Das Gesetz "Über personenbezogene Daten" und die Praxis seiner Anwendung in der russischen Realität. Teil 2



    Basierend auf dem vorherigen Artikel und den Kommentaren dazu schreiben wir eine Fortsetzung, die unseres Erachtens das Thema des Schutzes personenbezogener Daten und der Lizenzierung maximieren wird, wenn Sie verschiedene Arten von Diensten bereitstellen.

    Gehen Sie zu den Details.
    Angenommen, Sie sind Eigentümer eines Unternehmens, die Größe spielt keine Rolle - von einem kleinen Buchhaltungsbüro bis zu einem großen Unternehmen. Die Wartung Ihrer Infrastruktur ist aus irgendeinem Grund teuer oder inakzeptabel und Sie möchten die Funktionen zur Datenspeicherung und -verarbeitung an Dritte übertragen.
    Bei der Lösung dieses Problems sollten Sie eine Reihe von Fragen stellen:

    • Haben Sie das Recht, die Verarbeitung an Dritte weiterzugeben, und welche Bedingungen werden Ihnen und Ihren Datenverarbeitungspartnern auferlegt? Wer ist für personenbezogene Daten bei der Übermittlung an einen Drittanbieter verantwortlich?
    • Benötigen Sie Lizenzen? Welche Berichte müssen Sie abgeben? Wer ist ein Betreiber personenbezogener Daten?
    • Arbeiten Sie mit vertraulichen Informationen, welche Bedingungen müssen Sie und Ihr Partner erfüllen? Welche Lizenzen werden benötigt?

    Die Antwort auf die Frage nach der Verantwortung für Daten ist gleichzeitig die einfachste und grundlegendste.

    Ja, Sie können die Verarbeitung personenbezogener Daten an Dritte übertragen , müssen jedoch berücksichtigen, dass die Verarbeitung und Speicherung von Daten an Dritte über Kenntnisse, Erfahrung, angemessene Kapazitäten und je nach Art der übertragenen Informationen über bestimmte Lizenzen verfügen muss. Die Verantwortung für die Speicherung und Verarbeitung der Daten liegt jedoch in jedem Fall beim ursprünglichen Unternehmen, dh bei Ihnen. Daher müssen Sie die Wahl eines Partners in dieser Angelegenheit sehr sorgfältig angehen. Abhängig von der Art der Aktivität und den gesammelten Informationen müssen Ihr Unternehmen und Ihr Partner über bestimmte Lizenzen verfügen.
    Infolgedessen orientieren wir uns am Grundsatz:Wenn Ihr Unternehmen eine bestimmte Lizenz für die Verarbeitung von Informationen benötigt, muss Ihr Partner diese Lizenz für die Übertragung der Datenverarbeitung besitzen.

    Welche Lizenzen benötigen Sie?

    Dies hängt von der Art Ihrer Aktivität und den gesammelten Informationen ab. Wenn in Ihrem Unternehmen nur Kundeninformationen gesammelt werden und die Dienste keine Kommunikation beinhalten (z. B. Sie sind ein Schönheitssalon, sammeln Kundendaten auf der Website, um die Aufzeichnungsarbeiten zu organisieren), benötigen Sie keine Lizenz (außer Lizenzen für eventuell medizinische Leistungen im Salon). Hier ist alles ganz einfach.
    Und wenn Sie auf die eine oder andere Weise Kommunikationsdienste auf Ihrem Gerät bereitstellen (Sie sind ein Internetprovider, ein Website-Hoster usw.), erfordert die Bereitstellung von Kommunikationsdiensten für die Bereitstellung von Telematikdiensten gemäß dem Kommunikationsgesetz eine Lizenz von Roskomnadzor Kommunikation sowie Kommunikationsdienste ohne Übertragung von Sprachinformationen. Diese Lizenz setzt voraus, dass das Betreiberunternehmen über ein eigenes zertifiziertes Kommunikationszentrum verfügt, über das alle Tätigkeiten zur Erbringung von Dienstleistungen ausgeführt werden.
    Der Algorithmus zur Erlangung dieser Lizenz ist die Einreichung von Anträgen auf ein Standardformular, die Zahlung der staatlichen Abgabe. Innerhalb eines Monats nach Einreichung des Antrags erhalten Sie entweder eine Lizenz oder eine begründete Ablehnung.
    Die Lizenz verpflichtet den Betreiber, jährliche und vierteljährliche Berichte über die erbrachten Dienstleistungen vorzulegen.
    Ich nehme zur Kenntnis, dass dies für Ihr Unternehmen gilt, wenn Sie in Ihrem Namen Kommunikationsdienste bereitstellen. Wenn Sie Kommunikationsdienste von Ihrem Partner weiterverkaufen (z. B. geben Sie im Vertrag mit dem Kunden an, dass die Kommunikation von einem anderen Kommunikationsbetreiber bereitgestellt wurde), können Sie formal ohne Lizenz arbeiten.

    Höchstwahrscheinlich werden Sie eine Frage stellen: „Und wer regelt den Gegenstand, der allen bekannt ist:„ Ich bin mit der Verarbeitung personenbezogener Daten einverstanden “?

    Diese Klausel unterliegt dem 152. Bundesgesetz über personenbezogene Daten. Aus rechtlicher Sicht kann die Datenerhebung sowohl von staatlichen Stellen als auch von juristischen Personen und sogar von Einzelpersonen durchgeführt werden. Das heißt, es gilt für alle - sowohl für die Schönheit aus dem obigen Beispiel als auch für den Mobilfunkbetreiber von den Großen Drei bis zum Salon. Gemeinsam ist ihnen, dass sie sich bei der Erhebung und Verarbeitung von Daten an folgenden Grundsätzen orientieren sollten:

    • Die bedingungslose Zustimmung des Auftraggebers zur Datenverarbeitung (ein Häkchen bei Abmahnung der Datenerhebung oder eine Unterschrift in einer Zusatzvereinbarung, Vertrag),
    • Transparenter und klarer Zweck der Datenerfassung (Sie erfassen beispielsweise Kundendaten, um diese bei Bedarf kontaktieren zu können). Die Weitergabe von Daten an Werbeagenturen ohne ausdrückliche Zustimmung des Kunden stellt bereits einen Verstoß gegen diese Grundsätze dar.
    • Das Vorhandensein von Maßnahmen zum Schutz der Daten vor unbefugtem Zugriff (Schutz der Datenbank, eingeschränkter Zugriff der Mitarbeiter, interne Vorschriften und Maßnahmen zum Schutz von Einfluss und Verantwortung),
    • Ausschluss von der Erhebung von Daten über religiöse, rassistische Zugehörigkeit, Gesundheitszustand, intimes Leben, vertrauliche oder mit dem Staatsgeheimnis in Zusammenhang stehende Informationen,
    • Die Verfügbarkeit der physischen Fähigkeit auf Wunsch des Kunden, die Verarbeitung einzustellen und die über ihn gesammelten Daten zu löschen.

    Wie Sie sehen, ist das Gesetz in dieser Hinsicht der Geschäftswelt ziemlich treu und versteht, dass tatsächlich jeder Daten sammelt, sogar ein Friseur, bei dem Sie Ihre Kontaktnummer hinterlassen. Das Gesetz schafft in diesem Fall keine Hindernisse, sondern regelt lediglich die Grundsätze der gezielten Datenverarbeitung, um zu verhindern, dass das Telefon des Kunden in die Hände von Werbetreibenden fällt.

    Wenn Sie mit Reisepässen arbeiten (z. B. mit Scans), sammeln Sie andere Dokumente, die einerseits keine vertraulichen Informationen sind, andererseits aber bei der Registrierung, z. B. in einem Online-Shop, eindeutig überflüssig sind sich als Betreiber personenbezogener Daten zu registrieren. In diesem Fall können Sie in einer Benachrichtigungsweise ein Kommunikationsbetreiber werden. Dies beantwortet die Frage: "Wer ist der Betreiber personenbezogener Daten?"

    In den meisten Fällen reicht eine interne Richtlinie zur Verarbeitung personenbezogener Daten aus, um Ihr Unternehmen zu gründen. Wenn Sie Kommunikationsdienste bereitstellen, sind die Lizenzen von Roskomnaadzor völlig ausreichend. Es ist jedoch zu beachten, dass auch Ihr Datenverarbeitungspartner die oben genannten Grundsätze einhalten und über Lizenzen verfügen muss und Sie, obwohl Sie keine Datenverarbeitung auf Ihrer Seite durchführen.

    Stellen Sie sich nun vor, Sie möchten mit vertraulichen Informationen (CI) arbeiten.

    Beispielsweise kooperieren Sie mit juristischen Personen, die vertrauliche Informationen erheben und speichern, möglicherweise mit Regierungsbehörden, oder Sie selbst.

    In einer solchen Situation müssen Sie über die entsprechenden Qualifikationen, Ressourcen, Erfahrungen und Lizenzen verfügen, um mit CI arbeiten zu können.

    Der Bundesdienst für Ausfuhr und technische Kontrolle (FSTEC) und der Bundessicherheitsdienst (FSB) regeln die Arbeit mit vertraulichen Informationen.

    In der Regel reicht eine Lizenz zum technischen Schutz vertraulicher Informationen (TZKI) aus (wenn Sie selbst keine Sicherheitstools entwickeln). Es wird vom FSTEC ausgestellt.

    Was bedeutet eine Lizenz und wie bekommt man sie?
    Um diese Lizenz beantragen zu können, müssen Sie folgende Voraussetzungen erfüllen:
    • Technische Einrichtungen, Informationssysteme und Räume, in denen Informationen verarbeitet werden (einschließlich Besprechungsräume), müssen mit Mitteln zum Schutz vor Informationslecks über technische Kanäle ausgestattet sein.
    • Der Zugang zu Informationen sollte ständig überwacht werden, um jeglichen unbefugten Zugang zu diesen Informationen auszuschließen.
    • Der Betreiber muss mindestens zwei Mitarbeiter mit einem Diplom haben, das sein Recht bestätigt, mit vertraulichen Informationen zu arbeiten.
    • Alle Objekte (Mitarbeiter, Computer, Software, Einrichtungen), die an der Verarbeitung vertraulicher Informationen beteiligt sind, müssen zertifiziert sein.

    Zusätzlich zu diesen Anforderungen muss die Organisation über eine Reihe von behördlichen Dokumenten verfügen (für den offiziellen Gebrauch). Es ist auch erforderlich, das Eigentum (Leasing) der Räumlichkeiten zu bescheinigen, die für die Arbeit mit vertraulichen Informationen zertifiziert werden.
    Die Frist für den Erhalt einer Lizenz ab dem Zeitpunkt, zu dem alle Dokumente an einem bereits zertifizierten Standort eingereicht werden, kann bis zu sechs Monate betragen.

    All diese Dinge kosten viel Zeit und Geld, aber ohne sie können Sie nicht mit vertraulichen Informationen arbeiten.

    Wenn wir über die Räumlichkeiten und über Mitarbeiter sprechen, tauchen mehr oder weniger keine Fragen auf.
    Das Interesse und mögliche Schwierigkeiten werden durch den Schutz von Informationssystemen und der gesamten Software verursacht, die sich in einem geschützten Raum unter der Kontrolle zertifizierter Mitarbeiter befindet.

    Wie Sie aus dem letzten Artikel wissen , sind die meisten auf dem Markt nachgefragten Betriebssysteme aus der Windows-Familie zertifiziert. Zum Beispiel, was wir unseren Kunden auf virtuellen Servern anbieten - Windows Server 2012 R2 Datacenter verfügt über ein Zertifikat von 3367. Außerdem sind viele Betriebssysteme der Linux-Familie von FSTEC zertifiziert. Bei Office-Anwendungen stellt sich nicht die gleiche Frage. Eine vollständige Liste der Software finden

    Sie hier fstec.ru/component/attachments/download/489 Es scheint, dass das Problem mit der Software behoben wurde. Aber nicht so einfach.

    Stellen Sie sich vor, Sie haben einen seriösen Server, es spielt keine Rolle, ob er vermietet ist oder sich in Ihrem Eigentum befindet. Sie erstellen darauf dedizierte virtuelle Server für Ihre Mitarbeiter. Das heißt, Sie verwenden eine Art Virtualisierungstool, das häufig in der Buchhaltung und in den analytischen Abteilungen großer Unternehmen verwendet wird.

    Hier müssen Sie wissen, dass das Vorhandensein eines zertifizierten Betriebssystems auf einem physischen Server nicht die automatische Zertifizierung aller virtuellen Server umfasst, da diese mithilfe eines Hypervisors erstellt werden und dies eine Schwachstelle im Datenschutz darstellt.

    Wenn Sie die FSTEC-Liste gelesen haben, werden Sie feststellen, dass Hypervisoren nicht in der Liste der zertifizierten Software enthalten sind, was bedeutet, dass Sie sich um deren Schutz kümmern müssen. In diesem Fall hilft Ihnen die Installation des VGate-Sicherheitstools für Hyper-V. Dies ist jedoch kein billiges Vergnügen - Vgate kostet ab 100.000 Rubel pro physischem Server.

    Dies beinhaltet nicht die Kosten für spezielle Software für den Serverschutz, die das Unternehmen installieren muss, wenn die Zertifizierung der technischen Mittel bestanden wurde.
    Wenn Sie also eine FSTEC-Lizenz benötigen, müssen Sie auf erhebliche Zeit- und Materialkosten vorbereitet sein.

    Gleichzeitig werden Sie während der Entwicklung Ihres Unternehmens verstehen, dass es möglich und notwendig ist, die internen Entwicklungsvektoren des Unternehmens und der Kunden nach dem Prinzip zu unterteilen, dass interne Richtlinien und eine Lizenz von Roskomnadzor ausreichend sind oder eine FSTEC-Lizenz erforderlich ist. Natürlich haben Sie unterschiedliche Kundenklassen und Preiskalkulationen.

    Weitere Details zum Algorithmus zum Erhalt der FSTEC-Lizenz finden Sie im sehr detaillierten Handbuch bis-expert.ru/sites/default/files/miscellaneous/practic_licenc_fstec.pdf .

    Am Ende des Artikels möchte ich Sie daran erinnern, dass die Trennung von Kunden nach dem Prinzip „FSTEC - nicht FSTEC“ Sie gegenüber Kunden „ohne FSTEC“ nicht entspannen sollte. Von dem Moment an, in dem Sie den Kommunikationsdienst bereitgestellt haben, haben Sie begonnen, Daten zu sammeln - Sie unterliegen der Regelung von Roskomnadzor und dem 152. Bundesgesetz. Daher sollte der Verantwortungsstandard beim Arbeiten mit Daten für alle Kunden gleich hoch sein.

    Jetzt auch beliebt: