Cómo prepararse para el control ILV de datos personales: una guía completa

Acerca de nosotros

Buen dia, Habr! Somos una empresa del Centro de información. Nuestra dirección principal es la seguridad de la información (también es seguridad de la información). En IS, estamos involucrados en casi todo: auditoría, diseño de sistemas de seguridad, certificación, cumplimiento, pentests, tenemos nuestro propio SOC, incluso trabajamos con secretos de estado. Dado que tenemos nuestra base en Vladivostok, inicialmente trabajamos más en el Territorio Primorsky y en las regiones del Lejano Oriente del país, pero recientemente la geografía de nuestros proyectos nos ha estado empujando aún más impensable en el momento en que se fundó la frontera.

En nuestro primer artículo, nos gustaría considerar un lado de la seguridad de la información como el cumplimiento (cumplimiento en inglés - cumplimiento, cumplimiento). Y hablaremos sobre lo que se debe hacer para cumplir plenamente con la legislación rusa sobre datos personales.

¿Qué hay de nuevo en la legislación?

Se han escrito muchos artículos sobre el tema de los controles sobre la protección de datos personales y muchos de ellos se publicaron antes de 2015. Para ingresar de alguna manera a las realidades reales, primero es necesario analizar lo que ha cambiado en los últimos años en la legislación.

242-FZ

Primero, recordemos el notorio 242-FZ. En 2015, hizo mucho ruido debido a la necesidad de localizar los datos personales de los ciudadanos de la Federación de Rusia en el territorio de la Federación de Rusia. Cuatro años después, la única víctima importante de esta ley es la red social de LinkedIn.

Pero había otro lado en 242-FZ que no se replicaba tan activamente en los medios.

En 242- hubo cambios muy importantes en el contexto de las comprobaciones de ILV en datos personales: las actividades de Roskomnadzor en la protección de los derechos de los interesados ​​a partir del 1 de septiembre de 2015 no están sujetas a la ley federal No. 294- “Sobre la protección de los derechos de las personas jurídicas y empresarios individuales bajo implementación de control estatal (supervisión) y control municipal ".

¿Qué significa esto? Para los operadores de datos personales, como puede suponer, nada bueno. Ahora, como la práctica ya ha demostrado, el número de inspecciones programadas ha disminuido considerablemente y el número de inspecciones no programadas ha aumentado proporcionalmente. Esto también se evidencia en los planes de inspección de Roskomnadzor, publicados a finales de 2015 (y en años posteriores) en el sitio web de la agencia. Inspecciones programadas de datos personales allí: una, dos y mal calculadas, en contraste con años anteriores.

El principal problema de las inspecciones no programadas es que no puede aprender sobre ellas con un buen margen de tiempo y, como resultado, no puede prepararse lo mejor posible. Por ejemplo, antes, cuando se publicaba el plan de auditoría, todos podían descargarlo y averiguar si la organización estaba en él o no. Y, por sorpresa, fue posible atrapar solo a las pocas organizaciones cuya fecha de verificación figuraba entre enero y febrero. El resto tuvo la oportunidad de prepararse adecuadamente, incluso si hasta ese momento no se había hecho nada en la organización para la protección de datos personales. Ahora, por supuesto, es mejor estar preparado para verificar los datos personales de Roskomnadzor en cualquier momento, es decir, tener siempre listo el conjunto actual de documentación para proteger los datos personales.

13.11 Código Administrativo de la Federación Rusa

Otro cambio legislativo importante es la enmienda del Artículo 13.11 del Código Administrativo de la Federación de Rusia "Violación de la legislación de la Federación de Rusia en el campo de los datos personales" . Estos cambios transformaron por completo el castigo por la violación de la ley en el campo de la protección de datos personales. Anteriormente, el artículo 13.11 no se dividía en partes, y la multa máxima se otorgaba por un monto de 10 mil rublos para las personas jurídicas. Ahora hay 7 partes aquí (además, se planea la expansión), una de las cuales (violación de las reglas para el procesamiento de categorías especiales de datos personales) establece una multa máxima para las personas jurídicas: 75,000 rublos. Además, cuando los inspectores identifican diferentes violaciones, las sanciones por diferentes partes del artículo del Código de Infracciones Administrativas pueden teóricamente sumar. ¿Por qué "teóricamente"? Anteriormente, en los sitios web de los departamentos regionales del ILV, las noticias se publicaban constantemente en la sección de Noticias que el regulador verificó condicionalmente a 3 organizaciones para verificar el cumplimiento de la legislación sobre datos personales, la organización No. 1 estaba bien, la organización No. 2 recibió una multa de 3.000 rublos, la organización No. 3 fue multada 5 mil rublos. Era posible recopilar esas noticias en un montón durante el año y eliminar algunas estadísticas sobre multas. Ahora no hay tales noticias. Si alguien tiene datos sobre multas por violación de 152-FZ después de los cambios en 13.11 del Código Administrativo, puede compartir esta información en los comentarios.

Cabe señalar de inmediato que el texto original del proyecto de ley para enmendar el artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia inicialmente incluía multas más significativas, por ejemplo, donde como resultado la multa máxima se estableció en 75,000 rublos, originalmente se planeó castigar hasta 300,000 rublos. Es sólido, pero las cantidades por violación del GDPR todavía están muy lejos. Pero, a pesar del hecho de que la cantidad de multas como resultado ha disminuido considerablemente, desafortunadamente, algunos vendedores de servicios de protección de datos personales todavía están tratando de intimidar con el número "300,000". Estar atentos.

Por lo tanto, estábamos convencidos de que la mayor probabilidad de una inspección no programada y el aumento de multas multiplicado por la violación de 152-FZ no es nada malo, por lo que es estimulante para estar listo para ser revisado en cualquier momento. Veamos qué debemos hacer para esto.

Tipos de cheques

Antes de pasar a los pasos inmediatos involucrados en la preparación de las inspecciones, veamos qué tipos de inspecciones ocurren y cómo funciona una auditoría típica.

En general, los cheques se pueden dividir en 2 tipos: documental y de campo.

Verificaciones documentales

Un control documental a menudo comienza con el hecho de que llega una carta a la organización del departamento local de ILV con cualquier requisito. Si su organización, por ejemplo, no envió una notificación sobre su inclusión en el registro de operadores de datos personales, entonces se le recordará que sería bueno presentar esta notificación. La ley requiere. O justifique por qué su organización puede procesar datos personales sin previo aviso (se proporcionan varias excepciones en 152-FZ). Sin embargo, si su organización envió una notificación, es posible que se le recuerde que de vez en cuando aparecen nuevos campos en el registro y que también deben completarse. Por ejemplo, es necesario indicar la ubicación del centro de datos y si es alquilado o propio. Y sí, la base de datos 1C en la computadora del contador principal en el entendimiento de Roskomnadzor es un centro de datos.


También se le puede solicitar que envíe copias de documentos que regulan la protección de datos personales en la organización por correo: órdenes, instrucciones, un modelo de amenaza, y eso es todo.

Entonces, recibió una carta de Roskomnadzor, ¿qué debo hacer?

De hecho, es más fácil decir lo que absolutamente no se debe hacer: ignorar estas letras. Desafortunadamente, en la práctica, muchos hacen exactamente eso. Alguien se olvida de responder, alguien no sabe qué escribir en respuesta y no responde, y alguien espera que se les olvide y que todo se derrumbe por sí solo. No, no lo olvidarán, no en este caso.

Tal vez algunos departamentos tienen una práctica común: escriba una carta a la organización "para mostrar" y olvídala, pero no con ILV. Por lo tanto, es aconsejable responder dentro del período de tiempo especificado en la carta, de lo contrario, la organización será castigada de conformidad con el artículo 19.7 del Código Administrativo de la Federación de Rusia "Incumplimiento o presentación prematura de información a un organismo estatal". Puede ir al sitio de su departamento regional de Roskomnadzor (% number _region% .rkn.gov.ru) en la sección "Noticias". En 2016, una buena mitad de las noticias se dedicó a responsabilizar a las personas jurídicas según el mismo artículo del Código de Infracciones Administrativas de la Federación de Rusia. Además, en cada noticia, podrían aparecer hasta 10-15 organizaciones. Ahora también hay tales noticias, pero menos, esto probablemente se deba al hecho de que el ILV comenzó a enviar "cartas de felicidad" de manera menos activa.

La multa del Código Administrativo de 19.7 de la Federación Rusa es pequeña: 3-5 mil rublos, pero aquí debe recordar que después de pagar la multa, la información solicitada en la carta original aún tendrá que ser proporcionada.


Si algo no está claro en el contenido de la carta que se le envió, al final, el ejecutor de la carta y su información de contacto generalmente se indican. Siempre puede llamar y aclarar lo que el regulador todavía quiere de usted.

Sobre las verificaciones documentales, tal vez, no hay nada que agregar, pasemos a las excursiones.

Verificaciones de campo

Por el nombre mismo, ya queda claro que los inspectores estarán al menos dos o tres veces en su territorio. En nuestra experiencia, podemos decir que el proceso de verificación se ve así:

• los inspectores acuden a la organización, se familiarizan con el jefe, le dan un aviso de verificación, hacen una entrada en el diario de auditoría de la entidad legal por parte de las autoridades reguladoras (la ausencia de dicho diario, por cierto, ya es una violación);
• luego se les pide a los representantes de ILV que proporcionen la documentación disponible en la organización para la protección de datos personales, y aquí están arrastrando toda esta montaña de documentos: órdenes, instrucciones, regulaciones, políticas, modelo de amenaza;
• Al echar un vistazo rápido a la composición de los documentos, los inspectores les piden que proporcionen una habitación donde los estudiarán, o piden copias de toda la documentación y se van a sus oficinas para estudiar la información que usted proporcionó;
• en el proceso de familiarización con los documentos, pueden surgir preguntas con respecto a su contenido o si desea hacer algún cambio en ellos;
• en uno de los días de inspección, los representantes de ILV definitivamente pasarán por las oficinas donde se procesan los datos personales, examinarán los lugares para almacenar PD en papel: gabinetes, cajas fuertes, estantes (aquí probablemente se le dará a entender la necesidad de comprar gabinetes de hierro con cerradura si los PD se almacenan de alguna manera diferente ), también puede ver el sistema de información;
• Al final, los inspectores hacen una entrada en el mismo diario de auditoría sobre los resultados de la auditoría (si los comentarios han sido identificados o no) y se emite un acto basado en los resultados de la auditoría.

Aquí, quizás, vale la pena hablar sobre lo que necesita recordar durante la inspección in situ.

En primer lugar, en ningún caso necesita ir con aquellos que verifican conflictos e interfieren de alguna manera con el proceso de verificación (“pierden” la llave de la oficina con documentos y trucos similares). Sí, los revisores también pueden estar equivocados. Un vívido ejemplo de tal error relacionado con el entusiasmo excesivo por las prohibiciones de todo y todo sucedió en nuestro Territorio Primorsky en 2015-2016. Nadie ha cancelado el síndrome del cuidador y se pueden hacer demandas completamente ilegales e irrazonables durante el proceso de verificación. Pero esto no cancela las simples reglas de la comunicación humana. Si no está de acuerdo con algo, dígalo con calma, solicite un enlace a la legislación, que es la razón del dudoso requisito.

En segundo lugar, no importa qué reclamos harán los inspectores durante la auditoría, es importante solo lo que se escribirá en el acto después de los resultados de la auditoría. Daré un ejemplo simple, en uno de los controles, los representantes de ILV afirmaron que era necesario separar los sistemas de información de datos personales "Contabilidad" y "Personal" y describirlos por separado en los documentos, respectivamente. El requisito no está completamente respaldado por la ley en absoluto, y la definición de ISPD de 152-FZ no prohíbe la unificación de los sistemas de información y los describe de la manera que nosotros mismos queremos. Podemos combinar un sistema documental con datos médicos con los mismos gerentes de personal en una institución médica, y decir que tenemos un ISPD. Es cierto que, en este caso, debe recordarse que probablemente los cadrubs tendrán que protegerse a un nivel superior de seguridad de datos personales, que se determinará para parte del sistema de información con medicamentos. Pero no es correcto separar la contabilidad del personal y que cada sistema produzca montañas de órdenes, instrucciones y modelos de amenazas por separado, incluso desde el punto de vista del sentido común. Entonces, lo principal en esta historia es que en el acto que siguió a los resultados de la auditoría se escribió "no hubo violaciones de la ley". Y esto tacha todos los comentarios verbales ilegítimos de los inspectores.

En tercer lugar, es imperativo instruir a todos sus empleados involucrados en el procesamiento de cualquier información personal sobre lo que es posible y lo que no se puede hacer y decir durante la auditoría. Por ejemplo, puede procesar datos personales de acuerdo con las instrucciones y reglas, pero no puede dispersar copias de los pasaportes de los empleados en el escritorio.

Notificación del operador de datos personales

El primer lugar en la clasificación de las razones para emitir instrucciones sobre la violación de la ley, de acuerdo con los resultados de las inspecciones, se indica mediante la indicación de información incompleta o falsa en la notificación del operador de datos personales en el portal de datos personales o la ausencia de dicha notificación. Entonces, lo primero que debemos hacer es averiguar si nuestro caso de procesamiento de datos personales corresponde a casos en los que el operador no puede enviar una notificación a Roskomnadzor. Dichas excepciones se enumeran en la Sección 2 del Artículo 22 de la Ley Federal Nº 152-FZ "Sobre datos personales". No enumeraremos todos los puntos, ya que también hay algunos muy exóticos, pero estos son los más aplicables para la mayoría de las organizaciones:

• se puede omitir un aviso si la DP se procesa solo de acuerdo con la legislación laboral;
• se puede omitir una notificación si procesa los datos personales de los clientes que son parte del contrato con usted y, al mismo tiempo, sus datos personales no se transfieren a terceros sin el consentimiento apropiado del sujeto;
• los datos personales se procesan solo en un modo no automatizado (es decir, sin el uso de tecnología informática).

Vale la pena señalar que hay trampas aquí. Por ejemplo, ahora muchas organizaciones, especialmente las estatales, están implementando proyectos salariales para transferir rublos ganados con sangre a los empleados directamente a las tarjetas bancarias. Es muy conveniente para empleadores y empleados, y el banco también es beneficioso. Pero al implementar un proyecto de este tipo, sea lo que sea que se diga, debe transferir los datos de sus empleados al banco. Y dicha transferencia de datos personales a terceros ya no está regulada por la legislación laboral, lo que significa que la primera exclusión de la lista anterior no funciona, por lo tanto, es necesario enviar una notificación sobre el procesamiento de datos personales a Roskomnadzor.

Cómo verificar una notificación en el registro y qué hacer a continuación

Además, sin importar el resultado que obtuvimos en el paso anterior, debe verificar si hay una entrada sobre su organización en el registro de operadores de datos personales . Aquí puede encontrar fácilmente una entrada en el registro por nombre o TIN de la organización.

Entonces tus acciones deberían verse así.

Si la organización está sujeta a excepciones y no hay notificación, ¡excelente, debería serlo! No hacemos nada

Si la organización está sujeta a excepciones, pero el aviso está en el registro. Bueno, tal vez alguien hace unos años, por ejemplo, siguiendo las instrucciones de un gerente retirado, envió este aviso. Pero se puede arreglar. Existe un procedimiento para excluir organizaciones del registro de operadores de DP. Para hacer esto, solo necesita escribir una carta a la oficina territorial de Roskomnadzor indicando el número de notificación y una descripción de las razones por las cuales no se requiere que su organización esté en el registro de operadores de datos personales. Luego, en la misma carta, elimine la entrada correspondiente del registro. Estamos esperando por 30 días. Lo comprobamos Si el registro permanece en el registro, llamamos a Roskomnadzor y verificamos si su carta ha sido recibida y resuelta.

Si la organización no se encuentra bajo la excepción, pero no hay notificación en el registro, ¡ vamos a completar una notificación con urgencia! ¿Por qué urgentemente? Sí, porque de acuerdo con la ley, debe completarse un aviso antes de que comience el procesamiento de datos personales, si dicho procesamiento no cae dentro de las mismas excepciones del artículo 22 de la Ley No. 152- “Sobre datos personales”. Se planea uno de los siguientes artículos sobre cómo completar de manera correcta y competente una notificación desde cero o actualizar una existente.

Bueno, la última opción: la organización no cae bajo la excepción, pero hay una notificación en el registro. Me gustaría escribir aquí, como en el primer caso, que no hay que hacer nada, pero no. No fue por nada lo que dije anteriormente que, además de la falta de notificación como tal, una de las razones comunes para una receta basada en los resultados de un cheque y una multa en virtud del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia es la inconsistencia de los datos en la notificación con lo que realmente sucede. Por ejemplo, no se indican todas las categorías de datos personales procesados ​​o no se indican medidas para garantizar la seguridad de los datos personales. Puede haber muchas razones para esta discrepancia, pero aquí hay dos principales:

• el aviso se ha completado durante mucho tiempo y la organización realmente ha cambiado desde entonces muchas condiciones para el procesamiento de datos personales;
• el aviso se completó para un control sin un análisis adecuado de la situación y la recopilación de información.

Para tales casos, se proporciona un formulario para enmendar un aviso existente en el portal de datos personales.

Después de completar el formulario para realizar cambios (o notificación inicial), es necesario imprimir el documento resultante, firmarlo, sellarlo (si corresponde) y enviarlo en una carta análoga a la administración territorial de Roskomnadzor. Solo sobre la base de una carta en papel se hará una entrada en el registro o se realizarán cambios en una entrada existente.

Documentación de verificación

Quería dejar este momento solemne al final del artículo. Pero lo que ya está allí, ya que hemos comenzado a hablar sobre un conjunto de documentación necesaria, aquí hay un enlace a nuestro conjunto de plantillas . El archivo contiene 4 carpetas y la plantilla "Modelos de amenaza". Aquí solo hablaremos sobre documentos de las carpetas General y PDN. "General": estos son documentos que se pueden usar más o menos para cualquier sistema de información, y "PDN" es una parte puramente de Roskomnadzor. Puede ver una descripción completa de la composición de los documentos en el archivo en nuestro sitio web .

El artículo resultó ser bastante voluminoso, por lo tanto, no analizaremos aquí de qué requisitos específicos proviene un documento en particular (o sección de documento). Este es un tema para un artículo separado. Repasemos los puntos generales.

Composición de documentos

Entonces, en primer lugar, el especialista que recibió instrucciones para prepararse para la próxima auditoría plantea la pregunta: qué documentos se necesitan en general. El especialista recurre a la legislación y ... no encuentra casi nada útil. Bueno, no es que no sea nada directo. Sí, probablemente, un especialista tropezará con un decreto del Gobierno de la Federación de Rusia del 21 de febrero de 2012 No. 211 y dirá: "Bueno, te equivocaste, ¡ahora, hay una lista de documentos!" Si lo hay Solo un especialista está esperando una especie de trampa. Si solo obtiene documentos de esta lista, la organización recibirá una orden basada en los resultados de la auditoría, porque la lista no cubre ni siquiera una pequeña parte de los requisitos de la ley. Además, en la lista hay absurdos como, por ejemplo, la necesidad de aprobar por separado la lista de ISPDn. ¿Por qué necesitamos crear un documento separado cuando es posible incluir ISPDn en el "Reglamento sobre el procesamiento y la protección de ISPDn" o en la "Política de seguridad de la información"? No está claro. Y finalmente, la Resolución No. 211 se aplica solo a las autoridades estatales y municipales, por lo tanto, no es aplicable a la mayoría de los operadores de DP. Y, por cierto, en nuestro conjunto de documentos por el Decreto 211 no existe, ya que la mayoría de los problemas se tienen en cuenta en otros documentos.

Bueno, veamos qué tenemos allí en la legislación.

La ley federal "Sobre datos personales" habla directamente solo de la necesidad de desarrollar un "Modelo de amenazas de seguridad" (aunque no se dice directamente que también se establece directamente en la ley que es necesario identificar amenazas de seguridad a los datos personales) y la publicación de una "Política sobre el procesamiento de datos personales". datos ".

También podemos escribir con más detalle sobre el proceso de desarrollo del Modelo de amenazas en uno de los siguientes artículos.

Todo lo demás es ambiguo, algo como esto:

… , , :

1) , , ;

2) , , , , , , , , ;
...
4) () , , , ;

Y así sucesivamente. , 152- : , , , , , . , . ! — .

, – , . «», . « » , , , , .

, . « », « ...» « ...». .

, , ? . , , . :

• , , , . , .
• ( , ) .
• . , .
• . , . , . . . – .
• 9 « ». , , , . , . « ». , , .
• . , , .

, « ». . , , .

Conclusión

, , .

1. . , . , .
2. , , , . . .
3. .
4. . / . , .
5. ( , - ).
6. .
7. .
8. , , .
9. . .

, , , . , – .

! 20 22 FortiGate. . , , .