Protecția datelor personale în bancă. Protecția datelor cu caracter personal în băncile rusești: există reguli? Termeni și definiții

Securitatea datelor personale în bancă

Ce sunt datele personale?

Conform definiției din legea federală, datele cu caracter personal sunt orice informație referitoare la o persoană identificată sau determinată pe baza unor astfel de informații (subiectul datelor cu caracter personal), inclusiv numele de familie, prenumele, patronimul, anul, luna, data și locul acestuia. de naștere, adresă, familie, socială, stare de proprietate, educație, profesie, venit, alte informații.

Unde se află datele personale?

Datele personale (PD) din bancă sunt localizate în următoarele sisteme:

Sistem bancar automat (ABS);

Sisteme client-bancă;

Sisteme de transfer instantaneu de bani;

Sisteme de contabilitate;

Sisteme de contabilitate a personalului;

Sistem informatic corporativ;

Portal web intern.

PD poate fi prezent pe documente hârtie (acorduri, formulare, comenzi, instrucțiuni, chestionare, acorduri etc.).

Ce documente stabilesc cerințele pentru protecția datelor cu caracter personal?

Legile federale

Legea federală nr. 149-FZ din 27 iulie 2006 „Cu privire la informare, tehnologia de informațieși protecția informațiilor”;

Decrete guvernamentale

Decretul Guvernului Federației Ruse nr. 781 din 17 noiembrie 2007 „Cu privire la aprobarea reglementărilor privind asigurarea securității datelor cu caracter personal atunci când sunt prelucrate în sisteme de informare date personale";

Decretul Guvernului Federației Ruse nr. 957 din 29 decembrie 2007 „Cu privire la aprobarea reglementărilor privind acordarea de licențe pentru anumite tipuri de activități legate de mijloacele de criptare (criptografice)”;

Decretul Guvernului Federației Ruse nr. 687 din 15 septembrie 2008 „Cu privire la aprobarea reglementărilor privind specificul prelucrării datelor cu caracter personal efectuată fără utilizarea instrumentelor de automatizare”.

FSTEC din Rusia

Ordin comun al FSTEC al Rusiei, al FSB al Rusiei și al Ministerului Informațiilor și Comunicațiilor din Rusia din 13 februarie 2008 nr. 55/86/20 „Cu privire la aprobarea procedurii de clasificare a sistemelor de informații cu date cu caracter personal”;

Document de orientare al FSTEC din Rusia „Model de bază al amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”;

Document de orientare al FSTEC din Rusia „Metodologie pentru determinarea amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”;

Ordinul FSTEC al Rusiei din 5 februarie 2010 nr. 58 „Cu privire la aprobarea reglementărilor privind metodele și mijloacele de protecție a informațiilor din datele cu caracter personal”.

FSB al Rusiei

Ordinul FAPSI Nr. 152 din 13 iunie 2001 „Cu privire la aprobarea instrucțiunilor privind organizarea și asigurarea securității stocării, prelucrării și transmiterii prin canale de comunicații folosind mijloace de protecție a informațiilor criptografice cu acces limitat, care nu conține informații care constituie secret de stat”;

Ordinul FSB al Federației Ruse din 9 februarie 2005 nr. 66 „Cu privire la aprobarea reglementărilor privind dezvoltarea, producerea, vânzarea și funcționarea mijloacelor de securitate a informațiilor de criptare (criptografice) (regulamente PKZ-2005)”;

Document de orientare al FSB al Rusiei din 21 februarie 2008 nr. 149/54-144 „ Instrucțiuni privind asigurarea, cu ajutorul mijloacelor criptografice, a securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal folosind instrumente de automatizare”;

Document de orientare al FSB al Rusiei din 21 februarie 2008 Nr. 149/6/6-622 „Cerințe standard pentru organizarea și asigurarea funcționării mijloacelor de criptare (criptografice) destinate să protejeze informațiile care nu conțin informații care constituie secrete de stat, dacă sunt utilizate pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal”;

Standardul Băncii Rusiei

STO BR IBBS-1.0-2010 „Furnizarea securitatea informatiei organizații ale sistemului bancar al Federației Ruse. Dispoziții generale";

STO BR IBBS-1.1-2007 „Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Auditul securității informațiilor”;

STO BR IBBS-1.2-2010 „Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Metodologia de evaluare a conformității securității informațiilor organizațiilor din sistemul bancar al Federației Ruse cu cerințele STO BR IBBS-1.0-20xx";

RS BR IBBS-2.0-2007 „Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Orientări pentru documentarea în domeniul securității informațiilor în conformitate cu cerințele STO BR IBBS-1.0”;

RS BR IBBS-2.1-2007 „Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Orientări pentru autoevaluarea conformității securității informațiilor organizațiilor din sistemul bancar al Federației Ruse cu cerințele STO BR IBBS-1.0";

RS BR IBBS-2.3-2010 „Oferirea de securitate a informațiilor organizațiilor din sistemul bancar al Federației Ruse. Cerințe pentru asigurarea securității datelor cu caracter personal în sistemele de informații cu caracter personal ale organizațiilor din sistemul bancar al Federației Ruse”;

RS BR IBBS-2.4-2010 „Oferirea de securitate a informațiilor organizațiilor din sistemul bancar al Federației Ruse. Model specific industriei de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice ale PD ale organizațiilor băncilor din sistemul bancar al Federației Ruse”;

Recomandări metodologice pentru îndeplinirea cerințelor legale la prelucrarea datelor cu caracter personal în organizațiile RF BS, elaborate în comun de Banca Rusiei, ARB și Asociația Băncilor Regionale din Rusia (Asociația Rossiya).

Cum ar trebui protejate datele personale?

Conform cerințelor documentelor metodologice pentru protecția PD, următoarele subsisteme sunt comune tuturor tipurilor de ISPD:

Subsistem control acces;

Subsistemul de înregistrare și contabilitate;

Subsistemul de integritate;

Subsistemul de securitate firewall.

Dacă ISPD este conectat la Internet, atunci este necesar să utilizați suplimentar următoarele subsisteme:

Subsistem de securitate antivirus;

Subsistem de detectare a intruziunilor;

Subsistem de analiză de securitate.

De asemenea, este necesar să folosiți încuietori electronice și/sau chei electronice pentru identificare fiabilăși autentificarea utilizatorului.

Dacă PDIS este distribuit suplimentar pentru a preveni accesul neautorizat prin separarea informațiilor protejate de informațiile disponibile public, este necesar să se utilizeze criptografia atunci când se transmite PD prin canale de comunicare nesecurizate, precum și semnătura digitală pentru a confirma autenticitatea datelor.

Această defalcare în subsisteme și formarea pe baza acestora a unei liste de produse pentru protecția datelor cu caracter personal este general acceptată și este utilizată în majoritatea cazurilor.

De ce este necesar pentru a proteja datele personale?

Dacă sarcina este de a asigura doar confidențialitatea datelor cu caracter personal, este necesară implementarea unor măsuri și/sau utilizarea mijloacelor tehnice menite să prevină accesul neautorizat, atunci un astfel de sistem informatic devine tipic.

Dacă sunt impuse cerințe suplimentare pentru a asigura alte proprietăți ale securității informațiilor, precum asigurarea integrității, disponibilității, precum și a derivatelor acestora (nerepudierea, responsabilitatea, adecvarea, fiabilitatea etc.), atunci un astfel de ISPD devine special. În cele mai multe cazuri, orice ISPD va fi special, adică, pe lângă clasele de PD, pentru a determina mecanismele de protecție, trebuie să te ghidezi după modelul de amenințare creat în acest scop.

Cum se reduce clasa PD?

Pentru a reduce și simplifica măsurile de protecție a datelor cu caracter personal, băncile folosesc diverse trucuri. Mai jos vă prezint cele mai tipice modalități de reducere a costului echipamentului de protecție. Cu toate acestea, o astfel de „redesenare” a sistemelor informaționale ale Băncii în sine este o sarcină destul de complexă și consumatoare de timp.

Reducerea numărului de site-uri

După cum s-a arătat mai sus, dacă ISPD este distribuit, atunci se impun cerințe sporite pentru protecția acestuia; pentru a le reduce, trebuie să încercați să vă îndepărtați de ISPD distribuit.

Cu un ISPD distribuit, PD sunt amplasate în diferite locații, PD este transmisă prin canale de comunicație necontrolate de Bancă și, în general, aceasta înseamnă că PD iese sau părăsește zona controlată. Apoi, în primul rând, este necesară localizarea PD, reducând numărul de situri pe care vor fi amplasate. În unele cazuri, acest lucru este posibil, dar dacă luăm în considerare ABS, atunci cel mai probabil acest lucru nu va fi posibil.

Reducerea numărului de servere

Dacă PDIS este local, adică operează în cadrul rețelei locale a Băncii, atunci cea mai simplă modalitate de a reduce costul costurilor de protecție ar fi reducerea numărului de echipamente server pe care este prezent și/sau procesat PD.

Reducerea numărului de posturi de lucru și personal

Cu orice tip de ISPD (sub forma unui loc de muncă automatizat, local, distribuit), procesarea finală a PD este de obicei efectuată de personalul Băncii. Dacă nu utilizați accesul la terminal, care va fi discutat mai jos, este logic să reduceți numărul personalului Băncii implicat în prelucrarea datelor cu caracter personal sau care are acces la acestea.

Separarea IC folosind firewall

Pentru a reduce cantitatea de date cu caracter personal și, prin urmare, a reduce costul echipamentului de protecție, intr-o maniera pozitiva este diviziunea retelelor de informatiiîn segmente în care este procesată PD. Pentru a face acest lucru, este necesar să instalați și să utilizați firewall-uri, la porturile cărora ar trebui conectate segmente cu PD. Adesea, toate echipamentele serverului sunt situate într-o zonă demilitarizată, adică în segmente separate de rețelele publice și bancare prin firewall-uri. Această metodă necesită, de asemenea, o „redesenare” semnificativă a rețelelor de informații. Există o metodă bazată pe așa-numita „criptare liniară”, adică criptarea canalului client-client, client-server, server-server. O astfel de criptare a traficului de rețea poate fi implementată atât folosind instrumente speciale de securitate, cât și folosind tehnologia standard IPSec, cu toate acestea, nu este certificată de FSB-ul Rusiei, ceea ce reprezintă dezavantajul său semnificativ.

O altă modalitate de a partaja ISPD în întreaga rețea ar putea fi tehnologia rețele virtuale– VLAN, dar de fapt VLAN este doar un identificator într-unul dintre câmpurile pachetului de rețea, ceea ce ne permite să vorbim despre această tehnologie ca „IT”. Prin urmare, împărțirea rețelelor folosind VLAN-uri nu vă scutește de utilizarea tehnologiilor de securitate a informațiilor.

Împărțirea bazelor de date în părți

Să presupunem că există o bază de date formată din mii de înregistrări: Nume complet. și suma depozitului.

Să creăm alte două baze de date. Să introducem un identificator unic suplimentar. Să împărțim tabelul în două părți, în prima vom plasa câmpurile Nume complet și ID, în cealaltă ID-ul și suma depozitului.

Astfel, dacă fiecare angajat poate prelucra doar una dintre aceste noi baze de date, atunci protecția datelor cu caracter personal este mult simplificată, dacă nu anulată. Evident, valoarea unei astfel de baze de date este semnificativ mai mică decât cea inițială. Ambele baze de date vor fi localizate pe cel mai sigur server. În realitate, există însă mult mai multe câmpuri în baza de date acest principiu poate funcționa în aproape toate cazurile, deoarece numărul de câmpuri semnificative din punct de vedere al securității datelor cu caracter personal nu este atât de mare, ci destul de limitat. În cazuri extreme, puteți stoca potrivirile cheilor pe un computer care nu face parte din retea locala sau chiar să nu folosească procesarea automată.

Depersonalizarea datelor personale

Conform definiției din 152-FZ, depersonalizarea datelor cu caracter personal reprezintă acțiuni în urma cărora este imposibil să se determine dacă datele cu caracter personal aparțin unei anumite persoane vizate de date cu caracter personal. Din această definiție rezultă o serie de metode prin care se poate obține PD, prin care este imposibil să se determine identitatea PD. De exemplu, dacă datele exacte ale anumitor câmpuri nu sunt importante pentru scopuri de prelucrare, puteți fie să nu le afișați, fie să afișați doar intervalele în care se încadrează. De exemplu, vârsta 20-30, 30-40 etc. Adresa poate fi „rotunjită” la un cartier, district sau oraș: Tsaritsyno, Yuzhny, Moscova. In functie de necesitate, procesul de depersonalizare a datelor cu caracter personal poate fi reversibil sau ireversibil. Ireversibil include metodele de mai sus de „rotunjire” și reversibile, de exemplu, criptare. Din punctul meu de vedere, criptarea (codificarea) poate fi o modalitate de depersonalizare a datelor și ar trebui folosită în aceste scopuri.

Clienți subțiri și acces la terminal

Utilizarea tehnologiilor „thin client” și a tehnologiei corespunzătoare de acces la terminale pe servere poate reduce semnificativ cerințele pentru protecția datelor cu caracter personal. Faptul este că atunci când se utilizează „clienți subțiri” și accesul la terminal pe PC-urile angajaților Băncii, nu este nevoie să se instaleze software specializat, cum ar fi părți ale clienților din baze de date, părți ale clienților din sistemele bancare de bază etc. În plus, nu este nevoie să instalați niciunul mijloace speciale protecţie. Aceste tehnologii vă permit să afișați informații din bazele de date stocate pe serverele de la locul de muncă și să gestionați prelucrarea datelor cu caracter personal. Aceste tehnologii sunt a priori sigure, deoarece Politicile terminalului pot limita cu ușurință capacitatea clienților finali (personalul Băncii) de a copia și, prin urmare, de a distribui datele personale. Canal de comunicație între servere și PC-uri cu „ client slab» este ușor de criptat, adică în moduri simple Confidențialitatea datelor transmise poate fi asigurată.

Viteza potențialelor scurgeri de date va fi limitată doar de canalul vizual, care este determinat de viteza camerei sau a camerei video, cu toate acestea, odată cu introducerea unor măsuri organizatorice speciale, o astfel de copiere devine foarte dificilă.

Cum puteți proteja datele personale?

În sens larg, asigurarea protecției împotriva accesului neautorizat este înțeleasă ca un set de măsuri organizatorice și tehnice. Aceste activități se bazează pe înțelegerea mecanismelor de prevenire a accesului neautorizat cel mult diferite niveluri:

Identificare și autentificare (de asemenea, cu doi factori sau puternic). Ar putea fi ( sistem de operare, software de infrastructură, software de aplicație, hardware, cum ar fi cheile electronice);

Inregistrare si contabilitate. Aceasta poate fi înregistrarea (înregistrare, înregistrare) evenimente în toate sistemele, software-ul și instrumentele de mai sus);

Asigurarea integritatii. Acesta ar putea fi un calcul sume de control fișiere controlate, asigurând integritatea componente software, utilizarea de închis mediu software, precum și furnizarea descărcare de încredere OS);

Firewall, atât gateway cât și local;

Securitate antivirus (se folosesc până la trei niveluri de apărare, așa-numita abordare stratificată sau multi-vendor);

Criptografie (aplicată funcțional la diferite niveluri ale modelului OSI (rețea, transport și superioare) și oferă diverse funcționalități de securitate).

Există mai multe produse complexe care au dezvoltat funcționalitatea NSD. Toate diferă prin tipuri de aplicații, suport hardware, software și topologie de implementare.

Când este distribuit sau conectat la o rețea uz comun(Internet, Rostelecom etc.) ISDN folosește produse de analiză de securitate (MaxPatrol de la Positive Technologies, care nu are concurenți direcți în Federația Rusă), precum și de detectare și prevenire a intruziunilor (IDS/IPS) - atât la nivel de gateway, cât și la nivel nivelul nodului final .

Cum poti transfera datele personale?

Dacă PDIS este distribuit, aceasta înseamnă necesitatea transmiterii PD prin canale de comunicație nesecurizate. Apropo, canalul „aer” se referă și la canalul neprotejat. Pentru a proteja datele cu caracter personal în canalele de comunicare, pot fi utilizate diverse metode:

Criptarea canalului de comunicare. Poate fi furnizat în orice mod, cum ar fi VPN între gateway-uri, VPN între servere, VPN între stații de lucru (InfoTecs ViPNet Custom, Informzashchita APKSh Kontinent etc.);

comutare de pachete MPLS. Pachetele sunt transmise pe diferite căi în conformitate cu etichetele care sunt atribuite echipamente de rețea. De exemplu, rețeaua MPLS a Rostelecom are un certificat de conformitate a rețelei de comutare de pachete cu cerințele de securitate a informațiilor FSTEC din Rusia, care este o garanție a securității ridicate a serviciilor furnizate pe baza acesteia;

Criptarea documentelor. Poate fi folosit în diverse moduri software pentru criptarea fișierelor de date, precum și a fișierelor container (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt etc.);

Criptarea arhivelor. Pot fi utilizate diverse arhivare care vă permit să arhivați și să criptați fișiere folosind algoritmi criptografici precum AES. (WinRAR, WinZIP, 7-ZIP etc.).

Trebuie să folosesc echipament de protecție certificat?

Astăzi, există o singură cerință a FSTEC din Rusia privind certificarea mijloacelor de protecție a datelor cu caracter personal. Cerința se referă la asigurarea capacităților nedeclarate de nivel 4, așa că la ultima problemă voi da doar trei teze:

Sistemul de certificare a echipamentelor de protecție este voluntar;

Este suficient să respectați cerințele legale;

Nu este necesară certificarea sistemului de informare a datelor cu caracter personal în ansamblu.

Shauro Evgeniy

controlul asupra implementării regulilor necesare. Lista literaturii folosite:

1. Legea federală „Cu privire la bănci și activități bancare”

2. www.Grandars.ru [ Resursa electronica] Mod de acces: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Data accesului: 05.5.2016)

3. In-bank.ru [Resursa electronica] Mod de acces: http://journal.ib-bank.ru/post/411 (Data accesului: 05.5.2016)

Hlestova Daria Robertovna

E-mail: [email protected]

CARACTERISTICI ALE PROTECTIEI DATELOR PERSONALE IN SECTORUL BANCAR

adnotare

Acest articol discută caracteristicile protecției datelor cu caracter personal ale clienților în industria bancară. Sunt enumerate o serie de acte normative și juridice, pe baza cărora ar trebui construit sistemul de prelucrare și protecție a datelor cu caracter personal în bancă. S-a evidențiat o listă de măsuri pentru organizarea securității datelor în instituțiile bancare.

Cuvinte cheie

Date personale, securitate în bănci, securitate informațională,

protectia informatiilor personale

Protecția datelor cu caracter personal în era tehnologiei informației a devenit deosebit de relevantă. Există tot mai multe cazuri în care atacatorii obțin acces la orice informație confidențială atacând sistemele informaționale ale organizațiilor. Fără îndoială, atacurile nu ocolesc sectorul bancar. Din moment ce în sisteme bancare conține un număr mare de date cu caracter personal ale clienților, securitatea acestora ar trebui să fie sub atenta atentă a statului și a proprietarilor instituțiilor financiare înșiși.

În primul rând, merită să înțelegeți ce date personale ale unei persoane pot deveni disponibile băncii dacă aceasta devine clientul acesteia. Deci, acesta este necesar: nume, prenume și patronim; Data și locul nașterii; cetățenie; locul de înregistrare și reședința efectivă; toate datele pașaportului (serie, număr, când și de către cine a fost eliberat documentul); numărul de mobil și telefon fix; locul de munca, functia ocupata. În cele mai multe cazuri, instituțiile solicită unei persoane informații suplimentare, dar chiar și fără acestea, lista datelor pe care o persoană le încredințează băncii se dovedește a fi impresionantă. Desigur, clientul speră ca datele sale personale să fie protejate în mod fiabil în timpul procesării și stocării.

Pentru ca instituțiile financiare să poată organiza eficient un sistem de prelucrare și protecție a datelor cu caracter personal, este necesar să se schițeze o listă de acte normative și juridice pe care banca ar trebui să se bazeze atunci când lucrează cu datele personale ale clienților: Constituția Federația Rusă este cel mai important document al țării; Codul Muncii al Federației Ruse; Codul civil și Codul penal al Federației Ruse; Legea federală nr. 152 „Cu privire la datele cu caracter personal”; Legea federală nr. 149 „Cu privire la

informație, tehnologii informaționale și protecția informațiilor”; Legea federală nr. 395-1 „Cu privire la bănci și activități bancare”. De asemenea, în bănci, la crearea unui sistem de procesare și stocare a datelor cu caracter personal, sunt create o serie de documente locale care oferă un control suplimentar asupra lucrului cu datele.

Organizație bancară la primirea datelor sale personale de la client, acesta își asumă obligația de a efectua toate măsurile organizatorice și tehnice pentru a proteja informațiile care i-au fost încredințate de accesul neautorizat (accidental sau intenționat), blocare, modificare, distrugere și alte acțiuni ilegale. Este de evidențiat o serie de măsuri pentru organizarea de înaltă calitate a prelucrării și protecției datelor cu caracter personal în bănci: numirea responsabililor cu prelucrarea și asigurarea securității datelor în sistemul informațional al băncii; implementarea măsurilor de control și familiarizarea angajaților cu cadrul de reglementare relevant și cu documentele interne pe care se bazează sistemul de securitate a datelor al băncii; identificarea amenințărilor în timpul prelucrării datelor cu caracter personal în bancă și măsuri de combatere a acestora; evaluarea eficacității măsurilor organizatorice și tehnice aplicate pentru asigurarea protecției datelor, înainte de punerea în funcțiune a sistemului de protecție; Contabilitatea tuturor mediilor de stocare computerizate a datelor personale; stabilirea regulilor de acces la sistemul de prelucrare și securitate pentru angajați; dacă este detectat acces neautorizat la datele protejate, se iau măsuri pentru a elimina amenințarea și a restabili datele pierdute. Iar o măsură obligatorie pentru băncile cu un sistem existent de stocare și protejare a datelor personale ale clienților este monitorizarea și îmbunătățirea constantă a sistemului de securitate.

Astfel, este de remarcat faptul că prelucrarea, stocarea și protecția datelor cu caracter personal în bănci ar trebui efectuate pe baza condițiilor definite de cadrul de reglementare al Federației Ruse. Fiecare instituție financiară trebuie: să respecte principiul legalității atunci când organizează protecția datelor cu caracter personal ale clienților săi; efectuează o gamă completă de măsuri pentru protecția datelor organizatorice și tehnice; atunci când creați documente locale legate de securitatea informațiilor, bazați-vă pe cele mai bune practici rusești și internaționale în acest domeniu; respectă toate cerințele autorităților de reglementare (FSTEK, Roskomnadzor, FSB) pentru a asigura protecția datelor cu caracter personal ale clientului.

Lista literaturii folosite:

1. Khlestova D.R., Popov K.G. „Cu privire la aspectele juridice ale protecției datelor cu caracter personal”

2. Legea federală „Cu privire la bănci și activități bancare”

3. Banca Rusiei [Resursa electronica] Mod de acces: http://www.cbr.ru/ (Data accesului: 05/06/2016)

©Khlestova D.R., Popov K.G., 2016

Hlestova Daria Robertovna

Student în anul II la IUPP BashSU, Ufa, Federația Rusă E-mail: [email protected] Popov Kirill Gennadievich Ph.D., Profesor asociat, Departamentul de Securitate Informațională, Universitatea de Stat Bashkir, Ufa, Federația Rusă

E-mail: [email protected]

BUSINESS INTELLIGENCE CA CEL MAI LEGAL MOD DE OBȚINEREA INFORMAȚIILOR

adnotare

Articolul discută metode de business intelligence. De asemenea, explică de ce business intelligence este o activitate legală în afaceri. Principiile de bază evidențiate pe care trebuie să le respectați sunt:

POZIŢIE

privind protecția datelor cu caracter personal

Clienți (abonați)

la Ortes-Finance LLC

Termeni și definiții

1.1. Informații personale- orice informație referitoare la o persoană identificată sau determinată pe baza unor astfel de informații (subiectul datelor cu caracter personal), inclusiv numele de familie, prenumele, patronimul, anul, luna, data și locul nașterii, adresa, adresa E-mail, număr de telefon, familie, social, stare de proprietate, educație, profesie, venit, alte informații.

1.2. Prelucrarea datelor cu caracter personal— acțiuni (operațiuni) cu date personale, inclusiv colectare, sistematizare, acumulare, stocare, clarificare (actualizare, modificare), utilizare, distribuire (inclusiv transfer), depersonalizare, blocare.

1.3. Confidențialitatea datelor cu caracter personal— o cerință obligatorie ca persoana responsabilă desemnată care a obținut acces la datele cu caracter personal să nu permită difuzarea acestora fără consimțământul subiectului sau alt temei legal.

1.4. Diseminarea datelor personale- acțiuni care vizează transferul de date cu caracter personal către un anumit cerc de persoane (transfer de date cu caracter personal) sau familiarizarea cu datele personale ale unui număr nelimitat de persoane, inclusiv publicarea datelor cu caracter personal în mass-media, postarea în rețelele de informare și telecomunicații sau oferirea accesului la datele cu caracter personal către orice -sau în alt mod.

1.5. Utilizarea datelor personale— acțiuni (operațiuni) cu date cu caracter personal efectuate în scopul de a lua decizii sau de a efectua alte acțiuni care dau naștere la consecințe juridice în raport cu subiecții datelor cu caracter personal sau le afectează în alt mod drepturile și libertățile sau drepturile și libertățile altor persoane.

1.6. Blocarea datelor personale— încetarea temporară a colectării, sistematizării, acumulării, utilizării, difuzării datelor cu caracter personal, inclusiv transferul acestora.

1.7. Distrugerea datelor cu caracter personal— acțiuni în urma cărora este imposibilă restabilirea conținutului datelor cu caracter personal în sistemul de informații cu caracter personal sau în urma cărora mediile materiale de date cu caracter personal sunt distruse.

1.8. Depersonalizarea datelor personale- acțiuni în urma cărora este imposibil fără utilizare Informații suplimentare determina dreptul de proprietate asupra datelor cu caracter personal pentru un anumit subiect.

1.9. Date publice cu caracter personal- date cu caracter personal, acces la un număr nelimitat de persoane cărora le este oferit cu acordul subiectului sau cărora, în conformitate cu legile federale, nu este supusă cerințelor de confidențialitate.

1.10. informație— informații (mesaje, date) indiferent de forma de prezentare a acestora.

1.11. Client (subiectul datelor cu caracter personal)- un consumator individual al serviciilor Ortes-Finance SRL, denumită în continuare „Organizația”.

1.12. Operator- organ de stat, organ municipal, persoană juridică sau persoană fizică, independent sau în comun cu alte persoane care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determinarea scopurilor prelucrării datelor cu caracter personal, a componenței datelor cu caracter personal care urmează a fi prelucrate , acțiuni (operațiuni) efectuate cu date personale. În cadrul prezentului Regulament, Operatorul este Societatea cu Răspundere Limitată „Ortes-Finance”;

2. Prevederi generale.

2.1. Prezentul Regulament privind prelucrarea datelor cu caracter personal (denumit în continuare Regulament) a fost elaborat în conformitate cu Constituția Federației Ruse, Codul Civil al Federației Ruse, Legea Federală „Cu privire la Informații, Tehnologii Informaționale și Protecția Informației”, Legea federală 152-FZ „Cu privire la datele cu caracter personal”, alte legi federale.

2.2. Scopul elaborării Regulamentului este stabilirea procedurii de prelucrare și protecție a datelor cu caracter personal ale tuturor Clienților Organizației, ale căror date fac obiectul prelucrării, pe baza autorității operatorului; asigurarea protecției drepturilor și libertăților unei persoane și ale cetățeanului în timpul prelucrării datelor sale cu caracter personal, inclusiv protecția drepturilor la viață privată, a secretelor personale și de familie, precum și stabilirea răspunderii funcționarilor cu acces la datele cu caracter personal în caz de eșec să respecte cerințele normelor care reglementează prelucrarea și protecția datelor cu caracter personal.

2.3. Procedura de punere în aplicare și modificare a Regulamentului.

2.3.1. Prezentul Regulament intră în vigoare din momentul aprobării sale de către Directorul General al Organizației și este valabil pe termen nelimitat până când este înlocuit cu un nou Regulament.

2.3.2. Modificările Regulamentului se fac pe baza Ordinelor Directorului General al Organizației.

3. Componența datelor cu caracter personal.

3.1. Datele personale ale clienților includ, printre altele:

3.1.1. Numele complet.

3.1.2. Anul nașterii.

3.1.3. Luna nașterii.

3.1.4. Data nașterii.

3.1.5. Locul nașterii.

3.1.6. Detalii pașaport

3.1.7. Adresa de e-mail.

3.1.8. Numar de telefon (acasa, mobil).

3.2. Următoarele documente și informații pot fi create (create, colectate) și stocate în Organizație, inclusiv în format electronic, care conțin date despre Clienți:

3.2.1. Cerere pentru un sondaj privind posibilitatea de a conecta o persoană.

3.2.2. Acord (oferta publică).

3.2.3. Confirmarea aderării la acord.

3.2.5. Copii ale documentelor de identificare, precum și ale altor documente furnizate de Client și care conțin date cu caracter personal.

3.2.6. Date privind plățile pentru comenzi (bunuri/servicii), care conțin plata și alte detalii ale Clientului.

4. Scopul prelucrării datelor cu caracter personal.

4.1. Scopul prelucrării datelor cu caracter personal este realizarea unui set de acțiuni care vizează atingerea scopului, inclusiv:

4.1.1. Furnizarea de servicii de consultanta si informare.

4.1.2. Alte tranzacții neinterzise de lege, precum și un set de acțiuni cu date personale necesare executării tranzacțiilor de mai sus.

4.1.3. Pentru a respecta cerințele legislației Federației Ruse.

4.2. Condiția de încetare a prelucrării datelor cu caracter personal este lichidarea Organizației, precum și solicitarea corespunzătoare a Clientului.

5. Colectarea, prelucrarea și protecția datelor cu caracter personal.

5.1. Procedura de obținere (colectare) a datelor cu caracter personal:

5.1.1. Toate datele personale ale Clientului ar trebui să fie obținute de la acesta personal cu acordul său scris, cu excepția cazurilor specificate în clauzele 5.1.4 și 5.1.6 din prezentul Regulament și a altor cazuri prevăzute de legile Federației Ruse.

5.1.2. Consimțământul Clientului cu privire la utilizarea datelor sale personale este stocat de Organizație în format hârtie și/sau electronic.

5.1.3. Consimțământul subiectului pentru prelucrarea datelor cu caracter personal este valabil pe toată durata acordului, precum și în termen de 5 ani de la data încetării relației contractuale a Clientului cu Organizația. După expirarea perioadei specificate, consimțământul se consideră extins pentru fiecare următor cinci ani, în lipsa informațiilor despre revocarea acestuia.

5.1.4. În cazul în care datele personale ale Clientului pot fi obținute numai de la o terță parte, Clientul trebuie să fie notificat în prealabil cu privire la acest lucru și trebuie obținut consimțământul scris de la acesta. O terță parte care furnizează datele personale ale Clientului trebuie să aibă consimțământul subiectului pentru a transfera date cu caracter personal către Organizație. Organizația este obligată să obțină confirmarea de la terțul care transferă datele personale ale Clientului că datele cu caracter personal sunt transferate cu acordul acestuia. Organizația este obligată, atunci când interacționează cu terți, să încheie cu aceștia un acord privind confidențialitatea informațiilor referitoare la datele personale ale Clienților.

5.1.5. Organizația este obligată să informeze Clientul cu privire la scopurile, sursele preconizate și metodele de obținere a datelor cu caracter personal, precum și natura datelor cu caracter personal care urmează să fie primite și consecințele refuzului Clientului de a-și da acordul scris pentru a le primi. .

5.1.6. Prelucrarea datelor cu caracter personal ale Clienților fără consimțământul acestora se realizează în următoarele cazuri:

5.1.6.1. Datele personale sunt disponibile publicului.

5.1.6.2. La cererea organelor de stat autorizate în cazurile prevăzute de legea federală.

5.1.6.3. Prelucrarea datelor cu caracter personal se realizează pe baza unei legi federale care stabilește scopul acesteia, condițiile de obținere a datelor cu caracter personal și gama de subiecți ale căror date cu caracter personal sunt supuse prelucrării, precum și definirea puterilor operatorului.

5.1.6.4. Prelucrarea datelor cu caracter personal se realizează în scopul încheierii și executării unui acord, una dintre părți la care face obiectul datelor cu caracter personal - Clientul.

5.1.6.5. Prelucrarea datelor cu caracter personal se realizează în scopuri statistice, sub rezerva anonimizării obligatorii a datelor cu caracter personal.

5.1.6.6. În alte cazuri prevăzute de lege.

5.1.7. Organizația nu are dreptul de a primi și prelucra datele personale ale Clientului despre rasa, naționalitatea, opiniile politice, convingerile religioase sau filozofice, starea de sănătate, viața intimă a acestuia.

5.2. Procedura de prelucrare a datelor cu caracter personal:

5.2.1. Subiectul datelor cu caracter personal oferă Organizației informații fiabile despre sine.

5.2.2. Numai angajații Organizației care sunt autorizați să lucreze cu datele personale ale Clientului și care au semnat un Acord de nedivulgare a datelor personale ale Clientului pot avea acces la prelucrarea datelor personale ale Clienților.

5.2.3. Următorii au dreptul de a accesa datele personale ale Clientului în Organizație:

 Director General al Organizaţiei;

 Angajații responsabili cu menținerea conturilor financiare (manager, contabil).

 Angajații Departamentului de Relații cu Clienții (șef departament vânzări, manager).

 Lucrători IT (director tehnic, administrator de sistem).

 Clientul ca subiect al datelor cu caracter personal.

5.2.3.1. Lista cu numele angajaților Organizației care au acces la datele personale ale Clienților este stabilită prin ordin al Directorului General al Organizației.

5.2.4. Prelucrarea datelor cu caracter personal ale Clientului poate fi efectuată exclusiv în scopurile stabilite prin Regulamente și conformarea cu legile și alte acte juridice de reglementare ale Federației Ruse.

5.2.5. Atunci când se stabilește volumul și conținutul datelor cu caracter personal prelucrate, Organizația se va ghida de Constituția Federației Ruse, legea privind datele cu caracter personal și alte legi federale.

5.3. Protecția informațiilor personale:

5.3.1. Protecția datelor cu caracter personal ale Clientului este înțeleasă ca un ansamblu de măsuri (organizatorice, administrative, tehnice, juridice) menite să prevină accesul neautorizat sau accidental la acestea, distrugerea, modificarea, blocarea, copierea, distribuirea datelor cu caracter personal ale subiecților, precum și ca și alte acțiuni ilegale.

5.3.2. Protecția datelor cu caracter personal ale Clientului se realizează pe cheltuiala Organizației în modul stabilit de legea federală a Federației Ruse.

5.3.3. Atunci când protejează datele personale ale Clienților, Organizația ia toate măsurile organizatorice, administrative, legale și tehnice necesare, inclusiv:

 Protecție antivirus.

 Analiza de securitate.

 Detectarea și prevenirea intruziunilor.

 Controlul accesului.

 Inregistrare si contabilitate.

 Asigurarea integritatii.

 Organizarea actelor locale normative și metodologice care reglementează protecția datelor cu caracter personal.

5.3.4. Organizarea generală a protecției datelor cu caracter personal ale Clienților se realizează de către Directorul General al Organizației.

5.3.5. Angajații Organizației care au nevoie de date personale în legătură cu îndeplinirea atribuțiilor de serviciu au acces la datele personale ale Clientului.

5.3.6. Toți angajații asociați cu primirea, prelucrarea și protecția datelor cu caracter personal ale Clienților sunt obligați să semneze un Acord privind nedivulgarea datelor cu caracter personal ale Clienților.

5.3.7. Procedura de obținere a accesului la datele personale ale Clientului include:

 Familiarizarea angajatului cu semnătură cu prezentul Regulament. Dacă există și alte reglementări (comenzi, instrucțiuni, instrucțiuni etc.) care reglementează prelucrarea și protecția datelor cu caracter personal ale Clientului, aceste acte sunt, de asemenea, familiarizate cu semnătura.

 Solicitarea unui angajat (cu excepția Directorului General) a unui angajament scris de a păstra confidențialitatea datelor cu caracter personal ale Clienților și de a respecta regulile de prelucrare a acestora în conformitate cu reglementările locale interne ale Organizației care reglementează securitatea informațiilor confidențiale.

5.3.8. Un angajat al Organizației care are acces la datele personale ale Clienților în legătură cu îndeplinirea sarcinilor de serviciu:

 Oferă stocarea informațiilor care conțin datele personale ale Clientului, excluzând accesul la acestea de către terți.

 În absența unui angajat, la locul de muncă nu ar trebui să existe documente care să conțină date personale ale Clienților.

 La plecarea în concediu, în timpul unei călătorii de afaceri și în alte cazuri de absență pe termen lung a unui angajat de la locul său de muncă, acesta este obligat să transfere documente și alte suporturi care conțin datele personale ale Clienților persoanei căreia i se va încredința executarea acestuia printr-un act local al Companiei (ordin, decret).responsabilităţi de muncă.

 Dacă o astfel de persoană nu este desemnată, atunci documentele și alte medii care conțin datele personale ale Clienților sunt transferate unui alt angajat care are acces la datele personale ale Clienților conform instrucțiunilor Directorului General al Organizației.

 La concedierea unui angajat care are acces la datele personale ale Clienților, documentele și alte medii care conțin datele personale ale Clienților sunt transferate unui alt angajat care are acces la datele personale ale Clienților la instrucțiunile Directorului General.

 Pentru îndeplinirea sarcinii atribuite și pe baza unui memoriu cu rezoluție pozitivă a Directorului General, accesul la datele personale ale Clientului poate fi oferit altui angajat. Accesul la datele personale ale Clientului altor angajați ai Organizației care nu au acces autorizat corespunzător este interzis.

5.3.9. Managerul HR asigură:

 Familiarizarea angajaţilor cu prezentul Regulament împotriva semnării.

 Solicitarea angajaților un angajament scris de a menține confidențialitatea datelor cu caracter personal ale Clientului (Acord de nedivulgare) și respectarea regulilor de prelucrare a acestora.

 Controlul general asupra respectării de către angajați a măsurilor de protecție a datelor cu caracter personal ale Clientului.

5.3.10. Este asigurată protecția datelor cu caracter personal ale Clienților stocate în bazele de date electronice ale Organizației împotriva accesului neautorizat, distorsionării și distrugerii informațiilor, precum și împotriva altor acțiuni ilegale. Administrator de sistem.

5.4. Stocarea datelor cu caracter personal:

5.4.1. Datele personale ale Clienților pe hârtie sunt stocate în seifuri.

5.4.2. Datele personale ale clienților sunt stocate electronic într-un local rețea de calculatoare Organizații, în foldere și fișiere electronice în calculatoare personale Director General și angajați autorizați să prelucreze datele cu caracter personal ale Clienților.

5.4.3. Documentele care conțin date personale ale Clienților sunt stocate în dulapuri încuiate (seifuri) care oferă protecție împotriva accesului neautorizat. La sfârșitul zilei de lucru, toate documentele care conțin date personale ale Clienților sunt plasate în dulapuri (seifuri) care asigură protecție împotriva accesului neautorizat.

5.4.4. Protecția accesului la bazele de date electronice care conțin date personale ale Clienților este asigurată de:

 Utilizarea de programe antivirus și anti-hacker licențiate care nu permit intrarea neautorizată în rețeaua locală a Organizației.

 Diferențierea drepturilor de acces folosind un cont.

 Sistem de parole pe două niveluri: la nivel de rețea locală de calculatoare și la nivel de bază de date. Parolele sunt stabilite de Administratorul de Sistem al Organizației și sunt comunicate individual angajaților care au acces la datele personale ale Clienților.

5.4.4.1. Intrarea neautorizată în PC-urile care conțin date personale ale Clienților este blocată de o parolă, care este stabilită de administratorul de sistem și nu este supusă dezvăluirii.

5.4.4.2. Toate folderele și fișierele electronice care conțin date personale ale Clienților sunt protejate printr-o parolă, care este stabilită de angajatul Organizației responsabil cu computerul și raportată administratorului de sistem.

5.4.4.3. Parolele sunt schimbate de către administratorul de sistem cel puțin o dată la 3 luni.

5.4.5. Copierea și realizarea de extrase din datele cu caracter personal ale Clientului este permisă numai în scopuri oficiale, cu permisiunea scrisă a Directorului General al Organizației.

5.4.6. Răspunsurile la solicitările scrise din partea altor organizații și instituții cu privire la datele personale ale Clienților sunt date numai cu acordul scris al Clientului însuși, cu excepția cazului în care legea prevede altfel. Răspunsurile sunt furnizate în scris, pe antetul Organizației și în măsura în care permite să nu dezvăluie o cantitate excesivă de date personale ale Clientului.

6. Blocarea, depersonalizarea, distrugerea datelor cu caracter personal

6.1. Procedura de blocare și deblocare a datelor cu caracter personal:

6.1.1. Blocarea datelor personale ale Clientilor se realizeaza cu o cerere scrisa din partea Clientului.

6.1.2. Blocarea datelor cu caracter personal presupune:

6.1.2.2. Interzicerea difuzării datelor cu caracter personal prin orice mijloc (e-mail, celular, medii materiale).

6.1.2.4. Eliminarea documentelor pe hârtie referitoare la Client și care conțin datele sale personale din fluxul de documente intern al Organizației și interzicerea utilizării acestora.

6.1.3. Blocarea datelor cu caracter personal ale Clientului poate fi ridicată temporar dacă acest lucru este necesar pentru a respecta legislația Federației Ruse.

6.1.4. Deblocarea datelor cu caracter personal ale Clientului se realizează cu acordul scris al acestuia (dacă este necesar să se obțină consimțământul) sau cu cererea Clientului.

6.1.5. Consimțământul repetat al Clientului cu privire la prelucrarea datelor sale personale (dacă este necesar pentru obținerea acestuia) atrage după sine deblocarea datelor sale personale.

6.2. Procedura de depersonalizare si distrugere a datelor cu caracter personal:

6.2.1. Depersonalizarea datelor cu caracter personal ale Clientului are loc la cererea scrisă a Clientului, cu condiția ca toate relațiile contractuale să fi fost finalizate și să fi trecut cel puțin 5 ani de la data expirării ultimului contract.

6.2.2. La depersonalizare, datele personale din sistemele informatice sunt înlocuite cu un set de caractere, ceea ce face imposibilă determinarea dacă datele personale aparțin unui anumit Client.

6.2.3. Atunci când datele personale sunt depersonalizate, suporturile de documente pe hârtie sunt distruse.

6.2.4. Organizația este obligată să asigure confidențialitatea în ceea ce privește datele cu caracter personal dacă este necesar să testeze sistemele informaționale pe teritoriul dezvoltatorului și să depersonalizeze datele cu caracter personal în sistemele informaționale transferate dezvoltatorului.

6.2.5. Distrugerea datelor personale ale Clientului implică încetarea oricărui acces la datele personale ale Clientului.

6.2.6. În cazul în care datele personale ale Clientului sunt distruse, angajații Organizației nu pot accesa datele personale ale subiectului în sistemele informaționale.

6.2.7. Atunci când datele personale sunt distruse, suporturile de documente pe hârtie sunt distruse, iar datele personale din sistemele de informare sunt anonimizate. Datele personale nu pot fi restaurate.

6.2.8. Operațiunea de distrugere a datelor cu caracter personal este ireversibilă.

6.2.9. Perioada după care este posibilă distrugerea datelor cu caracter personal ale Clientului este determinată de sfârșitul perioadei specificate în clauza 7.3 din prezentul Regulament.

7. Transferul și stocarea datelor cu caracter personal

7.1. Transferul datelor personale:

7.1.1. Transferul datelor cu caracter personal ale unui subiect înseamnă diseminarea de informații prin canale de comunicare și pe medii tangibile.

7.1.2. La transferul datelor cu caracter personal, angajații Organizației trebuie să respecte următoarele cerințe:

7.1.2.1. Nu dezvăluiți datele personale ale Clientului în scopuri comerciale.

7.1.2.2. Nu dezvăluiți datele personale ale Clientului unei terțe părți fără acordul scris al Clientului, cu excepția cazurilor stabilite de legea federală a Federației Ruse.

7.1.2.3. Avertizați persoanele care primesc datele cu caracter personal ale Clientului că aceste date pot fi utilizate numai în scopurile pentru care au fost comunicate și solicitați confirmarea acestor persoane că această regulă este respectată;

7.1.2.4. Permite accesul la datele personale ale Clienților doar persoanelor special autorizate, iar aceste persoane trebuie să aibă dreptul de a primi doar datele personale ale acelor Clienți care sunt necesare pentru îndeplinirea unor funcții specifice.

7.1.2.5. Transferați datele personale ale Clientului în cadrul Organizației în conformitate cu prezentul Regulament, cu documentația reglementară și tehnologică și cu fișele postului.

7.1.2.6. Oferiți Clientului acces la datele sale personale atunci când contactează sau la primirea solicitării Clientului. Organizația este obligată să informeze Clientul despre disponibilitatea datelor cu caracter personal despre acesta, precum și să ofere posibilitatea de a se familiariza cu acestea în termen de zece zile lucrătoare de la data aplicării.

7.1.2.7. Transferați datele personale ale Clientului către reprezentanții Clientului în modul prevăzut de lege și documentația de reglementare și tehnologică și limitați aceste informații numai la acele date personale ale subiectului care sunt necesare reprezentanților menționați pentru a-și îndeplini funcțiile.

7.2. Stocarea si utilizarea datelor cu caracter personal:

7.2.1. Stocarea datelor cu caracter personal se referă la existența înregistrărilor în sistemele informaționale și pe suporturi tangibile.

7.2.2. Datele personale ale Clientilor sunt prelucrate si stocate in sisteme informatice, precum si pe hartie in Organizatie. Datele personale ale Clienților sunt stocate și electronic: în rețeaua locală de calculatoare a Organizației, în foldere și fișiere electronice de pe PC-ul Directorului General și al angajaților autorizați să prelucreze datele cu caracter personal ale Clienților.

7.2.3. Datele cu caracter personal ale Clientului nu pot fi stocate mai mult decât este necesar în scopul prelucrării, cu excepția cazului în care legile federale ale Federației Ruse prevede altfel.

7.3. Perioade de stocare a datelor cu caracter personal:

7.3.1. Perioada de stocare pentru contractele civile care contin date personale ale Clientilor, precum si documentele care insotesc incheierea si executarea acestora este de 5 ani de la data expirarii contractelor.

7.3.2. În perioada de stocare, datele personale nu pot fi anonimizate sau distruse.

7.3.3. La expirarea perioadei de stocare, datele personale pot fi anonimizate în sistemele informaționale și distruse pe hârtie în modul stabilit în Regulamente și legislația actuală a Federației Ruse. (Anexa Actului privind distrugerea datelor cu caracter personal)

8. Drepturile operatorului de date cu caracter personal

Organizația are dreptul:

8.1. Apără-ți interesele în instanță.

8.2. Furnizați datele cu caracter personal ale Clienților către terți dacă legislația în vigoare este impusă (fisc, agenții de aplicare a legii etc.).

8.3. Refuzați furnizarea datelor cu caracter personal în cazurile prevăzute de lege.

8.4. Utilizați datele personale ale Clientului fără consimțământul acestuia, în cazurile prevăzute de legislația Federației Ruse.

9. Drepturile clientului

Clientul are dreptul:

9.1. Solicitați clarificarea datelor dumneavoastră cu caracter personal, blocarea sau distrugerea acestora în cazul în care datele cu caracter personal sunt incomplete, depășite, nesigure, obținute ilegal sau nu sunt necesare pentru scopul declarat al prelucrării și, de asemenea, luați măsurile prevăzute de lege pentru a vă proteja drepturile;

9.2. Solicitați o listă a datelor cu caracter personal prelucrate disponibile în Organizație și sursa primirii acesteia.

9.3. Primiți informații despre condițiile de prelucrare a datelor cu caracter personal, inclusiv perioadele de stocare a acestora.

9.4. Solicitați notificarea tuturor persoanelor cărora le-au fost furnizate anterior date personale incorecte sau incomplete despre toate excepțiile, corectările sau completările aduse acestora.

9.5. Apel la organul abilitat pentru protecția drepturilor persoanelor vizate sau în instanță împotriva acțiunilor sau inacțiunilor ilegale în timpul prelucrării datelor sale cu caracter personal.

10. Răspunderea pentru încălcarea regulilor care reglementează prelucrarea și protecția datelor cu caracter personal

10.1. Angajații Organizației care se fac vinovați de încălcarea regulilor care guvernează primirea, prelucrarea și protecția datelor cu caracter personal poartă răspundere disciplinară, administrativă, civilă sau penală în conformitate cu legislația actuală a Federației Ruse și cu actele locale interne ale Organizației.

Marina Prokhorova, redactor al revistei „Datele personale”

Natalya Samoilova, avocat al companiei „InfoTechnoProject”

Cadrul de reglementare care s-a dezvoltat până în prezent în domeniul prelucrării datelor cu caracter personal, documente care nu au fost încă adoptate pentru o organizare mai eficientă a muncii privind protecția datelor cu caracter personal în organizații, aspecte tehnice ale pregătirii sistemelor de informare pentru operatorii de date cu caracter personal - acestea sunt subiectele care au fost abordate recent în multe ziare și publicații de jurnal dedicate problemei datelor cu caracter personal. În acest articol aș dori să mă opresc asupra unui astfel de aspect al organizării activității instituțiilor bancare și de credit precum protecția „non-tehnică” a datelor cu caracter personal prelucrate în aceste organizații.

Să începem cu un exemplu concret

Vorbim despre o revizuire judiciară a unui dosar privind protecția datelor cu caracter personal, inițiat împotriva Sberbank în iunie 2008. Esența procesului a fost următoarea. Între cetățean și bancă a fost încheiat un contract de garanție, conform căruia cetățeanul și-a acceptat obligația de a răspunde în fața băncii pentru îndeplinirea de către debitor a obligațiilor din contractul de împrumut. Acesta din urmă nu și-a îndeplinit obligațiile în termenul stabilit prin contractul de împrumut; informații despre garant ca client nesigur au fost introduse în sistemul informatic automatizat al băncii „Stop List”, care, la rândul său, a stat la baza refuzului de a-i furniza. cu un împrumut. Mai mult, banca nici măcar nu a anunțat cetățeanul despre îndeplinirea necorespunzătoare de către împrumutat a obligațiilor care îi revin în baza contractului de împrumut. În plus, acordul de garanție nu a indicat că în cazul îndeplinirii necorespunzătoare de către împrumutat a obligațiilor sale, banca are dreptul de a introduce informații despre garant în sistemul de informații Stop List. Astfel, banca a procesat datele personale ale cetățeanului prin includerea informațiilor despre acesta în sistemul de informații Stop List fără consimțământul acestuia, ceea ce încalcă cerințele părții 1 a art. 9 din Legea federală nr. 152-FZ din 27 iulie 2006 „Cu privire la datele cu caracter personal”, conform căreia subiectul datelor cu caracter personal decide să furnizeze datele sale cu caracter personal și își dă acordul pentru prelucrarea acestora din proprie voință și în interes propriu. În plus, în modul prevăzut în partea 1 a art. 14 din aceeași lege, un cetățean a contactat banca cu cererea de a-i oferi posibilitatea de a se familiariza cu informațiile introduse despre el în sistemul de informații Stop List, precum și de a bloca aceste informații și a le distruge. Banca a refuzat să satisfacă cererile cetățeanului.

Pe baza rezultatelor examinării cazului, Tribunalul Districtual Leninsky din Vladivostok a satisfăcut pretențiile Oficiului Roskomnadzor pentru Teritoriul Primorsky împotriva Sberbank a Rusiei pentru a proteja drepturile încălcate ale unui cetățean și a ordonat băncii să distrugă informațiile despre cetăţean din sistemul de informaţii Stop List.

Cum este semnificativ acest exemplu? Băncile, care stochează datele cu caracter personal ale unui număr semnificativ de clienți ai lor, le mută fără ezitare dintr-o bază de date în alta și, cel mai adesea, fără a informa subiectul datelor cu caracter personal despre acest lucru, darămite obținerea consimțământului acestuia pentru astfel de acțiuni cu datele sale personale. Desigur, activitatea bancară are o serie de caracteristici, iar de multe ori datele personale ale clienților sunt folosite nu numai pentru îndeplinirea acordurilor încheiate de bancă, ci și pentru a controla banca asupra îndeplinirii de către client a obligațiilor sale, dar aceasta înseamnă că orice manipulare cu datele personale necesită deja consimțământul subiectului lor.

Dificultăți în interpretarea prevederilor

De ce să nu legalizați orice operațiuni cu date personale? Desigur, acest lucru va necesita cel mai probabil implicarea unor specialiști terți, deoarece chiar și avocații din departamentele juridice ale băncilor mari sunt profesioniști de primă clasă numai într-un anumit domeniu și trebuie să se familiarizeze cu specificul lucrului în domeniul datelor personale aproape de la zero. Așadar, cea mai bună ieșire este să implici companii specializate în furnizarea de servicii de organizare a muncii cu date cu caracter personal, inclusiv cele capabile să efectueze un audit pentru a se asigura că măsurile de protecție non-tehnică pe care le iei respectă cerințele legiuitorului.

Rezultatele studiilor analitice ne permit să tragem concluzii că interpretarea cărora prevederile Legii federale nr. 152-FZ „Cu privire la datele cu caracter personal” provoacă cele mai mari dificultăți.

În conformitate cu partea 1 a articolului 22 din prezentul document de reglementare, operatorul este obligat să notifice organismul autorizat cu privire la prelucrarea datelor cu caracter personal. Printre excepții se numără și cazul în care datele cu caracter personal prelucrate au fost primite în legătură cu încheierea unui acord la care subiectul datelor cu caracter personal este parte... și sunt utilizate de operator numai pentru executarea acordului menționat privind în temeiul clauzei 2 din partea 2 a articolului 22 din Legea federală nr. 152-FZ „Cu privire la datele cu caracter personal”. Funcționând tocmai cu această prevedere, unele bănci nu transmit o notificare despre prelucrarea datelor cu caracter personal, iar multe nu se consideră operatori, ceea ce este fundamental greșit.

De asemenea, o altă greșeală comună a băncilor în calitate de operatori de date cu caracter personal legate de contract este următoarea. Potrivit art. 6 din legea de mai sus, prelucrarea datelor cu caracter personal poate fi efectuată de către operator cu acordul subiecților datelor cu caracter personal, cu excepția cazurilor care includ realizarea prelucrării în scopul îndeplinirii unui contract, una dintre părți. la care face obiectul datelor cu caracter personal. Prin urmare, multe instituții bancare își explică lipsa consimțământului din partea subiectului datelor cu caracter personal tocmai prin faptul încheierii unui astfel de acord.

Dar să ne gândim, nu cumva banca, fiind operator, folosește datele personale ale subiectului primite la încheierea unui acord, de exemplu, pentru a trimite notificări despre servicii noi, pentru a menține „liste de oprire”? Aceasta înseamnă că prelucrarea datelor cu caracter personal se realizează nu numai în scopul îndeplinirii contractului, ci și în alte scopuri, a căror realizare prezintă interes comercial pentru bănci, prin urmare:

băncile sunt obligate să transmită o notificare cu privire la prelucrarea datelor cu caracter personal către organismul autorizat;
băncile trebuie să prelucreze datele cu caracter personal numai cu acordul subiectului.

Aceasta înseamnă că băncile trebuie să organizeze un sistem de lucru cu datele personale ale clienților lor, adică să asigure protecția non-tehnică a acestor date.

Consimțământ scris pentru prelucrarea datelor cu caracter personal

În ceea ce privește consimțământul subiectului datelor cu caracter personal la prelucrarea datelor cu caracter personal, Legea federală nr. 152-FZ „Cu privire la datele cu caracter personal” obligă operatorii să obțină consimțământul scris pentru prelucrarea datelor cu caracter personal numai în cazurile prevăzute de lege. Totodată, în conformitate cu partea 3 a art. 9, obligația de a dovedi primirea consimțământului subiectului pentru prelucrarea datelor sale personale revine operatorului. Pentru a nu pierde timpul strângând astfel de probe dacă este necesar (de exemplu, căutarea de martori), în opinia noastră, este mai bine în orice caz să obținem consimțământul subiecților în scris.

Să mai dăm un argument pentru formă scrisă prelucrarea datelor cu caracter personal. Adesea, activitățile băncilor implică transferul de date (inclusiv de date cu caracter personal) pe teritoriul unui stat străin. Cu această ocazie, partea 1 a art. 12 din Legea federală nr. 152-FZ „Cu privire la datele cu caracter personal” prevede că, înainte de începerea transferului transfrontalier de date cu caracter personal, operatorul este obligat să se asigure că statul străin pe al cărui teritoriu sunt transferate datele cu caracter personal oferă o protecție adecvată pentru drepturile persoanelor vizate de date cu caracter personal. Dacă nu este asigurată o astfel de protecție, transferul transfrontalier al datelor cu caracter personal este posibil numai cu acordul scris al subiectului datelor cu caracter personal. Se poate presupune că este mai ușor pentru un angajat al băncii să obțină consimțământul scris al clientului pentru prelucrarea datelor cu caracter personal decât să stabilească gradul de adecvare al protecției lor într-o țară străină.

Vă rugăm să rețineți că informațiile care trebuie să fie conținute în consimțământul scris sunt enumerate în Partea 4 a art. 9 din Legea federală menționată mai sus, iar această listă este exhaustivă. Și o semnătură sub fraza, de exemplu, într-un contract de împrumut: „Sunt de acord cu utilizarea datelor mele personale”, conform Legii federale nr. 152-FZ „Cu privire la datele cu caracter personal”, nu este consimțământul pentru prelucrarea lor!

S-ar părea că există doar câteva puncte de drept, dar câte complicații, chiar și litigii, pot fi cauzate de interpretarea lor greșită. Mai mult, astăzi, când datele cu caracter personal ale subiecților devin adesea o marfă în competiția diferitelor structuri, rezolvarea cu succes a problemelor de protecție a acestora, asigurarea securității sistemelor informaționale ale instituțiilor bancare și de credit devine cheia menținerii reputației și bunei nume a acestora. orice organizatie.

În fiecare zi, conștientizarea cetățenilor cu privire la posibilele consecințe negative ale difuzării datelor lor cu caracter personal crește, ceea ce este facilitat de apariția publicațiilor de specialitate. Există, de asemenea resurse informaționale diverse companii. Unele dintre ele acoperă în general întreaga gamă largă de probleme legate de conceptul de „securitate a informațiilor”, altele sunt dedicate revizuirii măsurilor și mijloacelor de protecție tehnică, în timp ce altele, dimpotrivă, se concentrează pe problemele asociate cu protecția non-tehnică. . Cu alte cuvinte, informațiile despre problemele de protecție a datelor cu caracter personal devin din ce în ce mai accesibile, ceea ce înseamnă că cetățenii vor fi mai pricepuți în protejarea drepturilor lor.

A devenit deosebit de popular pentru diviziile ruse ale companiilor străine datorită adăugării părții 5 a articolului 18 la 152-FZ „Cu privire la datele cu caracter personal”: „... operatorul este obligat să asigure înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizare, schimbare), regăsire date personale cetățeni ai Federației Ruse care utilizează baze de date situate pe teritoriul Federației Ruse" . Există o serie de excepții în lege, dar trebuie să recunoașteți că, în cazul unei inspecții de către autoritatea de reglementare, doriți să aveți atuuri mai puternice decât „dar asta nu ne privește”.

Sancțiunile pentru contravenienți sunt foarte grave. magazine online, social media, site-uri de informare, alte afaceri legate de Internetîn cazul reclamațiilor din partea autorităților de supraveghere, acestea pot fi efectiv închise. Este posibil ca în timpul primei inspecții regulatorului să i se acorde timp pentru a elimina deficiențele, dar perioada este de obicei limitată. Dacă problema nu se rezolvă foarte repede (ceea ce este greu de făcut fără pregătire prealabilă), pierderile nu vor mai fi compensate. Blocarea site-urilor nu duce doar la o pauză a vânzărilor, ci înseamnă o pierdere a cotei de piață.

Apariția încălcătorilor legii datelor cu caracter personal pe „lista neagră” pentru companiile offline este mai puțin dramatică. Dar acest lucru implică riscuri reputaționale, care reprezintă un factor semnificativ pentru companiile străine. În plus, în prezent nu mai există aproape niciun fel de activitate care să nu fie deloc afectată de protecția datelor cu caracter personal. Băncile, comerțul, chiar și producția - toate mențin baze de date cu clienții, ceea ce înseamnă că sunt supuse legilor relevante.

Este important să înțelegem aici că problema nu poate fi luată în considerare izolat nici în cadrul companiilor. Protecția datelor cu caracter personal nu poate fi limitată la instalarea de măsuri de securitate certificate pe servere și blocarea cardurilor de hârtie în seifuri. Datele personale au multe puncte de intrare în companie - departamente de vânzări, HR, serviciu pentru clienți, uneori și centre de formare, comisioane de cumpărare și alte departamente. Gestionarea protecției datelor cu caracter personal este un proces complex care afectează ACEASTA, flux documentar, reglementări, înregistrare legală.

Să ne uităm la ce ar fi nevoie pentru a rula și menține un astfel de proces.

Ce date sunt considerate personale

Strict vorbind, orice informație care se referă direct sau indirect la o anumită persoană este datele sale personale. Vă rugăm să rețineți despre care vorbim despre oameni, nu despre entitati legale. Se dovedește că este suficient să indicați numele dvs. complet și adresa de domiciliu pentru a iniția protecția acestor date (precum și a celor aferente). Cu toate acestea, primind e-mail cu datele personale ale cuiva sub forma unei semnături și număr de telefon acesta nu este un motiv pentru a le apăra. Termen cheie: „Conceptul de colectare a datelor cu caracter personal”. Pentru a clarifica contextul, aș dori să subliniez câteva articole din Legea „Cu privire la datele cu caracter personal”.

Articolul 5. Principii de prelucrare a datelor cu caracter personal. Ar trebui să existe obiective clare care să clarifice motivul pentru care informațiile sunt colectate. În caz contrar, chiar și cu respectarea deplină a tuturor celorlalte reguli și reglementări, sunt probabile sancțiuni.

Articolul 10. Categorii speciale de date cu caracter personal. De exemplu, departamentul de resurse umane poate înregistra restricții privind călătoriile de afaceri, inclusiv sarcina angajaților. Desigur, așa Informații suplimentare sunt de asemenea protejate. Acest lucru extinde considerabil înțelegerea datelor cu caracter personal, precum și a listei de departamente și depozite de informații ale companiei în care trebuie să se acorde atenție protecției.

Articolul 12. Transferul transfrontalier de date cu caracter personal. Dacă un sistem de informații cu date despre cetățenii Federației Ruse se află într-o țară care nu a ratificat Convenția privind protecția datelor cu caracter personal (de exemplu, în Israel), trebuie respectate prevederile legislației ruse.

Articolul 22. Notificare despre prelucrarea datelor cu caracter personal. O condiție prealabilă pentru a nu atrage atenția nejustificată din partea autorității de reglementare. Dacă desfășurați activități de afaceri legate de date personale, raportați-le singur fără a aștepta inspecții.

Unde pot fi localizate datele personale

Din punct de vedere tehnic, PD poate fi localizat oriunde, de la suporturi tipărite (fișiere de hârtie) la suporturi de mașină ( hard disk-uri, unități flash, CD-uri etc.). Adică, accentul se pune pe orice stocare a datelor care se încadrează în definiția ISPD (sisteme de informații cu date personale).

Geografia locației este o mare problemă separată. Pe de o parte, datele personale ale rușilor ( indivizii care sunt cetățeni ai Federației Ruse) trebuie depozitate pe teritoriul Federației Ruse. Pe de altă parte, în acest moment acesta este mai mult un vector de dezvoltare a situației decât un fapt împlinit. Multe companii internaționale și de export, diverse holdinguri și asociații mixte au avut în trecut o infrastructură distribuită - iar acest lucru nu se va schimba peste noapte. Spre deosebire de metodele de stocare și protecție a datelor cu caracter personal, care trebuie ajustate aproape acum, imediat.

Lista minimă a departamentelor implicate în înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), preluarea datelor cu caracter personal:

Serviciu de personal.
Departamentul de vanzari.
Departamentul legal.

Deoarece rareori există ordine perfectă, în realitate, cele mai imprevizibile unități pot fi adesea adăugate la această listă „așteptată”. De exemplu, un depozit poate înregistra informații personalizate despre furnizori sau un serviciu de securitate poate păstra propriile înregistrări detaliate ale tuturor celor care intră în sediu. Astfel, apropo, componența datelor cu caracter personal pentru angajați poate fi completată cu date despre clienți, parteneri, contractori, precum și despre vizitatori aleatori și chiar ale altor persoane - ale căror date personale devin „crimă” atunci când sunt fotografiate pentru un permis, scanare. o carte de identitate și, în unele alte cazuri. ACS (sisteme de control și management al accesului) poate deveni cu ușurință o sursă de probleme în contextul protecției datelor cu caracter personal. Prin urmare, răspunsul la întrebarea „Unde?” din punct de vedere al respectării Legii, sună așa: peste tot în teritoriul raportor. Un răspuns mai precis poate fi dat doar prin efectuarea unui audit adecvat. Aceasta este prima etapă proiect privind protecția datelor cu caracter personal. Lista plina fazele sale cheie:

1) Auditul situației actuale din companie.

2) Proiectarea unei soluții tehnice.

3) Pregatirea procesului de protectie a datelor cu caracter personal.

4) Verificarea soluției tehnice și a procesului de protecție a datelor cu caracter personal pentru conformitatea cu legislația Federației Ruse și reglementările companiei.

5) Implementarea unei soluții tehnice.

6) Lansarea procesului de protejare a datelor cu caracter personal.

1. Auditul situației actuale din companie

În primul rând, consultați departamentul de resurse umane și alte departamente care folosesc suporturi de hârtie cu date personale:

Există formulare de consimțământ pentru prelucrarea datelor cu caracter personal? Sunt completate și semnate?
Se respectă „Regulamentul privind specificul prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare” din 15 septembrie 2008 Nr. 687?

Determinați locația geografică a ISPD:

In ce tari sunt situate?
Pe ce bază?
Există acorduri pentru utilizarea lor?
Ce protecție tehnologică este utilizată pentru a preveni scurgerea datelor cu caracter personal?
Ce măsuri organizatorice sunt luate pentru a proteja datele cu caracter personal?

În mod ideal, un sistem de informații cu date personale ale rușilor ar trebui să respecte toate cerințele Legii 152-FZ „Cu privire la datele cu caracter personal”, chiar dacă este situat în străinătate.

În cele din urmă, acordați atenție listei impresionante de documente care sunt necesare în cazul verificării (aceasta nu este tot, ci doar lista principală):

Notificare despre procesarea PD.
Un document de identificare a persoanei responsabile cu organizarea prelucrării datelor cu caracter personal.
Lista angajaților autorizați să prelucreze date cu caracter personal.
Un document care definește locația de stocare a PD.
Certificat privind prelucrarea categoriilor speciale și biometrice de date cu caracter personal.
Certificat de transfer transfrontalier de date cu caracter personal.
Forme standard de documente cu date personale.
Forma standard de consimțământ pentru prelucrarea datelor cu caracter personal.
Procedura de transfer PD către terți.
Procedura de înregistrare a cererilor de la subiecții PD.
Lista sistemelor informatice de date cu caracter personal (ISPD).
Documente care reglementează backupul datelor în ISPD.
Lista instrumentelor de securitate a informațiilor utilizate.
Procedura de distrugere a datelor cu caracter personal.
Matricea de acces.
Model de amenințare.
Jurnal pentru înregistrarea mașinii media PDn.
Un document care definește nivelurile de securitate pentru fiecare ISPD în conformitate cu PP-1119 din 1 noiembrie 2012 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”.

2. Proiectarea solutiei tehnice

O descriere a măsurilor organizatorice și tehnice care trebuie luate pentru protejarea datelor cu caracter personal este dată în Capitolul 4. „Responsabilitățile operatorului” din Legea 152-FZ „Cu privire la datele cu caracter personal”. Soluția tehnică trebuie să se bazeze pe prevederile articolului 2 din Legea 242-FZ din 21 iulie 2014.

Dar cum să respectați legea și să procesați datele personale ale cetățenilor Federației Ruse pe teritoriul Rusiei în cazul în care sursa de date este încă situată în străinătate? Există mai multe opțiuni aici:

Transferul fizic al sistemului informațional și al bazei de date pe teritoriul Federației Ruse. Dacă este fezabil din punct de vedere tehnic, acesta va fi cel mai ușor.
Lăsăm datele PD în străinătate, dar în Rusia creăm o copie a acestora și stabilim replicarea unidirecțională a datelor PD ale cetățenilor ruși din copia rusă în cea străină. În același timp, într-un sistem străin, este necesar să se excludă posibilitatea modificării datelor personale ale cetățenilor Federației Ruse; toate modificările trebuie făcute numai prin ISPD rus.
Există mai multe ISPD-uri și toate sunt în străinătate. Transferul poate fi costisitor sau imposibil din punct de vedere tehnic (de exemplu, este imposibil să selectați o parte a bazei de date cu date personale ale cetățenilor Federației Ruse și să o mutați în Rusia). În acest caz, soluția poate fi crearea unui nou ISPD pe orice platformă disponibilă pe un server din Rusia, de unde se va efectua replicarea unidirecțională către fiecare ISPD străin. Remarc că alegerea platformei rămâne în sarcina companiei.

Dacă PDn-ul nu este transferat complet și exclusiv în Rusia, nu uitați să indicați în certificatul de transfer transfrontalier de date cui și ce set specific de PD este trimis. Notificarea de prelucrare trebuie să indice scopul transferului datelor cu caracter personal. Din nou, acest obiectiv trebuie să fie legitim și clar justificat.

3. Pregatirea procesului de protectie a datelor cu caracter personal

Procesul de protecție a datelor cu caracter personal ar trebui să determine cel puțin următoarele puncte:

Lista persoanelor responsabile cu prelucrarea datelor cu caracter personal în cadrul companiei.
Procedura de acordare a accesului la ISPD. În mod ideal, aceasta este o matrice de acces cu un nivel de acces pentru fiecare post sau angajat specific (citire/citire-scriere/modificare). Sau o listă de date personale disponibile pentru fiecare post. Totul depinde de implementarea IP-ului și de cerințele companiei.
Auditul accesului la datele personale și analiza încercărilor de acces cu încălcarea nivelurilor de acces.
Analiza motivelor indisponibilității datelor cu caracter personal.
Procedura de răspuns la solicitările subiecților PD cu privire la PD lor.
Revizuirea listei de date cu caracter personal care sunt transferate în afara companiei.
Revizuirea destinatarilor datelor cu caracter personal, inclusiv în străinătate.
Revizuirea periodică a modelului de amenințare pentru datele personale, precum și modificările nivelului de protecție a datelor cu caracter personal în legătură cu modificările modelului de amenințare.
Menținerea la zi a documentelor companiei (lista este mai sus și poate fi completată dacă este necesar).

Aici puteți detalia fiecare punct, dar aș dori să acord o atenție deosebită nivelului de securitate. Se determină pe baza următoarelor documente (citite secvenţial):

1. „Metodologie de identificare a amenințărilor actuale Securitate datele cu caracter personal atunci când sunt prelucrate în sistemele informaționale cu date cu caracter personal” (FSTEC RF 14 februarie 2008).

2. Decretul Guvernului Federației Ruse nr. 1119 din 1 noiembrie 2012 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”.

3. Ordinul FSTEC nr. 21 din 18 februarie 2013 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal pe parcursul prelucrării acestora în sistemele informatice de date cu caracter personal.”

De asemenea, nu uitați să luați în considerare necesitatea de a avea astfel de categorii de cheltuieli precum:

Organizare echipă de proiect si management de proiect.
Dezvoltatori pentru fiecare dintre platformele ISPDn.
Capacitate server (proprie sau închiriată într-un centru de date).

Până la sfârșitul celei de-a doua și a treia etape a proiectului ar trebui să aveți:

Calculul costurilor.
Cerințe de calitate.
Termenele și programul proiectului.
Riscurile tehnice și organizatorice ale proiectului.

4. Verificarea soluției tehnice și a procesului de protecție a datelor cu caracter personal pentru conformitatea cu legislația Federației Ruse și reglementările companiei

O etapă scurtă, dar importantă, în timpul căreia trebuie să vă asigurați că toate acțiunile planificate nu contravin legislației Federației Ruse și regulilor companiei (de exemplu, politicile de securitate). Dacă acest lucru nu se face, în fundația proiectului va fi plasată o bombă, care poate „exploda” în viitor, distrugând beneficiile rezultatelor obținute.

5. Implementarea unei solutii tehnice

Totul aici este mai mult sau mai puțin evident. Specificul depinde de situația și deciziile inițiale. Dar, în general, imaginea ar trebui să arate cam așa:

Capacitatea serverului a fost alocată.
Inginerii de rețea au furnizat suficient debitului canalele dintre receptor și transmițător PDn.
Dezvoltatorii au stabilit o replicare între bazele de date ISPDn.
Administratorii au împiedicat modificări ale ISPD-urilor situate în străinătate.

Persoana responsabilă cu protecția datelor cu caracter personal sau „titularul procesului” poate fi aceeași persoană sau diferită. Faptul este că „proprietarul procesului” trebuie să pregătească toată documentația și să organizeze întregul proces de protecție a datelor cu caracter personal. Pentru a face acest lucru, toate părțile interesate trebuie anunțate, angajații trebuie instruiți, iar serviciul IT trebuie să faciliteze implementarea măsurilor tehnice de protecție a datelor.

6. Lansarea procesului de protejare a datelor cu caracter personal

Acesta este un pas important și, într-un fel, scopul întregului proiect este de a aduce controlul asupra fluxului. Pe lângă soluţiile tehnice şi documentație de reglementare Rolul proprietarului procesului este critic aici. El trebuie să monitorizeze schimbările nu numai în legislație, ci și în infrastructura IT. Aceasta înseamnă că sunt necesare abilități și competențe adecvate.

În plus, ceea ce este extrem de important în condițiile reale de muncă, proprietarul procesului de protecție a datelor cu caracter personal are nevoie de toate puterile și sprijinul administrativ necesar din partea conducerii companiei. În caz contrar, va fi un etern „cernic” căruia nimeni nu-i acordă atenție, iar după un timp proiectul poate fi reluat, începând din nou cu auditul.

Nuanțe

Câteva puncte care sunt ușor de trecut cu vederea:

Dacă lucrați cu un centru de date, aveți nevoie de un acord de servicii pentru furnizarea capacității serverului, conform căruia compania dumneavoastră stochează datele în mod legal și le controlează.
Aveți nevoie de licențe pentru software-ul care este utilizat pentru a colecta, stoca și procesa date personale sau contracte de închiriere.
Dacă ISPD este situat în străinătate, este necesar un acord cu compania care deține sistemul acolo - pentru a garanta conformitatea cu legislația Federației Ruse în legătură cu datele personale ale rușilor.
Dacă datele cu caracter personal sunt transferate unui contractant al companiei dvs. (de exemplu, un partener de externalizare IT), atunci în cazul unei scurgeri de date cu caracter personal de la furnizor, veți fi responsabil pentru reclamații. La rândul său, compania dumneavoastră poate depune reclamații împotriva externalizatorului. Poate că acest factor poate influența însăși faptul de a externaliza munca.

Și încă o dată, cel mai important lucru este că protecția datelor cu caracter personal nu poate fi pur și simplu asigurată. Este un proces. Un proces iterativ în desfășurare, care va depinde în mare măsură de modificările ulterioare ale legislației, precum și de formatul și rigoarea aplicării acestor reguli în practică.