Como lidar com a DP na Federação Russa e não violar a lei

Em nosso blog, costumamos abordar questões relacionadas ao trabalho com dados pessoais. Conversamos sobre as mudanças associadas à entrada em vigor do regulamento europeu GDPR , examinamos por que muitas empresas não estavam prontas para isso e também conversamos sobre as inovações das mídias sociais relacionadas à nova lei.

No artigo de hoje, decidimos observar os meandros do processamento de PD dos usuários na Rússia.


/ foto AJEL PD

O que é considerado DP na Rússia

Na Federação Russa, o trabalho com os dados pessoais dos usuários é regulamentado pela lei nº 152-FZ "Sobre dados pessoais" . De acordo com o artigo 3 , um PD deve ser entendido como qualquer informação direta ou indiretamente relacionada a um indivíduo específico (sujeito ao PD). No entanto, infelizmente, a lei não possui uma lista que indique o que é possível e o que não pode ser considerado dados pessoais.

No entanto, na rede, você pode encontrar várias listas compiladas por departamentos e organizações individuais que esclarecem a situação. Por exemplo, no site de gerenciamento de ILV para o território de Kamchatka , é fornecida uma lista de dados que se enquadram na categoria pessoal: contém o nome, a escolaridade e o nível de renda. Operadores de AP individuais também criam suas próprias listas. Por exemplo, o Banco Comercial de Transporte da Sibéria Oriental-JSC possui cerca de 30 categorias . Na escola multidisciplinar nº 17, existem cerca de 40 categorias de DP que são processadas por sistemas de informação.

Essa redação da lei e os mais diversos exemplos gerados por organizações individuais levam ao fato de que é difícil estabelecer se os dados são considerados pessoais. Portanto, o ILV oferece uma solução . Precisamos fazer uma pergunta: esses dados nos permitem entender exatamente a quem eles pertencem? Por exemplo, apenas um nome não fornece uma compreensão de que tipo de pessoa em questão, mas um nome completo já fornece (é claro, essa abordagem merece uma discussão separada).

Como trabalhar com dados pessoais

A Lei Nº 152- estabelece que o operador de PD é um órgão estadual ou municipal, pessoa jurídica ou pessoa física, independente ou em conjunto com outras pessoas, que processa dados pessoais, bem como determina os propósitos de seu processamento e composição. E essas empresas estão sujeitas aos artigos 5 e 6 da referida lei , que descrevem os princípios e condições de trabalho com os usuários de DP.

Eles dizem que os operadores devem seguir certas regras:

1. O operador deve obter o consentimento do proprietário do PD para o processamento. Uma pessoa deve saber quais informações sobre si mesma fornece e para quê (em "Habré", por exemplo, são escritas políticas para o processamento de PD , onde esses pontos são indicados). Ao mesmo tempo, o operador é obrigado, mediante solicitação, a informar o usuário sobre quais dados ele armazena.
2. O operador deve aderir às metas de processamento de dados especificadas nas políticas, ou seja, ele pode solicitar apenas os dados necessários para executar uma tarefa específica. É proibido solicitar dados extras "apenas por precaução". Por exemplo, para registrar uma conta de usuário em uma loja online, você não pode solicitar um número de passaporte. No entanto, se estivermos falando sobre o recurso de qualquer organização estatal, a solicitação de dados do passaporte pode ser justificada.
3. Os dados podem ser armazenados desde que sejam necessários para cumprir o objetivo de seu processamento. Depois disso, o operador deve removê-los ou despersonalizá-los.

/ foto Advogado de lesão corporal Cal

Como processar dados na nuvem

Acontece que cumprir todos os requisitos para processar PD é bastante difícil e demorado. No entanto, o FZ-152 não diz que meios técnicos o operador é obrigado a usar ao processar dados. A cláusula 3 do artigo 6 do FZ-152 estipula que ele pode confiar o processamento da DP a outra pessoa se o proprietário da DP der seu consentimento.

Portanto, muitas empresas atribuem a tarefa de cumprir os requisitos da lei sobre terceirização: por exemplo, para provedores de nuvem que fornecem o serviço Cloud FZ-152 . Permite alugar a infraestrutura com um conjunto completo de mecanismos administrativos (e técnicos) de proteção contra PD.

No entanto, neste caso, também há nuances a serem lembradas. Primeiro, você precisa assinar um contrato com um provedor de nuvem, no qual indica os objetivos do processamento de dados, uma lista de ações executadas no PD e mecanismos para sua proteção. Além disso, um conjunto de medidas de proteção deve ser construído de acordo com as regras descritas no artigo 19 da lei de DP .

Além disso, é importante determinar as áreas de responsabilidade do contrato: pelas quais o operador é responsável e pelas quais o fornecedor.

Para fazer isso, o operador deve:

1. Determinar o nível de segurança do PD do sistema de informação;
2. Entenda quais medidas de segurança do artigo 19 ele poderá fornecer e quais precisam ser confiadas ao fornecedor;
3. Crie um modelo de ameaças reais em seu próprio segmento do sistema de informações e implemente as medidas de segurança necessárias para sua parte.

Por sua vez, o provedor de nuvem deve fazer o seguinte:

1. Obter licenças do Ministério das Comunicações (se o operador planeja transferir dados ou trabalhar com serviços telemáticos), bem como do FSB e FSTEC;
2. Entenda o que pode ameaçar os dados na nuvem e protegê-los o máximo possível;
3. Ajude o cliente na implementação de medidas de segurança no lado do cliente e forneça a oportunidade de implantar ferramentas de segurança adicionais (usando PaaS ou IaaS).

É importante lembrar que o operador também recebe consentimento para o processamento dos dados pessoais dos usuários - isso não está incluído na lista de responsabilidades do provedor de nuvem. Este requisito está explicitado no terceiro e quarto parágrafos do artigo 6º da Lei Federal . Assim, a responsabilidade perante o proprietário do PD pelas ações do provedor cabe ao operador.

No entanto, o provedor é responsável por suas ações para o operador. Por exemplo, o provedor não cumpriu os termos do contrato e vazou o PD. Os proprietários de DP estão muito descontentes com isso. Nesse caso, o provedor será responsável pelas consequências para o operador e o operador - para as pessoas afetadas.

Para minimizar o número de situações desagradáveis, ao escolher um provedor de nuvem, o operador deve solicitar um documento ao fornecedor que confirme a auditoria quanto à conformidade com o nível de segurança declarado. Também vale a pena pedir que ele mostre um modelo de proteção de um segmento selecionado da nuvem contra ameaças em potencial, além de avaliar maneiras de fazer backup e restaurar dados.

Sanções por violação das regras de trabalho com a DP

Em julho do ano passado, entrou em vigor uma nova lei federal, segundo a qual as multas por violar a lei sobre o processamento de dados pessoais na Rússia variam de 1 a 75 mil rublos. Por exemplo, a multa pelo processamento de PD sem o consentimento do usuário é de 3 a 5 mil rublos para indivíduos e de 30 a 75 mil rublos para pessoas jurídicas. Uma recusa em fornecer ao proprietário da PD informações sobre como seus dados são processados ​​pode privar uma entidade legal de 20 a 40 mil rublos.

Já houve casos em que as empresas foram multadas por violações no campo do processamento de PD. Por exemplo, o caso da TGYUK LLC , onde a empresa foi responsabilizada pelo fato de o contrato de confidencialidade não ter sido anexado ao formulário de feedback em seu site.

Como lidar com a DP e não violar a lei

É importante que qualquer pessoa que colete, processe, armazene PD ou confie operações a outras pessoas para avaliar todos esses processos quanto à conformidade com a lei. Para fazer isso, sugerimos o uso da seguinte lista de verificação:

• Registre-se na Roskomnadzor como um operador de PD.
• Defina o objetivo do processamento do PD e não use dados do usuário "para outros fins" (por exemplo, você não deve incluir o usuário no boletim informativo com informações sobre os compartilhamentos por e-mail, que ele não concordou em receber).
• Avise o usuário que seus dados pessoais serão processados. Obtenha o consentimento dele para isso.
• Se você planeja usar o serviço “Cloud -152”, conclua um contrato apropriado com o provedor, no qual indique as obrigações das partes e a finalidade de usar os dados do usuário.
• Implementar as medidas de proteção especificadas no artigo 19 da Lei Federal 152 .
• Verifique se há dados de clientes desatualizados ou incompletos no seu sistema. Eles precisam ser removidos ou anonimizados.
• Além disso, instrua o pessoal da empresa sobre os meandros do processamento de PDs de usuários.

Isso destacará possíveis fragilidades, implementará as medidas de proteção ausentes e evitará multas ou possíveis ações judiciais.

---

Conteúdo relacionado ao PS do primeiro blog corporativo de IaaS:

• O que diz respeito aos dados pessoais do ponto de vista do regulador russo
• Os princípios do processamento de dados pessoais: o que a lei diz
• Protecção de dados pessoais: uma abordagem europeia

Outros artigos do nosso blog sobre Habré:

• “De acordo com o GDPR”: como as redes sociais alteram as políticas de privacidade
• Prazo não cumprido ou por que mais da metade das empresas não estava pronta para o RGPD
• Como a reforma dos direitos autorais da UE mudará a web

---

A principal atividade da empresa IT-GRAD é a prestação de serviços em nuvem:

Infraestrutura virtual (IaaS) | Hospedagem PCI DSS | Nuvem FZ-152 | Alugue 1C na nuvem

---