Dans notre blog, nous abordons souvent les problèmes liés à l'utilisation des données personnelles. Nous avons parlé des changements associés à l'
entrée en vigueur du règlement européen GDPR , examiné pourquoi de nombreuses entreprises
n'étaient pas prêtes pour cela , et avons également parlé des
innovations des médias sociaux liées à la nouvelle loi.
Dans l'article d'aujourd'hui, nous avons décidé de noter les subtilités du traitement des PD des utilisateurs en Russie.
/ photo AJEL PDCe qui est considéré comme PD en Russie
En Fédération de Russie, le travail avec les données personnelles des utilisateurs est réglementé par la loi n ° 152-FZ
sur les données personnelles . Selon l'
article 3 , un DP doit être compris comme toute information directement ou indirectement liée à un individu spécifique (sujet du PD). Cependant, malheureusement, la loi
ne dispose pas d'une liste qui indiquerait ce qui est possible et ce qui ne peut pas être considéré comme des données personnelles.
Cependant, dans le réseau, vous pouvez trouver diverses listes compilées par les différents départements et organisations qui clarifient la situation. Par exemple, sur
le site de gestion de l'ILV pour le territoire du Kamchatka , une liste de données qui relèvent de la catégorie personnelle est donnée: elle contient le nom, l'éducation et le niveau de revenu. Les opérateurs AP individuels créent également leurs propres listes. Par exemple, la Banque commerciale de transport de Sibérie orientale JSC comprend
environ 30 catégories . Dans l'école multidisciplinaire n ° 17, il existe
environ 40 catégories de DP traitées par les systèmes d'information.
Une telle formulation de la loi et les exemples les plus divers générés par les organisations individuelles conduisent au fait qu'il est difficile d'établir si les données sont considérées comme personnelles. Par conséquent, l'ILV offre une
solution . Nous devons nous poser une question: ces données nous permettent-elles de comprendre exactement à qui elles appartiennent? Par exemple, juste un nom ne permet pas de comprendre quel type de personne en question, mais un nom complet donne déjà (bien sûr, cette approche mérite une discussion séparée).
Comment travailler avec des données personnelles
La loi n ° 152-
stipule que l'opérateur PD est un organisme public ou municipal, une personne morale ou physique, indépendamment ou conjointement avec d'autres personnes, traitant des données personnelles, ainsi que déterminant les finalités de leur traitement et de leur composition. Et ces entreprises sont soumises aux articles
5 et
6 de ladite
loi , qui décrivent les principes et conditions de travail avec les utilisateurs de PD.
Ils disent que les opérateurs doivent suivre certaines règles:
- L'opérateur doit obtenir le consentement du propriétaire du PD pour leur traitement. Une personne doit savoir quelles informations sur elle-même elle fournit et pour quoi (sur "Habré", par exemple, des politiques de traitement de PD sont écrites, où ces points sont indiqués). Dans le même temps, l'opérateur est tenu, sur demande, d'informer l'utilisateur des données qu'il stocke.
- L'opérateur doit respecter les objectifs de traitement des données spécifiés dans les politiques, c'est-à-dire qu'il ne peut demander que les données nécessaires à l'exécution d'une tâche particulière. La demande de données supplémentaires «au cas où» est interdite. Par exemple, pour enregistrer un compte utilisateur dans une boutique en ligne, vous ne pouvez pas demander de numéro de passeport. Cependant, si nous parlons des ressources d'une organisation d'État, la demande de données de passeport peut être justifiée.
- Les données peuvent être stockées aussi longtemps qu'elles sont nécessaires pour atteindre l'objectif de leur traitement. Après cela, l'opérateur doit les supprimer ou les dépersonnaliser.
/ photo Avocat Cal Injury PDComment traiter les données dans le cloud
Il arrive que la réalisation de toutes les exigences pour le traitement de la PD soit assez difficile et longue. Cependant, le FZ-152 ne précise pas les moyens techniques que l'opérateur est obligé d'utiliser lors du traitement des données. La clause 3 de l'
article 6 du FZ-152 stipule qu'il peut confier le traitement de PD à quelqu'un d'autre si le propriétaire du PD donne son consentement.
Par conséquent, de nombreuses entreprises confient la tâche de satisfaire aux exigences de la loi sur l'externalisation: par exemple, aux fournisseurs de cloud qui fournissent
le service Cloud FZ-152 . Il vous permet de louer des infrastructures avec un ensemble complet de mécanismes administratifs (et techniques) de protection PD.
Cependant, dans ce cas, il y a aussi des nuances à garder à l'esprit. Tout d'abord, vous devez signer un accord avec un fournisseur de cloud, dans lequel vous indiquez les objectifs du traitement des données, une liste des mesures prises sur PD et les mécanismes de leur protection. En outre, un ensemble de mesures de protection devrait être élaboré conformément aux règles décrites à l'
article 19 de la loi PD .
En outre, il est important de déterminer les domaines de responsabilité dans le contrat: pour lesquels l'opérateur est responsable et pour lesquels le prestataire.
Pour ce faire, l'opérateur doit:
- Déterminer le niveau de sécurité du système d'information PD;
- Comprendre quelles mesures de sécurité de l' article 19 il pourra fournir et lesquelles doivent être confiées au fournisseur;
- Construire un modèle de menaces réelles dans son propre segment du système d'information et mettre en œuvre les mesures de sécurité nécessaires pour sa part.
À son tour, le fournisseur de cloud doit effectuer les opérations suivantes:
- Obtenir des licences du ministère des Communications (si l'opérateur prévoit de transférer des données ou travaille avec des services télématiques), ainsi que du FSB et du FSTEC;
- Comprendre ce qui peut menacer les données dans le cloud et les protéger autant que possible;
- Aider le client à mettre en place des mesures de sécurité côté client et lui donner la possibilité de déployer des outils de sécurité supplémentaires (en utilisant PaaS ou IaaS).
Il est important de se rappeler que l'opérateur reçoit également son consentement au traitement des données personnelles des utilisateurs - cela n'est pas inclus dans la liste des responsabilités du fournisseur de cloud. Cette exigence est énoncée aux troisième et quatrième alinéas de l'
article 6 de la loi fédérale . Ainsi, la responsabilité envers le propriétaire du PD pour les actions du fournisseur incombe à l'opérateur.
Cependant, le fournisseur est responsable de ses actions envers l'opérateur. Par exemple, le fournisseur n'a pas respecté les termes du contrat et a divulgué le PD. Les propriétaires de PD en sont très mécontents. Dans ce cas, le prestataire sera responsable des conséquences pour l'opérateur et l'opérateur - pour les personnes concernées.
Afin de minimiser le nombre de situations désagréables, lors du choix d'un fournisseur de cloud, l'opérateur doit
demander au fournisseur un document confirmant l'audit de conformité avec le niveau de sécurité déclaré. Il vaut également la peine de lui demander de montrer un modèle de protection d'un segment sélectionné du cloud contre les menaces potentielles, ainsi que d'évaluer les moyens de sauvegarder et de restaurer les données.
Sanctions pour violation des règles de travail avec PD
En juillet de l'année dernière, une nouvelle loi fédérale est entrée en vigueur, selon laquelle les amendes pour violation de la loi sur le traitement des données personnelles en Russie
vont de 1 à 75 000 roubles. Par exemple, l'amende pour le traitement de PD sans le consentement de l'utilisateur est de 3 à 5 000 roubles pour les particuliers et de 30 à 75 000 roubles pour les personnes morales. Un refus de fournir au propriétaire du PD des informations sur la manière dont ses données sont traitées peut priver une personne morale de 20 à 40 000 roubles.
Il y a déjà eu des cas où des entreprises ont été condamnées à des amendes pour des infractions dans le domaine du traitement des DP. Par exemple, le
cas de TGYUK LLC , où la société était tenue responsable du fait que l'accord de confidentialité n'était pas joint au formulaire de commentaires sur son site Web.
Comment gérer la MP et ne pas enfreindre la loi
Il est important pour toute personne qui collecte, traite, stocke des PD ou confie les opérations avec elles à d'autres personnes d'évaluer la conformité de tous ces processus avec la loi. Pour ce faire, nous vous suggérons d'utiliser la liste de contrôle suivante:
- Inscrivez-vous auprès de Roskomnadzor en tant qu'opérateur PD.
- Définissez la finalité du traitement de PD et n'utilisez pas les données utilisateur «à d'autres fins» (par exemple, vous ne devez pas inclure l'utilisateur dans la newsletter avec des informations sur les actions par e-mail, qu'il n'a pas accepté de recevoir).
- Avertissez l'utilisateur que ses données personnelles seront traitées. Obtenez son consentement.
- Si vous prévoyez d'utiliser le service «Cloud -152», concluez un accord approprié avec le fournisseur, dans lequel vous indiquez les obligations des parties et le but de l'utilisation des données utilisateur.
- Mettre en œuvre les mesures de protection spécifiées à l' article 19 de la loi fédérale-152 .
- Vérifiez votre système pour les données client obsolètes ou incomplètes. Ils doivent être supprimés ou anonymisés.
- De plus, informez le personnel de l'entreprise sur les subtilités du traitement des PD utilisateur.
Cela mettra en évidence les faiblesses potentielles, mettra en œuvre les mesures de protection manquantes et évitera les amendes ou les poursuites potentielles.
Contenu lié au PS du premier blog d'entreprise IaaS:
PPS Autres articles de notre blog sur Habré:
L'activité principale de la société IT-GRAD est la fourniture de services cloud:
Infrastructure virtuelle (IaaS) | Hébergement PCI DSS | Cloud FZ-152 | Louer 1C dans le cloud