Como se preparar para a verificação do ILV sobre dados pessoais: um guia completo

Sobre nós

Bom dia, Habr! Somos uma empresa do Centro de Informações. Nossa direção principal é a segurança da informação (também é segurança da informação). No SI, estamos envolvidos em quase tudo: auditoria, design de sistemas de segurança, certificação, conformidade, pentests, temos nosso próprio SOC, até trabalhamos com segredos de estado. Como estamos em Vladivostok, inicialmente trabalhamos mais no Território de Primorsky e nas regiões do Extremo Oriente do país, mas recentemente a geografia de nossos projetos nos levou a ficar impensáveis ​​na época em que a fronteira foi fundada.

Em nosso primeiro artigo, gostaríamos de considerar um lado da segurança das informações como conformidade (conformidade em inglês - conformidade, conformidade). E falaremos sobre o que precisa ser feito para cumprir totalmente a legislação russa sobre dados pessoais.

O que há de novo na legislação?

Muitos artigos foram escritos sobre o tópico de verificações na proteção de dados pessoais e muitos deles foram publicados antes de 2015. Para entrar de alguma forma nas realidades reais, é necessário primeiro analisar o que mudou nos últimos anos na legislação.

242-FZ

Primeiro, vamos relembrar o notório 242-FZ. Em 2015, ele fez muito barulho devido à necessidade de localizar os dados pessoais dos cidadãos da Federação Russa no território da Federação Russa. Quatro anos depois, a única vítima principal dessa lei é a rede social do LinkedIn.

Mas havia outro lado no 242-FZ que não era replicado tão ativamente na mídia.

Em 242-, houve mudanças muito importantes no contexto das verificações ILV sobre dados pessoais: as atividades da Roskomnadzor na proteção dos direitos dos titulares de dados pessoais a partir de 1º de setembro de 2015 não estão sujeitas à lei federal nº 294- “Sobre a proteção dos direitos de pessoas jurídicas e empreendedores individuais sob implementação do controle estadual (supervisão) e controle municipal. ”

O que isso significa? Para os operadores de dados pessoais, como você pode imaginar, nada de bom. Agora, como a prática já demonstrou, o número de inspeções programadas diminuiu bastante e o número de inspeções não programadas aumentou proporcionalmente. Isso também é evidenciado pelos planos de inspeção de Roskomnadzor, publicados no final de 2015 (e nos anos seguintes) no site da agência. Inspeções agendadas de dados pessoais lá - uma, duas e calculadas incorretamente, em contraste com os anos anteriores.

O principal problema das inspeções não programadas é que você não pode aprender sobre elas com uma boa margem de tempo e, como resultado, não pode se preparar da melhor maneira possível. Por exemplo, anteriormente, quando o plano de auditoria foi publicado, todos podiam baixá-lo e descobrir se a organização está nele ou não. E, de surpresa, foi possível capturar apenas as poucas organizações cuja data de verificação foi listada em janeiro-fevereiro. O restante teve a oportunidade de se preparar adequadamente, mesmo que até aquele momento nada tivesse sido feito na organização para a proteção de dados pessoais. Agora é melhor, é claro, estar pronto para verificar a Roskomnadzor em busca de dados pessoais a qualquer momento, ou seja, manter sempre pronto o conjunto atual de documentação para proteger os dados pessoais.

13.11 Código Administrativo da Federação Russa

Outra mudança legislativa importante é a alteração do artigo 13.11 do Código Administrativo da Federação Russa “Violação da legislação da Federação Russa no campo de dados pessoais” . Essas mudanças transformaram completamente a punição por violação da lei no campo da proteção de dados pessoais. Anteriormente, o artigo 13.11 não era dividido em partes e a multa máxima era fornecida no valor de 10 mil rublos para pessoas jurídicas. Agora, existem 7 partes aqui (e a expansão também está planejada), de acordo com uma delas (violação das regras para o processamento de categorias especiais de dados pessoais), a multa máxima para pessoas jurídicas é de 75.000 rublos. Além disso, quando os inspetores identificam diferentes violações - as penalidades para diferentes partes do artigo do Código de Infrações Administrativas podem teoricamente se acumular. Por que "teoricamente"? Anteriormente, nos sites dos departamentos regionais da ILV, a seção Notícias publicava constantemente notícias de que o regulador verificava condicionalmente três organizações quanto à conformidade com a legislação sobre dados pessoais, a organização n ° 1 estava bem, a organização n ° 2 era multada em 3.000 rublos, a organização n ° 3 era multada. 5 mil rublos. Foi possível coletar essas notícias em grande quantidade durante o ano e eliminar algumas estatísticas sobre multas. Agora não existe essa notícia. Se alguém tiver dados sobre multas por violação do 152-FZ após as alterações no 13.11 do Código Administrativo, você poderá compartilhar essas informações nos comentários.

Deve-se notar imediatamente que o texto original do projeto de lei para alterar o artigo 13.11 do Código de Ofensas Administrativas da Federação Russa incluía inicialmente multas mais significativas, por exemplo, onde, como resultado, a multa máxima foi fixada em 75.000 rublos, foi originalmente planejado punir até 300.000 rublos. É sólido, mas os valores por violação do RGPD ainda estão longe. Porém, apesar do fato de a quantidade de multas ter diminuído muito, infelizmente, alguns vendedores de serviços de proteção de dados pessoais ainda estão tentando intimidar o número "300.000". Seja vigilante.

Portanto, estávamos convencidos de que a probabilidade aumentada de uma inspeção não programada e as multas com aumento múltiplo por violação do 152-FZ não são nada ruins, portanto, estimule a estar pronto para ser verificado a qualquer momento. Vamos descobrir o que precisamos fazer para isso.

Tipos de cheques

Antes de avançarmos para as etapas imediatas envolvidas na preparação para as inspeções, vamos ver que tipos de inspeções acontecem e como ocorre uma auditoria típica.

Em geral, os cheques podem ser divididos em 2 tipos: documentário e campo.

Verificações documentais

Uma verificação documental geralmente começa com o fato de uma carta chegar à organização do departamento local da ILV com qualquer requisito. Se sua organização, por exemplo, não enviou uma notificação sobre sua inclusão no registro de operadores de dados pessoais, você pode ser lembrado de que seria bom registrar essa notificação. A lei exige. Ou justifique por que sua organização pode processar dados pessoais sem aviso prévio (várias exceções são fornecidas em 152-FZ). Se, no entanto, sua organização enviou uma notificação, você pode ser lembrado de que novos campos aparecem periodicamente no registro e que eles também precisam ser preenchidos. Por exemplo, é necessário indicar a localização do data center e se ele é alugado ou possui. E sim, o banco de dados 1C no computador do contador principal no entendimento de Roskomnadzor é um data center.


Você também pode ser solicitado a enviar cópias de documentos que regulam a proteção de dados pessoais na organização por correio - pedidos por correio, instruções, um modelo de ameaça e isso é tudo.

Então, você recebeu uma carta desse tipo de Roskomnadzor, o que devo fazer?

De fato, é mais fácil dizer o que absolutamente não deve ser feito - ignorar essas cartas. Infelizmente, na prática, muitos fazem exatamente isso. Alguém esquece de responder, alguém não sabe o que escrever em resposta e não responde, e alguém espera que eles sejam esquecidos e que tudo aconteça sozinho. Não, eles não esquecerão, não neste caso.

Talvez alguns departamentos tenham essa prática em comum - escreva uma carta para a organização "para exibição" e esqueça-a, mas não com a ILV. Portanto, é aconselhável responder dentro do prazo especificado na carta, caso contrário, a organização será punida nos termos do artigo 19.7 do Código Administrativo da Federação Russa “Falha no envio ou envio prematuro de informações a um órgão estatal”. Você pode acessar o site do departamento regional de Roskomnadzor (% number _region% .rkn.gov.ru) na seção "Notícias". Em 2016, boa parte das notícias foi dedicada a responsabilizar as pessoas jurídicas de acordo com o mesmo artigo do Código de Ofensas Administrativas da Federação Russa. Além disso, em cada notícia, até 10 a 15 organizações podem aparecer. Agora, também existem essas notícias, mas menos, isso é provavelmente devido ao fato de o próprio ILV ter começado a enviar “cartas de felicidade” de maneira menos ativa.

A multa no Código Administrativo da Federação Russa de 19,7 é pequena - de 3 a 5 mil rublos, mas é preciso lembrar que, depois de pagar a multa, as informações solicitadas na carta original ainda deverão ser fornecidas.


Se algo não estiver claro sobre o conteúdo da carta enviada a você, no final, o executor da carta e suas informações de contato são geralmente indicados. Você sempre pode ligar e esclarecer o que o regulador ainda deseja de você.

Sobre as verificações documentais, talvez, não há nada a acrescentar, vamos para viagens de campo.

Verificações de campo

Pelo próprio nome, já fica claro que os inspetores estarão pelo menos duas a três vezes em seu território. Em nossa experiência, podemos dizer que o processo de verificação é algo como isto:

• os inspetores chegam à organização, familiarizam-se com o chefe, notificam-no de verificação, fazem uma entrada no diário de auditoria da entidade legal pelas autoridades reguladoras (a ausência de tal diário, a propósito, já é uma violação);
• então, pede-se aos representantes da ILV que forneçam a documentação disponível na organização para a proteção de dados pessoais, e aqui você está arrastando toda essa montanha de documentos - pedidos, instruções, regulamentos, políticas, modelo de ameaça;
• examinando rapidamente a composição dos documentos, os inspetores solicitam que eles providenciem uma sala onde os estudem ou solicitam cópias de toda a documentação e vão para seus escritórios estudar as informações que você forneceu;
• no processo de familiarização com os documentos, podem surgir dúvidas sobre seu conteúdo ou desejos de fazer alterações neles;
• em um dos dias de inspeção, os representantes da ILV definitivamente passarão pelos escritórios onde os dados pessoais são processados, examinarão os locais para armazenar PDs em papel - armários, cofres, prateleiras (aqui você provavelmente terá a dica da necessidade de comprar armários de ferro com chave, se os PDs forem armazenados de alguma maneira diferente ), também pode ver o sistema de informação;
• no final, os inspetores fazem uma entrada no mesmo diário de auditoria sobre os resultados da auditoria (se comentários foram identificados ou não) e um ato é emitido com base nos resultados da auditoria.

Aqui, talvez, valha a pena falar sobre o que você precisa lembrar durante a inspeção no local.

Em primeiro lugar, em nenhum caso você precisa ir com aqueles que verificam se há conflito e de alguma forma interferem no processo de verificação ("perder" a chave do escritório com documentos e truques semelhantes). Sim, os revisores também podem estar errados. Um exemplo vívido desse erro está relacionado ao excessivo entusiasmo pelas proibições de tudo e de tudo que aconteceu em nosso Território de Primorsky em 2015-2016. Ninguém cancelou a síndrome do cuidador, e demandas completamente ilegais e irracionais podem ser feitas durante o processo de verificação. Mas isso não cancela as regras simples da comunicação humana. Se você não concordar com algo, expresse-o com calma, solicite um link para a legislação, que é o motivo do requisito duvidoso.

Em segundo lugar, não importa quais reivindicações serão feitas pelos inspetores durante a auditoria, é importante apenas o que será escrito no ato após os resultados da auditoria. Vou dar um exemplo simples: em uma das verificações, os representantes da ILV alegaram que era necessário separar os sistemas de informações de dados pessoais “Contabilidade” e “Pessoal” e descrevê-los separadamente nos documentos, respectivamente. O requisito não é totalmente suportado por lei e a definição de ISPD de 152-FZ não proíbe a unificação de sistemas de informação e os descreve como nós mesmos queremos. Podemos combinar um sistema documental com dados médicos com os mesmos gerentes de pessoal de uma instituição médica e dizer que temos um ISPD. É verdade que, nesse caso, deve-se lembrar que provavelmente os cadrubs precisarão ser protegidos em um nível mais alto de segurança de dados pessoais, que será determinado para parte do sistema de informações com medicamentos. Mas não é certo separar a contabilidade da equipe e para cada sistema produzir montanhas de pedidos, instruções e modelos de ameaças separadamente, mesmo do ponto de vista do senso comum. Portanto, o principal nesta história é que no ato após os resultados da auditoria foi escrito "não houve violações da lei". E isso risca todos os comentários ilegítimos verbais dos inspetores.

Em terceiro lugar, é imperativo instruir todos os seus funcionários envolvidos no processamento de quaisquer dados pessoais o que é possível e o que não pode ser feito e dito durante a auditoria. Por exemplo, você pode processar dados pessoais de acordo com as instruções e regras, mas não pode espalhar cópias dos passaportes dos funcionários na área de trabalho.

Notificação do operador de dados pessoais

O primeiro lugar no ranking dos motivos para a emissão de instruções sobre violação da lei, de acordo com os resultados das inspeções, é indicado pelas informações incompletas ou falsas na notificação do operador de dados pessoais no portal de dados pessoais ou na ausência de tal notificação. Portanto, a primeira coisa que precisamos fazer é descobrir se nosso caso de processamento de dados pessoais se enquadra nos casos em que o operador não pode enviar uma notificação à Roskomnadzor. Tais exceções estão listadas na Seção 2 do Artigo 22 da Lei Federal Nº 152-FZ “Sobre Dados Pessoais”. Não listaremos todos os pontos, pois existem também muito exóticos, mas aqui estão os mais aplicáveis ​​para a maioria das organizações:

• um aviso pode ser omitido se a DP for processada apenas de acordo com a legislação trabalhista;
• uma notificação não pode ser registrada se você processar os dados pessoais de clientes que são parte do contrato com você e, ao mesmo tempo, seus dados pessoais não forem transferidos para terceiros sem o consentimento do sujeito;
• os dados pessoais são processados ​​apenas em um modo não automatizado (ou seja, sem o uso de tecnologia de computador).

Vale a pena notar que existem armadilhas aqui. Por exemplo, agora muitas organizações, especialmente as estatais, estão implementando projetos salariais para transferir rublos obtidos por sangue para os funcionários diretamente em cartões bancários. É muito conveniente para empregadores e funcionários, e o banco também é benéfico. Mas, ao implementar esse projeto, seja o que for que você diga, é necessário transferir os dados de seus funcionários para o banco. E essa transferência de dados pessoais para terceiros não é mais regulamentada pela legislação trabalhista, o que significa que a primeira exclusão da lista acima não funciona, portanto, é necessário enviar uma notificação sobre o processamento de dados pessoais à Roskomnadzor.

Como verificar se há uma notificação no registro e o que fazer a seguir

Além disso, independentemente do resultado obtido na etapa anterior, é necessário verificar se há uma entrada sobre sua organização no registro de operadores de dados pessoais . Aqui você pode encontrar facilmente uma entrada no registro por nome ou NIF da organização.

Então suas ações devem se parecer com isso.

Se a organização estiver sujeita a exceções e não houver notificação - excelente, deve ser! Nós não fazemos nada.

Se a organização estiver sujeita a exceções, mas o aviso estiver no registro. Bem, talvez alguém, alguns anos atrás, por exemplo, por instruções de um gerente aposentado, tenha enviado esse aviso. Mas pode ser consertado. Existe um procedimento para excluir organizações do registro de operadores de PD. Para fazer isso, basta escrever uma carta ao escritório territorial de Roskomnadzor indicando o número da notificação e uma descrição dos motivos pelos quais sua organização não precisa estar no registro de operadores de dados pessoais. Em seguida, na mesma carta, exclua a entrada correspondente do registro. Estamos aguardando 30 dias. Nós verificamos. Se o registro permanecer no registro, ligamos para Roskomnadzor e verificamos se sua carta foi recebida e elaborada.

Se a organização não se enquadra na exceção, mas não há notificação no registro, vamos urgentemente preencher uma notificação ! Por que urgentemente? Sim, porque por lei, um aviso deve ser preenchido antes do início do processamento de dados pessoais, se esse tratamento não se enquadrar nas mesmas exceções do artigo 22 da Lei Nº 152-FZ da Lei “Dados Pessoais”. Um dos seguintes artigos é planejado sobre como preencher corretamente e com competência uma notificação do zero ou atualizar uma já existente.

Bem, a última opção: a organização não se enquadra na exceção, mas há uma notificação no registro. , , , . , , 13.11 , . , . , :

• ;
• .

.

( ) , , ( ) . .

. , , . 4 « ». «» «». «» — , - , «» . .

, ( ) . . .

, , – . … . . , , 21.02.2012 №211 : «, , , !». , . . , , . , , . , « » « » — . , №211 , – . , , 211 , .

, , .

« » « » ( «» , , ) « ».

, , .

, :

… , , :

1) , , ;

2) , , , , , , , , ;
...
4) () , , , ;

E assim por diante , 152- : , , , , , . , . ! — .

, – , . «», . « » , , , , .

, . « », « ...» « ...». .

, , ? . , , . :

• , , , . , .
• ( , ) .
• . , .
• . , . , . . . – .
• 9 « ». , , , . , . « ». , , .
• . , , .

, « ». . , , .

Conclusão

, , .

1. . , . , .
2. , , , . . .
3. .
4. . / . , .
5. ( , - ).
6. .
7. .
8. , , .
9. . .

, , , . , – .

! 20 22 FortiGate. . , , .