Geekly articles weekly

Wie man mit PD in der Russischen Föderation umgeht und nicht gegen das Gesetz verstößt

In unserem Blog gehen wir häufig auf Probleme im Zusammenhang mit der Arbeit mit personenbezogenen Daten ein. Wir sprachen über die Änderungen im Zusammenhang mit dem Inkrafttreten der europäischen DSGVO-Verordnung , untersuchten, warum viele Unternehmen nicht dazu bereit waren , und sprachen auch über die Innovationen in den sozialen Medien im Zusammenhang mit dem neuen Gesetz.

In dem heutigen Artikel haben wir beschlossen, die Feinheiten der Verarbeitung der PD von Benutzern in Russland zu beachten.


/ Foto AJEL PD

Was in Russland als PD gilt


In der Russischen Föderation ist die Arbeit mit personenbezogenen Daten der Benutzer durch das Gesetz Nr. 152-FZ „Über personenbezogene Daten“ geregelt. Gemäß Artikel 3 ist unter einer PD jede Information zu verstehen, die sich direkt oder indirekt auf eine bestimmte Person bezieht (Gegenstand der PD). Leider enthält das Gesetz keine Liste , aus der hervorgeht, was möglich ist und was nicht als personenbezogene Daten angesehen werden kann.

Im Netzwerk finden Sie jedoch verschiedene Listen, die von einzelnen Abteilungen und Organisationen zusammengestellt wurden, um die Situation zu klären. Auf der ILV-Verwaltungsseite für das Kamtschatka-Gebiet wird beispielsweise eine Liste von Daten angegeben, die unter die persönliche Kategorie fallen: Sie enthält den Namen, die Ausbildung und das Einkommensniveau. Einzelne AP-Betreiber erstellen auch ihre eigenen Listen. Zum Beispiel hat die ostsibirische Transport Commercial Bank JSC ungefähr 30 Kategorien . In der multidisziplinären Schule Nr. 17 gibt es ungefähr 40 Kategorien von PD , die von Informationssystemen verarbeitet werden.

Ein solcher Wortlaut des Gesetzes und die unterschiedlichsten Beispiele einzelner Organisationen führen dazu, dass es schwierig ist festzustellen, ob die Daten als personenbezogen gelten. Daher bietet der ILV eine Lösung . Wir müssen eine Frage stellen: Können wir anhand dieser Daten genau verstehen, wem sie gehören? Zum Beispiel gibt nur ein Name kein Verständnis dafür, welche Art von Person in Frage kommt, aber ein vollständiger Name gibt bereits an (natürlich verdient dieser Ansatz eine separate Diskussion).

Umgang mit personenbezogenen Daten


Das Gesetz Nr. 152- besagt, dass der PD-Betreiber eine staatliche oder kommunale Einrichtung, eine juristische oder natürliche Person ist, die unabhängig oder gemeinsam mit anderen Personen personenbezogene Daten verarbeitet und die Zwecke ihrer Verarbeitung und Zusammensetzung festlegt. Und solche Unternehmen unterliegen den Artikeln 5 und 6 des genannten Gesetzes , in denen die Grundsätze und Bedingungen für die Arbeit mit PD-Benutzern beschrieben sind.

Sie sagen, dass die Betreiber bestimmte Regeln befolgen müssen:

  1. Der Betreiber muss die Zustimmung des Inhabers der PD zur Verarbeitung einholen. Eine Person sollte wissen, welche Informationen über sich selbst und wofür sie bereitstellt (auf "Habré" werden beispielsweise Richtlinien für die Verarbeitung von PD geschrieben, in denen diese Punkte angegeben sind). Gleichzeitig ist der Betreiber verpflichtet, den Nutzer auf Anfrage über die von ihm gespeicherten Daten zu informieren.
  2. Der Bediener muss die in den Richtlinien angegebenen Datenverarbeitungsziele einhalten, dh er kann nur die Daten anfordern, die zur Ausführung einer bestimmten Aufgabe erforderlich sind. Das Anfordern zusätzlicher Daten "nur für den Fall" ist verboten. Um beispielsweise ein Benutzerkonto in einem Online-Shop zu registrieren, können Sie keine Passnummer anfordern. Wenn es sich jedoch um die Ressource einer staatlichen Organisation handelt, kann die Anforderung von Passdaten gerechtfertigt sein.
  3. Daten können so lange gespeichert werden, wie sie zur Erfüllung des Verarbeitungszwecks benötigt werden. Danach muss der Bediener sie entfernen oder entpersönlichen.


/ Foto Cal Injury Lawyer PD

So verarbeiten Sie Daten in der Cloud


Es kommt vor, dass es ziemlich schwierig und zeitaufwändig ist, alle Anforderungen für die Verarbeitung von PD zu erfüllen. FZ-152 sagt jedoch nicht aus, welche technischen Mittel der Betreiber bei der Datenverarbeitung verwenden muss. Artikel 6 Absatz 3 von FZ-152 sieht vor, dass er die Verarbeitung von PD einer anderen Person anvertrauen kann, wenn der Eigentümer der PD seine Zustimmung erteilt.

Viele Unternehmen haben daher die Aufgabe, die Anforderungen des Outsourcing-Gesetzes zu erfüllen: beispielsweise an Cloud-Anbieter, die den Cloud FZ-152-Dienst anbieten. Sie können die Infrastruktur mit einem vollständigen Satz administrativer (und technischer) PD-Schutzmechanismen mieten.

In diesem Fall sind jedoch auch Nuancen zu beachten. Zunächst müssen Sie eine Vereinbarung mit einem Cloud-Anbieter unterzeichnen, in der Sie die Ziele der Datenverarbeitung, eine Liste der auf PD ergriffenen Maßnahmen und Mechanismen zu deren Schutz angeben. Darüber hinaus sollte eine Reihe von Schutzmaßnahmen gemäß den in Artikel 19 des PD-Gesetzes beschriebenen Regeln getroffen werden .

Darüber hinaus ist es wichtig, die Verantwortungsbereiche im Vertrag festzulegen: für die der Betreiber verantwortlich ist und für die der Anbieter.

Dazu muss der Bediener:

  1. Bestimmen Sie das Sicherheitsniveau der PD des Informationssystems.
  2. Verstehen, welche Sicherheitsmaßnahmen aus Artikel 19 er bereitstellen kann und welche dem Anbieter anvertraut werden müssen;
  3. Erstellen Sie ein Modell der tatsächlichen Bedrohungen in einem eigenen Segment des Informationssystems und implementieren Sie die erforderlichen Sicherheitsmaßnahmen.

Der Cloud-Anbieter sollte wiederum Folgendes tun:

  1. Besorgen Sie sich Lizenzen des Kommunikationsministeriums (wenn der Betreiber Daten übertragen möchte oder mit Telematikdiensten arbeitet) sowie des FSB und des FSTEC;
  2. Verstehen Sie, was Daten in der Cloud bedrohen kann, und schützen Sie sie so weit wie möglich.
  3. Helfen Sie dem Kunden bei der Implementierung von Sicherheitsmaßnahmen auf der Clientseite und bieten Sie ihm die Möglichkeit, zusätzliche Sicherheitstools (mithilfe von PaaS oder IaaS) bereitzustellen.

Es ist wichtig zu beachten, dass der Betreiber auch die Zustimmung zur Verarbeitung der personenbezogenen Daten der Benutzer erhält - dies ist nicht in der Liste der Verantwortlichkeiten des Cloud-Anbieters enthalten. Diese Anforderung ist in Artikel 6 Absätze 3 und 4 des Bundesgesetzes festgelegt . Somit liegt die Verantwortung gegenüber dem Eigentümer der PD für die Handlungen des Anbieters beim Betreiber.

Der Anbieter ist jedoch für seine Handlungen gegenüber dem Betreiber verantwortlich. Zum Beispiel hat der Anbieter die Vertragsbedingungen nicht erfüllt und die PD durchgesickert. PD-Besitzer sind damit sehr unzufrieden. In diesem Fall ist der Anbieter für die Folgen für den Betreiber und den Betreiber - für die Betroffenen - verantwortlich.

Um die Anzahl unangenehmer Situationen zu minimieren, sollte der Betreiber bei der Auswahl eines Cloud-Anbieters vom Anbieter ein Dokument anfordern , das die Prüfung auf Einhaltung der angegebenen Sicherheitsstufe bestätigt. Es lohnt sich auch, ihn zu bitten, ein Modell zum Schutz eines ausgewählten Teils der Cloud vor potenziellen Bedrohungen zu zeigen und Möglichkeiten zur Sicherung und Wiederherstellung von Daten zu bewerten.

Strafen für Verstöße gegen die Regeln für die Arbeit mit PD


Im Juli letzten Jahres trat ein neues Bundesgesetz in Kraft, wonach Geldbußen wegen Verstoßes gegen das Gesetz zur Verarbeitung personenbezogener Daten in Russland zwischen 1 und 75 Tausend Rubel liegen. Beispielsweise beträgt die Geldbuße für die Verarbeitung von PD ohne Zustimmung des Benutzers 3 bis 5.000 Rubel für Einzelpersonen und 30 bis 75.000 Rubel für juristische Personen. Die Weigerung, dem Inhaber der PD Informationen darüber zu übermitteln, wie seine Daten verarbeitet werden, kann einer juristischen Person 20 bis 40.000 Rubel entziehen.

Es gab bereits Fälle, in denen Unternehmen wegen Verstößen im Bereich der Verarbeitung von PD zu Geldstrafen verurteilt wurden. Zum Beispiel der Fall von TGYUK LLC , in dem das Unternehmen dafür haftbar gemacht wurde, dass die Vertraulichkeitsvereinbarung nicht dem Feedback-Formular auf seiner Website beigefügt war.

Wie man mit PD umgeht und nicht gegen das Gesetz verstößt


Es ist wichtig, dass jeder, der PD sammelt, verarbeitet, speichert oder anderen Personen damit beauftragt, alle diese Prozesse auf Einhaltung des Gesetzes bewertet. Dazu empfehlen wir die Verwendung der folgenden Checkliste:

  • Registrieren Sie sich bei Roskomnadzor als PD-Betreiber.
  • Definieren Sie den Zweck der Verarbeitung von PD und verwenden Sie Benutzerdaten nicht „für andere Zwecke“ (z. B. sollten Sie den Benutzer nicht in den Newsletter mit Informationen zu den Freigaben per E-Mail aufnehmen, mit deren Erhalt er nicht einverstanden war).
  • Warnen Sie den Benutzer, dass seine persönlichen Daten verarbeitet werden. Holen Sie sich seine Zustimmung dazu.
  • Wenn Sie den Dienst „Cloud -152“ nutzen möchten, schließen Sie mit dem Anbieter eine entsprechende Vereinbarung, in der Sie die Verpflichtungen der Parteien und den Zweck der Verwendung der Benutzerdaten angeben.
  • Führen Sie die in Artikel 19 des Bundesgesetzes 152 genannten Schutzmaßnahmen durch.
  • Überprüfen Sie Ihr System auf veraltete oder unvollständige Kundendaten. Sie müssen entfernt oder anonymisiert werden.
  • Weisen Sie das Unternehmenspersonal außerdem in die Feinheiten der Verarbeitung von Benutzer-PDs ein.

Dies wird potenzielle Schwachstellen aufzeigen, die fehlenden Schutzmaßnahmen umsetzen und Geldstrafen oder potenzielle Rechtsstreitigkeiten vermeiden.


PS-bezogene Inhalte aus dem ersten Corporate IaaS-Blog:


PPS Weitere Artikel aus unserem Blog über Habré:



Die Haupttätigkeit des IT-GRAD-Unternehmens ist die Bereitstellung von Cloud-Diensten:

Virtuelle Infrastruktur (IaaS) | PCI DSS Hosting | Wolke FZ-152 | Mieten Sie 1C in der Cloud

Source: https://habr.com/ru/post/de416131/

More articles:


All Articles