С наближаването на NG над по-голямата част от компаниите в страната все още е под domoklov меча на правосъдието в лицето на закон № 152-FZ. Този закон има за цел да следи за спазването на конституционните права на гражданите на личен живот и сигурност на личните данни. Ако личните данни се използва от лице, различно от притежателя, е факт, че при обработването на лични данни. Всеки, който обработва обработването на лични данни се счита за оператора и подлежат на сертифициране, тя налага редица правила, които той трябва да следват. В противен случай, операторът може да подложи на двете административна и наказателна отговорност.
При обработването на лични данни е всяко действие на тези данни, включително за съхранение.
Отговорност при неспазване на изискванията на закона много сериозно и включва широк спектър от санкции. Според Кодекса за административните нарушения и Наказателния кодекс на България, намерих няколко статии, според които ще се определи отговорността за нарушаване на изискванията за защита на личните данни. Може би някой ще се намери друг, аз не съм адвокат.
Като цяло, списъкът е доста обширна. Какво прави трик, и неяснотата на тълкуването на законодателството ни позволява използването на подобни статии в подобни случаи. Всички животни са равни, но някои са по-равни от други. Реалността е още по-тежка, помислете за един прост пример:
Фирмата плаща гражданин, чиито данни са в своите бази данни. да му предостави информация за това как се извършва обработката на лични данни. Заслужава да се отбележи, че такова искане може да подаде и съвсем непознат, тогава ще се покажат, че няма да бъде в състояние да. Във всеки случай, той има право да бъдат третирани в съответствие с член 14, част 4 от N152-FZ право. Но компанията не е готова да се гарантира, че пълен отговор в определеното време. Той не предостави исканата информация или тя осигурява непълно. Клиентът, без да се налага да се отговори на закона е посочено в условията оплаква Roskomnadzor. Той изпраща искане до прокуратурата да образува наказателно производство във връзка с нарушаването на правата на субекта на личните данни. Възможна отговорност: на Административнопроцесуалния кодекс st.5.39 или st.140 Наказателния кодекс. И в момента на регистрирането врата си прокурор. Когато изследването документален филм на допълнителни данни Roskomnadzor направи предварително заключение относно липсата на мерки за защита на PD. Така например, служителите не са направени Roskomnadzor копия на сертификати за защита на информацията, не са показани FSTEC лиценз, ФСБ или документите, описващи модела на заплаха и поведението на потенциален нарушител. Roskomnadzor след предаването на молбата на FSTEC и / или ФСБ на непланирано организация проверка, за да се определи степента на спазване на изискванията за осигуряване на защитата на PD. Одитът установи, че организацията поддържа информация за конкретен клас система и следователно е трябвало да получат лиценз за дейност на техническа защита на поверителна информация FSTEC. Лиценз, организацията не е, и работата по изготвянето му тя не започна. FSTEC насочва сканиране доклад за Roskomnadzor, което, от своя страна, насочва органите на прокуратурата или други правоприлагащи агенции материали за решение за откриване на производство на. Възможна отговорност: на st.13.12 Административнопроцесуалния кодекс или на член 171 от Наказателния кодекс.
Какво да правим с всичко това и как да се борим?
За да започнете, бих препоръчал да се бърза, защото колкото по-дълго дръпнете към решението, толкова по-голям риск, дружеството е изложено. Ръководството трябва да разберат отговорността и значението на работата по всеки възможен начин и трябва да допринася за неговото развитие. Преди започване на работа, трябва да се вземе решение, което вече имаме по отношение на защитата на личните данни. Това ще изисква наредби FSTEC описване на техническите изисквания на оператора. Тези документи трябва да бъдат маркирани "само за служебно ползване", но те не са трудно да се получи чрез изпращане на заявление до Министерството на FSTEC мястото на регистрация на оператора. След това трябва да реши кои от информационните системи, които се използват трябва FSTEC сертификати. Важно е да има софтуер и оборудване, което се удостоверява FSTEC, за самооценка, аз дори мълча - това е един много скъп и продължителен процес. С помощта на данните, които искате да извършва одит на използването на лични данни, резултатът трябва да бъде списък - къде, какво и колко се обработват и съхраняват.
Нещо повече.
Как информационните системи трябва да изглеждат като от гледна точка на правото на.
- информационна система защитна стена е отделен от корпоративната мрежа
- системата, използвана от сертифицирани средства: ограничаване на достъпа (OS, ниво база данни, системи за нанасяне), одит достъп PD (на ниво операционна система, системи за управление на бази данни, системи за нанасяне), анти-вирусна защита.
- Пакет от документи защита на личните данни - паспорт система, модел на заплаха, инструкции за персонал и потребители.
- документирани договорености.
Трябва да се вземе решение - това, което вече имате.
Техническите мерки са неразделна част от организационните дейности.
Организационни мерки трябва да бъде много прецизно проектирани. Тук малко, можете да дадете някои конкретни препоръки, с факта, че в много отношения това зависи от спецификата на фирмата. Мога само да кажа, че ние не трябва да се подценява тази точка. Много неща могат да бъдат решени с удар от проста организационна забрана, най-малко, за да се отърват от лична отговорност сигурност успее. Като основа можем да вземем на съществуващите насоки FSTEC, получена от вас в началото на цялата врява. Какво трябва да бъдете сигурни - системата паспорт (описание на това, което се защитава) заплаха модел (от който сте защити), правила за достъп и отговор на инциденти (описание на това, което можете да направите и как). Както пакет на приложение може да бъде издаден инструкции за потребителите и за администратори.
Пакет от необходими документи, зависи от системата за клас Саша.
За системи от 1, 2 и 3 (Bolle 1000 дисциплини) изисква лиценз за техническа защита на поверителните данни и сертификат на системата за сертифициране.
За системи от 1, 2 и 3, се изисква използването на сертифицирани FSTEK средства за защита.
Системи за класове 1 и 2 се изисква за получаване на писмено съгласие за обработването на лични данни от всеки предмет. Трябва да предоставите доказателство за получаване на предмета на съгласието на обработката на данните си. Има случаи, когато не се изисква такава процедура. Когато при извършване на оператора на федералния закон в хода на тяхната работа (същността на оператора е изпълнението на закона), ако се обработват лични данни в рамките на изпълнението на договора, страната, която е предмет. Например не е нужно такова съгласие в момента на наемане на работника или служителя, регистрирана в пенсионни фондове, попълване на данъчни декларации, регистрация на застраховка.
За класове 1 и 2, не изисква захранване Roscomnadzor уведомление за намерение за извършване на обработка на лични данни. Много компании не са задължени да се регистрират като оператори:
- Ако операторът и предмет на сътрудник трудовите отношения.
- в случай на договор, предмет на неразпространението на данни от страна на оператора.
- ако лични данни са били получени от публични източници.
- обработването на лични данни анонимни.
- в случай на еднократно използване на данни.
Например: един обикновен компания, която има отдел за човешки ресурси, организаторите на издаването на един работен ден минава в затворена зона, продажби на билети. В такива случаи не е необходимо да подадат уведомление до Roskomnadzor.
Обобщавайки всички по-горе, стигам до извода, че дяволът не е толкова ужасно ...
Да речем, ако фирмата ви не е много голяма, с обичайните счетоводни и персонал отдел, работят по-малко от хиляда души. Тази компания попада в трета класа на операторите. В този случай е достатъчно да се провери на компонентите, използвани в FSTEC на системи за сертифициране, поставете данни за състава да издаде списък на потребителите и да се определи всичко това ред.
Много повече информация може да се намери на официалния сайт на органа комисар за защита на правата на субектите на лични данни.
За това как се виждам решение на този много належащ проблем.
Свързани статии