Depuis 13 ans, la loi fédérale n ° 152-FZ sur les données personnelles est en vigueur dans le domaine juridique russe.
Il semblerait qu'au fil des années, les sociétés d'exploitation PD aient traversé tout: la reconnaissance de la nécessité de protéger les données personnelles, et l'acceptation que même seul votre nom complet est également PD, et l'inévitabilité de la rédaction de plus de vingt documents organisationnels et administratifs, et même un humble accord avec la nécessité de construire un système de sécurité complet ainsi qu'une sécurité papier.
152- a non seulement accru la sensibilisation des opérateurs de DP, mais les entités elles-mêmes ont également commencé à se rendre compte qu'elles étaient les propriétaires des informations confidentielles et exigent leur protection efficace.
Cependant, malgré l'expérience quotidienne avec la MP, la question la plus urgente avant l'audit sera toujours: "Qu'est-ce que Roskomnadzor regarde exactement?"
Heureusement, nous avons déjà une réponse qui est basée sur la pratique approfondie de la préparation des inspections ILV: elle examine tout ce qui concerne la défense organisationnelle de la DP.
Malheureusement, cela signifie que ce processus n'est pas facile et à grande échelle, mais cela a ses avantages: un tel projet est toujours une excellente occasion de faire l'inventaire des flux d'informations et des systèmes, ce qui rendra les processus métier plus transparents et permettra de les optimiser. Mais c'est après. Cet article décrira ce qu'il faut faire lorsque vous trouvez votre entreprise en termes d'audits.
Préparation à la vérification
Soit dit en passant, vous devez voir l'entreprise dans le plan le plus tôt possible: pour cela, vous pouvez maintenant vous rendre sur le site Web de Roskomnadzor et y trouver le document «Le plan du Bureau du Service fédéral de surveillance des communications, des technologies de l'information et des communications de masse dans le district fédéral central en 2019». Si votre adresse légale est située dans un autre district fédéral (ou, au moment de la lecture de cet article, 2019 est déjà passé), remplacez ces paramètres par ceux nécessaires. Si vous n'avez pas adhéré au plan pour l'année en cours, alors en décembre environ, vous aurez déjà accès au plan pour l'année suivante.
Étant donné que la préparation de l'audit comprend une étape ultérieure obligatoire de mise en œuvre des recommandations, vous devez démarrer le processus au moins 6 mois avant la date de lancement officiel - cela vous aidera à éviter les contraintes de temps et, par conséquent, à distraire activement les employés de leurs tâches actuelles (de collègues, il est peu probable sera acceptée positivement) et l'omission d'aspects importants dans les travaux nécessaires (et cela ne sera pas approuvé par l'inspecteur).
Préparez-vous: vous vous retrouverez entre deux feux lorsque vous devrez créer des inconvénients temporaires pour le bien commun, mais une pilule amère est parfois vitale, l'essentiel est la volonté de tout prendre ensemble. Les travaux liés à l'inspection doivent nécessairement se dérouler dans une atmosphère de coopération accueillante. Votre tâche n'est pas de punir quelqu'un, mais d'aider l'entreprise à effectuer une auto-évaluation et à éliminer les violations et les lacunes.
Pour cela, il faut tout d'abord faire comprendre à la direction de l'entreprise l'importance de l'événement, et demander sa participation active. Il y a une règle d'or selon laquelle avec les affaires, il est nécessaire de parler le langage de l'argent qu'il comprend. Eh bien: les amendes pour violation de la loi fédérale qui nous intéresse sont indiquées aux articles 137, 140, 272, 274 du Code pénal de la Fédération de Russie et aux articles 13.11, 13.12, 13.25, 19.5 du Code administratif de la Fédération de Russie, et sont désormais émises par Roskomnadzor pour chaque fait de la violation. Si votre entreprise est sceptique vis-à-vis des pertes de plusieurs centaines ou millions de roubles, votre atout est une mention des risques de réputation: les employés et les clients offensés sont entièrement accessibles sur Internet, les sites d'information sont prêts à saisir toute petite fuite et à la gonfler dans la mesure d'une sensation, et les concurrents sera heureux de les aider.
Mais votre tâche n'est pas de faire peur à la direction de l'entreprise, mais de lui apporter une solution au problème et de chercher du soutien. À ce stade, vous devez évaluer votre force et comprendre s'il y a des employés dans l'État qui peuvent être attirés par le projet. Il convient de noter que ces employés devraient être en mesure de consacrer au moins 80% des heures de travail à la tâche assignée, c'est-à-dire Ne préparez pas l'ensemble de l'entreprise à la vérification en parallèle avec les activités personnelles / comptables / juridiques, mais y consacrez presque tout son temps. Et nous arrivons ici à une condition importante pour une formation réussie - la présence dans l'état d'un employé distinct responsable du traitement et de la protection des données personnelles, qui fait partie de la division de la sécurité de l'information. Il s'agit du modèle le plus efficace pour gérer ce processus, et les économies réalisées ici, à notre avis, sont inappropriées.
Il existe deux options pour mettre en œuvre ce modèle: embaucher un employé dans l'État ou (ou mieux en même temps) inviter une organisation externe spécialisée dans la préparation et le soutien des inspections de Roskomnadzor.
Les principaux critères de choix d'une telle entreprise - un intégrateur de système - sont la présence de projets achevés similaires dans ce domaine, la capacité de présenter un service et de décrire en détail les étapes du travail et les résultats de chacun d'entre eux, la capacité de justifier le coût. Il faut s'attendre à ce qu'un travail de qualité ne coûte jamais indécemment à moindre coût et dure inopinément peu.
Un bon intégrateur vous offrira certainement un cycle complet de travail: de la volonté de convaincre la direction de l'entreprise de la nécessité du projet à soutenir pendant l'audit et d'aider à préparer les réponses aux instructions sur l'élimination des violations après celui-ci.
Que vous attiriez ou non une organisation tierce, la plus grande chose que la direction puisse vous aider - en plus du budget - est d'initier une newsletter à l'échelle de l'entreprise sur le début du travail avec une demande pour assister pleinement la personne responsable. Il est très important de souligner qu'il s'agit d'une auto-évaluation et non d'un audit pour identifier et punir les auteurs. Malheureusement, il y a eu des cas de panique et de résistance de la part des employés jusqu'au refus de fournir des informations indispensables sur un processus particulier. N'oubliez pas: une demande polie de la part de la direction et une prise de conscience de la participation à une cause commune pour un bon objectif de la part de tous les employés font des merveilles.
Les principales étapes du travail
Maintenant que le feu vert est donné, passons par les étapes nécessaires du travail.
Le moyen le plus efficace de se préparer à un audit est d'essayer de tout couvrir au maximum: on ne sait pas à l'avance quels processus spécifiques le régulateur examinera - tout dépend du temps et des ressources humaines allouées par Roskomnadzor.
Avant le début de l'audit, l'entreprise recevra une lettre officielle indiquant ses modalités et son plan. Classiquement, le processus peut être divisé en deux parties: demande et étude de la documentation (nous parlons de plus de vingt documents organisationnels et administratifs mentionnés au début) et entretien en face-à-face des exécuteurs directs: l'inspecteur n'est absolument pas intéressé à s'asseoir dans une salle de réunion et à communiquer avec les chefs de service pendant un mois. Presque toujours, les conversations ont lieu sur les lieux de travail des employés. L'inspecteur a le droit de demander d'afficher les systèmes / dossiers / courrier, ainsi que de rechercher quelque chose sur l'ordinateur de travail: il n'a pas besoin de donner accès au réseau de l'entreprise, mais il peut prendre des captures d'écran de certains processus.
Ils vérifieront certainement les processus typiques de toutes les entreprises: mode de passage ("qui traite comment gérer la DP des visiteurs?"), Recherche de candidats pour les postes vacants ("combien de temps les CV des demandeurs d'emploi sont-ils?"), Gestion du personnel ("pourquoi avez-vous besoin de garder la PD des licenciés?") employés? »), comptabilité (« sur quelle base les PD sont-ils transférés à la banque et aux assurances? »), interaction avec les prestataires (« reçoivent-ils des instructions pour le traitement? Le canal de transmission des données est-il protégé? La protection des informations transférées est-elle contrôlée? »), le stockage et remise des documents l'archive ( « un fichier que ce soit en termes de législation? »).
Si votre activité principale est la prestation de services, le champ de vérification est encore plus étendu: recherche de clients, passation de marchés, service, résiliation, publicité.
D'un site atypique, ils peuvent consulter le site Web de l'entreprise («existe-t-il une politique de traitement et de protection des données personnelles? Un message sur les cookies et les compteurs?»), Les applications mobiles («qui a les bases de données?»), Aller au front office en tant que client mystère, vérifier le travail centre d'appels, demander un modèle de menace et même poser des questions sur le processus de commande de cartes de visite.
Par où commencer la formation? Nous proposons d'agir de la même manière qu'un réviseur (une excellente répétition avant une véritable révision), à la seule différence que tout le personnel est prêt à vous aider et vous dira tout comme il est, avec toutes les lacunes - c'est pourquoi l'implication de la direction et la clarification préliminaire sont si importantes raisons des soudains travaux d'audit interne.
Tout d'abord, étudiez soigneusement la structure organisationnelle de l'entreprise (et, si elle est disponible, la liste des ISPD), mettez en évidence avec audace les processus de traitement de PD typiques, suggérez où ils peuvent être en plus de ces domaines, planifiez un entretien. L'expérience: il est préférable de laisser les services informatiques et de sécurité de l'information pour plus tard, lorsque vous aurez déjà une idée de tous les processus de traitement PD. Retrouvez tous les documents disponibles dans l'entreprise pour le traitement et la protection des données personnelles.
Chaque entretien devrait durer de 30 à 60 minutes: pendant ce temps, vous pouvez collecter toutes les informations nécessaires sans retirer votre interlocuteur de ses tâches pendant longtemps. Les entretiens sont une excellente occasion de découvrir ce que vos collègues manquent pour rendre le travail plus confortable: très souvent, nous entendons des demandes de réflexion sur le manque de broyeurs ou d'armoires verrouillables, ainsi que sur le manque de description des procédures obligatoires de collecte et de protection des PD - cela contribuera à protéger le budget à l'avenir pour construire ou mettre à niveau un système de sécurité.
Assurez-vous de rédiger le procès-verbal de l'entretien pendant la communication et de le coordonner avec votre interlocuteur après. Refléter en elle tous les documents qui peuvent contenir des DP ou impliquer leur réception / envoi, et ont été discutés pendant la conversation - à l'avenir, vous devrez les demander et les analyser.
Ainsi, à la fin de la phase d'examen, vous devriez avoir:
- Protocoles d'entrevue convenus
- Tous les documents valides disponibles sur le traitement et la protection des PD
- Tous les documents pouvant inclure l'entrée de PD, leur réception ou leur transfert
En fin de compte
La chose la plus intéressante est restée: compiler un rapport d'enquête, où il est nécessaire d'inclure tous les protocoles, l'analyse de chaque document, l'analyse de chaque processus. Et à la suite de votre travail - une liste des violations trouvées, des recommandations pour leur élimination, indiquant le moment et la responsabilité.
C'est tout: vous pouvez maintenant pousser un soupir de soulagement et ... procéder immédiatement à la mise en œuvre de ces recommandations.
Le travail effectué garantira-t-il un test parfait? Personne ne peut vous promettre que le processus se passera sans un seul commentaire (en tout cas, pas un seul spécialiste expérimenté de bonne foi - bien sûr), mais vous pouvez très bien influencer le moins possible le nombre de ces commentaires et leur élimination sera le moins douloureuse possible dans la limite allouée (assez démocratique maintenant 3-6 mois).
Après avoir vérifié, assurez-vous de réfléchir aux aspects techniques de la protection PD, de soutenir les procédures et les documents mis en œuvre, de dispenser une formation aux employés et la prochaine fois, vous serez certainement un peu plus facile.