Procesamiento y almacenamiento de datos personales en la Federación Rusa. Datos personales de ciudadanos rusos y servidores en países extranjeros

Terminología de almacenamiento información personal formado más tarde.

En 2001 en Código de Trabajo El capítulo 14 apareció en Rusia, dedicado a los empleados, y 15 años después, el gobierno finalmente formó los términos para el manejo de información confidencial.

El almacenamiento de la información se refiere a la forma en que se distribuye en el tiempo y el espacio. utilizando un medio específico. La principal condición y finalidad del almacenamiento de datos es permitir el acceso permanente a los mismos o bajo demanda.

El almacenamiento de datos es parte integral procesamiento de información. Cuando un ciudadano da, se trata de recolectar, acumular, esclarecer, extraer, actualizar y almacenar información.

¿Dónde se puede almacenar en el territorio de la Federación Rusa?

Cada operador debe tener una política de privacidad incluyendo los siguientes artículos:

Electrónico

La información personal se clasifica como confidencial y, por lo tanto, debe protegerse. Para todas las operaciones con dichas declaraciones, incluido el almacenamiento, se utilizan (ISPD).

En Rusia, generalmente se dividen en cuatro categorías según la importancia y el volumen de información.

  • Categoría 1. Sistema típico de información de datos personales con declaraciones para más de 100 mil sujetos. Contiene información sobre raza, nacionalidad, opiniones políticas, religión, vida íntima y otras manifestaciones, cuya difusión tendrá un claro Influencia negativa sobre la vida de los individuos.
  • Categoría 2. El sistema contiene declaraciones personales, cuya divulgación permitirá a terceros recibir declaraciones adicionales sobre un individuo, a excepción de los datos relacionados con la primera categoría.
  • Categoría 3. Un sistema con información personal que permite identificar a un individuo.
  • Categoría 4. Proporciona almacenamiento, cuya divulgación no tendrá un impacto negativo.

El proceso de almacenamiento comienza con la creación de dicho sistema y su verificación por parte de las agencias gubernamentales rusas. Después de eso, el operador debe garantizar todos los requisitos para la protección de ingeniería de las instalaciones, el cumplimiento del sistema se verifica de acuerdo con:

  1. requisitos de seguridad contra incendios;
  2. proteccion;
  3. energía eléctrica;
  4. toma de tierra;
  5. requisitos sanitarios.

El último punto es la atestación o certificación de ISPD. Si el ISPD está listo, entonces la empresa tendrá que registrarse base legal todos los procesos con información personal que aparecerán en el sitio antes de ingresar declaraciones sobre el usuario en el formulario.

Se puede llamar cualquier cosa, por ejemplo, "Política de procesamiento de datos personales" o "Consentimiento para el almacenamiento de información personal".

Lo principal es que el cliente puede familiarizarse con él y hacer clic en el "tick", expresando así su consentimiento para proporcionar información al operador. Todo el proceso de almacenamiento de dicha información está regulado actos legislativos sobre datos confidenciales.

Está prohibido cederlos a un tercero., así como su utilización para finalidades no indicadas originalmente.

Para los operadores que trabajan con medios electrónicos, la instrucción se verá así:

  1. El acceso a los datos debe estar restringido.
  2. Transmitir información a través de canales encriptados.
  3. Tener .
  4. Mantener registros de los medios físicos, si los hubiere.
  5. Evita fugas.
  6. Almacenar por separado la información que se procesa con diferentes propósitos.
  7. información después del procesamiento después de 30 días de almacenamiento (deseable) o después de seis meses (en sin fallar).

Las empresas pueden publicar datos como mejor les parezca., incluso en las nubes modernas.

El estado regula claramente los procesos para almacenar PD, todos los operadores de dicha información deben someterse a una serie de controles y demostrar su capacidad para proporcionar información. En caso de distribución o acceso no autorizado a los datos, el operador asume responsabilidad civil, material e incluso penal.

Ciudadanía

Como se desprende de las disposiciones de las partes 2 y 3 del artículo 105 del Código del Aire Federación Rusa, el contrato de transporte aéreo de un pasajero, el contrato de transporte aéreo de mercancías o el contrato de transporte aéreo de correo se certifican, respectivamente, mediante un billete y un recibo de equipaje en caso de transporte por parte de un pasajero de equipaje, una carta de porte, una factura postal; billete, talón de equipaje, otros documentos utilizados en la prestación de servicios de transporte aéreo para pasajeros pueden ser emitidos en en formato electrónico(documento de transporte electrónico) con la colocación de información sobre los términos del contrato de transporte aéreo en el sistema de información automatizado para la emisión de transporte aéreo. Por lo tanto, para implementar las disposiciones de la ley antes mencionadas, las compañías aéreas deben procesar los datos personales de los pasajeros para redactar documentos que certifiquen la conclusión de un acuerdo de transporte aéreo.

De conformidad con el art. 85.1 del Código Aéreo de la Federación Rusa, para garantizar seguridad de la aviación los transportistas garantizan la transferencia de datos personales de pasajeros de aeronaves a bases de datos centralizadas automatizadas de datos personales de pasajeros de conformidad con la legislación de la Federación Rusa sobre seguridad en el transporte y la legislación de la Federación Rusa en el campo de los datos personales, también en el transporte aéreo internacional a organismos autorizados de estados extranjeros de conformidad con los tratados internacionales de la Federación Rusa o la legislación de los estados extranjeros de partida, destino o tránsito en la medida prevista por la legislación de la Federación Rusa, a menos que los tratados internacionales de la Federación Rusa dispongan lo contrario Federación. Al mismo tiempo, debe tenerse en cuenta que la Federación de Rusia es parte en una serie de convenciones internacionales en el ámbito del transporte aéreo, en particular, Convención de Chicago ("Convención Internacional aviación Civil” se concluyó en Chicago el 7 de diciembre de 1944, entró en vigor para la Federación Rusa el 16 de agosto de 2005 - “Colección de Legislación de la Federación Rusa”, 30/10/2006, No. 44), Convenio de Varsovia ( "Convenio para la unificación de ciertas reglas relativas al transporte aéreo internacional" concluido en Varsovia el 12 de octubre de 1929, entró en vigor para la URSS el 13 de febrero de 1933, Colección acuerdos existentes, acuerdos y convenciones celebrados por la URSS con estados extranjeros, vol. VIII, - M., 1935, pág. 326 - 339.) y la Convención de Gualadajara ( "Convenio complementario del Convenio de Varsovia para la unificación de ciertas reglas relativas al transporte aéreo internacional realizado por una persona que no es un transportista en virtud del contrato" se celebró en Guadalajara el 18 de septiembre de 1961, entró en vigor para la URSS el diciembre 21, 1983, "Vedomosti de las Fuerzas Armadas de la URSS", 15/02/1984, No. 7), que también forman parte integrante de regulacion legal actividades de los transportistas aéreos y procesos de información relacionados.

Con base en lo anterior, requisitos h.5 Artículo. 18 de la Ley Federal "Sobre Datos Personales" no se aplican a las actividades de las compañías aéreas rusas y extranjeras en términos de recopilación y procesamiento de datos personales de ciudadanos-pasajeros con el fin de reservar, emitir y emitir boletos para ellos ( billetes de viaje), recibos de equipaje y otros documentos de envío, ya que se encuentran bajo la excepción prevista en el párrafo 2 de la parte 1 del art. 6 de la Ley Federal "Sobre Datos Personales".

Requisitos H. 5 Artículo. 18 de la Ley Federal "Sobre Datos Personales" tampoco se aplican a las actividades de las personas que actúan en nombre del transportista aéreo (agente autorizado), cuyas actividades están previstas en la cláusula 6 de las Reglas Generales para el Transporte Aéreo de Pasajeros, Equipaje, Carga y los requisitos para el servicio de pasajeros, remitentes, destinatarios, aprobados por Orden del Ministerio de Transporte de Rusia No. 82 del 28 de junio de 2007 "Sobre la aprobación de las Reglas Federales de Aviación" Reglas generales transporte aéreo de pasajeros, equipaje, carga y requisitos para el servicio de pasajeros, remitentes, consignatarios", así como de otras personas, en relación con el tratamiento de datos personales de ciudadanos-pasajeros con el único fin de reservar, emitir y emitir billetes de avión (billetes de viaje ), recibos de equipaje y otros documentos de transporte, incluso en formato electrónico para vuelos nacionales e internacionales, si las actividades anteriores de estas personas están previstas por la legislación de la Federación Rusa o la correspondiente tratado internacional, incluso con el fin de garantizar la seguridad de la aviación.

Si el procesamiento de datos personales cae dentro de las excepciones previstas en los párrafos 2, 3, 4, 8 del párrafo 1 del artículo 6 ley Federal“Sobre los Datos Personales”, no se aplican las disposiciones del Apartado 5 del Artículo 18 del 152-FZ. La calificación apropiada de las acciones tomadas para el procesamiento de datos personales y la garantía de su cumplimiento con los requisitos de la ley son realizadas por el operador de datos personales al garantizar (organizar la provisión de) dicho procesamiento. La corrección de dicha garantía de calificación y procesamiento en una situación particular es verificada por un organismo federal durante las actividades de control.

Bienes y servicios

De la totalidad de las disposiciones de la Parte 5 del Artículo 18 de la Ley Federal "Sobre Datos Personales" ("al recopilar datos personales, incluso a través de la red de información y telecomunicaciones de Internet, el operador está obligado a garantizar el registro, sistematización, acumulación, almacenamiento , aclaración (actualización, cambio), recuperación de datos personales de ciudadanos de la Federación Rusa utilizando bases de datos ubicadas en el territorio de la Federación Rusa, excepto en los casos especificados en los párrafos 2, 3, 4, 8 de la parte 1 del Artículo 6 de este Ley Federal) y el párrafo 2 de la parte 1 del Artículo 6 de la Ley Federal "Sobre datos personales" ("el procesamiento de datos personales es necesario para lograr los objetivos estipulados por un tratado internacional de la Federación Rusa o la ley, para ejercer y cumplir con las funciones, poderes y obligaciones asignadas al operador por la legislación de la Federación Rusa”) se deduce que el procesamiento de datos personales para los fines y de acuerdo con los requisitos establecidos ratificados El Convenio de la Federación Rusa del Consejo de Europa para la Protección de las Personas con respecto al Procesamiento Automatizado de Datos Personales no contradice la legislación de la Federación Rusa que rige las relaciones en el campo de la protección de datos personales. Además, la parte 5 del artículo 18 152-FZ no restringe la transferencia transfronteriza de datos personales de ciudadanos de la Federación Rusa.

La ley no contempla el concepto de “recopilación inicial”, pero establece requisitos para el tratamiento de datos personales en toda recopilación de información, destacando operaciones con PD como aclaración (actualización, cambio) de información que contenga datos personales. Para los efectos de la ley, el proceso de recolección de información también incluye procedimientos para almacenar y acumular información, lo que en sí mismo no permite el uso de un concepto como “recopilación primaria”. Por lo tanto, la ley impone al operador la obligación, al procesar los datos personales recopilados por sistematización, acumulación, almacenamiento, aclaración, extracción, de utilizar bases de datos ubicadas en el territorio de la Federación Rusa. Por lo tanto, si para preparar informes o analizar información que contenga datos personales, el operador necesita llevar a cabo las formas mencionadas de procesamiento de datos personales, dichas acciones deben llevarse a cabo utilizando bases de datos ubicadas en el territorio de la Federación Rusa.

La interpretación con respecto a la colección primaria es incorrecta por las siguientes razones. La ley no contempla el concepto de “recopilación inicial”, pero establece requisitos para el tratamiento de datos personales en toda recopilación de información, destacando operaciones con PD como aclaración (actualización, cambio) de información que contenga datos personales. Para los efectos de la ley, el proceso de recolección de información también incluye procedimientos para almacenar y acumular información, lo que en sí mismo no permite el uso de un concepto como “recopilación primaria”. Por lo tanto, la ley impone al operador la obligación, al procesar los datos personales recopilados por sistematización, acumulación, almacenamiento, aclaración, extracción, de utilizar bases de datos ubicadas en el territorio de la Federación Rusa.

De conformidad con las disposiciones de la cláusula 7 de la parte 4 del artículo 16 de la Ley Federal No. 149-FZ del 27 de julio de 2006 "Sobre la información, las tecnologías de la información y la protección de la información", el propietario de la información, el operador del sistema de información, en los casos establecidos por la legislación de la Federación Rusa, están obligados a garantizar la ubicación en el territorio de la Federación Rusa de bases de datos de información, que se utilizan para recopilar, registrar, sistematizar, acumular, almacenar, aclarar (actualizar, cambiar), extraer datos personales de ciudadanos de la Federación Rusa.

Teniendo en cuenta también lo dispuesto en el Apartado 5 del Artículo 18 de la Ley Federal N° 152-FZ de 27 de julio de 2006 “Sobre Datos Personales” (vigente a partir del 1 de septiembre de 2015), que establece que al recopilar datos personales, incluso a través de información red de telecomunicaciones Internet, el operador está obligado a garantizar el registro, sistematización, acumulación, almacenamiento, aclaración (actualización, cambio), extracción de datos personales de ciudadanos de la Federación Rusa utilizando bases de datos ubicadas en el territorio de la Federación Rusa, creemos que el procesamiento de datos personales de ciudadanos de la Federación Rusa en el territorio de otro estado puede llevarse a cabo exclusivamente en los casos previstos en los párrafos 2, 3, 4, 8 de la parte 1 del artículo 6 de la Ley Federal "Sobre Personal Data”, para lo cual existe una excepción en el inciso 5 del artículo 18 del 152-FZ. También debe tenerse en cuenta que no existen divisiones legales entre la base de datos personales “principal” y su “copia”. En ambos casos, estamos hablando de una base de datos con la que se tratan datos personales. Al mismo tiempo, la Ley Federal no contiene indicaciones de una prohibición general sobre el procesamiento de datos personales de ciudadanos de la Federación Rusa utilizando bases de datos que no están ubicadas en el territorio de la Federación Rusa.

En este sentido, creemos que el procesamiento de datos personales de ciudadanos de la Federación Rusa a través de la recopilación, registro, sistematización, acumulación, almacenamiento, aclaración, extracción puede llevarse a cabo utilizando bases de datos que no se encuentran en el territorio de la Federación Rusa. en los siguientes casos:

  • si tal actividad cae dentro de los casos previstos en los párrafos 2-4, 8 de la parte 1 del artículo 6 de 152-FZ;
  • si dicha actividad no se incluye en los casos previstos en las cláusulas 2-4, 8 de la parte 1 del artículo 6 de 152-FZ, y en el territorio de la Federación de Rusia hay bases de datos utilizadas para dicho procesamiento de datos personales que contienen un mayor cantidad de datos personales o igual a la ubicada fuera del territorio de la Federación Rusa (en este caso, es inaceptable encontrar datos personales fuera del territorio de la Federación Rusa que no estén ubicados simultáneamente dentro del territorio de la Federación Rusa).

La transferencia transfronteriza de datos personales no está prohibida, sujeto al cumplimiento de los requisitos establecidos en el artículo 12 de la Ley Federal N° 152-FZ. Al mismo tiempo, la transferencia transfronteriza de datos debe tener una finalidad de tratamiento predeterminada, al alcanzar la cual se debe garantizar al titular de los datos personales la destrucción de los datos transferidos en el territorio de un estado extranjero. Si se cumplen estos requisitos, la responsabilidad bajo legislación rusa, es aplicable al operador en caso de violación del procedimiento y condiciones establecidas para el contrato de comisión.

De conformidad con lo dispuesto en el numeral 2 del artículo 3 de la Ley Federal "Sobre Datos Personales", el operador es un organismo estatal, municipal, persona jurídica o persona física, independiente o conjuntamente con otras personas que organicen y (o) realicen la procesamiento de datos personales, así como determinar los fines del procesamiento de datos personales, la composición de los datos personales que se procesarán, las acciones (operaciones) realizadas con datos personales. Por lo tanto, las disposiciones de la Ley Federal No. 242-FZ se aplican a todas las entidades anteriores. La ley federal adoptada no vincula la distribución de la Parte 5 del Artículo 18 de 152-FZ solo a los operadores donde el procesamiento de datos personales es su actividad principal, o a los operadores que procesan datos personales solo utilizando redes de información y telecomunicaciones.

De conformidad con lo dispuesto en el numeral 2 del artículo 3 de la Ley Federal "Sobre Datos Personales", el operador es un organismo estatal, municipal, persona jurídica o persona física, independiente o conjuntamente con otras personas que organicen y (o) realicen la procesamiento de datos personales, así como determinar los fines del procesamiento de datos personales, la composición de los datos personales que se procesarán, las acciones (operaciones) realizadas con datos personales. Por lo tanto, las disposiciones de la Ley Federal No. 242-FZ se aplican a todos los temas anteriores. La ley federal adoptada no vincula la distribución de la Parte 5 del Artículo 18 de 152-FZ solo a los operadores donde el procesamiento de datos personales es su actividad principal, o a los operadores que procesan datos personales solo utilizando redes de información y telecomunicaciones. Los planes existentes para actividades legislativas no contemplan el desarrollo de un proyecto de ley federal que corrija esta disposición.

Los requisitos legales anteriores se aplican, entre otras cosas, al procesamiento por parte del operador de los datos personales obtenidos como resultado de la recopilación, a saber, registro, sistematización, acumulación, almacenamiento, aclaración (actualización, cambio), extracción.

La comprensión es correcta. 152-FZ no divulga el término "uso de datos personales". Para fines de interpretación, el "uso de datos personales" puede entenderse como acciones con datos personales que no están relacionadas con otras formas de procesamiento de datos personales, incluida la toma de decisiones basadas en datos personales, para cuya implementación se recopilaron datos personales. (el propósito de recopilar datos personales debe cumplir con los propósitos de usar datos personales).

El concepto de "operador" está contenido en el artículo 3 de la Ley N° 152-FZ, que se refiere a un organismo estatal, municipal, persona jurídica o persona física, independiente o conjuntamente con otras personas que organizan y (o) procesan datos personales, como así como determinar las finalidades del tratamiento de los datos personales, la composición de los datos personales a tratar, las acciones (operaciones) realizadas con los datos personales. Teniendo en cuenta que el artículo 3 de la Ley N° 152-FZ no contiene excepciones en cuanto a la implementación por parte de una persona operaciones individuales sobre el tratamiento de datos personales, así como otras definiciones que son distintas de operador, la persona que determina la finalidad del tratamiento de datos personales, o realiza determinadas acciones para el tratamiento de datos personales en el marco de lo dispuesto en la Ley No. 152-FZ, es el operador que realiza el tratamiento de los datos personales.

- ¿Realmente no se requiere una nueva notificación adicional del procesamiento de datos personales después del 1 de septiembre de 2015? ¿Debo indicar adicionalmente dónde se encuentran las bases de datos?

No existe el concepto de notificación "repetida" o "adicional". El artículo 22 de la Ley Federal "Sobre Datos Personales" establece la obligación del operador de enviar una notificación antes del tratamiento de datos personales. La Parte 2 de este artículo contiene una serie de excepciones cuando no se requiere dicha notificación. Se modifica la Ley Federal N° 242-FZ en la parte 3, que define los requisitos para el contenido de la notificación. Si una organización ha enviado previamente una notificación a Roskomnadzor sobre el procesamiento de datos personales, luego de la entrada en vigor de la ley, los operadores, guiados por la parte 7 de este artículo, deben proporcionar información sobre la ubicación de la base de datos dentro de los diez días hábiles. .

- ¿La recopilación inicial de datos personales en papel con su posterior ingreso en una base de datos electrónica se encuentra dentro de los requisitos de la Parte 5 del Artículo 18 de la Ley Federal No. 152-FZ?

De acuerdo con los requisitos de la Parte 5 del Artículo 18 de la Ley Federal No. 152-FZ, al recopilar datos personales, incluso a través de la red de información y telecomunicaciones "Internet", el operador está obligado a garantizar el registro, sistematización, acumulación, almacenamiento, aclaración (actualización, cambio), recuperación de datos personales ciudadanos de la Federación Rusa utilizando bases de datos ubicadas en el territorio de la Federación Rusa, excepto en los casos especificados en los párrafos 2, 3, 4, 8 de la Parte 1 del Artículo 6 de este Federal Ley. Un principio fundamental de la ley de datos personales es el principio de que el procesamiento de datos personales debe limitarse a la consecución de fines específicos, predeterminados y legítimos. En este sentido, la entrada de datos personales en el sistema de información de datos personales utilizados para fines similares a la recogida de datos sobre medios de papel, debe considerarse como un proceso único, cuya implementación debe llevarse a cabo en estricta conformidad con los requisitos de la Parte 5 del Artículo 18 de la Ley Federal No. 152-FZ. La división de este proceso único en acciones separadas no está prevista por la legislación de la Federación Rusa en el campo de los datos personales. De este modo, ciertos tipos el procesamiento de datos personales previsto en la Parte 5 del Artículo 18 de la Ley Federal No. 152-FZ, incluida la recopilación de datos personales en papel con su posterior ingreso en una base de datos electrónica, debe llevarse a cabo como un solo proceso en el campo legal de la norma legislativa que obliga a almacenar datos personales en el territorio de la Federación Rusa.

infraestructura en la nube es una solución de Integrus Group, que proporciona a las empresas modernas una infraestructura de TI lista para usar sin involucrar recursos materiales y humanos significativos.

Integrus ofrece servicios de protección y almacenamiento de datos personales para clientes corporativos en Rusia. Al contactarnos, puede estar completamente seguro de que tiene a su disposición un sistema seguro confiable y que cumple a cabalidad con los requisitos de la ley.

Para quién son adecuados nuestros servicios

Precios por almacenar datos personales en un servidor seguro en San Petersburgo

Plan tarifario Precio de alquiler de un servidor ISPD con certificado, rublos/mes **
El precio de alquilar un servidor ISPD sin certificado, rublos / mes
ISPDn-1 5Gb 4 990 2 490
ISPDn-2 50Gb 9 990 4 990
ISPDn-3 100Gb 19 990 9 990
ISPDn-4 200Gb 29 990 14 990
ISPDn-5 400Gb 39 990 19 990
Configuración de pago * 10 000

* - Además del costo de un servidor virtual seguro dentro del plan de tarifas, al pedir el primer servidor en ISPD, hay una tarifa de instalación en

en la cantidad de 10,000 rublos.

** - El costo de un servidor ISPD seguro con un paquete de documentos y un procedimiento de certificación del lugar de trabajo.

La venta de una infraestructura segura para el almacenamiento y tratamiento de datos personales según los planes tarifarios presentados se realiza desde término mínimo- 1 año.

Ejemplos de trabajo

Completamos con éxito un proyecto para transferir los datos personales de los estudiantes del Instituto de Moscú a la nube. Se emitieron certificados del lugar de trabajo, canal de comunicación y servidor en la nube. Se creó una base de datos no estándar, ocupando 5GB en un servidor seguro.

Nuestros certificados

  • Qué se incluye en nuestros servicios de almacenamiento de datos personales

    • Organizamos el procesamiento y almacenamiento de la información en un centro externo de procesamiento de datos (CPD), le proporcionamos una máquina virtual protegida de acuerdo con los requisitos de la Ley Federal de Protección de Datos Personales N° 152-FZ.
    • Implementamos las normas legales, organizativas y técnicas de la ley.
    • Elaboramos y proporcionamos a su organización un conjunto completo de documentos requeridos (teniendo en cuenta las características específicas de su tipo de actividad), incluido un certificado de cumplimiento de los requisitos de seguridad.
    • No es necesario que celebre un acuerdo con los sujetos de que su información personal se transfiera para su procesamiento a un centro de datos externo.

    Vale la pena mencionar dos matices:

    • El período mínimo para un servidor es de 6 meses. Si se mantiene dentro de los 5 GB, el precio será de 4990 rublos por mes. Si aún necesita más, necesita la siguiente tarifa: 50 GB y 9990 rublos. por mes.
    • El costo del pago de la instalación por un monto de 10,000 rublos. es válido para un conjunto estándar de documentos, en su caso es la “Plataforma de Aprendizaje a Distancia”, no es estándar con nosotros y puede ser necesario un desarrollo individual de un paquete de documentación. El costo de desarrollar una configuración no estándar es de +15,000 rublos. Esto se hace una vez.

    Para entender si será necesario el desarrollo individual, necesitamos Breve descripción servicio (qué base de datos y dónde se almacena (MySQL; SQL, etc.)) que se alojará en el servidor ISPD. Esos. algoritmo de operación del servicio, quién es el sujeto de PD en el servicio, quién y cómo accede al servicio.

    Cómo funciona

    Cualquier empresa ya utiliza en su trabajo sistemas de información que procesan datos personales (PD). Por ejemplo, estos son IS contables, financieros, de personal y otros. Tratamiento, de acuerdo con la ley, significa la recolección, registro, sistematización, almacenamiento, aclaración, uso, transferencia, supresión y demás operaciones con esta información.

    En consecuencia, tarde o temprano surge la cuestión de adecuar su trabajo a la Ley Federal "Sobre Datos Personales" y obtener evidencia documental de este cumplimiento.

    Es bastante difícil cumplir con todos los requisitos para almacenar datos personales por su cuenta y sin la experiencia necesaria, lo que puede generar una pérdida innecesaria de tiempo y recursos. Por ello, ponemos a su disposición los servicios de nuestros especialistas. Ya han resuelto los problemas de organizar el almacenamiento y la transferencia de datos personales más de una vez y son muy conscientes de las "trampas".

    Almacenamiento de datos personales en un servidor de centro de datos: ventajas del enfoque

    Para construir un sistema de seguridad completo sistemas de información datos personales (ISPD) en la empresa, es necesario llevar a cabo una encuesta previa al proyecto de la ISPD, desarrollar un modelo de amenazas de seguridad, crear un concepto y luego diseñar un sistema para proteger la ISPD, entregar, implementar, desarrollar la certificación métodos, llevar a cabo la verificación y emitir un certificado de conformidad.

    Si organiza el almacenamiento de datos personales de los clientes en una infraestructura virtual certificada ubicada en un centro de datos externo, la implementación de todos estos trabajos se simplifica y se reduce a la aprobación de documentos estándar predesarrollados, y los costos correspondientes son significativamente reducido. Además, el almacenamiento de datos en un centro de datos confiable y moderno garantiza que su información esté siempre disponible para usted, completa y protegida contra pérdidas.

    Sin embargo, si transfiere PD a un centro de datos externo, como regla general, surgen una serie de dificultades. Entonces, por ejemplo, de acuerdo con la Ley Federal No. 152-FZ "Sobre datos personales" (Artículo 7 y Partes 3-5 del Artículo 6), que determina el procedimiento para almacenar datos personales en Rusia, un operador para confiar el procesamiento de PD a un centro de datos de terceros , es necesario obtener el consentimiento de cada sujeto para la recopilación y almacenamiento de datos personales, que contiene una lista de datos y acciones permisibles con ellos, objetivos, plazos y hay una firma manuscrita de cada tema (de hecho, para celebrar un acuerdo con el cliente para el almacenamiento informacion personal).

    Figura 1. El esquema clásico: la organización del operador envía PD para su procesamiento a un centro de datos externo, transfiriendo todas las preocupaciones sobre garantizar la seguridad de estos datos al operador del centro de datos.

    La organización de operadores de PD con un esquema tan clásico de trabajo con un centro de datos enfrenta importantes inconvenientes y limitaciones en su trabajo:

    • Todas las cuestiones organizativas y legales del procesamiento de datos siguen siendo relevantes: es necesario emitir un reglamento sobre datos personales, elaborar motivos legales para el procesamiento de datos personales y para la transferencia de datos personales a terceros (incluido el centro de datos).
    • En virtud del Artículo 7 y las Partes 3-5 del Artículo 6 de la Ley Federal No. 152-FZ "Sobre Datos Personales", surge la obligación de obtener el consentimiento para la transferencia de datos personales para su procesamiento al centro de datos de cada sujeto de datos personales. datos. Además, dicho consentimiento debe emitirse de conformidad con los requisitos del artículo 9 de dicha ley federal, es decir. contener, entre otras cosas, los fines del procesamiento, una lista completa de datos personales, una lista completa de acciones con datos personales para las que se otorga el consentimiento, el período de validez del consentimiento y firma manuscrita el tema de los datos personales o su análogo electrónico y, por lo general, la obtención de dicho consentimiento genera dificultades para la organización operadora.

    Para evitar estas dificultades, ofrecemos la siguiente tecnología de trabajo:

    • Con la ayuda de herramientas de protección criptográfica certificadas, los PD transmitidos a través de canales de comunicación están protegidos del proveedor de servicios de comunicación.
    • De manera similar, proponemos proteger los datos personales y, cuando se procesan en un centro de datos, utilizar medios protección de la información, excluyendo absolutamente cualquier posibilidad técnica de acceso por parte de los empleados del centro de datos. Para ello, desplegamos una o más máquinas virtuales, cada una de las cuales es un objeto completamente aislado, cuyo acceso desde el proveedor de alojamiento está bloqueado. Esto se logra tanto por las funciones del hipervisor como por medio de la protección contra el acceso no autorizado. En el futuro, puede trabajar con una máquina virtual segura alquilada desde un lugar de trabajo desde la oficina del cliente utilizando un terminal remoto ("Escritorio remoto", terminal VNC o terminal SSH).

    Por lo tanto, ni el proveedor ni el centro de datos pueden de ninguna manera establecer el tema de los datos personales, determinar la cantidad de información en la máquina virtual del cliente, la presencia de cualquier información confidencial. Por lo tanto, dicho trabajo con PD en una máquina virtual aislada no puede considerarse una transferencia de PD al operador del centro de datos o una instrucción para procesar PD, lo que libera al cliente de la necesidad de obtener el consentimiento de los sujetos.

    Un ejemplo de organización de la transferencia y el procesamiento de datos personales a través de canales de comunicación seguros

    Aquí hay un pequeño caso que ilustra esta tecnología utilizando el ejemplo de un operador de datos personales, territorialmente compuesto por una oficina central y sucursales.

    Figura 2. La organización transfiere datos personales a través de canales abiertos

    El ISP transmite paquetes IP que contienen datos personales. De acuerdo con el párrafo 3 del artículo 3 de FZ-152, esto ya es caso especial procesamiento de datos personales. Entonces, de acuerdo con el párrafo 2 del artículo 3 de la Ley Federal-152, el proveedor de Internet ya se está convirtiendo en un operador de PD. Y de acuerdo con los requisitos del artículo 6 y el artículo 7 de FZ-152, nuestra organización imaginaria que transmite PD a través de canales abiertos para este caso ya es necesario obtener el consentimiento de los sujetos de los datos personales para transferir sus datos personales en texto claro a través de las redes del proveedor. Y el proveedor de Internet, a su vez, debe tomar todas las medidas organizativas y técnicas necesarias para proteger estos datos.

    Sin embargo, si se toman medidas para cifrar los datos (protección criptográfica) antes de enviarlos a través de los canales de comunicación del proveedor de Internet, desde un punto de vista legal, ya no se planteará el hecho de transferir PD para su procesamiento. Porque de acuerdo con el párrafo 1 del artículo 3 de la Ley Federal-152 "los datos personales son cualquier información relacionada con una persona física directa o indirectamente identificada o identificable (sujeto de datos personales)".

    La Figura 3 ilustra que el proveedor de servicios de comunicación no recibe información que pueda identificar directa o indirectamente al sujeto de los datos personales.

    Fig. 3. La organización transfiere datos personales a través de canales seguros

    RESULTADO: El uso de medios criptográficos de protección de datos personales antes de enviarlos a través de los canales del proveedor permite, desde un punto de vista legal, prescindir del hecho de transferirlos para su procesamiento a este proveedor.

    Protección de datos personales durante el tratamiento en una infraestructura virtual

    De la misma manera, Integrus ofrece proteger los datos personales utilizando canales seguros de transmisión de datos al procesarlos en centros de datos, almacenamientos en la nube y alojamientos virtuales utilizando medios especiales protección de la información.

    La protección se instalará y configurará de tal manera que excluya completamente la posibilidad técnica de acceso por parte de los empleados del centro de datos (administradores, ingenieros, operadores) a los datos personales que la organización tendrá en el centro de datos. Dicha protección se lleva a cabo de acuerdo con el proyecto del sistema de protección de datos personales utilizando certificados FSTEC de Rusia herramientas de protección de la información (incluido el hipervisor de la máquina virtual y los medios de protección contra el acceso no autorizado), así como el uso de herramientas de protección de la información criptográfica certificadas de acuerdo con los requisitos del Servicio Federal de Seguridad de Rusia (cuando se transmite a través de canales de comunicación y cuando se procesa en un entorno virtual). infraestructura). Tal esquema se ilustra en detalle en la Figura 4.

    Figura 4. Tecnología de protección de DP en infraestructura virtual.

    Protección de datos personales - servicios "Integrus" en el ámbito organizativo y jurídico

    Además de organizar un sistema de seguridad, realizamos todo el trabajo organizativo y legal:

    • Estamos trabajando en las bases legales para el procesamiento de datos personales, sus tareas, métodos y términos.
    • Elaboramos y publicamos un documento que declara una política en el campo del trabajo con datos personales (reglamentos sobre el almacenamiento, procesamiento de datos personales) y un conjunto de documentos organizativos y administrativos (leyes de clasificación de IP, instrucciones, reglamentos y revistas).
    • Estamos desarrollando notificaciones sobre el procesamiento de datos personales para enviar a Roskomnadzor (si es necesario).

    Si desea obtener un sistema de información listo para usar que cumpla con los requisitos de la Ley sobre el almacenamiento de datos personales y cumpla con todos los estándares, desea trabajar con datos personales sin problemas y no tener miedo de reclamos de clientes, empleados o autoridades reguladoras, póngase en contacto con los especialistas de Integrus. Deje una solicitud a través del formulario de comentarios en el sitio web, llámenos o escríbanos y estaremos encantados de asesorarlo sobre el aspecto técnico y legal del problema.

    • Algunos llaman a esta ley un regreso a la Cortina de Hierro y una reflexión tardía sobre el cambio en el espacio de la información. Otros asocian con ello el fortalecimiento de posiciones y un mayor desarrollo de las capacidades de las empresas nacionales de TI. Los autores de las enmiendas insisten en que nueva ley ayudar a proteger los derechos ciudadanos rusos en el ámbito del tratamiento y almacenamiento de datos personales. Para obtener aclaraciones sobre con qué tendrán que lidiar los usuarios comerciales y comunes en el futuro cercano, nos dirigimos al gerente de proyecto de la empresa Global Office, Martynova Kristina.

    Hoy, las leyes 242-FZ y 152-FZ son ampliamente escuchadas. En los últimos meses, se han convertido en zonas de dolor agudo en las discusiones de empresarios, especialistas en TI y simples mortales. La Ley Federal 242-FZ, adoptada en julio de este año, estableció nuevas reglas para todos los participantes involucrados en el procesamiento y almacenamiento de datos personales. Una de las principales innovaciones afectó el texto de la ley 152-FZ, cuyas disposiciones se complementaron con el requisito del 1 de enero de 2016 de almacenar los datos personales de los rusos en servidores ubicados en la Federación Rusa:

    Al recopilar datos personales, incluso a través de la red de información y telecomunicaciones "Internet", el operador está obligado a garantizar el registro, sistematización, acumulación, almacenamiento, aclaración (actualización, cambio), extracción de datos personales de ciudadanos de la Federación Rusa utilizando bases de datos ubicado en el territorio de la Federación Rusa.

    Al mismo tiempo, se puede prohibir cualquier acción con datos, hasta mostrarlos en la pantalla de una computadora, si las bases de datos están físicamente "yaciendo" en el extranjero. Es cierto que hasta ahora ni los parlamentarios ni Roskomnadzor han dado respuestas inequívocas a la pregunta de qué debe entenderse exactamente como extracción de datos, su sistematización y la base de datos en sí.

    Aún más vago es el contenido del nuevo término “persona que brinda procesamiento de información en la red de información y telecomunicaciones, incluyendo Internet, introducido en la Ley 149-FZ”. Quién es elegible para recibir este estado y qué signos legales tal cara? Es posible que el análisis de los vuelos legislativos ya se realice sobre el hecho de la supuesta violación. En este caso, aclarar la letra de la ley ayudará práctica de arbitraje. Pero nuevamente, no está claro sobre qué base comenzará prueba- a petición de Roskomnadzor o de cualquier otra persona.

    Bloquear el sitio web del infractor, agregarlo a la "lista negra" de Roskomnadzor y el derecho de los usuarios a eliminar sus datos personales por orden judicial: todo esto difícilmente puede considerarse una novedad de la ley. De hecho, esta es una pequeña "actualización" de las disposiciones de las leyes "Sobre datos personales" y "Sobre la información", que establecen de manera bastante completa tanto los procedimientos punitivos (incluida la formación de un registro de infractores) como los mecanismos. protección judicial los ciudadanos.

    Sobre datos personales

    Vale la pena rendir homenaje a la amplia protesta pública que se desarrolló simultáneamente con las discusiones oficiales de la ley. Los usuarios que antes creían que los datos personales son un nombre completo, la información del pasaporte y un número de teléfono finalmente han recibido un soplo de sobriedad y cordura. Resultó que la abreviatura PD oculta “cualquier información relacionada directa o indirectamente con una persona física específica o identificable (sujeto de datos personales)” (inciso 1 del artículo 3 de 152-FZ). Estos pueden ser datos de salud e información sobre transacciones completadas, correspondencia en redes sociales y cuentas registradas en tiendas en línea.

    Para las empresas, los datos personales son una información omnipresente. Por ejemplo, para clientes de Global Office que trabajan en un servidor dedicado 1C: Enterprise. Gestión de nóminas y recursos humanos, la cuestión de los datos personales surge cada vez que se preparan informes, se calculan las nóminas y las vacaciones, se calculan las bajas por enfermedad y se recaudan impuestos. Además, los documentos aparentemente inofensivos creados con productos de software de Microsoft Word, Excel, Power Point, etc. pueden estar sujetos al artículo de la nueva ley, incluso si su contenido principal no tiene nada que ver con el remitente o el destinatario. ¿Cómo es esto posible? Gracias a los metadatos que pueden almacenarse no solo en el propio documento, sino también en la descripción de sus propiedades: por ejemplo, el nombre del autor, nombre de usuario, dirección postal de la última persona que guardó el documento, encabezados de mensajes Correo electrónico etc El mismo peligro oculto es el registro de un perfil y el reenvío de cartas a través de Microsoft Outlook.

    Junto con los datos personales de los empleados, las empresas tienen que tratar con otros tipos de información confidencial, que incluyen detalles de la empresa, información sobre las contrapartes, etc. Según la ley, los datos personales son uno de los seis tipos de información naturaleza confidencial(ver Decreto del Presidente de la Federación Rusa "Sobre la Aprobación de la Lista de Información Confidencial"). Para mayor comodidad, existe un acuerdo entre nosotros y nuestros clientes de que toda la información almacenada en los productos de software 1C que proporcionamos es personal y, por lo tanto, se les aplican procedimientos de encriptación, despersonalización y otros mecanismos de protección de datos.

    ¿Qué debe hacer una empresa?

    Construir su propio centro de datos y dormir bien es un lujo tecnológico que solo grandes compañias. Yandex tardó unos dos años e incluso más dinero en construir la primera fase del centro de datos. La solución más probable para la mayoría de los campesinos medios rusos es una llamada a un centro de datos que ya está en funcionamiento, que ofrece servicios de colocación de servidores.

    Otro manera legal para establecer contacto amistoso con la nueva ley – despersonalización de datos. Algunos expertos tienen grandes esperanzas puestas en él. Los datos personales serán separados del sujeto de tal manera que no puedan ser atribuidos a una persona específica. En una forma tan "amorfa", puedes hacer cualquier cosa con ellos. Se supone que la vinculación inversa a una persona se llevará a cabo al devolver los datos anónimos al territorio de la Federación Rusa. Hoy en día, esta tecnología se utiliza con éxito en medicina. Puede anonimizar los datos utilizando soluciones populares de ERP y CRM fabricadas por Microsoft, SAP u Oracle.

    Por otra escapatoria en ley adoptada dijeron los abogados. La legislación vigente no prohíbe el envío de datos al exterior y la duplicación de información. Teóricamente, los datos personales pueden almacenarse en el territorio de Rusia y luego ir libremente en forma duplicada a servidores extranjeros.

    Formalmente, el requisito de almacenar datos en servidores rusos también permite programas especiales(en Oficina Global es SecurityIP). Ocultan la dirección IP final del servidor en funcionamiento para que no se pueda determinar la ubicación exacta del servidor.

    Por supuesto, los cambios en la ley principal sobre datos personales crean dificultades no solo para la comunidad empresarial, sino también para los usuarios. Y con el silencio persistente de Roskomnadzor, las respuestas a las preguntas emergentes siguen abiertas. Las enmiendas para posponer la entrada en vigor de la ley el 1 de enero de 2015 aún se están discutiendo en las oficinas gubernamentales. Los negocios todavía exigen un lenguaje más concreto y menos frases vagas de los parlamentarios. Primero en la lista está el reemplazo de la definición de datos personales. Sin una comprensión clara de qué tipos de información se pueden clasificar como DP, es casi imposible proteger los derechos de los ciudadanos, como se afirma en voz alta en la nueva ley.

    El proceso de procesamiento de datos personales de cualquier ciudadano está prescrito en la Ley Federal No. 152-FZ "Sobre Datos Personales". Inicialmente esta ley fue adoptado el 27 de julio de 2006 y posteriormente ha sido objeto de diversas modificaciones y adiciones.

    La Ley "Sobre Datos Personales" regula las relaciones entre el estado, autoridades municipales, personas físicas y jurídicas en el campo del procesamiento y protección de información personal, que se llevan a cabo con la ayuda de herramientas de automatización o sin ella.

    La presente ley tiene por objeto garantizar la protección de las libertades y derechos de los ciudadanos por medios legales en el tratamiento de sus datos personales, incluida la inviolabilidad intimidad, familiares y secretos personales.

    ¿Qué organización está sujeta a los requisitos de la Ley Federal "Sobre Datos Personales"?

    Cualquier organización tiene la oportunidad de no regular sus acciones de conformidad con el Capítulo 1 del Artículo 2 de la Ley Federal No. 152-FZ "Sobre Datos Personales" con respecto al procesamiento de datos personales, en tales casos como:

    1. Tratamiento de datos personales por parte de particulares exclusivamente para necesidades personales y familiares, siempre que no se violen los derechos de los interesados;
    2. Organizaciones de almacenamiento, adquisición, contabilidad y uso de documentos que contengan datos personales Fondo de archivo Federación Rusa y otros documentos de archivo de acuerdo con la legislación sobre archivo en la Federación Rusa;
    3. Tratamiento de los datos personales a que se refiere el a su debido tiempo a la información que constituya un secreto de Estado;
    4. Disposición organismos autorizados información sobre las actividades de los tribunales en la Federación Rusa de conformidad con la Ley Federal del 22 de diciembre de 2008 N 262-FZ "Sobre la garantía del acceso a la información sobre las actividades de los tribunales en la Federación Rusa".

    Cuando una organización no se encuentre comprendida en los puntos anteriores, necesariamente deberá cumplir con los requisitos de la ley. Todos los demás casos relacionados con la recolección, procesamiento y almacenamiento de datos personales están regulados de conformidad con la Ley Federal N° 152 "Sobre Datos Personales". Casi todas las organizaciones caen bajo estos requisitos, ya que casi todas las empresas de una forma u otra procesan los datos personales de sus empleados u otras personas. Todos los datos personales deben mantenerse estrictamente confidenciales.

    Para correr el riesgo de reclamos de los propietarios de datos personales y agencias gubernamentales fue mínimo, es necesario realizar un conjunto de trabajos que justifiquen la necesidad de tratar los datos personales. También es necesario cumplir con los requisitos para garantizar la confidencialidad tanto en el tratamiento no automatizado como en el caso de tratamiento de datos personales en sistemas de información.

    Datos personales: ¿qué es?

    En el Capítulo 1, Artículo 3 de la Ley Federal "sobre datos personales" hay una definición de datos personales:

    - datos personales - cualquier información relacionada con una persona física identificada o identificable directa o indirectamente (sujeto de datos personales).

    Puede ser un apellido, nombre, patronímico, dirección de residencia y correo electrónico, números de contacto, lugar de residencia, religión, Estado civil, fotos, información sobre familiares y mucho más. Cada organización que posee dicha información debe proteger los sistemas de información en los que se almacenarán dichos datos.

    Recolección, almacenamiento y procesamiento de datos personales

    Cuando sea necesario obtener datos personales de un empleado u otra individual la organización tiene derecho a recogerlo directamente del propio sujeto. Si la información solo puede obtenerse de terceros, entonces el sujeto debe ser necesariamente notificado, y también debe dar su consentimiento por escrito para este procedimiento. A su vez, el operador está obligado a informar al ciudadano sobre las finalidades que persigue al recibir y tratar sus datos personales.

    Todo lo relacionado con las bases legales para el tratamiento de datos personales se encuentra detallado en el Capítulo 2, Artículo 6, Inciso 1 N° 152 de la Ley Federal "Sobre Datos Personales":

    1) el procesamiento de datos personales se lleva a cabo con el consentimiento del sujeto de datos personales para el procesamiento de sus datos personales;
    2) el procesamiento de datos personales es necesario para lograr los objetivos previstos por un tratado internacional de la Federación Rusa o la ley, para la implementación y cumplimiento de las funciones, poderes y deberes asignados por la legislación de la Federación Rusa al operador ;
    3) el tratamiento de datos personales es necesario para la administración de justicia, la ejecución acto judicial, un acto de otro organismo o funcionario sujeto a ejecución de conformidad con la legislación de la Federación de Rusia sobre procedimientos de ejecución(en adelante, la ejecución de un acto judicial);
    4) el procesamiento de datos personales es necesario para la prestación de servicios estatales o municipales de conformidad con la Ley Federal del 27 de julio de 2010 N 210-FZ "Sobre la organización de la prestación de servicios estatales y municipales", para garantizar la prestación de tal servicio, para registrar el sujeto de los datos personales en portal único servicios estatales y municipales;
    5) el tratamiento de datos personales es necesario para la ejecución de un contrato en el que el sujeto de los datos personales es parte, beneficiario o garante, así como para celebrar un contrato por iniciativa del sujeto de los datos personales o un contrato en virtud de cuales el titular de los datos personales será el beneficiario o garante;
    6) el procesamiento de datos personales es necesario para proteger la vida, la salud u otros intereses vitales del sujeto de los datos personales, si es imposible obtener el consentimiento del sujeto de los datos personales;
    7) el procesamiento de datos personales es necesario para ejercer los derechos e intereses legítimos del operador o de terceros o para lograr objetivos socialmente significativos, siempre que no se violen los derechos y libertades del sujeto de los datos personales;
    8) el procesamiento de datos personales es necesario para la implementación actividad profesional periodista y/o actividad juridica los medios de comunicación de masas o la actividad científica, literaria u otra actividad creativa, siempre que ello no vulnere los derechos e intereses legítimos del titular de los datos personales;
    9) el tratamiento de datos personales se realice con fines estadísticos u otros fines de investigación, con excepción de los fines previstos en el artículo 15 de esta Ley Federal, sujeto a la despersonalización obligatoria de los datos personales;
    10) se lleva a cabo el procesamiento de datos personales, acceso de un número ilimitado de personas a las que proporciona el sujeto de datos personales oa petición suya (en lo sucesivo, datos personales hechos públicos por el sujeto de datos personales);
    11) se lleva a cabo el procesamiento de datos personales sujetos a publicación o divulgación obligatoria de acuerdo con la ley federal.

    Si una organización procesa datos personales que son contrarios a los párrafos anteriores, esto es una violación de la ley federal.

    La organización está obligada a garantizar la confidencialidad de los datos personales disponibles de conformidad con el artículo 7 de la Ley Federal "Sobre Datos Personales". Las excepciones son aquellos casos en que los datos personales se anonimizan o cuando están disponibles públicamente.
    El artículo 8 establece que puede haber fuentes de datos personales disponibles públicamente. Pueden contener el apellido, nombre, patronímico, país y año de nacimiento, dirección residencial, número de teléfono, información sobre la profesión u otros datos personales del sujeto, que proporciona con su consentimiento por escrito. Estos incluyen, por ejemplo, directorios o libretas de direcciones. Esta información podrá ser privada de disponibilidad por decisión del sujeto o de los órganos estatales autorizados.

    Principios y condiciones para el tratamiento de datos personales

    En el proceso de procesamiento de datos personales, cada organización debe adherirse a los principios que se detallan en el Capítulo 2 del Artículo 5 de la Ley Federal "Sobre Datos Personales":

    1. El procesamiento de datos personales debe llevarse a cabo sobre una base lícita y leal.
    2. El tratamiento de datos personales debe limitarse a la consecución de fines determinados, predeterminados y legítimos. No está permitido tratar datos personales que sean incompatibles con los fines de la recogida de datos personales.
    3. No está permitida la combinación de bases de datos que contengan datos de carácter personal, cuyo tratamiento se realice con finalidades incompatibles entre sí.
    4. Sólo serán objeto de tratamiento los datos personales que respondan a las finalidades de su tratamiento.
    5. El contenido y alcance de los datos personales tratados debe ajustarse a las finalidades de tratamiento indicadas. Los datos personales procesados ​​no deben ser excesivos en relación con los fines declarados de su procesamiento.
    6. Al tratar datos personales, la exactitud de los datos personales, su suficiencia, y en casos necesarios y relevancia para los propósitos del procesamiento de datos personales. El operador debe tomar las medidas necesarias o asegurarse de que se tomen para eliminar o aclarar los datos incompletos o inexactos.
    7. El almacenamiento de datos personales debe llevarse a cabo en una forma que permita determinar el sujeto de los datos personales, no más de lo requerido por los fines del procesamiento de datos personales, si el período de almacenamiento de datos personales no está establecido por la ley federal, un acuerdo en el que el beneficiario o garante es parte, en virtud del cual el sujeto son datos personales. Los datos personales procesados ​​están sujetos a destrucción o despersonalización al alcanzar los objetivos del procesamiento o en caso de pérdida de la necesidad de lograr estos objetivos, a menos que la ley federal disponga lo contrario.

    Las condiciones que debe cumplir una organización en el proceso de procesamiento de datos personales están prescritas en el artículo 6 de la Ley Federal "Sobre Datos Personales" y consisten en que el operador, al procesar los datos personales del sujeto, tiene derecho a procesar ellos sólo con su consentimiento por escrito.
    Sin embargo, en algunos casos no se requiere dicho consentimiento. Así, por ejemplo, si el tratamiento de datos personales se lleva a cabo para diversos fines científicos y estadísticos con requisito previo despersonalización de datos personales. O cuando el tratamiento de datos personales sea necesario para la salud, la vida u otros intereses vitales del interesado.

    Obligaciones del operador de datos personales

    El Capítulo 4 del Artículo 18 de la Ley Federal N° 3.152 “De Datos Personales” contiene información completa sobre cuál es la responsabilidad del encargado del tratamiento.
    Considerando puntos clave Este artículo de la ley puede destacar varios de los principios más importantes.

    El operador está obligado:

    – para procesar datos personales de acuerdo con la ley,
    — tener permiso del titular de los datos personales en los casos previstos por la ley,
    - garantizar la confidencialidad,
    – contestar todas las preguntas del titular respecto a sus datos personales, en el conjunto plazo legal,
    – destruir los datos personales después de que se hayan alcanzado los plazos para su procesamiento,
    - notificar al Departamento de Roskomnadzor sobre el procesamiento de datos personales y sobre las medidas que toma para protegerlos.

    Este artículo también establece que si el titular de los datos personales se niega a proporcionar la información personal que está obligado a proporcionar de conformidad con la ley federal, el operador debe explicar al titular sobre las consecuencias de tal negativa.

    Actividades independientes de las organizaciones en la protección de datos personales

    La recopilación, el procesamiento y la protección de datos personales en la Federación de Rusia es una actividad autorizada. El desarrollo de métodos para la protección de la información personal es responsabilidad del FSB de Rusia y del FSTEC de Rusia.
    La organización, por su parte, sólo puede hacer una parte de este trabajo. Por ejemplo, recopilar información. El resto del trabajo requiere una licencia para operar en protección técnica información confidencial, así como la instalación de herramientas criptográficas de protección.

    Verificación de las actividades de procesamiento de datos personales

    La organización que verifica el procesamiento legal de datos personales se denomina Servicio Federal de Supervisión en la Esfera de las Comunicaciones, tecnologías de la información y comunicaciones de masas (Roskomnadzor).
    Roskomnadzor realiza control y supervisión estatal sobre el cumplimiento de los requisitos. legislación actual en el campo:
    - Medios de comunicación masiva, radiodifusión TVR y comunicaciones masivas: los requisitos de la ley de la Federación Rusa No. 2124-1 del 27 de diciembre de 1991 "Sobre los medios de comunicación masiva", así como el cumplimiento condiciones de la licencia,
    - comunicaciones - los requisitos de la Ley Federal N° 126 de 7 de julio de 2003 "Sobre Comunicaciones", así como los estatutos, incluyendo la validez de la licencia y el uso del espectro de radiofrecuencia,
    - datos personales - Ley Federal del 27 de julio de 2006 N° 152 "Sobre Datos Personales".

    Base legal para la implementación control del Estado y supervisión es la Ley Federal del 26 de diciembre de 2008 No. 294 “Sobre la Protección de los Derechos de las Personas Jurídicas y empresarios individuales al ejercer el control estatal (supervisión) y el control municipal”.

    Roskomnadzor realiza varios tipos de inspecciones:

    una). Verificación programada.
    Este control puede realizarse sobre la base y dentro del plazo exacto especificado en el plan de controles preparado por Roskomnadzor y aprobado por la oficina del fiscal. De acuerdo con el párrafo 4 del Artículo 27 de la Ley Federal "Sobre Comunicaciones", Roskomnadzor tiene derecho a realizar este tipo de inspección no más de una vez cada 3 años.
    Cualquier organización involucrada en el procesamiento de datos personales puede ser incluida en el Plan de Inspección de Roskomnadzor.
    La base para realizar una inspección programada es el hecho de que el procesamiento de datos personales por parte del operador haya comenzado, incluido el transcurso de tres años a partir de la fecha de registro estatal como operador de datos personales o la finalización de una inspección programada en relación con el operador después de tres años desde la inspección programada anterior.

    2). Cheque no programado.
    Las razones para este tipo de revisión son:
    – verificación de la ejecución de la orden para eliminar la violación identificada, que se emitió anteriormente,
    — detección de violaciones requisitos obligatorios como resultado de la observación sistemática,
    - la solicitud del fiscal de realizar inspección no programada sobre la base de los materiales recibidos y las apelaciones a la oficina del fiscal de ciudadanos, empresarios individuales, personas jurídicas, estado y Gobierno municipal,
    — violaciones derechos legales e intereses de las entidades constitutivas de la Federación Rusa debido a la inacción de los operadores involucrados en el procesamiento de datos personales,
    - una orden del jefe del Servicio, que se emite de acuerdo con las instrucciones del Presidente de la Federación Rusa o el Gobierno de la Federación Rusa.
    La inspección se lleva a cabo dentro de un período de no más de 20 días hábiles, pero al mismo tiempo, en caso de razones graves, puede extenderse sobre la base de una orden del jefe del Departamento de Roskomnadzor por otros 20 días hábiles adicionales. días.
    Además, las actividades de verificación pueden llevarse a cabo mediante uno de los siguientes métodos:
    a) campo, es decir, el control se realiza en el lugar del control.
    b) solicitud documental y por escrito del operador para proporcionar documentos requeridos e información. Si los documentos no fueron proporcionados, y su provisión debe ser hecha por ley sin falta, entonces esto conlleva una multa. Si la multa administrativa no ha sido pagada, se puede duplicar.
    c) observación sistemática, realizada sin interacción con la persona controlada, y no se requieren documentos e información de la persona controlada. Especialistas-inspectores estatales Administración Territorial Roskomnadzor saca conclusiones sobre las actividades de los inspeccionados, basándose en sus acciones en relación con una gama indefinida de temas.

    Responsabilidad por tratamientos ilícitos de datos personales

    El operador no debe permitir la recopilación, el almacenamiento, el uso y la difusión de información relativa a los datos personales y vida familiar, correspondencia secreta, mensajes telegráficos, postales o de otro tipo, conversaciones telefónicas, si no juicio o base legal por estas acciones.

    El operador no tiene derecho a utilizar los datos personales con el fin de causar daños morales y materiales a los ciudadanos, así como dificultar el ejercicio de sus libertades y derechos. Además, el operador de datos personales no tiene derecho a restringir los derechos de los ciudadanos de la Federación Rusa, mientras utiliza su información personal relacionada con afiliaciones nacionales, raciales, religiosas, lingüísticas o partidarias.
    Las personas físicas y jurídicas que, de conformidad con sus facultades, poseen información privada sobre los ciudadanos, la utilizan, violando la Ley Federal "Sobre Datos Personales", son responsables de este acto de conformidad con la legislación vigente de la Federación Rusa.

    Aquellas personas que, por sus acciones, violaron la Ley Federal "Sobre Datos Personales" asumen la responsabilidad civil, administrativa, disciplinaria, penal o de otro tipo prevista por la legislación vigente de la Federación Rusa.

    Código de Violaciones Administrativas(CoAP):

    A) Artículo 13.11 Violación estatutario el procedimiento para recopilar, almacenar, utilizar o difundir información sobre los ciudadanos (datos personales). Este artículo implica una advertencia o la imposición de una multa administrativa a:
    - ciudadanos en la cantidad de 300-500 rublos,
    - funcionarios en la cantidad de 500-1000 rublos,
    - entidades legales por un monto de 5000-10000 rublos.

    B) Artículo 13.12 Infracción de las normas de protección de datos.
    Según este artículo, se impone una multa administrativa a los infractores de la ley por un monto de 500 a 30 mil rublos. Además de entidades legales podrá aplicarse el decomiso o la suspensión administrativa de actividades por un período de 3 meses.
    c) Artículo 13.14 Divulgación de información de acceso restringido.
    De acuerdo con este artículo, es posible imponer una multa administrativa a:
    - ciudadanos en la cantidad de 4 a 5 mil rublos.

    D) Artículo 19.5 Incumplimiento en tiempo de una orden legal (decreto, presentación, decisión) del órgano (oficial) que realiza supervisión estatal(control).
    Los infractores de este artículo se enfrentan a una multa administrativa que oscila entre los 300 y los 500 000 rublos, o la inhabilitación hasta por 3 años.

    Código Penal (CC).

    Artículo 137 Violación de la intimidad.
    Este artículo establece que por la recolección o difusión ilícita de información sobre la vida privada del sujeto, que sea su secreto familiar o personal, sin su consentimiento, o la difusión de dicha información a través de los medios de comunicación, es responsable en la forma
    - una multa de hasta 200 mil rublos o en una cantidad igual a salarios durante 18 meses,
    trabajos obligatorios hasta 360 horas
    - trabajo correccional hasta por 1 año,
    trabajo forzado hasta 2 años
    – prohibición de participar en ciertas actividades por hasta 3 años,
    - Arresto hasta por 2 años.

    Código del Trabajo (TC).

    Artículo 90 Responsabilidad por infracción de las normas que rigen el tratamiento y protección de datos personales de un trabajador.
    Este artículo prevé el castigo en forma de despido o la posibilidad de castigo de conformidad con el Código Penal de la Federación Rusa.

    Requisitos para la protección de datos personales

    De conformidad con el artículo 19 de la Ley Federal “De Datos Personales”, los requisitos para la protección de datos personales se consideran obligatorios. Al procesar datos personales, el operador está obligado a tomar las medidas legales, organizativas y técnicas necesarias o garantizar su adopción para proteger los datos personales del acceso no autorizado o accidental a ellos, destrucción, modificación, bloqueo, copia, suministro, distribución de datos personales, así como de otras actuaciones ilícitas en materia de datos personales.

    Garantizar la seguridad de los datos personales se logra, en particular:

    1) determinación de amenazas a la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales;
    2) la aplicación de medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su tratamiento en los sistemas de información de datos personales necesarios para cumplir los requisitos de protección de datos personales, cuyo cumplimiento garantiza establecido por el Gobierno Niveles de protección de datos personales de la Federación Rusa;
    3) el uso de herramientas de seguridad de la información que hayan pasado el procedimiento de evaluación de la conformidad de acuerdo con el procedimiento establecido;
    4) evaluar la eficacia de las medidas adoptadas para garantizar la seguridad de los datos personales antes de la puesta en marcha del sistema de información de datos personales;
    5) teniendo en cuenta las máquinas portadoras de datos personales;
    6) detección de hechos de acceso no autorizado a datos personales y toma de medidas;
    7) recuperación de datos personales modificados o destruidos por acceso no autorizado a los mismos;
    8) establecer reglas para el acceso a los datos personales tratados en el sistema de información de datos personales, así como asegurar el registro y contabilidad de todas las acciones realizadas con datos personales en el sistema de información de datos personales.

    Para lograr los objetivos anteriores, todas las organizaciones que procesan datos personales deben cumplir con los siguientes requisitos:

    — cumplir con los requisitos de la Ley Federal No. 152 “Sobre Datos Personales”, al tiempo que proporciona todas las pruebas necesarias de la legalidad de la recopilación y procesamiento de información personal,
    — proporcionar protección contra la distribución no autorizada de datos personales,
    - desarrollar reglamentos actos locales y documentación técnica organizativa para garantizar el tratamiento regulado de los datos personales,
    — notificar al Departamento de Roskomnadzor.

    Para cumplir con estos requisitos, debe hacer lo siguiente:

    1. Realizar un estudio de los procesos de recolección y tratamiento de información personal en la empresa. A saber, en qué lugar y en qué forma se procesan, en qué lugar se almacenan, quién es el responsable y tiene acceso a ellos, cuál es la fuente de los datos personales y cuestiones similares. Es necesario recopilar información completa sobre todos los procesos relacionados con los datos personales.

    2. Es necesario desarrollar un paquete de documentos que se relacionen con el proceso de procesamiento de datos personales, a saber
    A. El acto de categorización,
    B. El concepto de creación de un sistema de protección de datos personales,
    B. Modelo de amenazas,
    D. Modelo de intruso,
    D. Tarea técnica para construir un sistema de protección de datos personales,
    E. Diseño técnico ( nota explicativa proyecto técnico) para construir un sistema de protección de datos personales,
    G. Documentación organizativa y administrativa.

    En general, la cantidad de documentos en una organización promedio es de aproximadamente 80 piezas, incluidos registros y pedidos.

    3. Implementar medios técnicos de protección en la organización, de acuerdo a la documentación desarrollada.

    4. Realizar una evaluación de la conformidad o certificación de los sistemas de información.

    La certificación y la evaluación son documentos especiales establecidos, gracias a los cuales la organización tiene la oportunidad de confirmar que cumple con todos los requisitos de la legislación vigente de la Federación Rusa.

    Base para el desarrollo documentos aprobados operadores de datos personales es el Servicio Federal de Servicios Técnicos y Control de exportación de la Federación Rusa (FSTEC) y el Servicio Federal de Seguridad de la Federación Rusa (FSB), que se establece en su reglamento documentos metodológicos y pedidos.

    Uno de estos documentos es:

    Pedido servicio federal sobre Control Técnico y de Exportación (FSTEC de Rusia) de fecha 5 de febrero de 2010 No. 58 "Sobre la aprobación de las Regulaciones sobre Métodos y Métodos para Proteger la Información en los Sistemas de Información de Datos Personales".

    EN este orden para todas las organizaciones tales métodos y formas de proteger los datos personales de personas no autorizadas acceder como,
    — implantación de un sistema permisivo de admisión de usuarios ( personal de servicio) a los recursos de información, sistema de información y trabajos relacionados, documentos;
    - restricción del acceso de los usuarios a los locales donde se encuentren los medios técnicos que permitan el tratamiento de los datos personales, así como los medios de almacenamiento;
    - delimitación del acceso de usuarios y personal de mantenimiento a los recursos de información, herramientas de software para el procesamiento (transferencia) y protección de la información;
    - registro de acciones de usuarios y personal de mantenimiento, control de accesos no autorizados y acciones de usuarios, personal de mantenimiento y personas no autorizadas;
    - contabilidad y almacenamiento de medios removibles, y su circulación, excluyendo robo, sustitución y destrucción;
    - reserva medios tecnicos, duplicación de arreglos y medios de almacenamiento;
    uso de herramientas de seguridad de la información que hayan pasado el procedimiento de evaluación de la conformidad de la manera prescrita;
    — uso de canales de comunicación seguros;
    - colocación de medios técnicos que permitan el tratamiento de datos personales dentro del área protegida;
    - organización de la protección física de los locales y medios técnicos adecuados, que permitan el tratamiento de datos personales;
    — prevención de la introducción de programas maliciosos (programas de virus) y marcadores de software en los sistemas de información.

    Los principales métodos y medios para proteger los datos del acceso no autorizado en caso de interacción entre las redes de información y telecomunicaciones del intercambio internacional de información y los sistemas de información incluyen:

    — cortafuegos para controlar el acceso, filtrar paquetes de red y traducir direcciones de red para ocultar la estructura del sistema de información;
    - detección de intrusiones en el sistema de información que violen o creen condiciones previas para la violación de los requisitos establecidos para garantizar la seguridad de los datos personales;
    — análisis de seguridad de los sistemas de información, que implica el uso de herramientas de software especializadas (escáneres de seguridad);
    - protección de la información durante su transmisión por los canales de comunicación;
    - el uso de tarjetas inteligentes, cerraduras electrónicas y otros soportes de información para la identificación y autenticación fiables de los usuarios;
    - uso de protección antivirus;
    gestión centralizada del sistema de protección de datos personales del sistema de información;
    — filtrado de paquetes de red entrantes (salientes) de acuerdo con las reglas establecidas por el operador ( Persona autorizada);
    — análisis periódico de la seguridad de los cortafuegos instalados basados ​​en la imitación de ataques externos a los sistemas de información;
    — auditoría de seguridad activa del sistema de información para la detección en tiempo real de actividad de red no autorizada;
    — análisis de la información recibida a través de redes de información y telecomunicaciones de intercambio internacional de información (redes públicas de comunicación), incluida la presencia de virus informáticos;
    — uso de atributos de seguridad;
    - creación de un canal de comunicación que asegure la protección de la información transmitida;
    - implementación de la autenticación de los sistemas de información que interactúan y verificación de la autenticación del usuario y la integridad de los datos transmitidos.

    EN Requerimientos adicionales para organizaciones incluidas:

    - creación de un canal de comunicación que asegure la protección de la información transmitida;
    - autenticación de los sistemas de información que interactúan y verificación de la autenticación del usuario y la integridad de los datos transmitidos;
    — garantizar la prevención de la posibilidad de que el usuario niegue el hecho de enviar datos personales a otro usuario;
    - asegurarse de que el usuario no niegue el hecho de recibir datos personales de otro usuario.

    Etiquetas: PDN 152-FZ


    © 2022 egoist24.ru Sistemas de pago. Hipoteca. Bancos. Dinero Yandex. dinero web. Información general.