联邦法律“关于个人数据”第152-FZ号已在俄罗斯法律领域生效了13年。
多年以来,PD运营公司似乎经历了所有事情:认识到保护个人数据的必要性,承认甚至只有您的全名也是PD,并且不可避免地要编写二十多个组织和行政文档,甚至对建立完整的安全系统以及纸质安全性。
152-不仅提高了PD操作员的意识,而且实体本身也开始意识到他们是机密信息的所有者,并要求对其进行有效保护。
但是,尽管有PD的日常经验,但是审核之前最紧迫的问题始终是:“ Roskomnadzor到底在看什么?”
幸运的是,我们已经有了一个准备进行ILV检查的广泛实践的答案:它研究了与PD的组织防御相关的所有内容。
不幸的是,这意味着该过程并不容易且规模庞大,但却有其优点:这样的项目始终是盘点信息流和系统的绝佳时机,这将使业务流程更加透明并可以对其进行优化。 但这是在之后。 本文将根据审计描述当您找到公司时应采取的措施。
验证准备
顺便说一句,您需要尽早在计划中看到该公司:为此,现在您可以访问Roskomnadzor的网站并在该文件中找到文件``2019年中央联邦区电信,信息技术和大众传播领域联邦监督服务办公室的计划''。 如果您的法定住址位于另一个联邦地区(或者在阅读本文时,2019年已经过去),请用必要的参数替换这些参数。 如果您没有参加本年度的计划,那么大约在12月,您将可以使用下一年的计划。
由于审核的准备工作包括强制性的后续实施建议阶段,因此您需要至少在正式发布日期的6个月之前开始该流程-这样可以避免时间紧张,从而使员工分心于当前的工作(不太可能是同事)将被积极接受),并省略了必要工作中的重要方面(并且检查员不会批准)。
做好准备:当您不得不为公共利益带来暂时的麻烦时,您会发现自己陷入了两次大火之间,但是苦药有时是至关重要的,主要的是愿意将它们全部放在一起。 与检查有关的工作必须在友好的合作气氛中进行。 您的任务不是惩罚某人,而是帮助公司进行自我评估并消除违规和缺点。
为此,首先,必须向公司管理层传达事件的重要性,并要求其积极参与。 黄金有一个规则,那就是在生意中必须说出他能理解的货币语言。 好吧:俄罗斯联邦刑法第137条,140条,272条,274条和俄罗斯联邦《行政法》第13.11条,13.12条,13.25条,19.5条对违反我们利益的联邦法规定了罚款,现在由Roskomnadzor对每项违法行为处以罚款。 如果您对几百卢布或几百卢布的损失持怀疑态度,那么您的王牌就是名誉风险:冒犯的员工和客户可以在Internet上完全访问,新闻站点随时准备抓住任何小小的漏洞,并将其充斥于轰动的程度,以及竞争对手乐于帮助他们。
但是您的任务不是吓到公司的管理层,而是为他提供解决问题的方法并寻求支持。 在此阶段,您需要评估自己的实力并了解该州是否有可以吸引该项目的员工。 应当指出的是,这些员工应至少能够将80%的工作时间用于分配的任务-即 不要在人员,会计/法律活动的同时准备整个公司的验证,而要花费几乎全部时间。 在这里,我们进入了成功培训的重要条件-信息安全部门的一部分是单独负责处理和保护个人数据的员工。 这是管理此过程的最有效模型,我们认为此处节省下来是不合适的。
实施此模型有两种选择:在州内雇用一名雇员,或(或同时雇用)聘请专门从事Roskomnadzor检查工作的外部组织。
选择这样的公司-系统集成商-的主要标准是在该领域中是否存在类似的已完成项目,提供服务并详细说明工作阶段及其每个结果以及证明成本合理性的能力。 可以预料,高质量的工作将永远不会花费不菲的价格,而且持续的时间却很少。
优秀的集成商一定会为您提供完整的工作周期:从准备说服公司管理层对项目在审计过程中提供支持的需求,并帮助您准备消除违规情况的指示的答案。
无论您是否会吸引第三方组织,除预算外,高层管理人员可以帮助您的最大事情是启动全公司新闻通讯,以开始工作,并要求完全协助负责人。 必须强调的是,这是一种自我评估,而不是识别和惩罚肇事者的审计。 不幸的是,员工有时会感到恐慌和抵制,直到拒绝提供有关特定流程的急需信息。 切记:管理层的礼貌要求和对共同事业的参与的意识,是为了使所有员工的工作奇迹达到一个良好的目标。
工作的主要阶段
现在已获得绿灯,让我们经历必要的工作阶段。
准备审核的最有效方法是尽最大可能覆盖所有内容:事先不知道监管机构将关注哪些具体程序-这完全取决于Roskomnadzor分配的时间和人力资源。
在审核开始之前,公司将收到一封正式信,说明其条款和计划。 按照惯例,该过程可以分为两个部分:文件的请求和研究(我们在开始时谈论的是二十多个组织和行政文件)和直接执行者的面对面访谈:检查员完全不感兴趣坐在会议室并与部门主管沟通一个月。 几乎总是在员工的工作场所进行对话。 检查员有权要求显示系统/文件夹/邮件,以及在可用的计算机上搜索内容:他不需要提供对公司网络的访问权限,但是,他可以截取某些过程的屏幕快照。
他们肯定会检查所有公司的典型流程:通过模式(“谁来处理访客的PD?”,寻找空缺职位的候选人(“求职者的履历多长时间?”),人力资源管理(“为什么需要保留被解雇的PD?”)员工?),会计(“ PD将在什么基础上转移到银行和保险?”,与承包商的互动(“他们是否得到了处理指令?数据传输通道是否受到保护?转移信息的保护受到控制吗?”),存储和交付文件 存档(“文件不管是在立法方面?”)。
如果您的主要活动是提供服务,那么验证的范围将更加广泛:客户搜索,合同签订,服务,终止,广告。
他们可以从非典型的网站上查看公司的网站(“是否有处理和保护个人数据的政策?有关Cookie和柜台的消息?”),移动应用程序(“有数据库的人?”),作为神秘购物者到前台,检查工作呼叫中心,请求威胁模型,甚至询问有关订购名片的过程。
从哪里开始培训? 我们建议以与审核员相同的方式行事(在进行实际检查之前进行排练),唯一的不同是所有员工都准备好为您提供帮助,并且会尽一切所能告知所有缺点,这就是为什么高层管理人员参与并进行初步澄清如此重要内部审核工作突然发生的原因。
首先,仔细研究公司的组织结构(如果有的话,请参阅ISPD列表),大胆地突出典型的PD处理流程,建议除了这些领域之外还可以在其他方面进行处理,安排面试时间。 根据经验:当您已经了解所有PD处理流程时,最好将IT和信息安全部门留给以后使用。 查找公司中用于处理和保护个人数据的所有可用文档。
每次面试应花费30到60分钟:在此期间,您可以收集所有必要的信息,而无需长时间与对话者联系。 面谈是一个很好的机会,可以找出您的同事缺乏哪些东西来使工作更舒适:我们经常听到要求反思缺少碎纸机或可上锁的橱柜,以及缺乏收集和保护PD的强制性程序的描述的请求-这将有助于保护将来的预算建立或升级安全系统。
请确保在交流过程中草拟采访记录,并在之后与您的对话者进行协调。 在对话中讨论所有可能包含PD或暗示其收/发的文档,并在对话中进行了讨论-将来您需要请求和分析它们。
因此,在考试阶段结束时,您应该具有:
- 商定面试协议
- 有关PD处理和保护的所有可用有效文件
- 所有可能包括效绩数据录入,收据或转让的文件
最后
最有趣的是:编写一份调查报告,其中必须包括所有协议,每个文档的分析,每个过程的分析。 并且,由于您的工作-找到了违规清单,消除违规的建议,并指出了时间和责任。
就是这样:现在您可以松一口气,并...立即着手执行这些建议。
完成的工作是否可以保证完美的测试? 没有人可以向您保证,该过程将没有任何评论(无论如何,没有一个真正有经验的专家-可以肯定),但是您可以尽可能少地影响这些评论的数量,并且消除它们的痛苦最小。 (现在相当民主3至6个月)条款。
检查之后,请务必考虑PD保护的技术方面,支持已实施的程序和文件,进行员工培训,下次您一定会更加轻松。