Comment se préparer au contrôle ILV des données personnelles: un guide complet

À propos de nous

Bonjour, Habr! Nous sommes une entreprise de centre d'information. Notre direction principale est la sécurité de l'information (c'est aussi la sécurité de l'information). En SI, nous sommes engagés dans presque tout: audit, conception de systèmes de sécurité, certification, conformité, pentests, nous avons notre propre SOC, nous travaillons même avec des secrets d'État. Étant donné que nous sommes basés à Vladivostok, nous avons d'abord travaillé davantage dans le territoire Primorsky et dans les régions extrême-orientales du pays, mais récemment la géographie de nos projets nous a poussés encore plus impensable au moment de la fondation de la frontière.

Dans notre premier article, nous aimerions considérer un aspect de la sécurité de l'information comme la conformité (conformité en anglais - conformité, conformité). Et nous parlerons de ce qui doit être fait pour se conformer pleinement à la législation russe sur les données personnelles.

Quoi de neuf dans la législation?

De nombreux articles ont été écrits sur le thème des contrôles de la protection des données personnelles et nombre d'entre eux ont été publiés avant 2015. Pour entrer en quelque sorte dans la réalité, il faut d'abord analyser ce qui a changé ces dernières années dans la législation.

242-FZ

Rappelons d'abord le fameux 242-FZ. En 2015, il a fait beaucoup de bruit en raison de la nécessité de localiser les données personnelles des citoyens de la Fédération de Russie sur le territoire de la Fédération de Russie. Quatre ans plus tard, la seule grande victime de cette loi est le réseau social LinkedIn.

Mais il y avait un autre côté dans le 242-FZ qui n'était pas reproduit si activement dans les médias.

En 242-, il y a eu des changements très importants dans le contexte des contrôles ILV sur les données personnelles: les activités de Roskomnadzor dans la protection des droits des personnes concernées à partir du 1er septembre 2015 ne sont pas soumises à la loi fédérale n ° 294- «Sur la protection des droits des personnes morales et des entrepreneurs individuels en vertu de mise en œuvre du contrôle de l'État (supervision) et du contrôle municipal. »

Qu'est-ce que cela signifie? Pour les opérateurs de données personnelles, comme vous pouvez le deviner, rien de bon. Maintenant, comme la pratique l'a déjà montré, le nombre d'inspections programmées a considérablement diminué et le nombre d'inspections non programmées a augmenté proportionnellement. Cela est également attesté par les plans d’inspection de Roskomnadzor, publiés fin 2015 (et les années suivantes) sur le site Web de l’agence. Inspections programmées des données personnelles sur place - une, deux et mal calculées, contrairement aux années précédentes.

Le principal problème des inspections imprévues est que vous ne pouvez pas les connaître avec une bonne marge de temps et, par conséquent, vous ne pouvez pas vous préparer le mieux possible. Par exemple, plus tôt, lorsque le plan d'audit a été publié, tout le monde pouvait le télécharger et savoir si l'organisation en faisait partie ou non. Et par surprise, il n'a été possible de capturer que les quelques organisations dont la date de vérification a été indiquée en janvier-février. Les autres ont eu l'opportunité de se préparer correctement, même si jusque-là rien n'avait été fait au sein de l'organisation pour la protection des données personnelles. Maintenant, il vaut mieux, bien sûr, être prêt à vérifier Roskomnadzor pour les données personnelles à tout moment, c'est-à-dire toujours à jour l'ensemble de la documentation actuelle pour la protection des données personnelles.

13.11 Code administratif de la Fédération de Russie

Un autre changement législatif important est la modification de l'article 13.11 du Code administratif de la Fédération de Russie «Violation de la législation de la Fédération de Russie dans le domaine des données personnelles» . Ces changements ont complètement transformé la sanction pour violation de la loi dans le domaine de la protection des données personnelles. Auparavant, l'article 13.11 n'était pas divisé en parties et l'amende maximale était fixée à 10 000 roubles pour les personnes morales. Maintenant, il y a 7 parties ici (et une extension est également prévue), selon l'une d'entre elles (violation des règles de traitement de catégories spéciales de données personnelles), l'amende maximale pour les personnes morales est de 75 000 roubles. En outre, lorsque les inspecteurs identifient différentes infractions - des sanctions pour différentes parties de l'article du Code des infractions administratives peuvent théoriquement s'additionner. Pourquoi "théoriquement"? Auparavant, sur les sites Web des départements régionaux de l'ILV, des informations étaient constamment publiées dans la section Actualités selon lesquelles le régulateur vérifiait conditionnellement la conformité de la législation sur les données personnelles à 3 organisations, l'organisation n ° 1 allait bien, l'organisation n ° 2 était condamnée à une amende de 3000 roubles, l'organisation n ° 3 était condamnée à une amende. 5 mille roubles. Il a été possible de rassembler ces nouvelles en un tas pour l'année et de supprimer certaines statistiques sur les amendes. Maintenant, il n'y a pas de telles nouvelles. Si quelqu'un dispose de données sur les amendes pour violation du 152-FZ après les modifications du 13.11 du Code administratif, vous pouvez partager ces informations dans les commentaires.

Il convient de noter tout de suite que le texte original du projet de loi visant à modifier l'article 13.11 du Code des infractions administratives de la Fédération de Russie prévoyait initialement des amendes plus importantes, par exemple lorsque, en conséquence, l'amende maximale était fixée à 75 000 roubles, il était initialement prévu de punir jusqu'à 300 000 roubles. C'est solide, mais les montants pour violation du RGPD sont encore loin. Mais, malgré le fait que le montant des amendes en conséquence ait considérablement diminué, malheureusement, certains vendeurs de services de protection des données personnelles essaient toujours d'intimider avec le chiffre "300 000". Soyez vigilant.

Nous étions donc convaincus que la probabilité accrue d'une inspection imprévue et les amendes multipliées pour violation du 152-FZ ne sont pas mauvaises du tout, alors encouragez-vous à être prêt à être vérifié à tout moment. Voyons ce que nous devons faire pour cela.

Types de chèques

Avant de passer aux étapes immédiates de la préparation des inspections, voyons quels types d'inspections ont lieu et comment se déroule un audit type.

En général, les chèques peuvent être divisés en 2 types: documentaire et terrain.

Contrôles documentaires

Une vérification documentaire commence le plus souvent par le fait qu'une lettre arrive à l'organisation du service ILV local avec toute exigence. Si votre organisation, par exemple, n'a pas soumis de notification concernant son inclusion dans le registre des opérateurs de données personnelles, il vous sera peut-être rappelé que ce serait bien de déposer cette notification. La loi l'exige. Ou justifiez pourquoi votre organisation peut traiter des données personnelles sans préavis (un certain nombre d'exceptions sont prévues dans 152-FZ). Si votre organisation a néanmoins soumis une notification, il peut vous être rappelé que de nouveaux champs apparaissent de temps à autre dans le registre et doivent également être remplis. Par exemple, il est nécessaire d'indiquer l'emplacement du centre de données et s'il est loué ou propriétaire. Et oui, la base de données 1C sur l'ordinateur du chef comptable dans la compréhension de Roskomnadzor est un centre de données.


Vous pouvez également être invité à envoyer des copies de documents réglementant la protection des données personnelles dans l'organisation par courrier - commandes, instructions, modèle de menace, et c'est tout.

Donc, vous avez reçu une telle lettre de Roskomnadzor, que dois-je faire?

En fait, il est plus facile de dire ce qu'il ne faut absolument pas faire - ignorer ces lettres. Malheureusement, dans la pratique, beaucoup le font. Quelqu'un oublie de répondre, quelqu'un ne sait pas quoi écrire en réponse et ne répond pas, et quelqu'un espère qu'ils seront oubliés et que tout tombera de lui-même sur les freins. Non, ils n'oublieront pas, pas dans ce cas.

Peut-être que certains départements ont une telle pratique courante - écrivez une lettre à l'organisation «pour le spectacle» et oubliez-la, mais pas avec l'ILV. Par conséquent, il est conseillé de répondre dans le délai spécifié dans la lettre, faute de quoi l'organisation sera punie en vertu de l'article 19.7 du Code administratif de la Fédération de Russie «Défaut de soumission ou de soumission intempestive d'informations à un organisme public». Vous pouvez vous rendre sur le site de votre département régional de Roskomnadzor (% number _region% .rkn.gov.ru) dans la section "News". En 2016, une bonne moitié de l'actualité a été consacrée à la responsabilisation des personnes morales en vertu du même article du Code des infractions administratives de la Fédération de Russie. De plus, dans chaque actualité, jusqu'à 10 à 15 organisations pourraient apparaître. Maintenant, il y a aussi de telles nouvelles, mais moins, cela est probablement dû au fait que l'ILV lui-même a commencé à envoyer des «lettres de bonheur» moins activement.

L'amende sur le code administratif de la Fédération de Russie du 19.7 est faible - 3-5 mille roubles, mais ici, vous devez vous rappeler qu'après avoir payé l'amende, les informations demandées dans la lettre d'origine devront toujours être fournies.


Si quelque chose n'est pas clair sur le contenu de la lettre qui vous est envoyée, à la fin, l'exécuteur testamentaire et ses coordonnées sont généralement indiqués. Vous pouvez toujours appeler et clarifier ce que le régulateur attend toujours de vous.

En ce qui concerne les vérifications documentaires, il n'y a peut-être rien à ajouter, passons aux sorties éducatives.

Vérifications sur le terrain

D'après le nom lui-même, il devient déjà clair que les inspecteurs seront au moins deux à trois fois sur votre territoire. D'après notre expérience, nous pouvons dire que le processus de vérification ressemble à ceci:

• les inspecteurs viennent à l'organisation, se familiarisent avec le chef, lui donnent un avis de vérification, font une entrée dans le journal d'audit de l'entité juridique par les autorités de régulation (d'ailleurs, l'absence d'un tel journal est déjà une violation);
• ensuite, les représentants de l'ILV sont invités à fournir la documentation disponible dans l'organisation pour la protection des données personnelles, et ici vous traînez toute cette montagne de documents - ordonnances, instructions, réglementations, politiques, modèle de menace;
• en examinant rapidement la composition des documents, les inspecteurs leur demandent soit de fournir une salle où ils les étudieront, soit de demander des copies de toute la documentation et de partir pour leur bureau pour étudier les informations que vous avez fournies;
• au cours de la familiarisation avec les documents, des questions peuvent se poser concernant leur contenu ou souhaiter y apporter des modifications;
• un des jours d'inspection, les représentants de l'ILV traverseront certainement les bureaux où les données personnelles sont traitées, examineront les lieux de stockage des PD sur papier - armoires, coffres-forts, étagères (ici, vous serez probablement fait allusion à la nécessité d'acheter des armoires en fer verrouillables si les PD sont stockés différemment ), peut également voir le système d'information;
• à la fin, les inspecteurs font une entrée dans le même journal d'audit sur les résultats de l'audit (que des commentaires aient été identifiés ou non) et un acte est émis sur la base des résultats de l'audit.

Ici, peut-être, il vaut la peine de parler de ce dont vous devez vous souvenir lors de l'inspection sur place.

Premièrement, en aucun cas vous n'avez besoin d'aller avec ceux qui vérifient les conflits et interfèrent d'une manière ou d'une autre avec le processus de vérification («perdez» la clé du bureau avec des documents et des trucs similaires). Oui, les examinateurs peuvent également se tromper. Un exemple frappant d'une telle erreur liée à l'enthousiasme excessif pour les interdictions de tout et de tout s'est passé dans notre territoire Primorsky en 2015-2016. Personne n'a annulé le syndrome du gardien, et des demandes complètement illégales et déraisonnables peuvent être faites pendant le processus de vérification. Mais cela n'annule pas les règles simples de la communication humaine. Si vous n'êtes pas d'accord avec quelque chose, exprimez-le calmement, demandez un lien vers la législation, ce qui est la raison de l'exigence douteuse.

Deuxièmement, quelles que soient les réclamations des inspecteurs lors de l'audit, il importe uniquement ce qui sera écrit dans la loi suite aux résultats de l'audit. Je vais donner un exemple simple, sur l'un des contrôles, les représentants de l'ILV ont affirmé qu'il était nécessaire de séparer les systèmes d'information sur les données personnelles «Comptabilité» et «Personnel» et de les décrire séparément dans les documents, respectivement. Cette exigence n'est absolument pas étayée par la loi, et la définition de l'ISPD du 152-FZ n'interdit pas l'unification des systèmes d'information et les décrit comme nous le souhaitons. Nous pouvons combiner un système documentaire avec des données médicales avec les mêmes responsables du personnel dans un établissement médical, et dire que nous avons un ISPD. Certes, dans ce cas, il faut se rappeler que les cadrubs devront probablement être protégés à un niveau plus élevé de sécurité des données personnelles, qui sera déterminé pour une partie du système d'information avec des médicaments. Mais il n'est pas du tout correct de séparer la comptabilité du personnel et pour chaque système de produire des montagnes d'ordres, d'instructions et de modèles de menace séparément, même du point de vue du bon sens. Donc, l'essentiel de cette histoire est que dans la loi qui a suivi les résultats de l'audit, il était écrit "qu'il n'y a pas eu de violation de la loi". Et cela raye tous les commentaires verbaux illégitimes des inspecteurs.

Troisièmement, il est impératif de demander à tous ses employés impliqués dans le traitement de toutes les données personnelles ce qui est possible et ce qui ne peut pas être fait et dit pendant l'audit. Par exemple, vous pouvez traiter les données personnelles conformément aux instructions et aux règles, mais vous ne pouvez pas disperser des copies des passeports des employés sur le bureau.

Notification de l'opérateur des données personnelles

La première place dans le classement des motifs d'émission d'instructions sur la violation de la loi, selon les résultats des inspections, est indiquée par l'indication d'informations incomplètes ou fausses dans la notification de l'opérateur de données personnelles sur le portail de données personnelles ou l'absence d'une telle notification. Par conséquent, la première chose que nous devons faire est de savoir si notre cas de traitement de données personnelles relève de cas dans lesquels l'opérateur ne peut pas envoyer de notification à Roskomnadzor. Ces exceptions sont énumérées à la section 2 de l'article 22 de la loi fédérale n ° 152-FZ sur les données personnelles. Nous n'énumérerons pas tous les points, car il y en a aussi des très exotiques, mais voici les plus applicables pour la plupart des organisations:

• un avis peut être omis si les DP sont traités uniquement conformément à la législation du travail;
• une notification peut être omise si vous traitez les données personnelles des clients qui sont parties au contrat avec vous, et en même temps leurs données personnelles ne sont pas transférées à des tiers sans le consentement approprié du sujet;
• les données personnelles sont traitées uniquement dans un mode non automatisé (c'est-à-dire sans l'utilisation de la technologie informatique).

Il convient de noter qu'il y a des pièges ici. Par exemple, de nombreuses organisations, en particulier des États, mettent actuellement en œuvre des projets salariaux pour transférer les roubles gagnés par le sang des employés directement sur les cartes bancaires. C'est très pratique pour les employeurs et les employés, et la banque est également bénéfique. Mais lors de la mise en œuvre d'un tel projet, quoi qu'on en dise, vous devez transférer les données de vos employés à la banque. Et un tel transfert de données personnelles à des tiers n'est plus réglementé par la législation du travail, ce qui signifie que la première exclusion de la liste ci-dessus ne fonctionne pas, il est donc nécessaire de soumettre une notification sur le traitement des données personnelles à Roskomnadzor.

Comment vérifier une notification dans le registre et que faire ensuite

De plus, quel que soit le résultat que nous avons obtenu à l'étape précédente, vous devez vérifier s'il existe une entrée concernant votre organisation dans le registre des opérateurs de données personnelles . Ici, vous pouvez facilement trouver une entrée dans le registre par nom ou NIF de l'organisation.

Ensuite, vos actions devraient ressembler à ceci.

Si l'organisation est sujette à des exceptions et qu'il n'y a pas de notification - excellent, ça devrait l'être! Nous ne faisons rien.

Si l'organisation est soumise à des exceptions, mais l'avis est dans le registre. Eh bien, peut-être que quelqu'un, il y a quelques années, par exemple, sur les instructions d'un directeur à la retraite, a envoyé cet avis. Mais cela peut être corrigé. Il existe une procédure pour exclure les organisations du registre des opérateurs de DP. Pour ce faire, il vous suffit d'écrire une lettre au bureau territorial de Roskomnadzor indiquant le numéro de notification et une description des raisons pour lesquelles votre organisation n'est pas tenue d'être inscrite au registre des opérateurs de données personnelles. Ensuite, dans la même lettre, veuillez supprimer l'entrée correspondante du registre. Nous attendons 30 jours. Nous vérifions. Si le dossier reste dans le registre, nous appelons Roskomnadzor et vérifions si votre lettre a été reçue et établie.

Si l'organisation ne relève pas de l'exception, mais qu'il n'y a pas de notification dans le registre, nous allons de toute urgence remplir une notification ! Pourquoi de toute urgence? Oui, car conformément à la loi, un avis doit être rempli avant le début du traitement des données personnelles, si ce traitement ne relève pas toutes des mêmes exceptions à l'article 22 de la loi n ° 152- «Sur les données personnelles». L'un des articles suivants est prévu sur la façon de remplir correctement et avec compétence une notification à partir de zéro ou de mettre à niveau une notification existante.

Eh bien, la dernière option: l'organisation ne relève pas de l'exception, mais il y a une notification dans le registre. Je voudrais écrire ici, comme dans le premier cas, que rien ne doit être fait, mais non. Ce n'est pas pour rien que j'ai dit ci-dessus qu'en plus de l'absence de notification en tant que telle, l'une des raisons courantes d'une prescription fondée sur les résultats de l'inspection et de la condamnation à une amende en vertu de l'article 13.11 du Code des infractions administratives de la Fédération de Russie est l'incohérence des données de la notification avec ce qui se passe réellement. Par exemple, toutes les catégories de données personnelles traitées ne sont pas indiquées ou les mesures visant à garantir la sécurité des données personnelles ne sont pas indiquées. Il peut y avoir plusieurs raisons à cet écart, mais en voici deux principales:

• l'avis est rempli depuis longtemps et l'organisation a vraiment changé depuis lors de nombreuses conditions de traitement des données personnelles;
• l'avis a été rempli pour un contrôle sans une analyse appropriée de la situation et la collecte d'informations.

Dans de tels cas, un formulaire de modification d'un avis existant est fourni sur le portail de données personnelles.

Après avoir rempli le formulaire de modification (ou de notification initiale), il est nécessaire d'imprimer le document résultant, de le signer, de le tamponner (le cas échéant) et de l'envoyer dans une lettre analogue à l'administration territoriale de Roskomnadzor. Ce n'est que sur la base d'une lettre papier qu'une entrée sera effectuée dans le registre ou des modifications seront apportées à une entrée existante.

Documentation de vérification

Je voulais quitter ce moment solennel à la fin de l'article. Mais ce qui est déjà là, puisque nous avons déjà commencé à parler d'un ensemble de documentation nécessaire, voici un lien vers notre ensemble de modèles . L'archive contient 4 dossiers et le modèle «Threat Models». Ici, nous ne parlerons que des documents des dossiers Général et PDN. «Général» - ce sont des documents qui peuvent être utilisés plus ou moins pour tous les systèmes d'information, et «PDN» est une partie purement Roskomnadzor. Une description complète de la composition des documents dans les archives peut être consultée sur notre site Web .

L'article s'est avéré assez volumineux, par conséquent, nous n'analyserons pas ici les exigences spécifiques d'un document particulier (ou d'une section de document). Ceci est un sujet pour un article séparé. Passons en revue les points généraux.

Composition des documents

Donc, tout d'abord, le spécialiste qui a été chargé de préparer le prochain audit pose la question - quels documents sont nécessaires en général. Le spécialiste se tourne vers la législation et ... Ne trouve presque rien d'utile. Enfin, ce n'est pas du tout direct. Oui, probablement, un spécialiste tombera sur un décret du gouvernement de la Fédération de Russie en date du 21 février 2012 n ° 211 et dira: "Eh bien, vous aviez tort, maintenant, il y a une liste de documents!" Oui. Seul un spécialiste attend une sorte de piège. Si vous obtenez uniquement des documents de cette liste, l'organisation recevra une commande basée sur les résultats de l'audit, car la liste ne couvre même pas une petite partie des exigences de la loi. De plus, dans la liste, il y a des absurdités telles que, par exemple, la nécessité d'approuver séparément la liste des ISPDn. Pourquoi devons-nous créer un document séparé alors qu'il est possible de répertorier ISPDn dans le "Règlement sur le traitement et la protection des ISPDn" ou dans la "Politique de sécurité de l'information" - ce n'est pas clair. Enfin, la résolution n ° 211 ne s'applique qu'aux autorités étatiques et municipales, elle n'est donc pas applicable à la plupart des opérateurs de DP. Et, soit dit en passant, dans notre ensemble de documents par le décret 211, il n'y en a pas, car la plupart des problèmes sont donc pris en compte dans d'autres documents.

Eh bien, voyons ce que nous avons dans la loi.

La loi fédérale «sur les données personnelles» ne parle directement que de la nécessité de développer un «modèle de menaces pour la sécurité» (bien qu'il ne soit pas dit directement qu'il est également directement indiqué dans la loi qu'il est nécessaire d'identifier les menaces à la sécurité des données personnelles) et de la publication d'une «politique concernant le traitement des données personnelles». données. "

Nous pouvons également écrire plus en détail sur le processus de développement du modèle de menace dans l'un des articles suivants.

Tout le reste est ambigu, quelque chose comme ceci:

… , , :

1) , , ;

2) , , , , , , , , ;
...
4) () , , , ;

Et ainsi de suite. , 152- : , , , , , . , . ! — .

, – , . «», . « » , , , , .

, . « », « ...» « ...». .

, , ? . , , . :

• , , , . , .
• ( , ) .
• . , .
• . , . , . . . – .
• 9 « ». , , , . , . « ». , , .
• . , , .

, « ». . , , .

Conclusion

, , .

1. . , . , .
2. , , , . . .
3. .
4. . / . , .
5. ( , - ).
6. .
7. .
8. , , .
9. . .

, , , . , – .

! 20 22 FortiGate. . , , .