Bagaimana menangani PD di Federasi Rusia dan tidak melanggar hukum

Di blog kami, kami sering menyentuh masalah yang terkait dengan bekerja dengan data pribadi. Kami berbicara tentang perubahan yang terkait dengan berlakunya peraturan GDPR Eropa , memeriksa mengapa banyak perusahaan tidak siap untuk itu , dan juga berbicara tentang inovasi media sosial terkait dengan undang-undang baru.

Dalam artikel hari ini, kami memutuskan untuk mencatat seluk-beluk pemrosesan PD pengguna di Rusia.


/ foto AJEL PD

Apa yang dianggap PD di Rusia

Di Federasi Rusia, bekerja dengan data pribadi pengguna diatur oleh undang-undang No. 152-FZ “Tentang Data Pribadi” . Menurut Pasal 3 , PD harus dipahami sebagai informasi apa pun yang terkait langsung atau tidak langsung dengan individu tertentu (subjek PD). Namun, sayangnya, undang-undang tidak memiliki daftar yang akan menunjukkan apa yang mungkin dan apa yang tidak dapat dianggap sebagai data pribadi.

Namun, dalam jaringan Anda dapat menemukan berbagai daftar yang disusun oleh masing-masing departemen dan organisasi yang mengklarifikasi situasi. Misalnya, di situs manajemen ILV untuk Wilayah Kamchatka , diberikan daftar data yang termasuk dalam kategori pribadi: berisi nama, pendidikan, dan tingkat pendapatan. Masing-masing operator AP juga membuat daftar sendiri. Sebagai contoh, East-Siberian Transport Commercial Bank JSC memiliki sekitar 30 kategori di dalamnya . Di sekolah multidisiplin No. 17 ada sekitar 40 kategori PD yang diproses oleh sistem informasi.

Seperti kata-kata hukum dan contoh paling beragam yang dihasilkan oleh masing-masing organisasi mengarah pada kenyataan bahwa sulit untuk menentukan apakah data dianggap pribadi. Karena itu, ILV menawarkan solusi . Kita perlu mengajukan pertanyaan: apakah data ini memungkinkan kita untuk memahami dengan tepat siapa mereka? Sebagai contoh, hanya nama yang tidak memberikan pemahaman tentang orang seperti apa yang dimaksud, tetapi nama lengkap sudah memberikan (tentu saja, pendekatan ini layak dibahas secara terpisah).

Cara bekerja dengan data pribadi

Undang-Undang No. 152- menyatakan bahwa operator PD adalah badan negara atau kota, orang hukum atau alami, secara independen atau bersama-sama dengan orang lain, yang memproses data pribadi, serta menentukan tujuan pemrosesan dan komposisi mereka. Dan perusahaan semacam itu tunduk pada pasal 5 dan 6 dari hukum tersebut , yang menjelaskan prinsip dan ketentuan kerja dengan pengguna PD.

Mereka mengatakan bahwa operator harus mengikuti aturan tertentu:

1. Operator harus mendapatkan persetujuan dari pemilik PD untuk pemrosesan mereka. Seseorang harus mengetahui informasi apa tentang dirinya yang dia sediakan dan untuk apa (pada "Habré", misalnya, kebijakan untuk memproses PD ditulis, di mana poin-poin ini ditunjukkan). Pada saat yang sama, operator berkewajiban, berdasarkan permintaan, untuk memberi tahu pengguna tentang data apa yang ia simpan.
2. Operator harus mematuhi tujuan pemrosesan data yang ditentukan dalam kebijakan, yaitu, ia hanya dapat meminta data yang diperlukan untuk melakukan tugas tertentu. Meminta data tambahan "berjaga-jaga" dilarang. Misalnya, untuk mendaftarkan akun pengguna di toko online, Anda tidak dapat meminta nomor paspor. Namun, jika kita berbicara tentang sumber daya organisasi negara bagian mana pun, maka permintaan untuk data paspor dapat dibenarkan.
3. Data dapat disimpan selama diperlukan untuk memenuhi tujuan pemrosesan. Setelah ini, operator harus menghapus atau menghilangkan identitas mereka.

/ foto Cal Cedera Pengacara PD

Cara mengolah data di cloud

Kebetulan bahwa untuk mewujudkan semua persyaratan untuk memproses PD cukup sulit dan memakan waktu. Namun, FZ-152 tidak mengatakan apa arti teknis yang wajib digunakan operator saat memproses data. Klausul 3 Pasal 6 FZ-152 menetapkan bahwa ia dapat mempercayakan pemrosesan PD kepada orang lain jika pemilik PD memberikan persetujuannya.

Oleh karena itu, banyak perusahaan memberikan tugas memenuhi persyaratan undang-undang tentang outsourcing: misalnya, untuk penyedia cloud yang menyediakan layanan Cloud FZ-152 . Ini memungkinkan Anda untuk menyewa infrastruktur dengan set lengkap mekanisme perlindungan PD administratif (dan teknis).

Namun, dalam hal ini ada juga nuansa yang perlu diingat. Pertama, Anda perlu menandatangani perjanjian dengan penyedia cloud, di mana Anda menunjukkan tujuan pemrosesan data, daftar tindakan yang diambil pada PD dan mekanisme untuk perlindungan mereka. Selain itu, serangkaian tindakan perlindungan harus dibangun sesuai dengan aturan yang dijelaskan dalam pasal 19 undang-undang PD .

Selain itu, penting untuk menentukan bidang tanggung jawab dalam kontrak: yang menjadi tanggung jawab operator, dan untuk mana penyedia.

Untuk melakukan ini, operator harus:

1. Menentukan tingkat keamanan sistem informasi PD;
2. Memahami langkah-langkah keamanan apa dari Pasal 19 yang akan dapat diberikannya, dan mana yang perlu dipercayakan kepada penyedia;
3. Bangun model ancaman aktual di segmennya sendiri dari sistem informasi dan terapkan langkah-langkah keamanan yang diperlukan untuk bagiannya.

Pada gilirannya, penyedia cloud harus melakukan hal berikut:

1. Dapatkan lisensi dari Kementerian Komunikasi (jika operator berencana untuk mentransfer data atau bekerja dengan layanan telematik), serta FSB dan FSTEC;
2. Memahami apa yang dapat mengancam data di cloud dan melindunginya sebanyak mungkin;
3. Bantu pelanggan dengan penerapan langkah-langkah keamanan di sisi klien dan berikan dia kesempatan untuk menggunakan alat keamanan tambahan (menggunakan PaaS atau IaaS).

Penting untuk diingat bahwa operator juga menerima persetujuan untuk pemrosesan data pribadi pengguna - ini tidak termasuk dalam daftar tanggung jawab penyedia cloud. Persyaratan ini dijabarkan dalam paragraf ketiga dan keempat Pasal 6 Undang-undang Federal . Dengan demikian, tanggung jawab kepada pemilik PD untuk tindakan penyedia terletak pada operator.

Namun, penyedia bertanggung jawab atas tindakannya kepada operator. Misalnya, penyedia tidak memenuhi persyaratan kontrak dan membocorkan PD. Pemilik PD sangat tidak senang dengan ini. Dalam hal ini, penyedia akan bertanggung jawab atas konsekuensi kepada operator, dan operator - kepada orang-orang yang terkena dampak.

Untuk meminimalkan jumlah situasi yang tidak menyenangkan, ketika memilih penyedia cloud, operator harus meminta dokumen dari penyedia yang mengkonfirmasi audit untuk kepatuhan dengan tingkat keamanan yang dinyatakan. Juga patut memintanya untuk menunjukkan model melindungi segmen cloud yang dipilih dari potensi ancaman, serta mengevaluasi cara-cara untuk membuat cadangan dan memulihkan data.

Hukuman untuk pelanggaran aturan bekerja dengan PD

Pada Juli tahun lalu, Undang-Undang Federal yang baru mulai berlaku, yang menurutnya denda karena melanggar undang-undang tentang pemrosesan data pribadi di Rusia berkisar dari 1 hingga 75 ribu rubel. Misalnya, denda untuk memproses PD tanpa persetujuan pengguna adalah 3 hingga 5 ribu rubel untuk perorangan dan 30 hingga 75 ribu rubel untuk badan hukum. Penolakan untuk memberikan informasi kepada pemilik PD tentang bagaimana datanya diproses dapat menghilangkan badan hukum 20-40 ribu rubel.

Sudah ada kasus-kasus ketika perusahaan didenda karena pelanggaran di bidang pemrosesan PD. Sebagai contoh, kasus TGYUK LLC , di mana perusahaan dimintai tanggung jawab atas kenyataan bahwa perjanjian kerahasiaan tidak dilampirkan pada formulir umpan balik di situs webnya.

Cara menangani PD dan tidak melanggar hukum

Penting bagi siapa pun yang mengumpulkan, memproses, menyimpan PD atau mempercayakan operasi kepada mereka kepada orang lain untuk mengevaluasi semua proses ini untuk kepatuhan terhadap hukum. Untuk melakukan ini, kami sarankan menggunakan daftar periksa berikut:

• Daftarkan ke Roskomnadzor sebagai operator PD.
• Tetapkan tujuan pemrosesan PD dan jangan gunakan data pengguna "untuk tujuan lain" (misalnya, Anda tidak boleh memasukkan pengguna dalam buletin dengan informasi tentang saham melalui email, yang tidak setuju untuk diterimanya).
• Peringatkan pengguna bahwa data pribadinya akan diproses. Dapatkan persetujuannya untuk ini.
• Jika Anda berencana untuk menggunakan layanan "Cloud -152", maka akhiri perjanjian yang sesuai dengan penyedia, di mana Anda menunjukkan kewajiban para pihak dan tujuan penggunaan data pengguna.
• Terapkan langkah-langkah perlindungan yang ditentukan dalam pasal 19 UU Federal-152 .
• Periksa sistem Anda untuk data pelanggan yang usang atau tidak lengkap. Mereka harus dihapus atau dianonimkan.
• Selain itu, instruksikan personel perusahaan tentang seluk-beluk pemrosesan PD pengguna.

Ini akan menyoroti kelemahan potensial, menerapkan tindakan perlindungan yang hilang, dan menghindari denda atau potensi tuntutan hukum.

---

Konten Terkait PS dari Blog IaaS Perusahaan Pertama:

• Apa yang berkaitan dengan data pribadi dari sudut pandang regulator Rusia
• Prinsip-prinsip pemrosesan data pribadi: apa yang dikatakan hukum
• Perlindungan data pribadi: pendekatan Eropa

PPS Artikel lain dari blog kami di Habré:

• "Menurut GDPR": bagaimana jejaring sosial mengubah kebijakan privasi
• Tenggat waktu terlewat, atau mengapa lebih dari setengah perusahaan tidak siap untuk GDPR
• Bagaimana reformasi hak cipta UE akan mengubah web

---

Aktivitas utama perusahaan IT-GRAD adalah penyediaan layanan cloud:

Infrastruktur Virtual (IaaS) | Hosting PCI DSS | Cloud FZ-152 | Sewa 1C di awan

---