Cómo manejar la EP en la Federación de Rusia y no violar la ley

En nuestro blog, a menudo tocamos temas relacionados con el trabajo con datos personales. Hablamos sobre los cambios asociados con la entrada en vigor de la regulación europea GDPR , examinamos por qué muchas compañías no estaban listas para ello y también hablamos sobre las innovaciones de las redes sociales relacionadas con la nueva ley.

En el artículo de hoy, decidimos observar las complejidades del procesamiento de la DP de los usuarios en Rusia.


/ foto AJEL PD

Lo que se considera DP en Rusia

En la Federación de Rusia, el trabajo con los datos personales de los usuarios está regulado por la ley Nº 152-FZ "sobre datos personales" . De acuerdo con el Artículo 3 , un PD debe entenderse como cualquier información relacionada directa o indirectamente con un individuo específico (sujeto de PD). Sin embargo, desafortunadamente, la ley no tiene una lista que indique lo que es posible y lo que no puede considerarse información personal.

Sin embargo, en la red puede encontrar varias listas compiladas por departamentos y organizaciones individuales que aclaran la situación. Por ejemplo, en el sitio de administración de ILV para el territorio de Kamchatka , se proporciona una lista de datos que se incluye en la categoría personal: contiene el nombre, la educación y el nivel de ingresos. Los operadores AP individuales también crean sus propias listas. Por ejemplo, el Banco Comercial de Transporte de Siberia Oriental JSC tiene alrededor de 30 categorías . En la escuela multidisciplinaria No. 17 hay alrededor de 40 categorías de DP que son procesadas por sistemas de información.

Tal redacción de la ley y los ejemplos más diversos generados por organizaciones individuales conducen al hecho de que es difícil establecer si los datos se consideran personales. Por lo tanto, el ILV ofrece una solución . Necesitamos hacer una pregunta: ¿estos datos nos permiten entender exactamente a quién pertenecen? Por ejemplo, solo el nombre no da una idea de qué tipo de persona en cuestión, pero el nombre completo ya da (por supuesto, este enfoque merece una discusión por separado).

Cómo trabajar con datos personales

La Ley N ° 152- establece que el operador de DP es un organismo estatal o municipal, persona jurídica o física, de manera independiente o conjunta con otras personas, que procesa datos personales y determina los propósitos de su procesamiento y composición. Y tales empresas están sujetas a los artículos 5 y 6 de dicha ley , que describen los principios y condiciones de trabajo con los usuarios de PD.

Dicen que los operadores deben seguir ciertas reglas:

1. El operador debe obtener el consentimiento del propietario de la PD para su procesamiento. Una persona debe saber qué información sobre sí mismo proporciona y para qué (en "Habré", por ejemplo, se escriben las políticas para el procesamiento de DP , donde se indican estos puntos). Al mismo tiempo, el operador está obligado, previa solicitud, a informar al usuario sobre qué datos almacena.
2. El operador debe cumplir con los objetivos de procesamiento de datos especificados en las políticas, es decir, puede solicitar solo los datos necesarios para realizar una tarea en particular. Solicitar datos adicionales "por si acaso" está prohibido. Por ejemplo, para registrar una cuenta de usuario en una tienda en línea, no puede solicitar un número de pasaporte. Sin embargo, si estamos hablando del recurso de cualquier organización estatal, la solicitud de datos de pasaporte puede justificarse.
3. Los datos se pueden almacenar siempre que sean necesarios para cumplir con el propósito de su procesamiento. Después de esto, el operador debe eliminarlos o despersonalizarlos.

/ foto Abogado de Lesiones Cal PD

Cómo procesar datos en la nube

Sucede que cumplir con todos los requisitos para procesar PD es bastante difícil y requiere mucho tiempo. Sin embargo, el FZ-152 no dice qué medios técnicos está obligado a utilizar el operador al procesar los datos. La cláusula 3 del artículo 6 del FZ-152 estipula que puede confiar el procesamiento de la DP a otra persona si el propietario de la PD da su consentimiento.

Por lo tanto, muchas empresas se encargan de cumplir con los requisitos de la ley de externalización: por ejemplo, a los proveedores de la nube que brindan el servicio Cloud FZ-152 . Le permite alquilar infraestructura con un conjunto completo de mecanismos administrativos (y técnicos) de protección de DP.

Sin embargo, en este caso también hay matices a tener en cuenta. Primero, debe firmar un acuerdo con un proveedor de la nube, en el que indique los objetivos del procesamiento de datos, una lista de acciones tomadas en PD y mecanismos para su protección. Además, se debe construir un conjunto de medidas de protección de acuerdo con las reglas descritas en el artículo 19 de la ley de DP .

Además, es importante determinar las áreas de responsabilidad en el contrato: de qué es responsable el operador y de quién es el proveedor.

Para hacer esto, el operador debe:

1. Determinar el nivel de seguridad del sistema de información PD;
2. Comprender qué medidas de seguridad del Artículo 19 podrá proporcionar, y cuáles deben confiarse al proveedor;
3. Cree un modelo de amenazas reales en su propio segmento del sistema de información e implemente las medidas de seguridad necesarias por su parte.

A su vez, el proveedor de la nube debe hacer lo siguiente:

1. Obtener licencias del Ministerio de Comunicaciones (si el operador planea transferir datos o trabaja con servicios telemáticos), así como del FSB y FSTEC;
2. Comprenda qué puede amenazar los datos en la nube y protéjalos lo más posible;
3. Ayude al cliente con la implementación de medidas de seguridad en el lado del cliente y bríndele la oportunidad de implementar herramientas de seguridad adicionales (usando PaaS o IaaS).

Es importante recordar que el operador también recibe el consentimiento para el procesamiento de los datos personales de los usuarios; esto no está incluido en la lista de responsabilidades del proveedor de la nube. Este requisito se detalla en los párrafos tercero y cuarto del artículo 6 de la Ley Federal . Por lo tanto, la responsabilidad del propietario de la DP por las acciones del proveedor recae en el operador.

Sin embargo, el proveedor es responsable de sus acciones ante el operador. Por ejemplo, el proveedor no cumplió con los términos del contrato y filtró la PD. Los propietarios de PD están muy descontentos con esto. En este caso, el proveedor será responsable de las consecuencias para el operador y el operador para las personas afectadas.

Para minimizar el número de situaciones desagradables, al elegir un proveedor de la nube, el operador debe solicitar un documento del proveedor que confirme la auditoría para el cumplimiento del nivel de seguridad declarado. También vale la pena pedirle que muestre un modelo de protección de un segmento seleccionado de la nube de posibles amenazas, así como que evalúe formas de realizar copias de seguridad y restaurar datos.

Sanciones por violación de las reglas para trabajar con DP

En julio del año pasado, entró en vigor una nueva Ley Federal, según la cual las multas por violar la ley sobre el procesamiento de datos personales en Rusia oscilan entre 1 y 75 mil rublos. Por ejemplo, la multa por procesar PD sin el consentimiento del usuario es de 3 a 5 mil rublos para individuos y de 30 a 75 mil rublos para personas jurídicas. Una negativa a proporcionar al propietario de la PD información sobre cómo se procesan sus datos puede privar a una entidad legal de 20-40 mil rublos.

Ya ha habido casos en que las empresas multaron por infracciones en el campo del procesamiento de PD. Por ejemplo, el caso de TGYUK LLC , donde la compañía se hizo responsable por el hecho de que el acuerdo de confidencialidad no estaba adjunto al formulario de comentarios en su sitio web.

Cómo manejar la EP y no violar la ley

Es importante que cualquier persona que recopile, procese, almacene PD o confíe sus operaciones a otras personas para evaluar todos estos procesos para el cumplimiento de la ley. Para hacer esto, sugerimos usar la siguiente lista de verificación:

• Regístrese con Roskomnadzor como operador de PD.
• Defina el propósito del procesamiento de PD y no utilice los datos del usuario "para otros fines" (por ejemplo, no debe incluir al usuario en el boletín con información sobre las acciones por correo electrónico, que no estuvo de acuerdo en recibir).
• Advertir al usuario que sus datos personales serán procesados. Obtenga su consentimiento para esto.
• Si planea usar el servicio “Cloud -152”, entonces concluya un acuerdo apropiado con el proveedor, en el que indique las obligaciones de las partes y el propósito de usar los datos del usuario.
• Implementar las medidas de protección especificadas en el artículo 19 de la Ley Federal-152 .
• Verifique su sistema en busca de datos de clientes obsoletos o incompletos. Necesitan ser removidos o anonimizados.
• Además, instruya al personal de la compañía sobre las complejidades del procesamiento de PD de usuario.

Esto resaltará las debilidades potenciales, implementará las medidas de protección que faltan y evitará multas o posibles demandas.

---

Contenido relacionado con PS del primer blog corporativo de IaaS:

• Lo que se refiere a los datos personales desde el punto de vista del regulador ruso
• Los principios del procesamiento de datos personales: lo que dice la ley
• Protección de datos personales: un enfoque europeo

PPS Otros artículos de nuestro blog sobre Habré:

• “Según el RGPD”: cómo las redes sociales cambian las políticas de privacidad
• Fecha límite perdida, o por qué más de la mitad de las empresas no estaban listas para el RGPD
• Cómo la reforma de los derechos de autor de la UE cambiará la web

---

La actividad principal de la empresa IT-GRAD es la provisión de servicios en la nube:

Infraestructura virtual (IaaS) | Alojamiento PCI DSS | Nube FZ-152 | Alquile 1C en la nube

---