Geekly articles weekly

Cara mempersiapkan cek ILV pada data pribadi: panduan lengkap



Tentang kami


Selamat siang, Habr! Kami adalah perusahaan Pusat Informasi. Arah utama kami adalah keamanan informasi (juga keamanan informasi). Dalam IS, kami terlibat dalam hampir semua hal: audit, desain sistem keamanan, sertifikasi, kepatuhan, pentest, kami memiliki SOC kami sendiri, kami bahkan bekerja dengan rahasia negara. Karena kami berbasis di Vladivostok, kami awalnya bekerja lebih banyak di Wilayah Primorsky dan di wilayah Timur Jauh negara itu, tetapi baru-baru ini geografi proyek-proyek kami telah mendorong kami semakin tak terbayangkan pada saat perbatasan didirikan.

Dalam artikel pertama kami, kami ingin mempertimbangkan sisi keamanan informasi seperti kepatuhan (kepatuhan Bahasa Inggris - kepatuhan, kepatuhan). Dan kami akan berbicara tentang apa yang perlu dilakukan untuk sepenuhnya mematuhi undang-undang Rusia tentang data pribadi.

Apa yang baru dalam undang-undang?


Banyak artikel telah ditulis dengan topik pemeriksaan perlindungan data pribadi dan banyak di antaranya diterbitkan sebelum 2015. Untuk memasuki realitas nyata, pertama-tama perlu untuk menganalisis apa yang telah berubah dalam beberapa tahun terakhir dalam undang-undang.

242-FZ


Pertama, mari kita ingat 242-FZ yang terkenal jahat. Pada 2015, ia membuat banyak kebisingan karena perlunya melokalkan data pribadi warga Federasi Rusia di wilayah Federasi Rusia. Empat tahun kemudian, satu-satunya korban utama undang-undang ini adalah jejaring sosial LinkedIn.

Tapi ada sisi lain di 242-FZ yang tidak direplikasi secara aktif di media.

Dalam 242- ada perubahan yang sangat penting dalam konteks pemeriksaan ILV pada data pribadi: kegiatan Roskomnadzor dalam perlindungan hak-hak subyek data pribadi mulai 1 September 2015 tidak tunduk pada undang-undang federal No. 294- “Tentang perlindungan hak-hak badan hukum dan pengusaha perorangan di bawah implementasi kontrol negara (pengawasan) dan kontrol kota. "

Apa artinya ini? Untuk operator data pribadi, seperti yang Anda duga, tidak ada yang baik. Sekarang, seperti yang telah ditunjukkan oleh praktik, jumlah inspeksi terjadwal telah sangat menurun dan jumlah yang tidak dijadwalkan meningkat secara proporsional. Ini juga dibuktikan dengan rencana inspeksi Roskomnadzor, yang diterbitkan pada akhir 2015 (dan pada tahun-tahun berikutnya) di situs web agensi. Pemeriksaan terjadwal atas data pribadi di sana - satu, dua dan salah perhitungan, berbeda dengan tahun-tahun sebelumnya.

Masalah utama dari inspeksi tidak terjadwal adalah bahwa Anda tidak dapat mempelajarinya dengan margin waktu yang baik dan, akibatnya, Anda tidak dapat mempersiapkan diri sebaik mungkin. Misalnya, sebelumnya, ketika rencana audit diterbitkan, semua orang dapat mengunduhnya dan mencari tahu apakah organisasi itu ada di dalamnya atau tidak. Dan yang mengejutkan adalah mungkin untuk menangkap hanya beberapa organisasi yang tanggal verifikasi terdaftar pada Januari-Februari. Sisanya memiliki kesempatan untuk mempersiapkan diri dengan baik, bahkan jika sampai saat itu tidak ada yang dilakukan di organisasi untuk melindungi data pribadi. Sekarang lebih baik, tentu saja, untuk siap memeriksa Roskomnadzor untuk data pribadi kapan saja, yaitu, untuk selalu siap dengan set dokumentasi saat ini untuk melindungi data pribadi.

13.11 Kode Administratif Federasi Rusia


Perubahan legislatif penting lainnya adalah amandemen Pasal 13.11 dari Kode Administratif Federasi Rusia "Pelanggaran undang-undang Federasi Rusia di bidang data pribadi" . Perubahan-perubahan ini sepenuhnya mengubah hukuman atas pelanggaran hukum di bidang perlindungan data pribadi. Sebelumnya, pasal 13.11 tidak dibagi menjadi beberapa bagian, dan denda maksimum diberikan dalam jumlah 10 ribu rubel untuk badan hukum. Sekarang ada 7 bagian di sini (dan perluasan juga direncanakan), menurut salah satunya (pelanggaran aturan untuk memproses kategori khusus data pribadi), denda maksimum untuk badan hukum adalah 75.000 rubel. Selain itu, ketika inspektur mengidentifikasi pelanggaran yang berbeda - hukuman untuk bagian yang berbeda dari artikel Kode Pelanggaran Administratif secara teoritis dapat bertambah. Mengapa "secara teoritis"? Sebelumnya, di situs web departemen regional ILV, bagian Berita terus-menerus menerbitkan berita bahwa regulator secara kondisional memeriksa 3 organisasi untuk kepatuhan dengan undang-undang tentang data pribadi, organisasi No. 1 baik-baik saja, organisasi No. 2 didenda 3.000 rubel, organisasi No. 3 didenda 5 ribu rubel. Adalah mungkin untuk mengumpulkan berita seperti itu di tumpukan tahun ini dan untuk menghapus beberapa statistik tentang denda. Sekarang tidak ada berita seperti itu. Jika seseorang memiliki data tentang denda karena pelanggaran terhadap 152-FZ setelah perubahan dalam 13.11 dari Kode Administratif, Anda dapat membagikan informasi ini dalam komentar.

Harus segera dicatat bahwa teks asli RUU untuk mengubah pasal 13,11 dari Kode Pelanggaran Administrasi dari Federasi Rusia awalnya termasuk denda yang lebih signifikan, misalnya, di mana sebagai akibatnya denda maksimum ditetapkan 75.000 rubel, pada awalnya direncanakan untuk menghukum sebanyak 300.000 rubel. Itu solid, tetapi jumlah pelanggaran GDPR masih jauh. Namun, terlepas dari kenyataan bahwa jumlah denda akibatnya telah sangat menurun, sayangnya, beberapa penjual layanan perlindungan data pribadi masih berusaha untuk mengintimidasi dengan jumlah "300.000". Waspada.

Jadi, kami yakin bahwa peningkatan kemungkinan inspeksi tidak terjadwal dan peningkatan denda ganda untuk pelanggaran 152-FZ sama sekali tidak buruk sehingga merangsang untuk siap diperiksa setiap saat. Mari mencari tahu apa yang perlu kita lakukan untuk ini.

Jenis-jenis Cek


Sebelum kita beralih ke langkah-langkah langsung yang terlibat dalam mempersiapkan inspeksi, mari kita lihat jenis inspeksi apa yang terjadi dan bagaimana audit tipikal berjalan.

Secara umum, cek dapat dibagi menjadi 2 jenis: dokumenter dan bidang.

Pemeriksaan dokumenter


Pemeriksaan dokumenter paling sering dimulai dengan fakta bahwa sebuah surat tiba di organisasi dari departemen ILV lokal dengan persyaratan apa pun. Jika organisasi Anda, misalnya, tidak mengirimkan pemberitahuan tentang penyertaannya dalam daftar operator data pribadi, maka Anda mungkin diingatkan bahwa akan lebih baik untuk mengajukan pemberitahuan ini. Hukum memang membutuhkan. Atau membenarkan mengapa organisasi Anda dapat memproses data pribadi tanpa pemberitahuan (sejumlah pengecualian diberikan dalam 152-FZ). Jika organisasi Anda tetap mengirimkan pemberitahuan, maka Anda mungkin diingatkan bahwa bidang baru muncul dari waktu ke waktu dalam registri dan mereka juga perlu diisi. Misalnya, perlu untuk menunjukkan lokasi pusat data dan apakah itu disewa atau dimiliki. Dan ya, basis data 1C di komputer kepala akuntan dalam pengertian Roskomnadzor adalah pusat data.

Tentang mengisi pemberitahuan
Praktik menunjukkan bahwa banyak operator data pribadi memiliki pertanyaan - bagaimana cara mengisi satu atau satu bidang notifikasi dengan benar. Kami akan berbicara sedikit tentang pemberitahuan operator data pribadi dalam artikel ini, tetapi tutorial untuk menyelesaikannya sudah menarik ke yang terpisah.

Anda juga dapat diminta untuk mengirim salinan dokumen yang mengatur perlindungan data pribadi dalam organisasi melalui pos - pesanan, instruksi, model ancaman, dan hanya itu.

Jadi, Anda menerima surat dari Roskomnadzor, apa yang harus saya lakukan?

Faktanya, lebih mudah untuk mengatakan apa yang seharusnya tidak dilakukan - untuk mengabaikan surat-surat ini. Sayangnya, dalam praktiknya, banyak yang melakukan hal itu. Seseorang lupa untuk menjawab, seseorang tidak tahu apa yang harus ditulis sebagai jawaban dan tidak menjawab, dan seseorang berharap bahwa mereka akan dilupakan dan semuanya akan turun dengan sendirinya pada rem. Tidak, mereka tidak akan lupa, tidak dalam kasus ini.

Mungkin beberapa departemen memiliki kebiasaan yang sama - menulis surat kepada organisasi "untuk pertunjukan" dan melupakannya, tetapi tidak dengan ILV. Oleh karena itu, disarankan untuk merespons dalam jangka waktu yang ditentukan dalam surat tersebut, jika tidak organisasi akan dihukum berdasarkan pasal 19.7 dari Kode Administratif Federasi Rusia "Kegagalan untuk menyerahkan atau penyerahan informasi secara tidak tepat waktu ke badan negara". Anda dapat pergi ke situs departemen regional Roskomnadzor (% number _region% .rkn.gov.ru) di bagian "Berita". Pada 2016, setengah dari berita dikhususkan untuk meminta pertanggungjawaban badan hukum di bawah artikel yang sama dari Kode Pelanggaran Administratif Federasi Rusia. Selain itu, dalam setiap berita, hingga 10-15 organisasi dapat muncul. Sekarang ada berita seperti itu juga, tetapi kurang, ini kemungkinan besar karena fakta bahwa ILV itu sendiri mulai mengirim "surat-surat kebahagiaan" secara kurang aktif.

Denda pada 19,7 Kode Administrasi Federasi Rusia kecil - 3-5 ribu rubel, tetapi di sini Anda perlu ingat bahwa setelah Anda membayar denda, informasi yang diminta dalam surat asli masih harus diberikan.

Cuplikan layar situs web Kantor Roskomnadzor di Wilayah Primorsky, 2016


Jika ada sesuatu yang tidak jelas pada isi surat yang dikirim kepada Anda, maka pada akhirnya pelaksana surat dan informasi kontaknya biasanya ditunjukkan. Anda selalu dapat menelepon dan mengklarifikasi apa yang masih diinginkan regulator dari Anda.

Tentang pemeriksaan dokumenter, mungkin, tidak ada yang perlu ditambahkan, mari beralih ke kunjungan lapangan.

Pemeriksaan Lapangan


Dari namanya sendiri, sudah menjadi jelas bahwa inspektur akan setidaknya dua sampai tiga kali di wilayah Anda. Dalam pengalaman kami, kami dapat mengatakan bahwa proses verifikasi terlihat seperti ini:

  • inspektur datang ke organisasi, berkenalan dengan kepala, memberinya pemberitahuan verifikasi, membuat entri dalam jurnal audit badan hukum oleh otoritas pengawas (tidak adanya jurnal seperti itu, omong-omong, sudah merupakan pelanggaran);
  • kemudian perwakilan ILV diminta untuk memberikan dokumentasi yang tersedia di organisasi untuk melindungi data pribadi, dan di sini Anda menyeret seluruh kumpulan dokumen ini - pesanan, instruksi, peraturan, kebijakan, model ancaman;
  • Dengan melihat sekilas pada komposisi dokumen, inspektur meminta mereka untuk memberikan ruang di mana mereka akan mempelajarinya, atau meminta salinan semua dokumentasi dan pergi ke kantor mereka untuk mempelajari informasi yang Anda berikan;
  • dalam proses pengenalan dokumen, mungkin timbul pertanyaan tentang konten mereka atau keinginan untuk membuat perubahan apa pun pada dokumen tersebut;
  • pada satu hari inspeksi, perwakilan ILV pasti akan pergi melalui kantor tempat data pribadi diproses, memeriksa tempat-tempat untuk menyimpan PD di atas kertas - lemari, brankas, rak (di sini Anda mungkin akan diisyaratkan perlunya membeli lemari besi yang dapat dikunci jika PD disimpan dengan cara yang berbeda ), dapat juga melihat sistem informasi;
  • pada akhirnya, inspektur membuat entri dalam jurnal audit yang sama tentang hasil audit (apakah komentar telah diidentifikasi atau tidak) dan tindakan dikeluarkan berdasarkan hasil audit.

Di sini, mungkin, ada baiknya berbicara tentang apa yang perlu Anda ingat selama inspeksi di tempat.

Pertama, dalam kasus apa pun Anda tidak perlu pergi dengan mereka yang memeriksa konflik dan entah bagaimana mengganggu proses verifikasi ("kehilangan" kunci ke kantor dengan dokumen dan trik sejenisnya). Ya, pengulas juga bisa salah. Contoh nyata dari kesalahan semacam itu terkait dengan antusiasme yang berlebihan terhadap pelarangan segalanya dan segala sesuatu yang terjadi di Wilayah Primorsky kami pada 2015-2016. Tidak ada yang membatalkan sindrom pengasuh, dan tuntutan yang sepenuhnya melanggar hukum dan tidak masuk akal dapat dilakukan selama proses verifikasi. Tetapi ini tidak membatalkan aturan sederhana komunikasi manusia. Jika Anda tidak setuju dengan sesuatu, ungkapkan dengan tenang, tanyakan tautan ke undang-undang, yang merupakan alasan persyaratan yang meragukan.

Kedua, tidak peduli apa klaim yang akan dibuat oleh inspektur selama audit, penting hanya apa yang akan ditulis dalam tindakan tersebut mengikuti hasil audit. Saya akan memberikan contoh sederhana, pada salah satu cek, perwakilan ILV mengklaim bahwa itu perlu untuk memisahkan sistem informasi data pribadi "Akuntansi" dan "Personil" dan menggambarkannya secara terpisah dalam dokumen, masing-masing. Persyaratan sama sekali tidak didukung oleh hukum sama sekali, dan definisi ISPD 152-FZ tidak melarang penyatuan sistem informasi dan menggambarkannya seperti yang kita inginkan. Kami dapat menggabungkan sistem dokumenter dengan data medis dengan manajer personalia yang sama di lembaga medis, dan mengatakan bahwa kami memiliki satu ISPD. Benar, dalam hal ini, harus diingat bahwa mungkin para kadub harus dilindungi pada tingkat keamanan data pribadi yang lebih tinggi, yang akan ditentukan untuk bagian dari sistem informasi dengan obat-obatan. Tetapi sama sekali tidak benar untuk memisahkan pembukuan dari personil dan untuk setiap sistem untuk menghasilkan tumpukan pesanan, instruksi dan model ancaman secara terpisah, bahkan dari sudut pandang akal sehat. Jadi, hal utama dalam cerita ini adalah bahwa dalam tindakan yang mengikuti hasil audit itu tertulis "tidak ada pelanggaran hukum." Dan ini mencoret semua komentar tidak sah verbal para inspektur.

Ketiga, sangat penting untuk menginstruksikan semua karyawannya yang terlibat dalam pemrosesan data pribadi apa yang mungkin dan apa yang tidak dapat dilakukan dan dikatakan selama audit. Misalnya, Anda dapat memproses data pribadi sesuai dengan instruksi dan aturan, tetapi Anda tidak dapat menyebarkan salinan paspor karyawan di desktop.

Pemberitahuan Operator Data Pribadi


Tempat pertama dalam peringkat alasan untuk mengeluarkan instruksi tentang pelanggaran hukum, sesuai dengan hasil inspeksi, ditunjukkan oleh indikasi informasi yang tidak lengkap atau tidak benar dalam pemberitahuan operator data pribadi di portal data pribadi atau tidak adanya pemberitahuan tersebut. Jadi hal pertama yang perlu kita lakukan adalah mencari tahu apakah kasus kami memproses data pribadi termasuk dalam kasus di mana operator tidak dapat mengirimkan pemberitahuan kepada Roskomnadzor. Pengecualian seperti itu tercantum dalam Bagian 2 Pasal 22 Undang-Undang Federal No. 152-FZ “Tentang Data Pribadi”. Kami tidak akan mencantumkan semua poin, karena ada juga yang sangat eksotis, tetapi di sini adalah yang paling berlaku untuk sebagian besar organisasi:

  • pemberitahuan dapat dihilangkan jika PD diproses hanya sesuai dengan undang-undang ketenagakerjaan;
  • pemberitahuan dapat dihilangkan jika Anda memproses data pribadi klien yang merupakan pihak dalam kontrak dengan Anda, dan pada saat yang sama data pribadi mereka tidak ditransfer ke pihak ketiga tanpa persetujuan subjek yang sesuai;
  • data pribadi diproses hanya dalam mode non-otomatis (yaitu, tanpa menggunakan teknologi komputer).

Perlu dicatat bahwa ada jebakan di sini. Sebagai contoh, sekarang banyak organisasi, terutama yang milik negara, sedang melaksanakan proyek gaji untuk mentransfer rubel yang diperoleh dari darah kepada karyawan langsung ke kartu bank. Sangat nyaman bagi pengusaha dan karyawan, dan bank juga bermanfaat. Tetapi ketika mengimplementasikan proyek seperti itu, apa pun yang dikatakan orang, Anda harus mentransfer data karyawan Anda ke bank. Dan transfer data pribadi seperti itu kepada pihak ketiga tidak lagi diatur oleh undang-undang ketenagakerjaan, yang berarti bahwa pengecualian pertama dari daftar di atas tidak berfungsi, oleh karena itu, perlu untuk mengirimkan pemberitahuan tentang pemrosesan data pribadi ke Roskomnadzor.

Cara memeriksa pemberitahuan di registri dan apa yang harus dilakukan selanjutnya


Lebih lanjut, tidak peduli hasil apa yang kami peroleh pada langkah sebelumnya, Anda perlu memeriksa apakah ada entri tentang organisasi Anda dalam registri operator data pribadi . Di sini Anda dapat dengan mudah menemukan entri dalam registri dengan nama atau TIN organisasi.

Maka tindakan Anda akan terlihat seperti ini.

Jika organisasi tunduk pada pengecualian dan tidak ada pemberitahuan - sangat baik, seharusnya! Kami tidak melakukan apa pun.

Jika organisasi tunduk pada pengecualian, tetapi pemberitahuan ada di dalam registri. Yah, mungkin seseorang beberapa tahun yang lalu, misalnya, atas instruksi seorang pensiunan manajer, mengirimkan pemberitahuan ini. Tapi itu bisa diperbaiki. Ada prosedur untuk mengeluarkan organisasi dari daftar operator PD. Untuk melakukan ini, Anda hanya perlu menulis surat ke kantor teritorial Roskomnadzor yang menunjukkan nomor pemberitahuan dan deskripsi alasan mengapa organisasi Anda tidak diharuskan berada dalam daftar operator data pribadi. Kemudian, dalam surat yang sama, harap hapus entri yang sesuai dari registri. Kami menunggu 30 hari. Kami periksa. Jika catatan tetap dalam register, kami memanggil Roskomnadzor dan memeriksa apakah surat Anda telah diterima dan berhasil.

Jika organisasi tidak termasuk dalam pengecualian, tetapi tidak ada pemberitahuan dalam registri, kami segera pergi untuk mengisi pemberitahuan ! Mengapa mendesak? Ya, karena menurut hukum, pemberitahuan harus diisi sebelum pemrosesan data pribadi dimulai, jika pemrosesan tersebut tidak termasuk dalam semua pengecualian yang sama dari pasal 22 UU No. 152- “Tentang Data Pribadi”. Salah satu artikel berikut ini direncanakan tentang cara mengisi notifikasi dari awal dengan benar dan kompeten atau memutakhirkan yang sudah ada.

Nah, opsi terakhir: organisasi tidak termasuk dalam pengecualian, tetapi ada pemberitahuan di registri. Saya ingin menulis di sini, seperti pada kasus pertama, bahwa tidak ada yang perlu dilakukan, tetapi tidak. Bukan karena tidak ada yang saya katakan di atas bahwa selain kurangnya pemberitahuan seperti itu, salah satu alasan umum untuk resep berdasarkan hasil inspeksi dan penerbitan denda berdasarkan Pasal 13.11 dari Kode Pelanggaran Administrasi Federasi Rusia adalah ketidakkonsistenan data dalam pemberitahuan dengan apa yang sebenarnya terjadi. Misalnya, tidak semua kategori data pribadi yang diproses ditunjukkan atau langkah-langkah untuk memastikan keamanan data pribadi tidak ditunjukkan. Mungkin ada banyak alasan untuk perbedaan ini, tetapi di sini ada dua alasan utama:

  • pemberitahuan telah diisi untuk waktu yang lama dan organisasi telah benar-benar berubah sejak saat itu banyak persyaratan untuk memproses data pribadi;
  • pemberitahuan itu diisi untuk pemeriksaan tanpa analisis situasi dan pengumpulan informasi yang tepat.

Untuk kasus seperti itu, formulir untuk mengubah pemberitahuan yang ada disediakan di portal data pribadi.

Setelah mengisi formulir tentang membuat perubahan (atau pemberitahuan awal), perlu untuk mencetak dokumen yang dihasilkan, menandatanganinya, mencapnya (jika ada) dan mengirimkannya dalam surat analog ke administrasi wilayah Roskomnadzor. Hanya berdasarkan surat kertas yang akan dibuat entri ke registri atau perubahan akan dibuat untuk entri yang ada.

Dokumentasi Verifikasi


Saya ingin meninggalkan momen khidmat ini di akhir artikel. Tapi apa yang sudah ada di sana, karena kita sudah mulai berbicara tentang satu set dokumentasi yang diperlukan, berikut adalah tautan ke serangkaian templat kami . Arsip berisi 4 folder dan template "Model Ancaman". Di sini kita hanya akan berbicara tentang dokumen dari folder Umum dan PDN. "Umum" - ini adalah dokumen yang dapat digunakan plus atau minus untuk sistem informasi apa pun, dan "PDN" adalah bagian murni Roskomnadzor. Deskripsi lengkap tentang komposisi dokumen dalam arsip dapat dilihat di situs web kami .

Artikel ini ternyata sangat produktif, oleh karena itu, kami tidak akan menganalisis di sini persyaratan spesifik dari suatu dokumen tertentu (atau bagian dokumen). Ini adalah topik untuk artikel terpisah. Mari kita membahas poin-poin umum.

Komposisi dokumen


Jadi, pertama-tama, spesialis yang diinstruksikan untuk mempersiapkan audit yang akan datang menimbulkan pertanyaan - dokumen apa yang dibutuhkan secara umum. Spesialis beralih ke undang-undang dan ... Menemukan hampir tidak ada yang berguna. Yah, bukan berarti itu tidak mengarahkan apa-apa sama sekali. Ya, mungkin, seorang spesialis akan menemukan sebuah keputusan dari Pemerintah Federasi Rusia tertanggal 21 Februari 2012 No. 211 dan berkata: "Ya, Anda salah, sekarang, ada daftar dokumen!" Ya ada. Hanya seorang spesialis yang menunggu semacam jebakan. Jika Anda hanya mendapatkan dokumen dari daftar ini, organisasi akan menerima pesanan berdasarkan hasil audit, karena daftar tersebut bahkan tidak mencakup sebagian kecil dari persyaratan hukum. Plus dalam daftar ada absurditas seperti, misalnya, kebutuhan untuk secara terpisah menyetujui daftar ISPDn. Mengapa kita perlu membuat dokumen terpisah ketika dimungkinkan untuk mendaftar ISPDn dalam "Peraturan tentang pemrosesan dan perlindungan ISPDn" atau dalam "Kebijakan Keamanan Informasi" - tidak jelas. Dan akhirnya, Resolusi No. 211 hanya berlaku untuk otoritas negara bagian dan kota, oleh karena itu tidak berlaku untuk sebagian besar operator PD. Dan, omong-omong, dalam set dokumen kami dengan Keputusan 211 tidak ada, karena sebagian besar masalah karenanya diperhitungkan dalam dokumen lain.

Baiklah, mari kita lihat apa yang kita miliki di undang-undang.

Undang-undang federal "Pada Data Pribadi" secara langsung berbicara hanya tentang perlunya mengembangkan "Model Ancaman Keamanan" (meskipun tidak secara langsung mengatakan bahwa itu juga secara langsung dinyatakan dalam undang-undang bahwa perlu mengidentifikasi ancaman keamanan terhadap data pribadi) dan publikasi "Kebijakan mengenai pemrosesan pribadi data. "

Kami juga dapat menulis secara lebih rinci tentang proses pengembangan Model Ancaman di salah satu artikel berikut.

Segala sesuatu yang lain bersifat ambigu, seperti ini:

… , , :

1) , , ;

2) , , , , , , , , ;
...
4) () , , , ;
Dan sebagainya.Karena tidak ada instruksi langsung untuk mengeluarkan dokumen ini atau itu, membaca dan memahami 152- mengikuti persis ini: jika ada tertulis tentang pelaksanaan pengendalian internal, maka dokumen harus dikembangkan untuk memenuhi persyaratan ini, menentukan rencana, prosedur untuk kontrol tersebut, serta tindakan atau majalah tertentu di mana hasil kontrol tercermin. Peninjau tidak puas dengan cerita bahwa Anda telah memenuhi persyaratan untuk menunjuk orang yang bertanggung jawab untuk mengatur pemrosesan data pribadi hanya dengan menunjukkan secara lisan tanggung jawab tersebut kepada salah satu karyawan. Pasti ada dokumen! Dalam kasus khusus ini, perintah untuk menunjuk orang yang bertanggung jawab.

Jika ada orang yang bertanggung jawab, maka dia seharusnya diperintahkan - untuk apa dia bertanggung jawab, dan apa hak dan kekuasaan yang dia miliki. Seringkali instruksi semacam itu disebut "resmi", yang, menurut pendapat kami, dalam banyak kasus tidak sepenuhnya benar. Memang, "orang yang bertanggung jawab untuk mengatur pemrosesan data pribadi", sebagai suatu peraturan, bukanlah posisi yang terpisah, tetapi hanya kewajiban tambahan yang ada pada satu atau beberapa karyawan lain.

Secara umum, kita perlu mempelajari secara menyeluruh undang-undang tentang perlindungan data pribadi, mencari petunjuk tentang perlunya berbagai dokumen. Pada saat yang sama, Anda dapat menulis satu "Peraturan tentang pemrosesan dan perlindungan data pribadi", atau Anda dapat membuat secara terpisah "Peraturan tentang pemrosesan ..." dan "Peraturan tentang perlindungan ...". Di sini sudah ada orang yang menyukainya.

Isi dokumen


Nah, komposisi dokumennya jelas, tapi bagaimana dengan kontennya? Dan dengan itu bahkan lebih buruk. Ada beberapa rekomendasi langka dari regulator, seperti di sini , tetapi ini lebih merupakan pengecualian. Secara umum, di sini Anda dapat memberikan rekomendasi umum seperti itu:

  • Deskripsi ISPDn, sistem perlindungan, proses teknologi untuk memproses PD dan hal-hal individual lainnya harus spesifik, yang mencerminkan gambaran nyata tentang apa yang terjadi. Jika semua ini dijelaskan oleh frasa yang terlalu umum dan abstrak, Anda dapat memperoleh keluhan dari inspektur.
  • Berbagai daftar (mata pelajaran PD, PDN sendiri) harus benar.
  • Dokumen harus terbaru. Jika seorang karyawan yang sudah lama mengundurkan diri ditugaskan untuk bertanggung jawab atas pengorganisasian pemrosesan data pribadi, ini adalah pesanan yang dijamin.
  • . , . , . . . – .
  • 9 « ». , , , . , . « ». , , .
  • . , , .

Pada akhir bagian ini, saya juga ingin meminta Anda untuk tidak dikirim ke surat-surat dari berbagai scammer yang menawarkan "set dokumen bersertifikat untuk melindungi data pribadi." Seringkali, scammers seperti itu mencoba menyamar sebagai organisasi negara dan terkadang melakukannya dengan sangat meyakinkan. Dengan membayar mereka uang, paling-paling Anda akan mendapatkan satu set cakram yang kualitasnya lebih buruk daripada yang disajikan di sini secara gratis.

Kesimpulan


Mari kita simpulkan apa yang perlu kita lakukan untuk mempersiapkan pemeriksaan ILV pada implementasi undang-undang di bidang perlindungan data pribadi dan berhasil meloloskannya.

  1. Menganalisis kebutuhan pemberitahuan operator PD. Periksa pemberitahuan, periksa kebenaran informasi dalam pemberitahuan. Buat perubahan pada pemberitahuan, jika perlu.
  2. , , , . . .
  3. .
  4. . / . , .
  5. ( , - ).
  6. Untuk membiasakan semua karyawan yang terlibat dengan dokumentasi yang dikembangkan.
  7. Isi log.
  8. Untuk menginstruksikan karyawan mereka bahwa inspektur tidak perlu bicara terlalu banyak dan bahwa mereka tidak perlu menyebarkan dokumen dengan PD di seluruh kantor.
  9. Berperilaku benar dengan pengulas. Ekspresikan kesiapan Anda untuk memperbaiki masalah kecil selama proses verifikasi.

Anda mungkin telah memperhatikan bahwa dalam artikel tersebut praktis tidak ada tentang alat keamanan informasi, fitur perlindungan teknis data pribadi, alat kriptografi. Itu benar, karena masalah ini diatur oleh badan-badan lain - FSTEC Rusia dan FSB Rusia.
Dan kami juga memiliki pusat pelatihan! Kursus berikutnya akan diadakan 20 Mei dan 22 Mei di produk FortiGate. Daftar lengkap kursus pelatihan tersedia di sini . Ya, kami berlokasi di Vladivostok, tetapi kami memiliki pengalaman luas dalam menyelenggarakan kursus di tempat.

Source: https://habr.com/ru/post/id451708/

More articles:


All Articles