كيفية التعامل مع PD في الاتحاد الروسي وعدم خرق القانون

في مدونتنا ، غالبًا ما نتطرق إلى المشكلات المتعلقة بالعمل مع البيانات الشخصية. تحدثنا عن التغييرات المرتبطة بدخول اللائحة الأوروبية لحماية البيانات العامة حيز التنفيذ ، ودرسنا سبب عدم استعداد العديد من الشركات لذلك ، وتحدثنا أيضًا عن ابتكارات وسائل التواصل الاجتماعي المتعلقة بالقانون الجديد.

في مقال اليوم ، قررنا أن نلاحظ تعقيدات معالجة PD للمستخدمين في روسيا.


/ photo AJEL PD

ما يعتبر PD في روسيا

في الاتحاد الروسي ، ينظم العمل مع البيانات الشخصية للمستخدمين بموجب القانون رقم 152-FZ "بشأن البيانات الشخصية" . وفقًا للمادة 3 ، يجب فهم PD على أنه أي معلومات تتعلق بشكل مباشر أو غير مباشر بشخص معين (موضوع PD). ومع ذلك ، للأسف ، لا يحتوي القانون على قائمة تشير إلى ما هو ممكن وما لا يمكن اعتباره بيانات شخصية.

ومع ذلك ، في الشبكة ، يمكنك العثور على قوائم مختلفة تم تجميعها من قبل الإدارات والمنظمات الفردية التي توضح الوضع. على سبيل المثال ، في موقع إدارة ILV لمنطقة كامشاتكا ، يتم تقديم قائمة بالبيانات التي تندرج تحت الفئة الشخصية: تحتوي على الاسم والتعليم ومستوى الدخل. يقوم مشغلو AP الفرديون أيضًا بإنشاء قوائم خاصة بهم. على سبيل المثال ، يضم بنك النقل التجاري لشرق سيبيريا JSC حوالي 30 فئة . في المدرسة رقم 17 متعددة التخصصات ، هناك حوالي 40 فئة من PD يتم معالجتها بواسطة أنظمة المعلومات.

تؤدي صياغة القانون هذه والأمثلة الأكثر تنوعًا التي تنتجها المنظمات الفردية إلى حقيقة أنه من الصعب تحديد ما إذا كانت البيانات تعتبر شخصية. لذلك ، يقدم ILV حلاً . نحن بحاجة إلى طرح سؤال: هل تسمح لنا هذه البيانات بفهم من تنتمي بالضبط؟ على سبيل المثال ، لا يعطي الاسم فقط فهمًا لنوع الشخص المعني ، ولكن الاسم الكامل يعطي بالفعل (بالطبع ، هذا النهج يستحق مناقشة منفصلة).

كيفية العمل مع البيانات الشخصية

ينص القانون رقم 152-that على أن مشغل PD هو هيئة تابعة للولاية أو البلدية ، أو شخص اعتباري أو طبيعي ، بشكل مستقل أو مشترك مع أشخاص آخرين ، ومعالجة البيانات الشخصية ، بالإضافة إلى تحديد أغراض معالجتها وتكوينها. وتخضع هذه الشركات للمادتين 5 و 6 من القانون المذكور ، اللذين يصفان مبادئ وشروط العمل مع مستخدمي التطوير المهني.

يقولون أنه يجب على المشغلين اتباع قواعد معينة:

1. يجب على المشغل الحصول على موافقة مالك PD للمعالجة. يجب على الشخص أن يعرف ما هي المعلومات التي يقدمها عن نفسه وعن ماذا (حول "حبري" ، على سبيل المثال ، تتم كتابة سياسات معالجة PD ، حيث يشار إلى هذه النقاط). في الوقت نفسه ، يتعين على المشغل ، عند الطلب ، إبلاغ المستخدم بالبيانات التي يخزنها.
2. يجب أن يلتزم عامل التشغيل بأهداف معالجة البيانات المحددة في السياسات ، أي أنه يمكنه فقط طلب البيانات اللازمة لأداء مهمة معينة. يحظر طلب بيانات إضافية "فقط في حالة". على سبيل المثال ، لتسجيل حساب مستخدم في متجر على الإنترنت ، لا يمكنك طلب رقم جواز السفر. ومع ذلك ، إذا كنا نتحدث عن مورد أي منظمة حكومية ، فيمكن تبرير طلب بيانات جواز السفر.
3. يمكن تخزين البيانات طالما أنها ضرورية لتحقيق الغرض من معالجتها. بعد ذلك ، يجب على عامل التشغيل إزالتها أو نزع صحتها.

/ photo Cal Injury Lawyer PD

كيفية معالجة البيانات في السحابة

يحدث أن تحقيق جميع متطلبات معالجة PD أمر صعب للغاية ويستغرق وقتًا طويلاً. ومع ذلك ، لا يوضح FZ-152 المعنى التقني الذي يتعين على المشغل استخدامه عند معالجة البيانات. تنص الفقرة 3 من المادة 6 من FZ-152 على أنه يجوز له أن يعهد إلى معالجة PD لشخص آخر إذا أعطى مالك PD موافقته.

لذلك ، تكلف العديد من الشركات بمهمة الوفاء بمتطلبات قانون الاستعانة بمصادر خارجية: على سبيل المثال ، لمقدمي الخدمات السحابية الذين يقدمون خدمة Cloud FZ-152 . يسمح لك باستئجار البنية التحتية مع مجموعة كاملة من آليات الحماية PD (والفنية) الإدارية.

ومع ذلك ، في هذه الحالة هناك أيضًا فروق دقيقة يجب وضعها في الاعتبار. أولاً ، تحتاج إلى توقيع اتفاقية مع مزود سحابة ، حيث تشير إلى أهداف معالجة البيانات ، وقائمة الإجراءات المتخذة على PD وآليات حمايتهم. علاوة على ذلك ، يجب بناء مجموعة من التدابير الوقائية وفقًا للقواعد الموضحة في المادة 19 من قانون التطوير المهني .

بالإضافة إلى ذلك ، من المهم تحديد مجالات المسؤولية في العقد: التي يتحملها المشغل ، والتي يتحملها المزود.

للقيام بذلك ، يجب على عامل التشغيل:

1. تحديد مستوى الأمن لنظام المعلومات PD ؛
2. فهم ما هي التدابير الأمنية من المادة 19 التي سيكون قادرًا على توفيرها ، وما هي التدابير التي يجب أن يعهد بها إلى المزود ؛
3. بناء نموذج للتهديدات الفعلية في الجزء الخاص بها من نظام المعلومات وتنفيذ التدابير الأمنية اللازمة من جانبها.

بدوره ، يجب أن يقوم مزود السحابة بما يلي:

1. الحصول على تراخيص وزارة الاتصالات (إذا كان المشغل يخطط لنقل البيانات أو العمل مع الخدمات التليماتية) ، وكذلك FSB و FSTEC ؛
2. فهم ما يمكن أن يهدد البيانات في السحابة وحمايتها قدر الإمكان ؛
3. مساعدة العميل في تنفيذ التدابير الأمنية من جانب العميل وإتاحة الفرصة له لنشر أدوات أمان إضافية (باستخدام PaaS أو IaaS).

من المهم أن تتذكر أن المشغل يتلقى أيضًا الموافقة على معالجة البيانات الشخصية للمستخدمين - وهذا غير مدرج في قائمة مسؤوليات مزود الخدمة السحابية. تم توضيح هذا الشرط في الفقرتين الثالثة والرابعة من المادة 6 من القانون الاتحادي . وبالتالي ، فإن مسؤولية مالك PD عن إجراءات الموفر تقع على عاتق المشغل.

ومع ذلك ، فإن المزود مسؤول عن أفعاله للمشغل. على سبيل المثال ، لم يستوف الموفر شروط العقد وتسرب PD. أصحاب PD غير راضين عن هذا. في هذه الحالة ، سيكون المزود مسؤولاً عن العواقب للعامل والعامل - للأشخاص المتضررين.

من أجل تقليل عدد المواقف غير السارة ، عند اختيار مزود سحابة ، يجب على المشغل طلب مستند من الموفر يؤكد المراجعة للامتثال لمستوى الأمان المعلن. من الجدير أيضًا أن تطلب منه إظهار نموذج لحماية جزء محدد من السحابة من التهديدات المحتملة ، بالإضافة إلى تقييم طرق النسخ الاحتياطي للبيانات واستعادتها.

العقوبات لانتهاك قواعد العمل مع PD

في يوليو من العام الماضي ، دخل قانون اتحادي جديد حيز التنفيذ ، والذي بموجبه يتم فرض غرامات على انتهاك قانون معالجة البيانات الشخصية في روسيا من 1 إلى 75 ألف روبل. على سبيل المثال ، تكون غرامة معالجة PD دون موافقة المستخدم من 3 إلى 5 آلاف روبل للأفراد ومن 30 إلى 75 ألف روبل للكيانات القانونية. إن رفض تزويد مالك PD بمعلومات حول كيفية معالجة بياناته قد يحرم الكيان القانوني من 20-40 ألف روبل.

كانت هناك بالفعل حالات عندما تم تغريم الشركات بسبب انتهاكات في مجال معالجة PD. على سبيل المثال ، حالة TGYUK LLC ، حيث كانت الشركة مسؤولة عن حقيقة أن اتفاقية السرية لم تكن مرفقة بنموذج التعليقات على موقعها على الإنترنت.

كيفية التعامل مع PD وليس خرق القانون

من المهم لأي شخص يقوم بجمع أو معالجة أو تخزين PD أو يعهد بعمليات معهم لأشخاص آخرين لتقييم كل هذه العمليات للامتثال للقانون. للقيام بذلك ، نقترح استخدام قائمة التحقق التالية:

• سجل مع Roskomnadzor كعامل PD.
• حدد الغرض من معالجة PD ولا تستخدم بيانات المستخدم "لأغراض أخرى" (على سبيل المثال ، يجب عدم تضمين المستخدم في النشرة الإخبارية بمعلومات حول المشاركات عبر البريد الإلكتروني ، والتي لم يوافق على استلامها).
• تحذير المستخدم من معالجة بياناته الشخصية. احصل على موافقته على ذلك.
• إذا كنت تخطط لاستخدام خدمة "Cloud -152" ، فقم بإبرام اتفاقية مناسبة مع الموفر ، والتي تشير فيها إلى التزامات الأطراف والغرض من استخدام بيانات المستخدم.
• تنفيذ تدابير الحماية المحددة في المادة 19 من القانون الاتحادي -152 .
• تحقق من نظامك بحثًا عن بيانات العملاء القديمة أو غير المكتملة. يجب إزالتها أو إخفاء هويتها.
• بالإضافة إلى ذلك ، إرشاد موظفي الشركة على تعقيدات معالجة PDs المستخدم.

هذا سوف يسلط الضوء على نقاط الضعف المحتملة ، وتنفيذ تدابير الحماية المفقودة ، وتجنب الغرامات أو الدعاوى القضائية المحتملة.

---

ملاحظة ذات صلة بالموضوع من مدونة IaaS للشركات الأولى:

• ما يتعلق بالبيانات الشخصية من وجهة نظر المنظم الروسي
• مبادئ معالجة البيانات الشخصية: ما يقوله القانون
• حماية البيانات الشخصية: نهج أوروبي

مقالات أخرى من مدونتنا على حبري:

• "وفقًا للائحة العامة لحماية البيانات": كيف تغير الشبكات الاجتماعية سياسات الخصوصية
• الموعد النهائي مفقود ، أو لماذا لم تكن أكثر من نصف الشركات جاهزة للائحة العامة لحماية البيانات
• كيف سيغير إصلاح حقوق النشر في الاتحاد الأوروبي الويب

---

النشاط الرئيسي لشركة IT-GRAD هو توفير الخدمات السحابية:

البنية التحتية الافتراضية (IaaS) | استضافة PCI DSS | كلاود FZ-152 | استئجار 1C في السحابة

---