Sécurité des données personnelles dans la banque
Que sont les données personnelles?
Selon la définition de la loi fédérale, les données personnelles sont toute information liée à un particulier ou déterminé sur la base de ces informations d'un individu (sujet de données personnelles), y compris son nom, prénom, patronyme, année, mois, date et lieu de naissance, adresse, famille, social, statut de propriété, éducation, profession, revenu, autres informations.
Où se trouvent les données personnelles?
Les données personnelles (PD) de la banque se trouvent dans les systèmes suivants:
Système bancaire automatisé (ABS);
Systèmes client-banque;
Systèmes de transfert d'argent instantané;
Systèmes de comptabilité comptable;
Systèmes de comptabilité RH;
Système d'information d'entreprise;
Portail Web interne.
Le DP peut être présent sur des documents papier (contrats, formulaires, commandes, instructions, questionnaires, accords, etc.).
Quels documents établissent des exigences pour la protection des données personnelles?
Lois fédérales
Loi fédérale n ° 149-FZ du 27 juillet 2006 sur l'information, informatique et la protection de l'information »;
Décisions gouvernementales
Résolution du gouvernement de la Fédération de Russie n ° 781 du 17 novembre 2007 "Sur l'approbation de la disposition relative à la garantie de la sécurité des données à caractère personnel pendant leur traitement en systèmes d'information données personnelles ";
Décret du gouvernement de la Fédération de Russie n ° 957 du 29 décembre 2007 "sur l'approbation des règlements sur l'octroi de licences pour certains types d'activités liées aux moyens de chiffrement (cryptographiques)";
Résolution du gouvernement de la Fédération de Russie n ° 687 du 15 septembre 2008 "Sur l'approbation du règlement sur les spécificités du traitement des données personnelles effectué sans l'utilisation d'outils d'automatisation."
FSTEC de Russie
Arrêté conjoint du FSTEC de Russie, du FSB de Russie et du Ministère des technologies de l'information et des communications de Russie n ° 55/86/20 du 13 février 2008 "Sur l'approbation de la procédure de classification des systèmes d'information de données personnelles";
Document d'orientation du FSTEC de Russie "Modèle de base des menaces à la sécurité des données personnelles pendant leur traitement dans les systèmes d'information sur les données personnelles";
Document d'orientation du FSTEC de Russie "Méthodologie pour déterminer les menaces réelles à la sécurité des données personnelles pendant leur traitement dans les systèmes d'information sur les données personnelles";
Arrêté du FSTEC de Russie du 5 février 2010 n ° 58 «Sur l'approbation du règlement sur les méthodes et méthodes de protection des informations dans les données personnelles».
FSB de Russie
Arrêté de la FAPSI du 13 juin 2001 n ° 152 "Sur l'approbation des instructions sur l'organisation et la sécurité du stockage, du traitement et de la transmission par les canaux de communication utilisant la sécurité de l'information cryptographique accès limitéqui ne contient pas d'informations constituant un secret d'État »;
Arrêté du Service fédéral de sécurité de la Fédération de Russie du 9 février 2005 n ° 66 "Sur l'approbation du règlement sur le développement, la production, la vente et l'exploitation des moyens de cryptage (cryptographiques) de protection de l'information (règlement PKZ-2005)";
Le document d'orientation du FSB de Russie daté du 21 février 2008 n ° 149 / 54-144 " Des lignes directrices assurer la sécurité des données à caractère personnel à l'aide de moyens cryptographiques lors de leur traitement dans des systèmes d'information de données à caractère personnel à l'aide d'outils d'automatisation ";
Le document d'orientation du FSB de Russie daté du 21 février 2008 n ° 149/6 / 6-622 "Exigences typiques pour l'organisation et le fonctionnement des moyens de cryptage (cryptographiques) destinés à protéger les informations qui ne contiennent pas d'informations constituant un secret d'État, s'il est utilisé pour garantir la sécurité des données à caractère personnel lors de leur traitement dans les systèmes d'information sur les données à caractère personnel ";
Norme de la Banque de Russie
Disposition STO BR IBBS-1.0-2010 " sécurité de l'information organisations du système bancaire de la Fédération de Russie. Dispositions générales ";
STO BR IBBS-1.1-2007 «Assurer la sécurité des informations des organisations du système bancaire de la Fédération de Russie. Audit de la sécurité de l'information ";
STO BR IBBS-1.2-2010 «Assurer la sécurité des informations des organisations du système bancaire de la Fédération de Russie. Méthodologie d'évaluation de la conformité de la sécurité de l'information des organisations du système bancaire de la Fédération de Russie avec les exigences de la STO BR IBBS-1.0-20xx ";
RS BR IBBS-2.0-2007 «Sécurité de l'information des organisations du système bancaire de la Fédération de Russie. Recommandations méthodologiques pour la documentation dans le domaine de la sécurité de l'information conformément aux exigences de la STO BR IBBS-1.0 ";
RS BR IBBS-2.1-2007 «Assurer la sécurité des informations des organisations du système bancaire de la Fédération de Russie. Directives pour l'auto-évaluation de la conformité de la sécurité de l'information des organisations du système bancaire de la Fédération de Russie avec les exigences de la STO BR IBBS-1.0 ";
RS BR IBBS-2.3-2010 «Sécurité de l'information des organisations du système bancaire de la Fédération de Russie. Exigences pour garantir la sécurité des données à caractère personnel dans les systèmes d'information sur les données à caractère personnel des organisations du système bancaire de la Fédération de Russie ";
RS BR IBBS-2.4-2010 «Sécurité de l'information des organisations du système bancaire de la Fédération de Russie. Modèle privé sectoriel de menaces à la sécurité des données à caractère personnel lors de leur traitement dans les systèmes d'information de PD des organisations de banques du système bancaire de la Fédération de Russie ";
Recommandations méthodologiques pour répondre aux exigences légales lors du traitement des données personnelles dans les organisations RF BS, élaborées conjointement par la Banque de Russie, l'ARB et l'Association des banques régionales de Russie (Association «Russie»).
Comment les données personnelles doivent-elles être protégées?
Conformément aux exigences des documents méthodologiques pour la protection de la DP, les sous-systèmes suivants sont communs à tous les types de PDIS:
Sous-système de contrôle d'accès;
Sous-système d'enregistrement et de comptabilité;
Sous-système d'intégrité;
Sous-système de pare-feu.
Si le RNIS est connecté à Internet, vous devez en outre utiliser les sous-systèmes suivants:
Sous-système de sécurité antivirus;
Sous-système de détection d'intrusion;
Sous-système d'analyse de la sécurité.
Il est également nécessaire d'utiliser des serrures électroniques et / ou des clés électroniques pour une identification et une authentification fiables des utilisateurs.
Si l'ISPD est distribué en plus pour empêcher tout accès non autorisé en séparant les informations protégées de l'information publique, il est nécessaire d'utiliser la cryptographie lors de la transmission de PD via des canaux de communication non sécurisés, ainsi que EDS pour confirmer l'authenticité des données.
Une telle ventilation en sous-systèmes et la formation sur leur base d'une liste de produits pour la protection des données à caractère personnel sont généralement acceptées et sont utilisées dans la plupart des cas.
Quel est le besoin de protéger les données personnelles?
Si la tâche consiste à garantir uniquement la confidentialité de la DP, il est nécessaire de mener des activités et / ou d'utiliser des moyens techniques visant à empêcher tout accès non autorisé, alors un tel PDIS devient la norme.
Si des exigences supplémentaires sont imposées pour garantir d'autres propriétés de la sécurité de l'information, telles que garantir l'intégrité, la disponibilité, ainsi que leurs dérivés (non-répudiation, responsabilité, adéquation, fiabilité, etc.), alors un tel ISPD devient spécial. Dans la plupart des cas, tout ISPD sera spécial, c'est-à-dire qu'en plus des classes PD, pour déterminer les mécanismes de protection, il faut être guidé par le modèle de menace créé à cet effet.
Comment réduire la classe PD?
Afin de réduire et de simplifier les mesures de protection des données personnelles, les banques se tournent vers diverses astuces. Ci-dessous, je donne les moyens les plus courants de réduire le coût des équipements de protection. Cependant, en soi, une telle «refonte» des systèmes d'information de la Banque est une tâche assez difficile et chronophage.
Réduire le nombre de sites
Comme indiqué ci-dessus, si l'ISPD est distribué, des exigences accrues sont imposées à sa protection; afin de les réduire, vous devez essayer de vous éloigner de l'ISPD distribué.
Avec un ISPD distribué, les PD sont localisées sur des sites différents, les PD sont transmises via des canaux de communication non contrôlés par la Banque, et dans le cas général, cela signifie que les PD quittent ou quittent la zone contrôlée. Ensuite, tout d'abord, il faut localiser PD en réduisant le nombre de sites sur lesquels ils seront implantés. Dans certains cas, c'est réel, mais si nous considérons l'ABS, cela ne sera probablement pas possible.
Réduire le nombre de serveurs
Si le RNIS est local, c'est-à-dire qu'il fonctionne au sein du réseau local de la Banque, alors le moyen le plus simple de réduire le coût des coûts de protection sera de réduire le nombre d'équipements serveurs sur lesquels les DP sont présents et / ou traités.
Réduire le nombre de postes de travail et de personnel
Pour tout type d'ISPD (sous forme d'AWP, local, distribué), le traitement final de PD est généralement assuré par le personnel de la Banque. Si vous n'utilisez pas l'accès au terminal, qui sera abordé ci-dessous, il est judicieux de réduire le nombre de membres du personnel de la Banque impliqués dans le traitement des DP ou y ayant accès.
Partage d'IP avec l'UIT
Afin de réduire la quantité de données personnelles, et donc de réduire le coût des équipements de protection, dans le bon sens est la division réseaux d'information pour les segments dans lesquels le traitement PD est effectué. Pour ce faire, il est nécessaire d'installer et d'utiliser des pare-feu, aux ports desquels les segments avec PD doivent être connectés. Souvent, tout l'équipement serveur est situé dans une zone démilitarisée, c'est-à-dire dans des segments séparés des réseaux publics et bancaires par des pare-feu. Cette méthode nécessite également un «redessinage» important des réseaux d'information. Il existe une méthode basée sur ce que l'on appelle le "cryptage linéaire", c'est-à-dire le cryptage du canal client-client, client-serveur, serveur-serveur. Un tel cryptage du trafic réseau peut être mis en œuvre à la fois avec l'utilisation de moyens de protection spéciaux et avec l'utilisation de la technologie IPSec standard, mais il n'est pas certifié par le FSB de Russie, ce qui est son inconvénient majeur.
Une autre façon de diviser l'ISPD sur l'ensemble du réseau pourrait être la technologie des réseaux virtuels - le VLAN, cependant, en fait, le VLAN n'est qu'un identifiant dans l'un des champs d'un paquet réseau, ce qui nous permet de parler de cette technologie comme "IT ". Par conséquent, la séparation des réseaux utilisant des VLAN ne dispense pas de l'utilisation des technologies de sécurité de l'information.
Division des bases de données en parties
Supposons que vous ayez une base de données de milliers d'enregistrements: nom complet. et le montant de la caution.
Créons deux autres bases de données. Introduisons un identifiant unique supplémentaire. Nous allons diviser le tableau en deux parties, dans la première nous placerons les champs nom et prénom et identifiant, dans l'autre identifiant et le montant de l'acompte.
Ainsi, si chaque collaborateur ne peut traiter qu'une seule de ces nouvelles bases de données, alors la protection des données personnelles est grandement simplifiée, voire réduite à rien. De toute évidence, la valeur d'une telle base de données est nettement inférieure à celle d'origine. Les deux bases de données seront situées sur le serveur le plus sécurisé. En réalité, il y a beaucoup plus de champs dans la base de données, cependant ce principe peut fonctionner dans presque tous les cas, car le nombre de domaines significatifs du point de vue de la sécurité des données personnelles n'est pas si grand, mais plutôt très limité. Dans le cas extrême, vous pouvez stocker des correspondances clés sur un PC qui n'est pas inclus dans réseau local ou même ne pas utiliser de traitement automatisé.
Anonymisation des données personnelles
Selon la définition de 152-FZ, la dépersonnalisation des données personnelles est des actions, à la suite desquelles il est impossible de déterminer l'appartenance des données personnelles à un sujet spécifique de données personnelles. De cette définition découle une série de manières par lesquelles il est possible d'obtenir PD, par lesquelles il est impossible de déterminer l'appartenance de PD. Par exemple, si les données exactes de certains champs ne sont pas importantes à des fins de traitement, vous pouvez soit ne pas les afficher, soit afficher uniquement les plages dans lesquelles elles se situent. Par exemple, 20-30 ans, 30-40 ans, etc. L'adresse peut être «arrondie» à un quartier, un district ou une ville: Tsaritsyno, Yuzhny, Moscou. Selon les besoins, le processus de dépersonnalisation des données personnelles peut être réversible ou irréversible. Les méthodes "d'arrondi" ci-dessus sont irréversibles et le cryptage, par exemple, est réversible. De mon point de vue, le cryptage (encodage) peut être un moyen d'anonymiser les données et doit être utilisé à ces fins.
Clients légers et accès aux terminaux
L'utilisation de technologies «client léger» et de la technologie d'accès aux terminaux correspondante sur les serveurs peut réduire considérablement les exigences en matière de protection des données personnelles. En effet, lors de l'utilisation de «clients légers» et d'accès aux terminaux, il n'est pas nécessaire d'installer des logiciels spécialisés sur les PC des employés de la Banque, tels que les parties clientes des bases de données, les parties clientes de l'ABS, etc. De plus, il n'est pas nécessaire d'installer de moyens spéciaux protection. Ces technologies vous permettent d'afficher des informations provenant de bases de données stockées sur des serveurs sur votre lieu de travail et de gérer le traitement des DP. Ces technologies sont a priori sûres, car les politiques des terminaux peuvent facilement restreindre la capacité des clients finaux (personnel de la Banque) à copier, et donc à diffuser des données personnelles. Canal de communication entre serveurs et PC avec " client léger»Facilement accessible au cryptage, c'est-à-dire qu'en utilisant des méthodes simples, vous pouvez garantir la confidentialité des données transmises.
La vitesse des fuites potentielles de données ne sera limitée que par le canal visuel, qui est déterminé par la vitesse d'une caméra ou d'une caméra vidéo, mais avec l'introduction de mesures organisationnelles spéciales, une telle copie devient très difficile.
Comment les données personnelles peuvent-elles être protégées?
Au sens large, la fourniture d'une protection contre les accès non autorisés est comprise comme un ensemble de mesures organisationnelles et techniques. Ces activités reposent sur une compréhension des mécanismes de prévention des accès non autorisés à différents niveaux:
Identification et authentification (également à deux facteurs ou forte). Il pourrait être ( système opérateur, logiciel d’infrastructure, logiciel d’application, matériel, comme les clés électroniques);
Enregistrement et comptabilité. Cela peut être la journalisation (journalisation, journalisation) des événements dans tous les systèmes, logiciels et outils ci-dessus);
Assurer l'intégrité. Cela peut être le calcul des sommes de contrôle des fichiers contrôlés, garantissant l'intégrité des composants logiciels, en utilisant un environnement logiciel fermé, ainsi que le démarrage fiable du système d'exploitation);
Pare-feu, à la fois passerelle et local;
Sécurité antivirus (jusqu'à trois niveaux de défense sont appliqués, l'approche dite en couches ou multi-fournisseurs);
Cryptographie (appliquée fonctionnellement à différents niveaux du modèle OSI (réseau, transport et supérieur), et fournit diverses fonctionnalités de protection).
Il existe plusieurs produits complexes dotés de fonctionnalités NSD avancées. Ils diffèrent tous par les types d'application, le support matériel, le support logiciel et la topologie d'implémentation.
Lorsque le RNIS est distribué ou connecté à un réseau public (Internet, Rostelecom, etc.), des produits d'analyse de sécurité sont utilisés (MaxPatrol de Positive Technologies, qui n'a pas de concurrents directs en Fédération de Russie), ainsi que la détection et la prévention des intrusions (IDS / IPS) - comme activé au niveau de la passerelle et au niveau du terminal.
Comment les données personnelles peuvent-elles être transférées?
Si ISPD est distribué, cela signifie la nécessité de transmettre PD sur des canaux de communication non protégés. À propos, le canal «air» appartient également au canal non protégé. Pour protéger PD dans les canaux de communication, différentes méthodes peuvent être utilisées:
Cryptage du canal de communication. Il peut être fourni de quelque manière que ce soit, comme VPN entre passerelles, VPN entre serveurs, VPN entre postes de travail (InfoTecs ViPNet Custom, Informzashita APKSh Continent, etc.);
Commutation de paquets MPLS. Les paquets sont transmis le long de chemins différents selon les étiquettes qui sont attribuées par l'équipement de réseau. Par exemple, le réseau MPLS de Rostelecom dispose d'un certificat de conformité du réseau de commutation de paquets avec les exigences de sécurité de l'information du FSTEC de Russie, ce qui est une garantie de haute sécurité des services fournis sur sa base;
Cryptage des documents. Divers peuvent être appliqués logiciel pour crypter les fichiers de données, ainsi que les fichiers conteneurs (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt, etc.);
Cryptage des archives. Divers archiveurs peuvent être utilisés pour vous permettre d'archiver et de crypter des fichiers à l'aide d'algorithmes cryptographiquement puissants tels que AES. (WinRAR, WinZIP, 7-ZIP, etc.).
Dois-je utiliser un équipement de protection certifié?
Aujourd'hui, il existe la seule exigence du FSTEC de Russie en termes de certification des moyens de protection des données personnelles. L'exigence concerne la fourniture du 4e niveau d'opportunités non déclarées, par conséquent, sur la dernière question, je ne donnerai que trois thèses:
Le système de certification des équipements de protection est volontaire;
Il suffit de se conformer aux exigences légales;
Il n'est pas nécessaire de certifier le système d'information sur les données personnelles dans son ensemble.
Shauro Evgeniy
contrôle de la mise en œuvre des règles nécessaires. Liste de la littérature utilisée:
1. Loi fédérale sur les banques et les activités bancaires
2. www.Grandars.ru [Ressource électronique] Mode d'accès: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Date d'accès: 05.05.2016)
3. In-bank.ru [Ressource électronique] Mode d'accès: http://journal.ib-bank.ru/post/411 (Date d'accès: 05.05.2016)
Khlestova Daria Robertovna
Email: [email protected]
PARTICULARITÉS DE LA PROTECTION DES DONNÉES PERSONNELLES DANS LA SPHÈRE BANCAIRE
annotation
Cet article traite des fonctionnalités de protection des données personnelles des clients dans le secteur bancaire. Un certain nombre d'actes juridiques normatifs sont énumérés, sur la base desquels un système de traitement et de protection des données à caractère personnel dans une banque devrait être construit. Mise en évidence d'une liste de mesures pour organiser la sécurité des données dans les institutions bancaires.
Données personnelles, sécurité dans les banques, sécurité de l'information,
protection des informations personnelles
La protection des données personnelles à l'ère des technologies de l'information est devenue particulièrement pertinente. Il y a de plus en plus de cas où des cybercriminels accèdent à des informations confidentielles en attaquant les systèmes d'information des organisations. Sans aucun doute, les attaques ne contournent pas le secteur bancaire. Depuis dans systèmes bancaires contient un grand nombre de données personnelles des clients, leur sécurité doit être sous la surveillance étroite de l'État et des propriétaires des établissements de crédit et financiers eux-mêmes.
Pour commencer, il convient de déterminer quelles données personnelles d'une personne peuvent devenir disponibles pour la banque si elle devient son client. Donc, c'est obligatoire: nom, prénom et patronyme; Date et lieu de naissance; citoyenneté; lieu d'enregistrement et résidence effective; toutes les données du passeport (série, numéro, quand et par qui le document a été délivré); numéro de téléphone mobile et domicile; lieu de travail, poste occupé. Dans la plupart des cas, les institutions demandent à une personne des informations supplémentaires, mais même sans elles, la liste des données qu'une personne confie à la banque est impressionnante. Bien entendu, le client espère que ses données personnelles seront protégées de manière fiable pendant le traitement et le stockage.
Pour que les institutions financières puissent organiser efficacement un système de traitement et de protection des données personnelles, il est nécessaire de dresser une liste d'actes juridiques réglementaires sur lesquels la banque devrait s'appuyer lorsqu'elle travaille avec les données personnelles des clients: La Constitution de la Fédération de Russie La fédération est le document le plus important du pays; Code du travail de la Fédération de Russie; Le Code civil et le Code pénal de la Fédération de Russie; Loi fédérale n ° 152 sur les données personnelles; loi fédérale n ° 149 "On
l'information, la technologie de l'information et la protection de l'information »; Loi fédérale n ° 395-1 sur les banques et les activités bancaires. En outre, dans les banques, lors de la création d'un système de traitement et de stockage des données personnelles, un certain nombre de documents locaux sont créés, offrant un contrôle supplémentaire sur le travail avec les données.
Organisation bancaire à la réception de ses données personnelles d'un client, il s'engage à mettre en œuvre toutes les mesures organisationnelles et techniques afin de protéger les informations qui lui sont confiées contre tout accès non autorisé (accidentel ou délibéré), blocage, modification, destruction et autres actions illégales. Il convient de souligner un certain nombre de mesures pour une organisation de qualité du traitement et de la protection des données à caractère personnel dans les banques: la désignation des personnes chargées du traitement et de la sécurité des données dans le système d'information de la banque; mise en place de mesures de contrôle et familiarisation des salariés avec le cadre réglementaire pertinent et les documents internes sur lesquels repose le système de sécurité des données de la banque; identification des menaces lors du traitement des données personnelles dans la banque et mesures pour les contrer; évaluation de l'efficacité des mesures organisationnelles et techniques appliquées pour assurer la protection des données, avant la mise en service du système de protection; la comptabilisation de toutes les machines porteuses de données personnelles; établir des règles d'accès au système de traitement et de protection des salariés; en cas d'accès non autorisé à des données protégées, prendre des mesures pour éliminer la menace et restaurer les données perdues. Et une mesure obligatoire pour les banques dotées d'un système d'exploitation pour stocker et protéger les données personnelles des clients est une surveillance et une amélioration constantes du système de sécurité.
Ainsi, il convient de noter que le traitement, le stockage et la protection des données à caractère personnel dans les banques doivent être effectués sur la base des conditions déterminées par le cadre réglementaire de la Fédération de Russie. Chaque institution financière doit: respecter le principe de légalité lorsqu'elle organise la protection des données personnelles de ses clients; mettre en œuvre une gamme complète de mesures de protection des données organisationnelles et techniques; lors de la création de documents locaux liés à la sécurité de l'information, s'appuyer sur les meilleures pratiques russes et internationales dans ce domaine; répondre à toutes les exigences des autorités de régulation (FSTEC, Roskomnadzor, FSB) pour assurer la protection des données personnelles du client.
Liste de la littérature utilisée:
1. Khlestova D.R., Popov K.G. "Sur la question des aspects juridiques de la protection des données personnelles"
2. Loi fédérale sur les banques et les activités bancaires
3. Banque de Russie [Ressource électronique] Mode d'accès: http://www.cbr.ru/ (Date d'accès: 05/06/2016)
© Khlestova D.R., Popov K.G., 2016
Khlestova Daria Robertovna
Etudiant en 2ème année d'IUBP BashSU, Ufa, RF E-mail: [email protected] Popov Kirill Gennadievich Candidat en sciences économiques, professeur agrégé du Département de la sécurité de l'information, Université d'État de Bashkir, Ufa, RF
Email: [email protected]
L'INTELLIGENCE COMMERCIALE COMME LA MÉTHODE LA PLUS JURIDIQUE D'OBTENIR DES INFORMATIONS
annotation
L'article traite des méthodes de l'intelligence d'affaires. Cela explique également pourquoi l'intelligence d'affaires est une activité juridique en entreprise. Mise en évidence des principes de base à respecter,
POSITION
sur la protection des données personnelles
Clients (abonnés)
dans la SARL "Ortes-Finance"
Termes et définitions
1.1. Informations personnelles- toute information relative à un individu (sujet de données personnelles) identifié ou déterminé sur la base de ces informations, y compris son nom, prénom, patronyme, année, mois, date et lieu de naissance, adresse, adresse email, numéro de téléphone, famille, social, statut de propriété, éducation, profession, revenu, autres informations.
1.2. Traitement des données personnelles- des actions (opérations) avec des données personnelles, y compris la collecte, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), l'utilisation, la distribution (y compris le transfert), la dépersonnalisation, le blocage.
1.3. Confidentialité des données personnelles- une exigence obligatoire de conformité avec la personne responsable désignée qui a eu accès aux données à caractère personnel, l'obligation d'empêcher leur diffusion sans le consentement du sujet ou une autre base juridique.
1.4. Diffusion des données personnelles- des actions visant à transférer des données à caractère personnel à un certain cercle de personnes (transfert de données à caractère personnel) ou à prendre connaissance des données à caractère personnel d'un nombre illimité de personnes, y compris la divulgation de données à caractère personnel dans les médias, l'affichage dans des réseaux d'information et de télécommunication ou l'accès à des données à caractère personnel qui - d'une autre manière.
1.5. Utilisation des données personnelles- les actions (opérations) sur les données personnelles effectuées afin de prendre des décisions ou d'effectuer d'autres actions qui génèrent des conséquences juridiques par rapport aux sujets de données personnelles ou affectent autrement leurs droits et libertés ou les droits et libertés d'autrui.
1.6. Blocage des données personnelles- suspension temporaire de la collecte, de la systématisation, de l'accumulation, de l'utilisation, de la distribution des données personnelles, y compris leur transfert.
1.7. Destruction des données personnelles- les actions à la suite desquelles il est impossible de restaurer le contenu des données personnelles dans le système d'information sur les données personnelles ou à la suite desquelles les supports matériels de données personnelles sont détruits.
1.8. Anonymisation des données personnelles- actions à la suite desquelles il est impossible sans utiliser information additionnelle déterminer l'appartenance des données personnelles à un sujet spécifique.
1.9. Données personnelles accessibles au public- les données à caractère personnel, l'accès d'un nombre illimité de personnes auquel est fourni le consentement du sujet ou auquel, conformément aux lois fédérales, l'exigence de confidentialité ne s'applique pas.
1.10... Information- des informations (messages, données) quelle que soit la forme de leur présentation.
1.11. Client (sujet des données personnelles)- un consommateur individuel des services de la SARL Ortes-Finance, ci-après dénommée l'Organisation.
1.12. Opérateur- un organisme public, un organisme municipal, une personne morale ou un individu, indépendamment ou conjointement avec d'autres personnes organisant et (ou) effectuant le traitement des données personnelles, ainsi que la détermination des finalités du traitement des données personnelles, la composition des données personnelles à traiter, les actions (opérations) effectuées avec données personnelles. Dans le cadre du présent règlement, l'Opérateur est la société à responsabilité limitée Ortes-Finance;
2. Dispositions générales.
2.1. Le présent règlement sur le traitement des données à caractère personnel (ci-après dénommé le règlement) a été élaboré conformément à la Constitution de la Fédération de Russie, au Code civil de la Fédération de Russie, à la loi fédérale "sur l'information, les technologies de l'information et la protection des informations", à la loi fédérale 152-FZ "sur les données à caractère personnel" et à d'autres Lois fédérales.
2.2. Le but de l'élaboration du règlement est de déterminer la procédure de traitement et de protection des données à caractère personnel de tous les clients de l'Organisation, dont les données font l'objet d'un traitement, sur la base de l'autorité de l'exploitant; assurer la protection des droits et libertés d'une personne et d'un citoyen lors du traitement de ses données personnelles, y compris la protection des droits à la vie privée, aux secrets personnels et familiaux, ainsi que l'établissement de la responsabilité des fonctionnaires ayant accès aux données personnelles en cas de non-respect des exigences des règles régissant le traitement et protection des données personnelles.
2.3. La procédure de mise en vigueur et de modification du règlement.
2.3.1. Le présent règlement entre en vigueur dès son approbation par le directeur général de l'Organisation et est valable indéfiniment, jusqu'à ce qu'il soit remplacé par un nouveau règlement.
2.3.2. Les modifications du règlement sont effectuées sur la base des arrêtés du directeur général de l'Organisation.
3. Composition des données personnelles.
3.1. Les données personnelles des clients, y compris:
3.1.1. Nom complet.
3.1.2. Année de naissance.
3.1.3. Le mois de naissance.
3.1.4. Date de naissance.
3.1.5. Lieu de naissance.
3.1.6. Données de passeport
3.1.7. Adresse e-mail.
3.1.8. Numéro de téléphone (domicile, portable).
3.2. L'Organisation peut créer (créer, collecter) et stocker les documents et informations suivants, y compris au format électroniquecontenant des données sur les clients:
3.2.1. Demande d'enquête sur la possibilité de connecter un individu.
3.2.2. Accord (offre publique).
3.2.3. Confirmation d'adhésion au contrat.
3.2.5. Copies des pièces d'identité, ainsi que d'autres documents fournis par le Client et contenant des données personnelles.
3.2.6. Données sur les paiements pour les commandes (biens / services) contenant le paiement et d'autres détails du client.
4. Finalité du traitement des données personnelles.
4.1. La finalité du traitement des données à caractère personnel est la mise en œuvre d'un ensemble d'actions visant à atteindre l'objectif, notamment:
4.1.1. Fourniture de services de conseil et d'information.
4.1.2. D'autres transactions non interdites par la loi, ainsi qu'un ensemble d'actions avec des données personnelles nécessaires à l'exécution des transactions ci-dessus.
4.1.3. Afin de se conformer aux exigences de la législation de la Fédération de Russie.
4.2. La condition pour mettre fin au traitement des données personnelles est la liquidation de l'Organisation, ainsi que la demande correspondante du Client.
5. Collecte, traitement et protection des données personnelles.
5.1. La procédure d'obtention (de collecte) des données personnelles:
5.1.1. Toutes les données personnelles du client doivent être obtenues de lui personnellement avec son consentement écrit, sauf dans les cas spécifiés dans les clauses 5.1.4 et 5.1.6 du présent règlement et dans d'autres cas prévus par les lois de la Fédération de Russie.
5.1.2. Le consentement du Client à l'utilisation de ses données personnelles est stocké dans l'Organisation sous forme papier et / ou électronique.
5.1.3. Le consentement du sujet au traitement des données personnelles est valable pendant toute la durée du contrat, et depuis 5 ansà compter de la date de résiliation de la relation contractuelle entre le Client et l'Organisation. Après l'expiration de la période spécifiée, le consentement est réputé prolongé tous les cinq ans en l'absence d'informations sur sa révocation.
5.1.4. Si les données personnelles du Client ne peuvent être obtenues que d'un tiers, le Client doit en être informé au préalable et son consentement écrit doit être obtenu de sa part. Le tiers fournissant les données personnelles du Client doit avoir le consentement du sujet pour transférer les données personnelles de l'Organisation. L'organisation est tenue d'obtenir la confirmation du tiers transférant les données personnelles du client que les données personnelles sont transférées avec son consentement. L'Organisation est tenue, lorsqu'elle interagit avec des tiers, de conclure avec eux un accord sur la confidentialité des informations concernant les données personnelles des Clients.
5.1.5. L'organisation est tenue d'informer le client des finalités, des sources prévues et des méthodes d'obtention des données personnelles, ainsi que de la nature des données personnelles à recevoir et des conséquences du refus du client de données personnelles de donner son consentement écrit à leur réception.
5.1.6. Le traitement des données personnelles des Clients sans leur consentement est effectué dans les cas suivants:
5.1.6.1. Les données personnelles sont accessibles au public.
5.1.6.2. A la demande des organes de l'Etat autorisés dans les cas prévus par la loi fédérale.
5.1.6.3. Le traitement des données personnelles est effectué sur la base de la loi fédérale établissant sa finalité, les conditions d'obtention des données personnelles et l'éventail des sujets dont les données personnelles font l'objet d'un traitement, ainsi que la détermination des pouvoirs de l'exploitant.
5.1.6.4. Le traitement des données personnelles est effectué dans le but de conclure et d'exécuter un contrat dont l'une des parties fait l'objet de données personnelles - le client.
5.1.6.5. Le traitement des données personnelles est effectué à des fins statistiques, sous réserve de la dépersonnalisation obligatoire des données personnelles.
5.1.6.6. Dans d'autres cas prévus par la loi.
5.1.7. L'organisation n'a pas le droit de recevoir et de traiter les données personnelles du Client concernant sa race, sa nationalité, ses opinions politiques, ses croyances religieuses ou philosophiques, son état de santé, sa vie intime.
5.2. La procédure de traitement des données personnelles:
5.2.1. Le sujet des données personnelles fournit à l'Organisation des informations fiables sur lui-même.
5.2.2. Seuls les employés de l'Organisation qui sont autorisés à travailler avec les données personnelles du Client et qui ont signé l'accord de non-divulgation des données personnelles du Client peuvent avoir accès au traitement des données personnelles des Clients.
5.2.3. Le droit d'accéder aux données personnelles du Client dans l'Organisation a:
Directeur général de l'Organisation;
Collaborateurs chargés des calculs financiers (directeur, comptable).
Collaborateurs du service client (chef du service commercial, responsable).
Les informaticiens (directeur technique, administrateur système).
Client en tant que sujet de données personnelles.
5.2.3.1. La liste des employés de l'Organisation qui ont accès aux données personnelles des Clients est déterminée par ordre du Directeur Général de l'Organisation.
5.2.4. Le traitement des données personnelles du client peut être effectué exclusivement aux fins établies par le règlement et dans le respect des lois et autres actes juridiques réglementaires de la Fédération de Russie.
5.2.5. Pour déterminer le volume et le contenu des données personnelles traitées, l'Organisation est guidée par la Constitution de la Fédération de Russie, la loi sur les données personnelles et d'autres lois fédérales.
5.3. Protection des informations personnelles:
5.3.1. La protection des données personnelles du Client s'entend comme un ensemble de mesures (organisationnelles et administratives, techniques, juridiques) visant à empêcher l'accès non autorisé ou accidentel à celles-ci, la destruction, l'altération, le blocage, la copie, la diffusion des données personnelles des sujets, ainsi que contre d'autres actions illégales.
5.3.2. La protection des données personnelles du Client est effectuée aux frais de l'Organisation de la manière prescrite par la loi fédérale de la Fédération de Russie.
5.3.3. L'organisation, lorsqu'elle protège les données personnelles des Clients, prend toutes les mesures organisationnelles, administratives, juridiques et techniques nécessaires, y compris:
Protection antivirus.
Analyse de sécurité.
Détection et prévention des intrusions.
Contrôle d'accès.
Enregistrement et comptabilité.
Assurer l'intégrité.
Organisation d'actes locaux réglementaires et méthodologiques régissant la protection des données personnelles.
5.3.4. L'organisation générale de la protection des données personnelles des Clients est réalisée par le Directeur Général de l'Organisation.
5.3.5. Les employés de l'Organisation qui ont besoin de données personnelles dans le cadre de l'exercice de leurs fonctions professionnelles ont accès aux données personnelles du Client.
5.3.6. Tous les employés impliqués dans la réception, le traitement et la protection des données personnelles des clients sont tenus de signer un accord de non-divulgation des données personnelles des clients.
5.3.7. La procédure d'obtention de l'accès aux données personnelles du Client comprend:
Familiarisation de l'employé contre signature avec le présent règlement. S'il existe d'autres réglementations (commandes, commandes, instructions, etc.) réglementant le traitement et la protection des données personnelles du Client, ces actes sont également revus contre signature.
Demander au salarié (à l'exception du Directeur Général) un engagement écrit à maintenir la confidentialité des données personnelles des Clients et à se conformer aux règles de leur traitement conformément aux lois internes locales de l'Organisation régissant la sécurité des informations confidentielles.
5.3.8. Un employé de l'Organisation qui a accès aux données personnelles des Clients dans le cadre de l'exécution de tâches professionnelles:
Fournit le stockage d'informations contenant des données personnelles du client, à l'exclusion de l'accès à celles-ci par des tiers.
En l'absence d'un employé sur son lieu de travail, il ne devrait y avoir aucun document contenant des données personnelles des clients.
Lors d'un départ en vacances, lors d'un déplacement professionnel et dans d'autres cas de longue absence d'un salarié sur son lieu de travail, il est tenu de transférer les documents et autres supports contenant des données personnelles des Clients à la personne qui en sera chargée de l'exécution par un acte local de la Société (ordre, ordre) responsabilités professionnelles.
Si une telle personne n'est pas désignée, les documents et autres supports contenant des données personnelles des clients sont transférés à un autre employé qui a accès aux données personnelles des clients sous la direction du directeur général de l'organisation.
Lors du licenciement d'un employé qui a accès aux données personnelles des Clients, les documents et autres supports contenant des données personnelles des Clients sont transférés à un autre employé qui a accès aux données personnelles des Clients sur instruction du Directeur Général.
Afin de mener à bien la tâche assignée et sur la base d'un mémo avec une résolution positive du Directeur Général, l'accès aux données personnelles du Client peut être fourni à un autre employé. L'accès aux données personnelles du Client par d'autres employés de l'Organisation qui ne disposent pas d'un accès correctement formalisé est interdit.
5.3.9. Le responsable RH fournit:
Familiarisation des employés contre signature avec ce règlement.
Demander un engagement écrit des employés à respecter la confidentialité des données personnelles du Client (accord de non-divulgation) et à se conformer aux règles de leur traitement.
Contrôle général du respect par les employés des mesures de protection des données personnelles du Client.
5.3.10. La protection des données personnelles des clients stockées dans les bases de données électroniques de l'Organisation contre l'accès non autorisé, la distorsion et la destruction des informations, ainsi que contre d'autres actions illégales, est assurée Administrateur du système.
5.4. Stockage des données personnelles:
5.4.1. Les données personnelles des clients sur papier sont stockées dans des coffres-forts.
5.4.2. Les données personnelles des Clients sous forme électronique sont stockées dans le réseau informatique local de l'Organisation, dans des dossiers et fichiers électroniques ordinateur personnel Directeur général et employés admis au traitement des données personnelles des clients.
5.4.3. Les documents contenant des données personnelles des clients sont stockés dans des casiers (coffres-forts), qui offrent une protection contre les accès non autorisés. À la fin de la journée de travail, tous les documents contenant des données personnelles des clients sont placés dans des armoires (coffres-forts), qui offrent une protection contre les accès non autorisés.
5.4.4. La protection de l'accès aux bases de données électroniques contenant des données personnelles des Clients est assurée par:
Utiliser des programmes antivirus et anti-piratage sous licence qui n'autorisent pas l'entrée non autorisée dans le réseau local de l'Organisation.
Différenciation des droits d'accès à l'aide d'un compte.
Système de mots de passe en deux étapes: au niveau du réseau informatique local et au niveau des bases de données. Les mots de passe sont définis par l'administrateur système de l'organisation et sont communiqués individuellement aux employés qui ont accès aux données personnelles des clients.
5.4.4.1. L'entrée non autorisée dans les PC contenant les données personnelles des clients est bloquée par un mot de passe défini par l'administrateur système et n'est pas sujette à divulgation.
5.4.4.2. Tous les dossiers et fichiers électroniques contenant des données personnelles des clients sont protégés par un mot de passe qui est défini par l'employé de l'organisation responsable du PC et communiqué à l'administrateur système.
5.4.4.3. L'administrateur système change les mots de passe au moins une fois tous les 3 mois.
5.4.5. La copie et la réalisation d'extraits des données personnelles du Client sont autorisées exclusivement à des fins officielles avec l'autorisation écrite du Directeur Général de l'Organisation.
5.4.6. Les réponses aux demandes écrites d'autres organisations et institutions concernant les données personnelles des clients ne sont données qu'avec le consentement écrit du client lui-même, sauf disposition contraire de la loi. Les réponses sont faites par écrit, sur papier à en-tête de l'Organisation, et dans la mesure où cela permet de ne pas divulguer une quantité excessive de données personnelles du Client.
6. Blocage, dépersonnalisation, destruction des données personnelles
6.1. La procédure de blocage et de déblocage des données personnelles:
6.1.1. Le blocage des données personnelles des Clients est effectué avec une demande écrite du Client.
6.1.2. Le blocage des données personnelles signifie:
6.1.2.2. Interdiction de la diffusion des données personnelles par tout moyen (e-mail, communication cellulaire, supports matériels).
6.1.2.4. Suppression des documents papier relatifs au Client et contenant ses données personnelles du flux documentaire interne de l'Organisation et interdiction de leur utilisation.
6.1.3. Le blocage des données personnelles du client peut être temporairement supprimé si cela est nécessaire pour se conformer à la législation de la Fédération de Russie.
6.1.4. Le déblocage des données personnelles du Client est effectué avec son consentement écrit (s'il est nécessaire d'obtenir le consentement) ou l'application du Client.
6.1.5. Le consentement répété du Client au traitement de ses données personnelles (le cas échéant, pour les obtenir) entraîne le déblocage de ses données personnelles.
6.2. La procédure d'anonymisation et de destruction des données personnelles:
6.2.1. La dépersonnalisation des données personnelles du Client a lieu à la demande écrite du Client, à condition que toutes les relations contractuelles soient terminées et qu'au moins 5 ans se soient écoulés depuis la fin du dernier contrat.
6.2.2. Lors de la dépersonnalisation, les données personnelles dans les systèmes d'information sont remplacées par un ensemble de symboles, par lesquels il est impossible de déterminer l'appartenance des données personnelles à un client spécifique.
6.2.3. Les supports papier de documents sont détruits lors de l'anonymisation des données personnelles.
6.2.4. L'organisation est tenue d'assurer la confidentialité des données personnelles, si nécessaire, de tester les systèmes d'information sur le territoire du développeur et de dépersonnaliser les données personnelles dans les systèmes d'information transférés au développeur.
6.2.5. La destruction des données personnelles du Client implique la résiliation de tout accès aux données personnelles du Client.
6.2.6. Lorsque les données personnelles du Client sont détruites, les employés de l'Organisation ne peuvent pas accéder aux données personnelles du sujet dans les systèmes d'information.
6.2.7. Lors de la destruction des données personnelles, les supports papier des documents sont détruits, les données personnelles dans les systèmes d'information sont dépersonnalisées. Les données personnelles ne peuvent pas être restaurées.
6.2.8. L'opération de destruction des données personnelles est irréversible.
6.2.9. Le délai après lequel l'opération de destruction des données personnelles du Client est possible est déterminé par la fin du délai spécifié à l'article 7.3 du présent Règlement.
7. Transfert et stockage des données personnelles
7.1. Transfert de données personnelles:
7.1.1. Le transfert de données personnelles d'un sujet s'entend de la diffusion d'informations par des canaux de communication et sur des supports matériels.
7.1.2. Lors du transfert de données à caractère personnel, les employés de l'Organisation doivent se conformer aux exigences suivantes:
7.1.2.1. Ne fournissez pas les données personnelles du client à des fins commerciales.
7.1.2.2. Ne pas divulguer les données personnelles du client à un tiers sans le consentement écrit du client, sauf dans les cas établis par la loi fédérale de la Fédération de Russie.
7.1.2.3. Avertir les personnes recevant les données personnelles du Client que ces données ne peuvent être utilisées qu'aux fins pour lesquelles elles sont communiquées, et demander à ces personnes de confirmer que cette règle a été respectée;
7.1.2.4. Autoriser l'accès aux données personnelles des clients uniquement à des personnes spécialement autorisées, alors que ces personnes devraient avoir le droit de recevoir uniquement les données personnelles des clients qui sont nécessaires pour exécuter des fonctions spécifiques.
7.1.2.5. Transférer les données personnelles du Client au sein de l'Organisation conformément au présent règlement, à la documentation réglementaire et technologique et aux descriptions de poste.
7.1.2.6. Fournir au Client l'accès à ses données personnelles lors de la prise de contact ou lors de la réception de la demande d'un Client. L'organisation est tenue d'informer le client de la disponibilité des données personnelles le concernant et de lui donner la possibilité de se familiariser avec elles dans les dix jours ouvrables à compter de la date de contact.
7.1.2.7. Transférer les données personnelles du client aux représentants du client de la manière prescrite par la loi et la documentation réglementaire et technologique et limiter ces informations uniquement aux données personnelles du sujet qui sont nécessaires pour que les représentants spécifiés remplissent leurs fonctions.
7.2. Stockage et utilisation des données personnelles:
7.2.1. Le stockage de données personnelles s'entend de l'existence d'enregistrements dans des systèmes d'information et sur des supports tangibles.
7.2.2. Les données personnelles des Clients sont traitées et stockées dans des systèmes d'information, ainsi que sur papier dans l'Organisation. Les données personnelles des Clients sont également stockées sous forme électronique: dans le réseau informatique local de l'Organisation, dans des dossiers et fichiers électroniques dans le PC du Directeur Général et des employés admis au traitement des données personnelles des Clients.
7.2.3. Le stockage des données personnelles du client ne peut pas être effectué plus longtemps que la finalité du traitement ne l'exige, sauf disposition contraire des lois fédérales de la Fédération de Russie.
7.3. Durée de conservation des données personnelles:
7.3.1. La durée de conservation des contrats civils contenant les données personnelles des clients, ainsi que celles accompagnant leur conclusion, exécution des documents - 5 ans à compter de la date d'expiration des contrats.
7.3.2. Pendant la période de stockage, les données personnelles ne peuvent pas être anonymisées ou détruites.
7.3.3. Après l'expiration de la période de stockage, les données personnelles peuvent être dépersonnalisées dans les systèmes d'information et détruites sur papier conformément à la procédure établie dans le règlement et la législation en vigueur de la Fédération de Russie. (Attachment Act sur la destruction des données personnelles)
8. Droits de l'exploitant de données personnelles
L'organisation a le droit:
8.1. Défendez vos intérêts devant les tribunaux.
8.2. Fournir les données personnelles des Clients à des tiers, si cela est prévu par la loi applicable (fiscalité, forces de l'ordre, etc.).
8.3. Refuser de fournir des données personnelles dans les cas prévus par la loi.
8.4. Utiliser les données personnelles du client sans son consentement, dans les cas prévus par la législation de la Fédération de Russie.
9. Droits du client
Le client a le droit:
9.1. Exiger la clarification de vos données personnelles, leur blocage ou destruction si les données personnelles sont incomplètes, périmées, inexactes, obtenues illégalement ou non nécessaires à la finalité déclarée du traitement, ainsi que prendre les mesures prévues par la loi pour protéger leurs droits;
9.2. Exiger une liste des données personnelles traitées disponibles dans l'Organisation et la source de leur réception.
9.3. Recevoir des informations sur le moment du traitement des données personnelles, y compris le moment de leur stockage.
9.4. Exiger d'informer toutes les personnes qui ont déjà reçu des données personnelles incorrectes ou incomplètes de toutes les exceptions, corrections ou ajouts qui leur ont été apportés.
9.5. Faire appel à l'organisme habilité pour la protection des droits des sujets de données personnelles ou dans une procédure judiciaire contre des actions ou omissions illégales lors du traitement de ses données personnelles.
10. Responsabilité en cas de violation des règles régissant le traitement et la protection des données personnelles
10.1. Les employés de l'Organisation coupables d'avoir enfreint les règles régissant la réception, le traitement et la protection des données à caractère personnel encourent une responsabilité disciplinaire, administrative, civile ou pénale conformément à la législation en vigueur de la Fédération de Russie et aux actes internes locaux de l'Organisation.
Marina Prokhorova, éditeur de la revue "Données personnelles"
Natalia Samoilova, avocat de la société "InfoTechnoProekt"
Le cadre juridique qui s'est développé jusqu'à présent dans le domaine du traitement des données personnelles, les documents qui doivent encore être adoptés pour une organisation plus efficace du travail sur la protection des données personnelles dans les organisations, les aspects techniques de la préparation des systèmes d'information pour les opérateurs de données personnelles - tels sont les sujets qui ont été récemment abordés dans de nombreux journaux et des publications de magazines sur des questions de données personnelles. Dans cet article, je voudrais m'arrêter sur un aspect de l'organisation du travail des établissements bancaires et de crédit tel que la protection «non technique» des données personnelles traitées dans ces organismes.
Commençons par un exemple concret
Nous parlons du contrôle juridictionnel de l'affaire de protection des données personnelles engagée contre la Sberbank en juin 2008. L'essence de la procédure judiciaire était la suivante. Un accord de caution a été conclu entre le citoyen et la banque, en vertu duquel le citoyen a assumé l'obligation de répondre à la banque de l'exécution des obligations de l'emprunteur en vertu du contrat de prêt. Ce dernier n'a pas rempli ses obligations dans le délai fixé par le contrat de prêt, des informations sur le garant en tant que client non fiable ont été saisies dans le système d'information automatisé de la banque Stop List, ce qui, à son tour, a motivé le refus de lui accorder un prêt. Dans le même temps, la banque n'a même pas informé le citoyen de la mauvaise exécution par l'emprunteur de ses obligations au titre du contrat de prêt. En outre, le contrat de caution n'indiquait pas qu'en cas de mauvaise exécution par l'emprunteur de ses obligations, la banque a le droit de saisir des informations sur le garant dans le système d'information Stop List. Ainsi, la banque a traité les données personnelles d'un citoyen en incluant des informations le concernant dans le système d'information Stop List sans son consentement, ce qui enfreint les exigences de la partie 1 de l'art. 9 de la loi fédérale n ° 152-FZ du 27 juillet 2006 "sur les données personnelles", selon laquelle le sujet des données personnelles prend une décision sur la fourniture de ses données personnelles et accepte leur traitement de sa propre volonté et dans son intérêt. En outre, de la manière prescrite par la partie 1 de l'art. 14 de la même loi, un citoyen s'est adressé à la banque avec l'obligation de lui donner la possibilité de se familiariser avec les informations saisies le concernant dans le système d'information Stop List, ainsi que de bloquer ces informations et de les détruire. La banque a refusé de satisfaire les exigences du citoyen.
Sur la base des résultats de l'examen de l'affaire, le tribunal du district Leninsky de Vladivostok a satisfait aux demandes de l'administration Roskomnadzor pour le territoire Primorsky contre la Sberbank de Russie pour protéger les droits violés d'un citoyen et a ordonné à la banque de détruire les informations sur le citoyen du système d'information de la liste d'arrêt.
En quoi cet exemple est-il indicatif? Les banques, stockant les données personnelles d'un nombre important de leurs clients, sans hésitation, les déplacent d'une base de données à une autre, et le plus souvent sans en informer le sujet des données personnelles à ce sujet, sans oublier d'obtenir son consentement à de telles actions avec ses données personnelles. Bien sûr, la banque présente un certain nombre de fonctionnalités et, souvent, les données personnelles des clients sont utilisées non seulement pour remplir les accords conclus par la banque, mais également pour surveiller la banque sur le respect des obligations du client, mais cela signifie que toute manipulation avec des données personnelles nécessite déjà le consentement de leur sujet. ...
Difficultés d'interprétation des dispositions
Pourquoi ne pas légaliser les transactions avec des données personnelles? Bien sûr, cela nécessitera très probablement la participation de spécialistes tiers, car même les avocats des services juridiques des grandes banques ne sont des professionnels de premier ordre que dans un certain domaine et doivent se familiariser avec les spécificités du travail dans le domaine des données personnelles pratiquement à partir de zéro. La meilleure solution est donc d'impliquer des entreprises spécialisées dans la fourniture de services d'organisation du travail avec des données personnelles, y compris celles capables de réaliser un audit de conformité des mesures de protection non techniques que vous prenez avec les exigences du législateur, à travailler à l'organisation d'un système de protection des données personnelles.
Les résultats d'études analytiques nous permettent de conclure que l'interprétation des dispositions de la loi fédérale n ° 152-FZ "sur les données personnelles" pose les plus grandes difficultés.
Conformément à la partie 1 de l'article 22 du présent document réglementaire, l'exploitant est tenu d'informer l'organisme habilité du traitement des données personnelles. Parmi les exceptions, il y a le cas où les données personnelles traitées ont été obtenues dans le cadre de la conclusion d'un accord auquel le sujet des données personnelles est partie ... et sont utilisées par l'exploitant uniquement pour l'exécution de l'accord spécifié sur la base de la clause 2 de la partie 2 de l'article 22 de la loi fédérale n ° 152-FZ. données personnelles ". Fonctionnant avec cette disposition même, certaines banques ne soumettent pas de notification concernant le traitement des données personnelles, et beaucoup ne se considèrent pas comme des opérateurs, ce qui est fondamentalement faux.
En outre, une autre erreur courante des banques, en tant qu'opérateurs de données personnelles, associée au contrat, est la suivante. Selon l'art. 6 de la loi susmentionnée, le traitement des données personnelles peut être effectué par l'exploitant avec le consentement des sujets de données personnelles, à l'exception des cas, y compris le traitement aux fins de l'exécution d'un accord, dont l'une des parties fait l'objet de données personnelles. Par conséquent, de nombreux établissements bancaires expliquent le manque de consentement du sujet des données personnelles précisément par le fait de la conclusion d'un tel accord.
Mais réfléchissons-y, la banque, en tant qu'opérateur, n'utilise-t-elle pas les données personnelles du sujet reçues à la conclusion du contrat, par exemple, pour envoyer des notifications sur de nouveaux services, pour maintenir des «Stop Lists»? Cela signifie que le traitement des données personnelles est effectué non seulement aux fins de l'exécution du contrat, mais également à d'autres fins, dont la réalisation présente un intérêt commercial pour les banques, par conséquent:
- les banques sont tenues de soumettre une notification concernant le traitement des données à caractère personnel à l'organisme habilité;
- les banques ne doivent traiter les données personnelles qu'avec le consentement du sujet.
Et cela signifie que les banques doivent organiser un système pour travailler avec les données personnelles de leurs clients, c'est-à-dire pour assurer une protection non technique de ces données.
Consentement écrit au traitement des données personnelles
En ce qui concerne le consentement du sujet des données personnelles au traitement des données personnelles, la loi fédérale n ° 152-FZ "sur les données personnelles" oblige les opérateurs à obtenir un consentement écrit au traitement des données personnelles uniquement dans les cas prévus par la loi. Dans le même temps, conformément à la partie 3 de l'art. 9 l'obligation de prouver la réception du consentement du sujet au traitement de ses données personnelles incombe à l'exploitant. Afin, si nécessaire, de ne pas perdre de temps à collecter de telles preuves (par exemple, rechercher des témoins), à notre avis, il est préférable dans tous les cas d'obtenir le consentement des sujets par écrit.
Donnons un argument de plus pour la forme écrite du traitement des données personnelles. Souvent, les activités des banques prévoient le transfert de données (y compris personnelles) vers le territoire d'un État étranger. A cette occasion, la partie 1 de l'art. 12 de la loi fédérale n ° 152-FZ sur les données personnelles stipule qu'avant le début du transfert transfrontalier de données personnelles, l'opérateur doit s'assurer que l'État étranger, sur le territoire duquel le transfert des données personnelles est effectué, assure une protection adéquate des droits des personnes concernées. Si une telle protection n'est pas fournie, le transfert transfrontalier de données à caractère personnel n'est possible qu'avec le consentement écrit de la personne concernée. On peut supposer qu'il est plus facile pour un employé de banque d'obtenir un consentement écrit d'un client pour traiter des données personnelles que d'établir le degré d'adéquation de sa protection dans un pays étranger.
Nous attirons votre attention sur le fait que les informations qui doivent être contenues dans le consentement écrit sont énumérées dans la partie 4 de l'art. 9 de la loi fédérale susmentionnée, et cette liste est exhaustive. Et la signature sous la phrase, par exemple, dans le contrat de prêt: "J'accepte l'utilisation de mes données personnelles", selon la loi fédérale n ° 152-FZ "sur les données personnelles", ne consent pas à leur traitement!
Il semblerait qu'il n'y ait que quelques points du droit, et combien de complications, allant jusqu'au litige, peuvent entraîner leur interprétation erronée. De plus, aujourd'hui, alors que les données personnelles des sujets deviennent souvent une marchandise dans la lutte concurrentielle de diverses structures, la solution réussie des problèmes de leur protection, en assurant la sécurité des systèmes d'information des établissements bancaires et de crédit, devient une garantie de maintien de la réputation et de l'honnêteté de toute organisation.
Chaque jour, la prise de conscience des citoyens sur les éventuelles conséquences négatives de la diffusion de leurs données personnelles augmente, ce qui est facilité par l'émergence de publications spécialisées. Il existe également des ressources d'information diverses entreprises... Certains d'entre eux couvrent généralement tout l'éventail des questions liées au concept de «sécurité de l'information», d'autres sont consacrés à l'examen des mesures et des moyens de protection technique, quelqu'un au contraire se concentre sur les problèmes liés à la protection non technique. En d'autres termes, les informations sur la protection des données à caractère personnel deviennent de plus en plus accessibles, ce qui signifie que les citoyens seront plus avertis dans le domaine de la protection de leurs droits.
Il est devenu particulièrement populaire pour les divisions russes d'entreprises étrangères en relation avec l'ajout de la partie 5 de l'article 18 à 152-FZ "Sur les données personnelles": "... l'opérateur est obligé d'assurer l'enregistrement, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), la récupération données personnelles citoyens de la Fédération de Russie utilisant des bases de données situées sur le territoire de la Fédération de Russie " . Il existe un certain nombre d'exceptions dans la loi, mais vous devez convenir qu'en cas de vérification par le régulateur, on aimerait avoir des atouts plus fiables que «mais cela ne nous concerne pas».
Les sanctions pour les contrevenants sont très graves. Boutiques en ligne, réseaux sociaux, sites d'information, autres activités liées à l'Internet en cas de réclamations des autorités de contrôle, elles peuvent effectivement être clôturées. Peut-être, lors du premier contrôle, le régulateur donnera-t-il du temps pour éliminer les lacunes, mais le temps est généralement limité. Si le problème n'est pas résolu très rapidement (ce qui est difficile à faire sans préparation préalable), les pertes ne peuvent en aucun cas être compensées. Le blocage de sites entraîne non seulement une pause dans les ventes, mais également une perte de part de marché.
L'apparition sur la «liste noire» des contrevenants à la loi sur les données personnelles pour les entreprises hors ligne est moins dramatique. Mais cela comporte des risques de réputation, ce qui est un facteur important pour les entreprises étrangères. De plus, il ne reste pratiquement plus d'activités qui ne concernent pas du tout la protection des données personnelles. Les banques, le commerce et même le secteur manufacturier - tous entretiennent une clientèle, ce qui signifie qu'ils sont soumis aux lois applicables.
Il est important de comprendre ici que la question ne peut pas non plus être considérée isolément au sein des entreprises. La protection des données personnelles ne peut être limitée par l'installation d'équipements de sécurité certifiés sur les serveurs et le verrouillage des cartes papier dans les coffres-forts. Les données personnelles ont de nombreux points d'entrée dans une entreprise - services commerciaux, services RH, services clients, parfois aussi centres de formation, commissions d'achat et autres services. La gestion de la protection des données personnelles est un processus complexe qui affecte IL, flux de documents, réglementations, enregistrement légal.
Jetons un coup d'œil à ce qu'il faut pour démarrer et maintenir un tel processus.
Quelles données sont considérées comme personnelles
À proprement parler, toute information qui se rapporte directement ou indirectement à un individu spécifique est ses données personnelles. Remarquer ça arrive sur les gens, pas sur entités juridiques... Il s'avère qu'il suffit d'indiquer le nom et l'adresse de résidence pour initier la protection de ces données (et également liées). Cependant, obtenir email avec les données personnelles de quelqu'un d'autre sous la forme d'une signature et numéro de téléphone pas encore une raison pour les défendre. Terme clé: «Le concept de collecte de données personnelles». Pour clarifier le contexte, je voudrais souligner plusieurs articles de la loi "sur les données personnelles".
Article 5. Principes du traitement des données personnelles. Vous devez avoir des objectifs clairs qui expliquent clairement pourquoi ces informations sont collectées. Sinon, même avec le plein respect de toutes les autres règles et réglementations, des sanctions sont probables.
Article 10. Catégories spéciales de données personnelles. Par exemple, les RH peuvent enregistrer les restrictions de voyage, y compris la grossesse pour les employées. Bien entendu, ces informations supplémentaires font également l'objet d'une protection. Cela élargit considérablement la compréhension des données personnelles, ainsi que la liste des départements et des stockages d'informations de l'entreprise dans lesquels vous devez prêter attention à la protection.
Article 12. Transfert transfrontalier de données personnelles. Si un système d'information contenant des données sur les citoyens de la Fédération de Russie est situé sur le territoire d'un pays qui n'a pas ratifié la Convention sur la protection des données à caractère personnel (par exemple, en Israël), vous devez vous conformer aux dispositions de la législation russe.
Article 22. Avis du traitement des données personnelles. Une condition préalable pour ne pas attirer l'attention indue du régulateur. Faire des affaires liées aux données personnelles - signalez-le vous-même, sans attendre les inspections.
Où se trouvent les données personnelles
Techniquement, PD peut être situé n'importe où, des supports imprimés (classeurs en papier) aux supports de machine ( disques durs, clés USB, CD, etc.). Autrement dit, le centre d'attention est tout stockage de données qui relève de la définition du RNIS (systèmes d'information de données personnelles).
La géographie de l'emplacement est une grande question distincte. D'une part, les données personnelles des Russes (citoyens de la Fédération de Russie) doivent être stockées sur le territoire de la Fédération de Russie. En revanche, à l'heure actuelle, il s'agit davantage d'un vecteur d'évolution de la situation que d'un fait accompli. De nombreuses entreprises internationales et exportatrices, diverses holdings, des coentreprises ont historiquement distribué des infrastructures - et cela ne changera pas du jour au lendemain. Contrairement aux méthodes de stockage et de protection des données personnelles, qui doivent être ajustées presque maintenant, immédiatement.
La liste minimale des services impliqués dans l'enregistrement, l'organisation, l'accumulation, le stockage, la mise à jour (mise à jour, modification), l'extraction de PD:
- Service du personnel.
- Département des ventes.
- Département légal.
Comme il y a rarement un ordre parfait, en réalité, les unités les plus imprévisibles peuvent souvent être ajoutées à cette liste «attendue». Par exemple, un entrepôt peut avoir des informations personnalisées sur les fournisseurs, ou le service de sécurité peut conserver ses propres registres détaillés de tous ceux qui entrent sur le territoire. Ainsi, en passant, la composition de PD pour les employés peut être complétée par des données sur les clients, les partenaires, les entrepreneurs, ainsi que sur des inconnus et même des étrangers - dont la PD devient un «crime» lors de la photographie pour un laissez-passer, de la numérisation d'une carte d'identité et dans certains autres cas. Les ACS (systèmes de contrôle et de gestion d'accès) peuvent facilement devenir une source de problèmes dans le cadre de la protection des données personnelles. Par conséquent, la réponse à la question "Où?" du point de vue du respect de la loi, cela ressemble à ceci: partout sur le territoire responsable. Plus précisément, vous ne pouvez répondre qu'en effectuant un audit approprié. C'est la première étape le projet sur la protection des données personnelles. Liste complète ses phases clés:
1) Audit de la situation actuelle de l'entreprise.
2) Concevoir une solution technique.
3) Préparation du processus de protection des données personnelles.
4) Vérification de la solution technique et du processus de protection des données personnelles pour la conformité avec la législation de la Fédération de Russie et les règlements de l'entreprise.
5) Mise en place d'une solution technique.
6) Lancement du processus de protection des données personnelles.
1. Audit de la situation actuelle de l'entreprise
Tout d'abord, vérifiez auprès du service des ressources humaines et dans les autres services utilisant des supports papier avec des données personnelles:
- Existe-t-il des formes de consentement au traitement des données personnelles? Sont-ils remplis et signés?
- Le «Règlement sur les particularités du traitement des données personnelles effectué sans l'utilisation d'outils d'automatisation» du 15 septembre 2008 n ° 687, êtes-vous respecté?
Déterminez l'emplacement géographique de l'ISPD:
- Dans quels pays se trouvent-ils?
- Pour quels motifs?
- Existe-t-il des contrats pour leur utilisation?
- Quelle protection technologique est utilisée pour éviter les fuites de DP?
- Quelles mesures organisationnelles sont prises pour protéger les données personnelles?
Idéalement, le système d'information contenant les données personnelles des Russes devrait se conformer à toutes les exigences de la loi 152-FZ "sur les données personnelles", même s'il est situé à l'étranger.
Enfin, faites attention à la liste impressionnante de documents qui sont nécessaires en cas de vérification (ce n'est pas tout, juste la liste principale):
- Notification de traitement de DP.
- Un document définissant la personne responsable de l'organisation du traitement des DP.
- La liste des employés admis au traitement de DP.
- Document définissant le lieu de stockage de PD.
- Aide sur le traitement des catégories DP spéciales et biométriques.
- Certificat sur la mise en œuvre d'un transfert PD transfrontalier.
- Formes typiques de documents avec PD.
- Formulaire de consentement typique pour le traitement de DP.
- La procédure de transfert des données personnelles à des tiers.
- La procédure d'enregistrement des candidatures des personnes concernées.
- Liste des systèmes d'information sur les données personnelles (ISPDN).
- Documents réglementant la sauvegarde des données dans le RNIS.
- La liste des moyens de protection des informations utilisés.
- La procédure de destruction de PD.
- Matrice d'accès.
- Modèle de menace.
- Journal de comptabilité des porteurs de machines de PD.
- Un document définissant les niveaux de sécurité pour chaque ISPD conformément à la PP-1119 du 1er novembre 2012 «Sur l'approbation des exigences de protection des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles».
2. Conception d'une solution technique
Une description des mesures organisationnelles et techniques à prendre pour protéger les données personnelles est donnée au chapitre 4. «Obligations de l'exploitant» de la loi 152-FZ «sur les données personnelles». La solution technique doit être basée sur les dispositions de l'article 2 de la loi 242-FZ du 21 juillet 2014.
Mais comment se conformer à la loi et procéder au DP des citoyens de la Fédération de Russie sur le territoire de la Russie dans le cas où le PDIS est toujours à l'étranger? Il y a plusieurs options ici:
- Transfert physique du système d'information et de la base de données sur le territoire de la Fédération de Russie. Si c'est techniquement faisable, ce sera le plus simple.
- Nous laissons l'ISPD à l'étranger, mais en Russie, nous en créons une copie et établissons une réplication unidirectionnelle des données personnelles des citoyens de la Fédération de Russie, de la copie russe à la copie étrangère. Dans le même temps, dans un système étranger, il est nécessaire d'exclure la possibilité de modifier les données personnelles des citoyens de la Fédération de Russie, toutes les modifications uniquement via l'ISPD russe.
- Il existe plusieurs ISPD et ils sont tous à l'étranger. Le transfert peut être coûteux, ou généralement pas techniquement réalisable (par exemple, vous ne pouvez pas sélectionner une partie de la base de données contenant des données personnelles de citoyens de la Fédération de Russie et l'apporter en Russie). Dans ce cas, la solution peut être la création d'un nouvel ISPD sur n'importe quelle plate-forme disponible sur un serveur en Russie, à partir duquel la réplication unidirectionnelle sera effectuée vers chaque ISPD étranger. Je constate que le choix de la plateforme reste à l'entreprise.
Si l'ISPD n'est pas transféré entièrement et de manière monopolistique vers la Russie, n'oubliez pas d'indiquer dans le certificat de transfert de données transfrontalier à qui et à quel jeu de données PD est envoyé. Dans la notification de traitement, vous devez indiquer le but du transfert des données personnelles. Là encore, cet objectif doit être légitime et clairement justifié.
3. Préparation du processus de protection des données personnelles
Le processus de protection des données à caractère personnel doit définir au moins les points suivants:
- Liste des personnes responsables du traitement des données personnelles dans l'entreprise.
- La procédure pour donner accès à l'ISPD. Idéalement, il s'agit d'une matrice d'accès avec un niveau d'accès pour chaque poste ou un salarié spécifique (lecture / lecture-écriture / modification). Ou une liste des données personnelles disponibles pour chaque poste. Tout dépend de la mise en œuvre de la propriété intellectuelle et des exigences de l'entreprise.
- Audit d'accès aux données personnelles et analyse des tentatives d'accès avec violation des niveaux d'accès.
- Analyse des raisons de l'indisponibilité des données personnelles.
- La procédure pour répondre aux demandes des sujets de DP concernant leur DP.
- Révision de la liste des données personnelles transférées à l'extérieur de l'entreprise.
- Révision des destinataires des données personnelles, y compris à l'étranger.
- Révision périodique du modèle de menace pour les données personnelles, ainsi qu'un changement du niveau de protection des données personnelles en raison d'un changement du modèle de menace.
- Support des documents de l'entreprise à jour (la liste est ci-dessus, et il peut-être nécessaire de la compléter, si nécessaire).
Ici, vous pouvez détailler chaque élément, mais je souhaite porter une attention particulière au niveau de sécurité. Il est déterminé sur la base des documents suivants (lus séquentiellement):
1. "Méthodologie de détermination des menaces réelles sécurité données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles »(FSTEC RF 14 février 2008).
2. Décret du gouvernement de la Fédération de Russie n ° 1119 du 1er novembre 2012 "Sur l'approbation des exigences relatives à la protection des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles."
3. Arrêté FSTEC n ° 21 du 18 février 2013 "Sur l'approbation de la composition et du contenu des mesures organisationnelles et techniques pour assurer la sécurité des données personnelles lors de leur traitement dans les systèmes d'information des données personnelles."
N'oubliez pas non plus de considérer la nécessité de catégories de dépenses telles que:
- Organisation projet de groupe et gestion de projet.
- Développeurs pour chacune des plates-formes ISPDN.
- Capacités du serveur (propres ou louées dans le centre de données).
À la fin des deuxième et troisième phases du projet, vous devriez avoir:
- Calcul des coûts.
- Exigences de qualité.
- Termes et calendrier du projet.
- Risques techniques et organisationnels du projet.
4. Vérification de la solution technique et du processus de protection des données personnelles pour la conformité avec la législation de la Fédération de Russie et les règlements de l'entreprise
Une étape courte mais importante dans laquelle vous devez vous assurer que toutes les actions prévues ne sont pas en contradiction avec la législation de la Fédération de Russie et les règles de l'entreprise (par exemple, les politiques de sécurité). Si cela n'est pas fait, une bombe sera plantée dans les fondations du projet, qui peut "exploser" à l'avenir, détruisant les bénéfices des résultats obtenus.
5. Mise en œuvre d'une solution technique
Tout est plus ou moins évident ici. Les spécificités dépendent de la situation initiale et des décisions. Mais en général, vous devriez obtenir quelque chose comme l'image suivante:
- Capacité du serveur allouée.
- Les ingénieurs réseau ont fourni suffisamment débit canaux entre le récepteur et l'émetteur PDn.
- Les développeurs ont établi la réplication entre les bases de données ISPD.
- Les administrateurs ont empêché les changements de RNIS situés à l'étranger.
La personne responsable de la protection de la DP ou le «propriétaire du processus» peut être la même personne ou différente. Le fait même que le «propriétaire du processus» doit préparer toute la documentation et organiser l'ensemble du processus de protection des données personnelles. Pour ce faire, toutes les parties intéressées doivent être informées, les employés doivent être formés et le service informatique doit promouvoir la mise en œuvre de mesures techniques de protection des données.
6. Démarrage du processus de protection des données personnelles
Il s'agit d'une étape importante, et dans un sens, le but de l'ensemble du projet est de contrôler le flux. Outre les solutions techniques et les documents réglementaires, le rôle du responsable du processus est ici d'une importance cruciale. Il doit suivre les changements non seulement dans la législation, mais également dans l'infrastructure informatique. Cela signifie que des aptitudes et des compétences appropriées sont nécessaires.
De plus, ce qui est d'une importance cruciale dans des conditions réelles, le propriétaire du processus de protection PD a besoin de tous les pouvoirs nécessaires et du soutien administratif de la direction de l'entreprise. Sinon, il sera un éternel "suppliant" auquel personne ne prête attention, et après un certain temps le projet pourra être redémarré, en commençant à nouveau par un audit.
Nuances
Quelques points faciles à oublier:
- Si vous travaillez avec un centre de données, vous avez besoin d'un contrat pour la fourniture de services pour la fourniture d'installations de serveur, selon lequel votre entreprise stocke les données sur une base légale et les contrôle.
- Vous avez besoin d'une licence pour le logiciel utilisé pour collecter, stocker et traiter les données personnelles ou les contrats de location.
- Si le RNIS est situé à l'étranger, un accord est nécessaire avec la société propriétaire du système pour garantir le respect de la législation de la Fédération de Russie en ce qui concerne les données personnelles des Russes.
- Si des données personnelles sont transférées à un sous-traitant de votre entreprise (par exemple, un partenaire d'externalisation informatique), vous serez alors responsable des réclamations en cas de fuite de PD du sous-traitant. À son tour, votre entreprise peut faire des réclamations auprès du sous-traitant. Peut-être que ce facteur peut influer sur le fait même de transférer le travail vers l'externalisation.
Et encore une fois, le plus important est que la protection des données personnelles ne peut être prise et assurée. C'est un processus. Un processus itératif en cours qui dépendra grandement des modifications ultérieures de la législation, ainsi que du format et de la rigueur de l'application de ces normes dans la pratique.
