijenta.

5.3.6. Svi zaposleni u vezi s prijemom, obradom i zaštitom ličnih podataka Klijenta dužni su da potpišu Ugovor o neotkrivanju ličnih podataka Klijenta.

5.3.7. Procedura za dobijanje pristupa ličnim podacima Klijenta uključuje:

 Upoznavanje zaposlenog sa potpisom sa ovim pravilnikom. Ukoliko postoje drugi propisi (naredbe, uputstva, uputstva i sl.) koji uređuju obradu i zaštitu ličnih podataka Klijenta, ovi akti se takođe upoznaju sa potpisom.

 Zahtevanje od zaposlenog (sa izuzetkom generalnog direktora) pismene obaveze da će čuvati poverljivost ličnih podataka Klijenta i da će se pridržavati pravila za njihovu obradu u skladu sa internim lokalnim propisima Organizacije koji regulišu bezbednost poverljivih informacija.

5.3.8. Zaposlenik Organizacije koji ima pristup ličnim podacima Klijenta u vezi sa obavljanjem radnih obaveza:

 Pruža skladištenje informacija koje sadrže lične podatke Klijenta, isključujući pristup njima od strane trećih lica.

 U odsustvu zaposlenog, na njegovom radnom mestu ne bi trebalo da bude dokumenata koji sadrže lične podatke Klijenta.

 Prilikom odlaska na godišnji odmor, za vrijeme službenog putovanja iu drugim slučajevima dužeg odsustva zaposlenog sa radnog mjesta, dužan je da dokumente i druge medije koji sadrže lične podatke Klijenta ustupi licu kome će biti povjereno izvršenje lokalnim aktom Društva (naredba, uredba).

 Ako takva osoba nije imenovana, onda se dokumenti i drugi mediji koji sadrže lične podatke Klijenta prenose na drugog zaposlenika koji ima pristup ličnim podacima Klijenta po nalogu generalnog direktora Organizacije.

 Po otpuštanju službenika koji ima pristup ličnim podacima Klijenta, dokumenti i drugi mediji koji sadrže lične podatke Klijenta prenose se na drugog zaposlenog koji ima pristup ličnim podacima Klijenta po nalogu generalnog direktora.

 U cilju ispunjenja zadatog zadatka i na osnovu dopisa sa pozitivnom odlukom generalnog direktora, pristup ličnim podacima Klijenta može biti omogućen drugom zaposlenom. Pristup ličnim podacima Klijenta drugim zaposlenima Organizacije koji nemaju propisno ovlašten pristup je zabranjen.

5.3.9. Menadžer ljudskih resursa pruža:

 Upoznavanje zaposlenih sa ovim Pravilnikom uz potpis.

 Zahtevanje od zaposlenih pismene obaveze da će čuvati poverljivost ličnih podataka Klijenta (Ugovor o neotkrivanju podataka) i poštovanje pravila za njihovu obradu.

 Opšta kontrola postupanja zaposlenih sa merama zaštite ličnih podataka Klijenta.

5.3.10. Osigurana je zaštita ličnih podataka klijenata koji se čuvaju u elektronskim bazama podataka Organizacije od neovlaštenog pristupa, iskrivljavanja i uništavanja informacija, kao i od drugih nezakonitih radnji. Sistem administrator.

5.4. Čuvanje ličnih podataka:

5.4.1. Lični podaci Klijenta na papiru se čuvaju u sefovima.

5.4.2. Lični podaci klijenata se pohranjuju elektronski u lokalu računarsku mrežu Organizacije, u elektronskim fasciklama i fajlovima u personalni računari Generalni direktor i zaposleni ovlašteni za obradu ličnih podataka klijenata.

5.4.3. Dokumenti koji sadrže lične podatke Klijenta čuvaju se u zaključanim ormarićima (sefovima) koji pružaju zaštitu od neovlašćenog pristupa. Na kraju radnog dana sva dokumenta koja sadrže lične podatke Klijenta stavljaju se u ormare (sefove) koji obezbeđuju zaštitu od neovlašćenog pristupa.

5.4.4. Zaštitu pristupa elektronskim bazama podataka koje sadrže lične podatke Klijenta obezbeđuje:

 Korištenje licenciranih antivirusnih i antihakerskih programa koji ne dozvoljavaju neovlašteni ulazak u lokalnu mrežu Organizacije.

 Razlikovanje prava pristupa korišćenjem naloga.

 Sistem lozinki na dva nivoa: na nivou lokalne računarske mreže i na nivou baze podataka. Lozinke postavlja administrator sistema organizacije i pojedinačno se saopštavaju zaposlenima koji imaju pristup ličnim podacima Klijenta.

5.4.4.1. Neovlašćeni ulazak u računare koji sadrže lične podatke Klijenta blokira se lozinkom, koju postavlja administrator sistema i ne podleže otkrivanju.

5.4.4.2. Svi elektronski folderi i fajlovi koji sadrže lične podatke Klijenta zaštićeni su lozinkom, koju postavlja službenik Organizacije odgovoran za PC i o tome prijavljuje administratoru sistema.

5.4.4.3. Lozinke mijenja administrator sistema najmanje jednom u 3 mjeseca.

5.4.5. Kopiranje i pravljenje izvoda ličnih podataka Klijenta dozvoljeno je isključivo u službene svrhe uz pismenu dozvolu generalnog direktora Organizacije.

5.4.6. Odgovori na pismene zahtjeve drugih organizacija i institucija o ličnim podacima Klijenta daju se samo uz pismenu saglasnost samog Klijenta, osim ako zakonom nije drugačije određeno. Odgovori se daju u pisanoj formi, na memorandumu Organizacije, i to u obimu koji dozvoljava da se ne otkrije prevelika količina ličnih podataka Klijenta.

6. Blokiranje, depersonalizacija, uništavanje ličnih podataka

6.1. Procedura za blokiranje i deblokiranje ličnih podataka:

6.1.1. Blokiranje ličnih podataka Klijenta vrši se uz pismenu molbu Klijenta.

6.1.2. Blokiranje ličnih podataka podrazumijeva:

6.1.2.2. Zabrana širenja ličnih podataka na bilo koji način (e-mail, ćelijski, materijalni mediji).

6.1.2.4. Uklanjanje papirnih dokumenata koji se odnose na Klijenta i koji sadrže njegove lične podatke iz internog toka dokumenata Organizacije i zabrana njihovog korišćenja.

6.1.3. Blokiranje ličnih podataka Klijenta može se privremeno ukinuti ako je to potrebno u skladu sa zakonodavstvom Ruske Federacije.

6.1.4. Deblokiranje ličnih podataka Klijenta vrši se uz njegov pismeni pristanak (ako postoji potreba za pribavljanjem pristanka) ili na zahtjev Klijenta.

6.1.5. Ponovljeni pristanak Klijenta za obradu njegovih ličnih podataka (ukoliko je to potrebno za pribavljanje) podrazumeva deblokadu njegovih ličnih podataka.

6.2. Postupak za depersonalizaciju i uništavanje ličnih podataka:

6.2.1. Do depersonalizacije ličnih podataka Klijenta dolazi na pismeni zahtjev Klijenta, pod uslovom da su svi ugovorni odnosi završeni i da je proteklo najmanje 5 godina od datuma isteka posljednjeg ugovora.

6.2.2. Prilikom depersonalizacije, lični podaci u informacionim sistemima se zamenjuju skupom znakova, zbog čega je nemoguće utvrditi da li lični podaci pripadaju određenom Klijentu.

6.2.3. Kada se lični podaci obezliče, papirni nosači dokumenata se uništavaju.

6.2.4. Organizacija je dužna osigurati povjerljivost ličnih podataka ako je potrebno testirati informacione sisteme na teritoriji programera i depersonalizirati lične podatke u informacionim sistemima koji se prenose na programera.

6.2.5. Uništavanje ličnih podataka Klijenta podrazumijeva prekid svakog pristupa ličnim podacima Klijenta.

6.2.6. Ukoliko se lični podaci Klijenta unište, zaposleni u Organizaciji ne mogu pristupiti ličnim podacima subjekta u informacionim sistemima.

6.2.7. Kada se lični podaci unište, uništavaju se papirni nosači dokumenata, a lični podaci u informacionim sistemima su anonimizirani. Lični podaci se ne mogu vratiti.

6.2.8. Operacija uništavanja ličnih podataka je nepovratna.

6.2.9. Period nakon kojeg je moguće uništavanje ličnih podataka Klijenta određen je krajem perioda navedenog u tački 7.3. ovih Pravila.

7. Prijenos i čuvanje ličnih podataka

7.1. Prijenos ličnih podataka:

7.1.1. Prijenos ličnih podataka subjekta znači širenje informacija putem komunikacijskih kanala i na materijalnim medijima.

7.1.2. Prilikom prenosa ličnih podataka zaposleni u Organizaciji moraju poštovati sledeće uslove:

7.1.2.1. Ne otkrivajte lične podatke Klijenta u komercijalne svrhe.

7.1.2.2. Ne otkrivajte lične podatke Klijenta trećoj strani bez pismenog pristanka Klijenta, osim u slučajevima utvrđenim saveznim zakonom Ruske Federacije.

7.1.2.3. Upozoriti osobe koje primaju lične podatke Klijenta da se ti podaci mogu koristiti samo u svrhe za koje su saopšteni, te zatražiti potvrdu od tih osoba da se ovo pravilo poštuje;

7.1.2.4. Omogućiti pristup ličnim podacima Klijenta samo posebno ovlaštenim osobama, a ta lica moraju imati pravo primanja samo onih osobnih podataka Klijenta koji su neophodni za obavljanje određenih funkcija.

7.1.2.5. Prenositi lične podatke Klijenta unutar Organizacije u skladu sa ovim Pravilnikom, regulatornom i tehnološkom dokumentacijom i opisima poslova.

7.1.2.6. Omogućiti Klijentu pristup njegovim ličnim podacima prilikom kontaktiranja ili po prijemu zahtjeva Klijenta. Organizacija je dužna da obavesti Klijenta o dostupnosti ličnih podataka o njemu, kao i da mu pruži mogućnost da se sa njima upozna u roku od deset radnih dana od dana podnošenja zahteva.

7.1.2.7. Lične podatke Klijenta prenijeti predstavnicima Klijenta na način propisan zakonom i regulatornom i tehnološkom dokumentacijom i ograničiti te podatke samo na one lične podatke subjekta koji su potrebni navedenim predstavnicima za obavljanje svojih funkcija.

7.2. Pohrana i korištenje ličnih podataka:

7.2.1. Čuvanje ličnih podataka odnosi se na postojanje zapisa u informacionim sistemima i na materijalnim medijima.

7.2.2. Lični podaci Klijenta se obrađuju i čuvaju u informacionim sistemima, kao i na papiru u Organizaciji. Lični podaci klijenata pohranjuju se i elektronski: na lokalnoj računarskoj mreži Organizacije, u elektronskim fasciklama i datotekama na računaru generalnog direktora i zaposlenih ovlaštenih za obradu ličnih podataka klijenata.

7.2.3. Lični podaci Klijenta mogu se čuvati ne duže nego što je potrebno za potrebe obrade, osim ako saveznim zakonima Ruske Federacije nije drugačije određeno.

7.3. Periodi pohranjivanja ličnih podataka:

7.3.1. Period čuvanja građanskih ugovora koji sadrže lične podatke Klijenta, kao i dokumenata koji prate njihovo zaključivanje i izvršenje je 5 godina od dana isteka ugovora.

7.3.2. Tokom perioda skladištenja, lični podaci ne mogu biti anonimizovani ili uništeni.

7.3.3. Nakon isteka perioda skladištenja, lični podaci se mogu anonimizirati u informacionim sistemima i uništiti na papiru na način utvrđen Pravilnikom i važećim zakonodavstvom Ruske Federacije. (Dodatak Zakona o uništavanju ličnih podataka)

8. Prava operatera ličnih podataka

Organizacija ima pravo:

8.1. Branite svoje interese na sudu.

8.2. Pružati lične podatke klijenata trećim licima ako to zahtijevaju važeći zakoni (porezi, agencije za provođenje zakona, itd.).

8.3. Odbiti davanje ličnih podataka u slučajevima predviđenim zakonom.

8.4. Koristiti lične podatke Klijenta bez njegovog pristanka, u slučajevima predviđenim zakonodavstvom Ruske Federacije.

9. Prava klijenta

Klijent ima pravo:

9.1. Zahtijevate pojašnjenje vaših ličnih podataka, njihovo blokiranje ili uništavanje ako su lični podaci nepotpuni, zastareli, nepouzdani, nezakonito dobijeni ili nisu neophodni za navedenu svrhu obrade, kao i preduzimanje zakonom predviđenih mjera za zaštitu vaših prava;

9.2. Zahtijevajte listu obrađenih ličnih podataka dostupnih u Organizaciji i izvor njihovog prijema.

9.3. Primajte informacije o uslovima obrade ličnih podataka, uključujući periode njihovog čuvanja.

9.4. Zahtijevati obavještavanje svih osoba kojima su prethodno dostavljeni netačni ili nepotpuni lični podaci o svim izuzecima, ispravkama ili dopunama učinjenim u njima.

9.5. Žalba nadležnom organu za zaštitu prava subjekata ličnih podataka ili sudu protiv nezakonitih radnji ili nečinjenja tokom obrade njegovih ličnih podataka.

10. Odgovornost za kršenje pravila koja uređuju obradu i zaštitu ličnih podataka

10.1. Zaposlenici Organizacije koji su krivi za kršenje pravila koja regulišu prijem, obradu i zaštitu ličnih podataka snose disciplinsku, administrativnu, građansku ili krivičnu odgovornost u skladu sa važećim zakonodavstvom Ruske Federacije i internim lokalnim aktima Organizacije.

Marina Prokhorova, urednik časopisa "Lični podaci"

Natalya Samoilova, advokat kompanije "InfoTechnoProject"

Regulatorni okvir koji je do danas razvijen u oblasti obrade ličnih podataka, dokumenti koji tek treba da budu usvojeni za efikasniju organizaciju rada na zaštiti podataka o ličnosti u organizacijama, tehnički aspekti pripreme informacionih sistema za operatere ličnih podataka - ovo su teme koje su se u posljednje vrijeme doticale u mnogim novinama i časopisnim publikacijama posvećenim pitanju ličnih podataka. U ovom članku želim se zadržati na takvom aspektu organizacije rada bankarskih i kreditnih institucija kao što je „netehnička“ zaštita ličnih podataka koji se obrađuju u tim organizacijama.

Počnimo s konkretnim primjerom

Riječ je o sudskoj reviziji predmeta o zaštiti ličnih podataka, pokrenutom protiv Sberbanke u junu 2008. Suština suđenja je bila sljedeća. Između građanina i banke zaključen je ugovor o garanciji prema kojem je građanin prihvatio obavezu da odgovara banci za ispunjenje obaveza dužnika po ugovoru o kreditu. Potonji nije ispunio svoje obaveze u roku utvrđenom ugovorom o kreditu, podaci o žirantu kao nepouzdanom klijentu su uneseni u automatizovani informacioni sistem banke „Stop lista“, što je, pak, bio osnov za odbijanje da mu se dostavi; sa kreditom. Štaviše, banka nije čak ni obavijestila građanina o tome da zajmoprimac nije uredno ispunjavao svoje obaveze iz ugovora o kreditu. Osim toga, u ugovoru o garanciji nije naznačeno da banka ima pravo da u slučaju nepravilnog ispunjenja svojih obaveza od strane zajmoprimca unese podatke o žirantu u informacioni sistem Stop liste. Dakle, banka je obrađivala lične podatke građanina uvrštavanjem podataka o njemu u informacioni sistem Stop liste bez njegovog pristanka, čime se krše uslovi iz 1. dela čl. 9 Federalnog zakona br. 152-FZ od 27. jula 2006. „O ličnim podacima”, prema kojem subjekt ličnih podataka odlučuje da pruži svoje lične podatke i daje saglasnost na njihovu obradu svojom voljom iu svom interesu. Osim toga, na način predviđen u dijelu 1. čl. 14. istog zakona, građanin se obratio banci sa zahtjevom da mu se omogući da se upozna sa podacima unesenim o njemu u informacioni sistem Stop liste, kao i da te podatke blokira i uništi. Banka je odbila da udovolji zahtjevima građana.

Na osnovu rezultata razmatranja slučaja, Lenjinski okružni sud Vladivostoka zadovoljio je tužbe Ureda Roskomnadzora za Primorsku teritoriju protiv Sberbanke Rusije radi zaštite povrijeđenih prava građana i naložio banci da uništi informacije o građanin iz informacionog sistema Stop liste.

Koliko je ovaj primjer značajan? Banke, čuvajući lične podatke značajnog broja svojih klijenata, bez oklijevanja ih prebacuju iz jedne baze podataka u drugu, a najčešće bez obavještavanja subjekta ličnih podataka o tome, a kamoli dobijanja njegovog pristanka na takve radnje njegovim ličnim podacima. Naravno, bankarska djelatnost ima niz karakteristika, a često se lični podaci klijenata koriste ne samo za ispunjavanje ugovora koje je banka zaključila, već i za kontrolu banke nad ispunjavanjem svojih obaveza, ali to znači da svaka manipulacija sa lični podaci već zahtijevaju saglasnost subjekta.

Poteškoće u tumačenju odredbi

Zašto ne biste legalizirali bilo kakve operacije s ličnim podacima? Naravno, to će najvjerovatnije zahtijevati angažman stručnjaka trećih strana, jer su i pravnici iz pravnih službi velikih banaka vrhunski profesionalci samo u određenoj oblasti i moraju se upoznati sa specifičnostima rada u polje ličnih podataka gotovo od nule. Dakle, najbolji izlaz je da uključite kompanije specijalizovane za pružanje usluga za organizovanje rada sa ličnim podacima, uključujući i one sposobne da izvrše reviziju kako bi se uverili da su mere netehničke zaštite koje preduzimate u skladu sa zahtevima zakonodavca.

Rezultati analitičkih studija nam omogućavaju da izvučemo zaključke da tumačenje kojih odredbi Federalnog zakona br. 152-FZ „O ličnim podacima“ izaziva najveće poteškoće.

U skladu sa delom 1. člana 22. ovog regulatornog dokumenta, operater je dužan da obavesti nadležni organ o obradi ličnih podataka. Među izuzecima je slučaj kada su obrađeni lični podaci primljeni u vezi sa zaključenjem ugovora u kojem je subjekt ličnih podataka... a koristi ih operater isključivo za izvršenje navedenog ugovora o na osnovu tačke 2. dijela 2. člana 22. Federalnog zakona br. 152-FZ "O ličnim podacima." Postupajući upravo po ovoj odredbi, neke banke ne dostavljaju obavještenje o obradi ličnih podataka, a mnoge se ne smatraju operaterima, što je suštinski pogrešno.

Takođe, još jedna uobičajena greška banaka kao operatera ličnih podataka vezanih za ugovor je sljedeća. Prema čl. 6. navedenog zakona, obradu ličnih podataka operater može izvršiti uz saglasnost subjekata ličnih podataka, osim u slučajevima koji uključuju provođenje obrade u svrhu ispunjenja ugovora, jedne od stranaka. na koji su predmet ličnih podataka. Stoga mnoge bankarske institucije svoj nedostatak pristanka subjekta ličnih podataka objašnjavaju upravo činjenicom da su zaključili takav ugovor.

Ali hajde da razmislimo, zar banka, kao operater, ne koristi lične podatke subjekta dobijene prilikom sklapanja ugovora, na primer, za slanje obaveštenja o novim uslugama, za održavanje „Stop liste“? To znači da se obrada ličnih podataka vrši ne samo u svrhu ispunjenja ugovora, već i u druge svrhe čije je postizanje od komercijalnog interesa za banke, dakle:

  • banke su dužne da nadležnom organu dostave obavještenje o obradi ličnih podataka;
  • banke moraju obrađivati ​​lične podatke samo uz saglasnost subjekta.

To znači da banke moraju da organizuju sistem za rad sa ličnim podacima svojih klijenata, odnosno da obezbede netehničku zaštitu tih podataka.

Pismeni pristanak za obradu ličnih podataka

Što se tiče pristanka subjekta ličnih podataka za obradu ličnih podataka, Federalni zakon br. 152-FZ „O ličnim podacima“ obavezuje operatere da dobiju pismenu saglasnost za obradu ličnih podataka samo u slučajevima određenim zakonom. Istovremeno, u skladu sa dijelom 3 čl. 9, obaveza dokazivanja primanja pristanka subjekta na obradu njegovih ličnih podataka je na operateru. Kako ne bismo gubili vrijeme na prikupljanje takvih dokaza ako je potrebno (npr. traženje svjedoka), po našem mišljenju, bolje je u svakom slučaju pribaviti pismenu saglasnost subjekata.

Dajemo još jedan argument za pisani oblik obrada ličnih podataka. Aktivnosti banaka često uključuju prenos podataka (uključujući lične podatke) na teritoriju strane države. Ovom prilikom, dio 1. čl. 12 Federalnog zakona br. 152-FZ „O ličnim podacima” navodi da je prije početka prekograničnog prijenosa ličnih podataka operater dužan osigurati da strana država na čiju se teritoriju se lični podaci prenose obezbijedi adekvatnu zaštitu prava subjekata ličnih podataka. Ukoliko takva zaštita nije obezbeđena, prekogranični prenos ličnih podataka moguć je samo uz pismenu saglasnost subjekta ličnih podataka. Može se pretpostaviti da je službeniku banke lakše dobiti pismeni pristanak klijenta za obradu ličnih podataka nego utvrditi stepen adekvatnosti njihove zaštite u stranoj državi.

Napominjemo da su podaci koji moraju biti sadržani u pisanoj saglasnosti navedeni u dijelu 4. čl. 9 gore navedenog Saveznog zakona, a ova lista je konačna. A potpis ispod fraze, na primjer, u ugovoru o zajmu: „Slažem se s korištenjem mojih ličnih podataka“, prema Federalnom zakonu br. 152-FZ „O ličnim podacima“, nije pristanak na njihovu obradu!

Čini se da postoji samo nekoliko tačaka prava, ali koliko komplikacija, pa i parnica, može izazvati njihovo pogrešno tumačenje. Štaviše, danas, kada lični podaci subjekata često postaju roba u konkurenciji različitih struktura, uspešno rešavanje pitanja njihove zaštite, obezbeđivanje sigurnosti informacionih sistema bankarskih i kreditnih institucija postaje ključ za održavanje ugleda i dobrog imena bilo koju organizaciju.

Svakim danom raste svijest građana o mogućim negativnim posljedicama širenja njihovih ličnih podataka, čemu doprinosi i pojava specijalizovanih publikacija. Postoje također informacionih resursa razne kompanije. Neki od njih uglavnom pokrivaju čitav niz pitanja vezanih za koncept „informacione sigurnosti“, drugi su posvećeni pregledima mjera i sredstava tehničke zaštite, dok se drugi, naprotiv, fokusiraju na probleme vezane za netehničku zaštitu. . Drugim riječima, informacije o pitanjima zaštite podataka o ličnosti postaju sve dostupnije, što znači da će građani biti pametniji u zaštiti svojih prava.

Postalo je posebno popularno za ruske divizije stranih kompanija zbog dodavanja 5. dijela članka 18. 152-FZ „O ličnim podacima”: „... operater je dužan osigurati snimanje, sistematizaciju, akumulaciju, skladištenje, pojašnjenje (ažuriranje, mijenjanje), preuzimanje lične podatke državljani Ruske Federacije koristeći baze podataka koje se nalaze na teritoriji Ruske Federacije" . Postoji niz izuzetaka u zakonu, ali morate priznati da u slučaju inspekcije od strane regulatora želite da imate jače adute od “ali to nas se ne tiče”.

Kazne za prekršioce su veoma ozbiljne. Internet prodavnice, društvenim medijima, informativne stranice, druge poslove vezane za Internet u slučaju potraživanja od strane nadzornih organa, oni se zapravo mogu zatvoriti. Moguće je da će tokom prvog pregleda regulator dobiti vremena da otkloni nedostatke, ali je period obično ograničen. Ako se problem ne riješi vrlo brzo (što je teško učiniti bez prethodne pripreme), gubici više neće biti nadoknađeni. Blokiranje sajtova ne samo da dovodi do pauze u prodaji, već znači i gubitak tržišnog udela.

Pojava prekršitelja zakona o ličnim podacima na „crnoj listi“ za oflajn kompanije je manje dramatična. Ali to povlači reputacijske rizike, što je značajan faktor za strane kompanije. Osim toga, sada gotovo da nema više vrsta aktivnosti na koje zaštita ličnih podataka uopće ne utiče. Banke, trgovina, čak i proizvodnja - svi održavaju baze podataka klijenata, što znači da podliježu relevantnim zakonima.

Ovdje je važno shvatiti da se ovo pitanje ne može razmatrati izolovano ni unutar kompanija. Zaštita ličnih podataka ne može se ograničiti na instaliranje certificiranih sigurnosnih mjera na servere i zaključavanje papirnih kartica u sefove. Lični podaci imaju mnogo ulaznih tačaka u kompaniju - odjele prodaje, HR, korisničku podršku, ponekad i centara za obuku, nabavne komisije i druga odjeljenja. Upravljanje zaštitom ličnih podataka je složen proces koji utiče IT, tok dokumenata, propisi, pravna registracija.

Pogledajmo šta bi bilo potrebno za pokretanje i održavanje takvog procesa.

Koji se podaci smatraju ličnim

Strogo govoreći, sve informacije koje se direktno ili indirektno odnose na određenog pojedinca su njegovi lični podaci. Imajte na umu mi pričamo o tome o ljudima, ne o pravna lica. Ispostavilo se da je dovoljno da navedete svoje puno ime i prezime i adresu stanovanja kako biste pokrenuli zaštitu ovih (kao i povezanih) podataka. Međutim, primanje email sa nečijim ličnim podacima u obliku potpisa i telefonski broj ovo nije razlog da ih branimo. Ključni pojam: “Koncept prikupljanja ličnih podataka.” Da razjasnim kontekst, želeo bih da istaknem nekoliko članova Zakona „O ličnim podacima“.

Član 5. Principi obrade ličnih podataka. Trebalo bi da postoje jasni ciljevi koji jasno pokazuju zašto se informacije prikupljaju. U suprotnom, čak i uz potpuno poštovanje svih drugih pravila i propisa, sankcije su vjerovatne.

Član 10. Posebne kategorije ličnih podataka. Na primjer, odjel za ljudske resurse može evidentirati ograničenja za poslovna putovanja, uključujući trudnoću zaposlenika. Naravno, takav Dodatne informacije su takođe zaštićeni. Time se uvelike proširuje razumijevanje ličnih podataka, kao i liste odjela i repozitorija informacija kompanije u kojima treba obratiti pažnju na zaštitu.

Član 12. Prekogranični prenos ličnih podataka. Ako se informacioni sistem sa podacima o građanima Ruske Federacije nalazi u zemlji koja nije ratifikovala Konvenciju o zaštiti ličnih podataka (na primjer, u Izraelu), treba se pridržavati odredbi ruskog zakonodavstva.

Član 22. Obaveštenje o obradi ličnih podataka. Preduvjet da se ne bi privukla pretjerana pažnja regulatora. Ako obavljate poslovne aktivnosti vezane za lične podatke, prijavite to sami bez čekanja na inspekciju.

Gdje se mogu nalaziti lični podaci

Tehnički, PD se može locirati bilo gdje, od štampanih medija (papirnih datoteka) do mašinskih medija ( tvrdi diskovi, fleš diskovi, CD-ovi itd.). Odnosno, fokus je na bilo kojoj pohrani podataka koja potpada pod definiciju ISPD (informacioni sistemi ličnih podataka).

Geografija lokacije je poseban veliki problem. S jedne strane, lični podaci Rusa ( pojedinci koji su državljani Ruske Federacije) moraju biti uskladišteni na teritoriji Ruske Federacije. S druge strane, u ovom trenutku to je više vektor razvoja situacije nego svršeni čin. Mnoge međunarodne i izvozne kompanije, razni holdingi i zajednička ulaganja su kroz istoriju imali distribuiranu infrastrukturu - i to se neće promijeniti preko noći. Za razliku od metoda čuvanja i zaštite ličnih podataka, koji se moraju prilagoditi skoro sada, odmah.

Minimalna lista odjela uključenih u evidentiranje, sistematizaciju, akumulaciju, čuvanje, pojašnjenje (ažuriranje, promjenu), preuzimanje ličnih podataka:

  • Personal service.
  • Odjel prodaje.
  • Pravni odjel.

Budući da rijetko postoji savršeni redoslijed, u stvarnosti, najnepredvidljivije jedinice se često mogu dodati ovoj „očekivanoj“ listi. Na primjer, skladište može snimati personalizirane informacije o dobavljačima, ili služba sigurnosti može voditi vlastitu detaljnu evidenciju o svakome ko ulazi u prostorije. Tako se, inače, sastav ličnih podataka zaposlenih može dopuniti podacima o klijentima, partnerima, izvođačima, kao i slučajnim, pa i tuđim posetiocima – čiji lični podaci postaju „kriminal“ kada se fotografišu za propusnicu, skeniranje ličnu kartu iu nekim drugim slučajevima. ACS (sistemi kontrole i upravljanja pristupom) lako mogu postati izvor problema u kontekstu zaštite ličnih podataka. Dakle, odgovor na pitanje "Gdje?" sa stanovišta poštovanja Zakona, to zvuči ovako: svuda na područnoj teritoriji. Precizniji odgovor može se dati samo provođenjem odgovarajuće revizije. Ovo je prva faza projekat o zaštiti ličnih podataka. Cijela lista njegove ključne faze:

1) Revizija postojećeg stanja u kompaniji.

2) Dizajn tehničkog rješenja.

3) Priprema procesa zaštite podataka o ličnosti.

4) Provjera usklađenosti tehničkog rješenja i procesa zaštite ličnih podataka sa zakonodavstvom Ruske Federacije i propisima kompanije.

5) Implementacija tehničkog rješenja.

6) Pokretanje procesa zaštite ličnih podataka.

1. Revizija postojećeg stanja u kompaniji

Prije svega, provjerite kod odjela za ljudske resurse i ostalih odjela koji koriste papirne medije sa ličnim podacima:

  • Postoje li obrasci saglasnosti za obradu ličnih podataka? Da li su popunjeni i potpisani?
  • Da li se poštuje „Uredba o specifičnostima obrade ličnih podataka koja se vrši bez upotrebe alata za automatizaciju“ od 15.09.2008. br. 687?

Odredite geografsku lokaciju ISPD-a:

  • U kojim se državama nalaze?
  • Na osnovu čega?
  • Postoje li ugovori za njihovo korištenje?
  • Koja se tehnološka zaštita koristi za sprečavanje curenja ličnih podataka?
  • Koje se organizacijske mjere poduzimaju za zaštitu ličnih podataka?

U idealnom slučaju, informacioni sistem sa ličnim podacima Rusa treba da bude u skladu sa svim zahtevima Zakona 152-FZ „O ličnim podacima“, čak i ako se nalazi u inostranstvu.

Na kraju, obratite pažnju na impresivnu listu dokumenata koji su potrebni u slučaju verifikacije (ovo nije sve, samo glavna lista):

  • Obavijest o obradi PD-a.
  • Dokument koji identifikuje osobu odgovornu za organizaciju obrade ličnih podataka.
  • Spisak zaposlenih ovlašćenih za obradu ličnih podataka.
  • Dokument koji definiše lokaciju skladištenja PD.
  • Potvrda o obradi posebnih i biometrijskih kategorija ličnih podataka.
  • Potvrda o prekograničnom prenosu ličnih podataka.
  • Standardne forme dokumenata sa ličnim podacima.
  • Standardni oblik pristanka za obradu ličnih podataka.
  • Procedura za prenos PD trećim licima.
  • Postupak evidentiranja zahtjeva subjekata PD.
  • Spisak informacionih sistema ličnih podataka (ISPD).
  • Dokumenti koji reguliraju sigurnosnu kopiju podataka u ISPD-u.
  • Lista korištenih alata za sigurnost informacija.
  • Postupak uništavanja ličnih podataka.
  • Pristupna matrica.
  • Model pretnje.
  • Dnevnik za snimanje mašinskih medija PDn.
  • Dokument koji definiše nivoe bezbednosti za svaki ISPD u skladu sa PP-1119 od 1. novembra 2012. godine „O odobravanju uslova za zaštitu ličnih podataka prilikom njihove obrade u informacionim sistemima ličnih podataka“.

2. Dizajn tehničkog rješenja

Opis organizacionih i tehničkih mjera koje se moraju poduzeti za zaštitu ličnih podataka dat je u Poglavlju 4. „Odgovornosti operatera“ Zakona 152-FZ „O ličnim podacima“. Tehničko rješenje mora biti zasnovano na odredbama člana 2. Zakona 242-FZ od 21. jula 2014. godine.

Ali kako se pridržavati zakona i obraditi osobne podatke građana Ruske Federacije na teritoriji Rusije u slučaju kada se izvor podataka još uvijek nalazi u inostranstvu? Ovdje postoji nekoliko opcija:

  • Fizički prijenos informacionog sistema i baze podataka na teritoriju Ruske Federacije. Ako je to tehnički izvodljivo, to će biti najlakše.
  • Podatke PD ostavljamo u inostranstvu, ali u Rusiji kreiramo njihovu kopiju i postavljamo jednosmjernu replikaciju PD podataka ruskih državljana sa ruske kopije na stranu. Istovremeno, u stranom sistemu potrebno je isključiti mogućnost izmjene ličnih podataka građana Ruske Federacije, sve promjene se moraju izvršiti samo putem ruskog ISPD-a.
  • Postoji nekoliko ISPD-ova i svi su u inostranstvu. Transfer može biti skup ili tehnički neizvodljiv (na primjer, nemoguće je odabrati dio baze podataka s ličnim podacima građana Ruske Federacije i premjestiti ga u Rusiju). U ovom slučaju, rješenje može biti kreiranje novog ISPD-a na bilo kojoj dostupnoj platformi na serveru u Rusiji, odakle će se vršiti jednosmjerna replikacija do svakog stranog ISPD-a. Napominjem da izbor platforme ostaje na kompaniji.

Ako PDn nije u potpunosti i isključivo prenesen u Rusiju, ne zaboravite naznačiti u potvrdi o prekograničnom prijenosu podataka kome se i koji određeni skup PD šalje. Obavijest o obradi mora naznačiti svrhu prijenosa ličnih podataka. Opet, ovaj cilj mora biti legitiman i jasno opravdan.

3. Priprema procesa za zaštitu ličnih podataka

Proces zaštite ličnih podataka treba da odredi najmanje sljedeće točke:

  • Spisak odgovornih za obradu ličnih podataka u kompaniji.
  • Procedura za omogućavanje pristupa ISPD-u. U idealnom slučaju, ovo je pristupna matrica sa nivoom pristupa za svaku poziciju ili određenog zaposlenog (čitanje/čitanje-pisanje/izmjena). Ili lista dostupnih ličnih podataka za svaku poziciju. Sve ovisi o implementaciji IP-a i zahtjevima kompanije.
  • Revizija pristupa ličnim podacima i analiza pokušaja pristupa uz kršenje nivoa pristupa.
  • Analiza razloga nedostupnosti ličnih podataka.
  • Procedura za odgovaranje na zahtjeve subjekata PD u vezi sa njihovim PD.
  • Revizija liste ličnih podataka koji se prenose van kompanije.
  • Pregled primalaca ličnih podataka, uključujući i inostranstvo.
  • Periodični pregled modela prijetnji za lične podatke, kao i promjene u nivou zaštite ličnih podataka u vezi sa promjenama u modelu prijetnji.
  • Ažuriranje dokumentacije kompanije (lista je iznad, a po potrebi se može dopuniti).

Ovdje možete detaljno opisati svaku tačku, ali bih posebnu pažnju posvetio nivou sigurnosti. Utvrđuje se na osnovu sljedećih dokumenata (čitati uzastopce):

1. “Metodologija za identifikaciju trenutnih prijetnji sigurnost lični podaci kada se obrađuju u informacionim sistemima ličnih podataka" (FSTEC RF 14. februara 2008.).

2. Uredba Vlade Ruske Federacije br. 1119 od 1. novembra 2012. godine „O odobravanju zahtjeva za zaštitu ličnih podataka tokom njihove obrade u informacionim sistemima ličnih podataka“.

3. Naredba FSTEC-a broj 21 od 18. februara 2013. godine „O odobravanju sastava i sadržaja organizaciono-tehničkih mjera za osiguranje sigurnosti podataka o ličnosti tokom njihove obrade u informacionim sistemima podataka o ličnosti“.

Također, ne zaboravite uzeti u obzir potrebu za takvim kategorijama troškova kao što su:

  • Organizacija projektni tim i upravljanje projektima.
  • Programeri za svaku od ISPDn platformi.
  • Kapacitet servera (vlastiti ili iznajmljen u data centru).

Do kraja druge i treće faze projekta trebali biste imati:

  • Obračun troškova.
  • Zahtjevi kvaliteta.
  • Rokovi i raspored projekta.
  • Tehnički i organizacioni rizici projekta.

4. Provjera usklađenosti tehničkog rješenja i procesa za zaštitu ličnih podataka sa zakonodavstvom Ruske Federacije i propisima kompanije

Kratka, ali važna faza, tokom koje morate osigurati da sve planirane radnje nisu u suprotnosti sa zakonodavstvom Ruske Federacije i pravilima kompanije (na primjer, sigurnosnom politikom). Ako se to ne učini, u temelj projekta će biti postavljena bomba koja u budućnosti može „eksplodirati“ i uništiti korist od postignutih rezultata.

5. Implementacija tehničkog rješenja

Ovdje je sve manje-više očigledno. Specifičnosti zavise od početne situacije i odluka. Ali općenito bi slika trebala izgledati otprilike ovako:

  • Kapacitet servera je dodijeljen.
  • Mrežni inženjeri su obezbijedili dovoljno propusnost kanala između prijemnika i predajnika PDn.
  • Programeri su uspostavili replikaciju između ISPDn baza podataka.
  • Administratori su spriječili promjene na ISPD-ovima koji se nalaze u inostranstvu.

Osoba odgovorna za zaštitu ličnih podataka ili „vlasnik procesa“ može biti ista osoba ili različita. Sama činjenica je da „vlasnik procesa“ mora pripremiti svu dokumentaciju i organizirati cijeli proces zaštite ličnih podataka. Da bi se to učinilo, svi zainteresovani moraju biti obaviješteni, zaposleni moraju biti upućeni, a IT služba mora olakšati implementaciju tehničkih mjera zaštite podataka.

6. Pokretanje procesa zaštite ličnih podataka

Ovo je važan korak i na neki način cilj cijelog projekta je da se dovede kontrola nad tok. Pored tehničkih rješenja i regulatornu dokumentaciju Uloga vlasnika procesa je ovdje kritična. On mora pratiti promjene ne samo u zakonodavstvu, već iu IT infrastrukturi. To znači da su potrebne odgovarajuće vještine i kompetencije.

Osim toga, što je u stvarnim uslovima rada kritično važno, vlasniku procesa zaštite ličnih podataka potrebna su sva potrebna ovlaštenja i administrativna podrška menadžmenta kompanije. U suprotnom, on će biti vječiti „molitelj“ na kojeg niko ne obraća pažnju, a nakon nekog vremena projekat se može ponovo pokrenuti, počevši ponovo od revizije.

Nijanse

Nekoliko tačaka koje je lako previdjeti:

  • Ako radite sa data centrom, potreban vam je ugovor o usluzi za obezbeđivanje kapaciteta servera, prema kojem vaša kompanija legalno skladišti podatke i kontroliše ih.
  • Potrebne su vam licence za softver koji se koristi za prikupljanje, skladištenje i obradu ličnih podataka ili ugovori o zakupu.
  • Ako se ISPD nalazi u inostranstvu, potreban je sporazum sa kompanijom koja je vlasnik tamošnjeg sistema - da se garantuje usklađenost sa zakonodavstvom Ruske Federacije u vezi sa ličnim podacima Rusa.
  • Ako se lični podaci prenose izvođaču vaše kompanije (na primjer, IT outsourcing partner), tada ćete u slučaju curenja ličnih podataka od strane naručitelja biti odgovorni za potraživanja. Zauzvrat, vaša kompanija može podnijeti tužbe protiv naručioca. Možda ovaj faktor može uticati na samu činjenicu outsourcinga.

I još jednom, najvažnije je da se zaštita ličnih podataka ne može jednostavno osigurati. To je proces. Stalni iterativni proces koji će u velikoj meri zavisiti od daljih promena u zakonodavstvu, kao i od formata i rigoroznosti primene ovih pravila u praksi.

Naslov: Net
Dijeli