Selama 13 tahun sekarang, undang-undang federal "Tentang Data Pribadi" No. 152-FZ telah berlaku di bidang hukum Rusia.
Tampaknya selama bertahun-tahun, perusahaan-perusahaan yang beroperasi PD telah melalui segalanya: baik realisasi dari kebutuhan untuk melindungi data pribadi, dan penerimaan bahwa bahkan hanya nama lengkap juga PD, dan tidak terhindarkannya menulis lebih dari dua puluh dokumen organisasi dan administrasi, dan bahkan perjanjian patuh dengan kebutuhan untuk membangun sistem keamanan lengkap bersama dengan keamanan kertas.
152- tidak hanya meningkatkan kesadaran operator PD, entitas itu sendiri juga mulai menyadari bahwa mereka adalah pemilik informasi rahasia dan menuntut perlindungannya yang efektif.
Namun, terlepas dari pengalaman sehari-hari dengan PD, pertanyaan paling penting sebelum audit akan selalu: "Apa sebenarnya yang ditonton Roskomnadzor?"
Untungnya, kami sudah memiliki jawaban yang didasarkan pada praktik ekstensif persiapan untuk inspeksi ILV: melihat semua yang terkait dengan pertahanan organisasi PD.
Sayangnya, ini berarti bahwa proses ini tidak mudah dan berskala besar, tetapi ini memiliki kelebihan: proyek seperti itu selalu merupakan kesempatan yang sangat baik untuk mengambil inventarisasi aliran informasi dan sistem, yang akan membuat proses bisnis lebih transparan dan memungkinkan untuk mengoptimalkannya. Tapi ini setelahnya. Artikel ini akan menjelaskan apa yang harus dilakukan ketika Anda menemukan perusahaan Anda dalam hal audit.
Persiapan untuk verifikasi
Ngomong-ngomong, Anda perlu melihat perusahaan dalam rencana itu sedini mungkin: untuk ini, saat ini Anda dapat mengunjungi situs web Roskomnadzor dan menemukan di sana dokumen "Rencana Kantor Layanan Federal untuk Pengawasan di Bidang Telekomunikasi, Teknologi Informasi, dan Komunikasi Massal di Distrik Federal Tengah pada 2019". Jika alamat resmi Anda terletak di distrik federal lain (atau, pada saat membaca artikel ini, 2019 sudah lewat), ganti parameter ini dengan yang diperlukan. Jika Anda tidak masuk ke dalam rencana untuk tahun berjalan, maka sekitar bulan Desember Anda sudah memiliki akses ke rencana untuk tahun berikutnya.
Karena persiapan untuk audit mencakup tahap wajib berikutnya dari rekomendasi pelaksanaan, Anda harus memulai proses setidaknya 6 bulan sebelum tanggal peluncuran resmi - ini akan membantu Anda menghindari tekanan waktu dan, sebagai akibatnya, secara aktif mengalihkan perhatian karyawan dari tugas-tugas mereka saat ini (dari rekan kerja sepertinya tidak mungkin akan diterima secara positif) dan penghilangan aspek penting dalam pekerjaan yang diperlukan (dan ini tidak akan disetujui oleh inspektur).
Bersiap-siap: Anda akan menemukan diri Anda di antara dua kebakaran ketika Anda harus membuat ketidaknyamanan sementara untuk kebaikan bersama, tetapi pil pahit kadang-kadang penting, yang utama adalah kesediaan untuk menyatukan semuanya. Pekerjaan terkait inspeksi harus dilakukan dalam suasana kerja sama yang bersahabat. Tugas Anda bukan untuk menghukum seseorang, tetapi untuk membantu perusahaan melakukan penilaian sendiri dan menghilangkan pelanggaran dan kekurangan.
Untuk ini, pertama-tama, perlu untuk menyampaikan kepada manajemen perusahaan pentingnya acara tersebut, dan meminta partisipasi aktifnya. Ada aturan untuk emas bahwa dengan bisnis perlu berbicara dalam bahasa uang yang dia mengerti. Nah: denda karena pelanggaran hukum federal yang menarik bagi kita ditunjukkan dalam Pasal 137, 140, 272, 274 KUHP Federasi Rusia dan Pasal 13.11, 13.12, 13.25, 19.5 dari Kode Administrasi Federasi Rusia, dan sekarang dikeluarkan oleh Roskomnadzor untuk setiap pelanggaran. Jika bisnis Anda skeptis dengan kerugian beberapa ratus atau jutaan rubel, maka kartu truf Anda menyebutkan risiko reputasi: karyawan dan pelanggan yang tersinggung dapat diakses sepenuhnya di Internet, situs berita siap mengambil kebocoran kecil dan menggelembungkannya hingga sensasi, dan pesaing akan dengan senang hati membantu mereka dengan ini.
Tetapi tugas Anda bukan untuk menakut-nakuti manajemen perusahaan, tetapi untuk memberinya solusi untuk masalah tersebut dan mencari dukungan. Pada tahap ini, Anda perlu mengevaluasi kekuatan Anda dan memahami apakah ada karyawan di negara bagian yang dapat tertarik pada proyek tersebut. Perlu dicatat bahwa karyawan ini harus dapat mencurahkan setidaknya 80% dari jam kerja untuk tugas yang ditugaskan - yaitu. Jangan menyiapkan seluruh perusahaan untuk verifikasi secara paralel dengan kegiatan personalia / akuntansi / hukum, tetapi mencurahkan hampir seluruh waktunya untuk itu. Dan di sini kita sampai pada suatu kondisi penting untuk pelatihan yang sukses - kehadiran dalam keadaan seorang karyawan terpisah yang bertanggung jawab atas pemrosesan dan perlindungan data pribadi, yang merupakan bagian dari divisi keamanan informasi. Ini adalah model paling efektif untuk mengelola proses ini, dan penghematan di sini, menurut kami, tidak tepat.
Ada dua opsi untuk menerapkan model ini: untuk merekrut karyawan di negara bagian atau (atau lebih baik pada saat yang sama) untuk mengundang organisasi eksternal yang berspesialisasi dalam persiapan dan dukungan inspeksi Roskomnadzor.
Kriteria utama untuk memilih perusahaan seperti itu - integrator sistem - adalah keberadaan proyek yang sama di bidang ini, kemampuan untuk menyajikan layanan dan memberi tahu secara rinci tentang tahapan kerja dan hasil masing-masing, kemampuan untuk membenarkan biaya. Diharapkan bahwa pekerjaan yang berkualitas tidak akan pernah menghabiskan biaya dengan murah dan tidak terduga hanya sedikit.
Integrator yang baik tentu akan menawarkan kepada Anda siklus kerja penuh: mulai dari kesiapan untuk meyakinkan manajemen perusahaan tentang perlunya proyek untuk mendukung selama audit dan membantu dalam mempersiapkan jawaban atas instruksi tentang menghilangkan pelanggaran setelahnya.
Terlepas dari apakah Anda akan menarik organisasi pihak ketiga atau tidak, hal terbesar yang dapat membantu manajemen puncak Anda - selain anggaran - adalah untuk memulai buletin di seluruh perusahaan tentang awal pekerjaan dengan permintaan untuk sepenuhnya membantu orang yang bertanggung jawab. Sangat penting untuk menekankan bahwa ini adalah penilaian sendiri, bukan audit untuk mengidentifikasi dan menghukum para pelaku. Sayangnya, ada kasus-kasus kepanikan dan penolakan di pihak karyawan hingga penolakan untuk memberikan informasi yang sangat dibutuhkan tentang proses tertentu. Ingat: permintaan sopan dari manajemen dan kesadaran untuk berpartisipasi dalam tujuan bersama demi tujuan yang baik dari semua keajaiban pekerjaan karyawan.
Tahap-tahap utama pekerjaan
Sekarang setelah lampu hijau diberikan, mari kita pergi melalui tahapan pekerjaan yang diperlukan.
Cara paling efektif untuk mempersiapkan audit adalah mencoba untuk mencakup semuanya dengan maksimal: tidak diketahui sebelumnya apa proses spesifik yang akan dilihat oleh regulator - itu semua tergantung pada waktu dan sumber daya personel yang dialokasikan oleh Roskomnadzor.
Sebelum memulai audit, perusahaan akan menerima surat resmi yang menunjukkan syarat dan rencananya. Secara konvensional, proses dapat dibagi menjadi dua bagian: permintaan dan studi dokumentasi (kita berbicara tentang lebih dari dua puluh dokumen organisasi dan administrasi yang disebutkan di awal) dan wawancara tatap muka dengan pelaksana langsung: inspektur benar-benar tidak tertarik untuk duduk di ruang rapat dan berkomunikasi dengan kepala departemen selama sebulan. Hampir selalu, percakapan terjadi di tempat kerja karyawan. Inspektur memiliki hak untuk meminta memperlihatkan sistem / folder / surat, serta mencari sesuatu di komputer yang berfungsi: ia tidak perlu memberikan akses ke jaringan perusahaan, namun, ia dapat mengambil tangkapan layar dari proses tertentu.
Mereka pasti akan memeriksa proses yang khas untuk semua perusahaan: mode kelulusan ("siapa yang memproses bagaimana menangani PDP pengunjung?"), Mencari kandidat untuk posisi kosong ("Berapa lama resume pencari kerja?"), Manajemen SDM ("mengapa Anda perlu menjaga PD dari mereka yang diberhentikan karyawan? "), akuntansi (" atas dasar apa PD ditransfer ke bank dan asuransi? "), interaksi dengan kontraktor (" mereka diberikan instruksi untuk diproses? Apakah saluran transmisi data terlindungi? Apakah perlindungan informasi yang ditransfer dikendalikan? "), penyimpanan dan pengiriman dokumen arsip ( "file apakah itu dari segi undang-undang?").
Jika aktivitas utama Anda adalah penyediaan layanan, maka bidang untuk verifikasi bahkan lebih luas: pencarian pelanggan, kontrak, layanan, penghentian, iklan.
Dari situs yang tidak biasa mereka dapat melihat situs web perusahaan ("apakah ada kebijakan untuk memproses dan melindungi data pribadi? Pesan tentang cookie dan penghitung?"), Aplikasi seluler ("siapa yang memiliki basis data?"), Pergi ke kantor depan sebagai pembelanja misteri, periksa pekerjaannya pusat panggilan, minta model ancaman dan bahkan tanyakan tentang proses pemesanan kartu nama.
Di mana memulai pelatihan? Kami mengusulkan untuk bertindak dengan cara yang sama sebagai peninjau (latihan yang sangat baik sebelum tinjauan yang sebenarnya), dengan satu-satunya perbedaan bahwa semua staf siap membantu Anda dan akan memberi tahu semuanya apa adanya, dengan semua kekurangannya - itulah sebabnya keterlibatan manajemen puncak dan klarifikasi awal sangat penting alasan untuk pekerjaan audit internal yang mendadak.
Pertama, pelajari dengan seksama struktur organisasi perusahaan (dan, jika tersedia, daftar ISPDs), dengan berani menyoroti proses pemrosesan PD yang khas, sarankan di mana mereka bisa berada di samping area-area ini, jadwalkan wawancara. Dari pengalaman: departemen keamanan TI dan informasi sebaiknya dibiarkan nanti, ketika Anda sudah memiliki gagasan tentang semua proses pemrosesan PD. Temukan semua dokumen yang tersedia di perusahaan untuk pemrosesan dan perlindungan data pribadi.
Setiap wawancara harus berlangsung dari 30 hingga 60 menit: selama waktu ini Anda dapat mengumpulkan semua informasi yang diperlukan tanpa mengambil lawan bicara Anda dari tugas pekerjaannya untuk waktu yang lama. Wawancara adalah kesempatan besar untuk mencari tahu apa yang kurang dimiliki rekan kerja Anda untuk membuat pekerjaan menjadi lebih nyaman: sangat sering kita mendengar permintaan untuk merenungkan kurangnya shredders atau lemari yang dapat dikunci, serta kurangnya deskripsi prosedur wajib untuk mengumpulkan dan melindungi PD - ini akan membantu melindungi anggaran di masa depan untuk membangun atau meningkatkan sistem keamanan.
Pastikan untuk menyusun notulen wawancara selama komunikasi dan mengoordinasikannya dengan teman bicara Anda sesudahnya. Cerminkan di dalamnya semua dokumen yang mungkin berisi PD atau menyiratkan tanda terima / pengiriman mereka, dan dibahas selama percakapan - di masa depan Anda perlu meminta dan menganalisisnya.
Dengan demikian, pada akhir fase pemeriksaan Anda harus memiliki:
- Protokol Wawancara yang Disetujui
- Semua dokumen valid yang tersedia tentang pemrosesan dan perlindungan PD
- Semua dokumen yang mungkin termasuk entri PD, tanda terima atau transfer mereka
Pada akhirnya
Hal yang paling menarik tetap: untuk menyusun laporan survei, di mana perlu untuk memasukkan semua protokol, analitik setiap dokumen, analitik dari setiap proses. Dan sebagai hasil dari pekerjaan Anda - daftar pelanggaran ditemukan, rekomendasi untuk penghapusannya, menunjukkan waktu dan tanggung jawab.
Itu dia: sekarang Anda bisa bernapas lega dan ... segera lanjutkan dengan pelaksanaan rekomendasi ini.
Apakah pekerjaan yang dilakukan menjamin tes yang sempurna? Tidak ada yang bisa menjanjikan kepada Anda bahwa prosesnya akan berjalan tanpa komentar tunggal (dalam hal apa pun, bukan spesialis berpengalaman yang bonafide - pasti), tetapi Anda dapat memengaruhi jumlah komentar tersebut sesedikit mungkin dan penghapusannya menjadi sangat menyakitkan di bagian yang diberikan. (cukup demokratis sekarang 3-6 bulan) syarat.
Setelah memeriksa, pastikan untuk berpikir tentang aspek teknis perlindungan PD, mendukung prosedur dan dokumen yang diterapkan, melakukan pelatihan karyawan, dan lain kali Anda pasti akan sedikit lebih mudah.