如何在俄罗斯联邦处理违约概率而不违反法律

在我们的博客中，我们经常涉及与处理个人数据有关的问题。 我们讨论了与欧洲GDPR法规生效相关的变化，探讨了为什么许多公司对此不准备就绪 ，还讨论了与新法律相关的社交媒体创新 。

在今天的文章中，我们决定注意在俄罗斯处理用户PD的复杂性。


/图片AJEL PD

在俄罗斯被认为是PD

在俄罗斯联邦，使用用户的个人数据受第152-FZ号“关于个人数据”的法律规范。 根据第3条 ，PD应该被理解为与特定个人（PD的主体）直接或间接相关的任何信息。 但是，不幸的是，法律没有列出可能的情况和不能视为个人数据的列表。

但是，在网络中，您可以找到由各个部门和组织编制的各种列表，以阐明情况。 例如，在堪察加地区的ILV管理站点上 ，列出了属于个人类别的数据列表：该列表包含名称，教育程度和收入水平。 各个AP运营商也会创建自己的列表。 例如，东西伯利亚运输商业银行股份公司（JSC） 大约有30个类别 。 在第17所多学科学校中， 大约40种PD由信息系统处理。

这样的法律措辞和各个组织产生的最多样的例子导致了这样一个事实，即很难确定数据是否被视为个人数据。 因此，ILV提供了一种解决方案 。 我们需要提出一个问题：这些数据是否可以使我们准确地了解它们的归属？ 例如，仅提供名字并不能理解所讨论的人的类型，但是已经提供了全名（当然，这种方法值得单独讨论）。

如何使用个人数据

第152-号法律规定 ，PD运营商是州或市政机构，法人或自然人，独立或与他人共同处理个人数据，并确定其处理目的和构成。 此类公司受该法律第5条和第6条的约束，这些条款描述了与PD用户一起工作的原则和条件。

他们说运营商必须遵守某些规则：

1. 运营商必须获得PD所有者的同意才能进行处理。 一个人应该知道他所提供的有关他自己的信息以及什么信息（例如，在“哈布雷” 上写有用于处理PD的策略，并指出了这些要点）。 同时，操作员有义务根据要求告知用户他存储了哪些数据。
2. 操作员必须遵守策略中指定的数据处理目标，即，他只能请求执行特定任务所需的数据。 禁止“以防万一”请求额外的数据。 例如，要在在线商店中注册用户帐户，您不能要求提供护照号码。 但是，如果我们谈论的是任何国家机构的资源，那么对护照数据的要求就可以成立。
3. 只要满足处理目的，就可以存储数据。 此后，操作员必须将其删除或取消个性化设置。

/ photo Cal伤亡律师 PD

如何在云端处理数据

碰巧要实现处理PD的所有要求是非常困难且耗时的。 但是，FZ-152没有说明操作员在处理数据时必须使用什么技术手段。 FZ-152 第6条第3 款规定，如果PD所有者同意，他可以委托他人处理PD。

因此，许多公司的任务是满足外包法律的要求：例如，提供Cloud FZ-152服务的云提供商。 它允许您使用全套管理（和技术）PD保护机制来租用基础架构。

但是，在这种情况下，也要记住一些细微差别。 首先，您需要与云提供商签署协议，其中指明数据处理的目标，针对PD采取的操作的列表以及对其进行保护的机制。 此外，应根据《 PD法》第19条所述的规则建立一套保护措施。

此外，重要的是确定合同中的责任范围：运营商对此负责，而提供商则对此负责。

为此，操作员必须：

1. 确定信息系统PD的安全级别；
2. 了解他将能够从第19条中提供哪些安全措施，以及哪些安全措施应委托给提供者；
3. 在信息系统的自身部分中建立实际威胁的模型，并对其实施必要的安全措施。

反过来，云提供商应执行以下操作：

1. 获得通信部的许可证（如果运营商计划传输数据或使用远程信息处理服务），以及FSB和FSTEC；
2. 了解什么会威胁云中的数据并尽可能地对其进行保护；
3. 帮助客户在客户端实施安全措施，并为他提供机会部署其他安全工具（使用PaaS或IaaS）。

重要的是要记住，运营商还获得了处理用户个人数据的同意-这不包括在云提供商的职责列表中。 这项要求在联邦法第六条第三和第四款中有明确规定 。 因此，PD所有者对提供商行为的责任在于运营商。

但是，提供者应对其对操作员的行为负责。 例如，提供者未履行合同条款并泄露了PD。 PD所有者对此非常不满意。 在这种情况下，提供者将对操作者以及操作者-对受影响人员的后果负责。

为了最大程度地减少不愉快情况的发生，选择云提供商时，运营商应从提供商那里索取一份文件，以确认审核是否符合声明的安全级别。 还值得让他展示一个保护选定的云部分免受潜在威胁的模型，并评估备份和还原数据的方法。

违反PD工作规则的处罚

去年7月，一项新的《联邦法》生效，根据该法，俄罗斯违反处理个人数据法的罚款从1卢比到75,000卢布不等 。 例如，未经用户同意而处理PD的罚款，个人为3至5,000卢布，法人为30至75,000卢布。 拒绝向PD所有者提供有关其数据处理方式的信息，可能会剥夺法人实体20到4万卢布的收入。

在某些情况下，公司会因处理PD违规而被罚款。 例如， TGYUK LLC案 ，该公司对保密协议未附加在其网站上的反馈表中的事实承担责任。

如何处理违规行为而不违法

对于任何收集，处理，存储PD或将其委托给他人的操作的人员，评估所有这些过程是否符合法律规定，这一点很重要。 为此，我们建议使用以下清单：

• 向Roskomnadzor注册为PD运营商。
• 定义处理PD的目的，并且不要“出于其他目的”使用用户数据（例如，您不应在用户通讯中将用户包括通过电子邮件共享的股票信息，但他不同意接收）。
• 警告用户其个人数据将被处理。 得到他的同意。
• 如果您打算使用“ Cloud-152”服务，请与提供者签订适当的协议，在其中注明当事方的义务和使用用户数据的目的。
• 实施152号联邦法律第19条规定的保护措施。
• 检查系统中是否有过时或不完整的客户数据。 它们需要删除或匿名化。
• 此外，指导公司人员处理用户PD的复杂性。

这将突出潜在的弱点，实施缺少的保护措施，并避免罚款或潜在的诉讼。

---

来自第一家公司IaaS博客的PS相关内容：

• 从俄罗斯监管机构的角度来看，什么与个人数据有关
• 处理个人数据的原则：法律规定
• 个人数据保护：欧洲方法

PPS我们在Habré博客上的其他文章：

• “根据GDPR”：社交网络如何更改隐私政策
• 错过了最后期限，或者为什么一半以上的公司未准备好进行GDPR
• 欧盟版权改革将如何改变网络

---

IT-GRAD公司的主要活动是提供云服务：

虚拟基础架构（IaaS） | PCI DSS托管 | 云FZ-152 | 在云端租用1C

---