Get best of the week

Procesamiento de datos personales de forma remota: riesgos y posibles consecuencias

imagen

Se trata de las mismas recomendaciones del liderazgo del país sobre la transferencia de empleados de empresas (estatales y no estatales) al modo remoto en una pandemia.

¿Es posible organizar el proceso de trabajar con datos personales (PD) en el hogar y qué nos dictan las leyes y los requisitos técnicos?

Intentaremos responder a todas estas preguntas en este artículo.
 
Entonces, de acuerdo con las recomendaciones, el empleador debe proporcionar al empleado todo el equipo necesario para el período de aislamiento para la implementación efectiva de las tareas. ¿Qué se requiere cuando se trabaja con PD?

Una estación de trabajo automatizada, una conexión ininterrumpida segura de alta velocidad (aproximadamente el nivel de protección un poco más tarde), un medio clave (token) y acceso a la base de datos empresarial (DB). ¿Pero es tan simple a primera vista?

11 2014 . :

«.3


.3:

— .
— :

1) ,
;
2)
,  
();
3)
.1;
4) .


-
.

.3:

1) (
, ),
;
2)
,
,
;
3) ,  
;
4)  
 
».

Imagine que un empleado de una institución no tiene la oportunidad de llevar a cabo sus actividades profesionales de forma remota en una computadora doméstica (o no existe en absoluto). En este caso, el empleador puede proporcionar la estación de trabajo bajo responsabilidad personal.
 
De este extracto, se deduce que la eliminación de MNI de la institución está legalmente permitida y se establecen las reglas para controlar el movimiento, se establecen los requisitos para el estado de la persona que realiza la transferencia y todo el proceso está determinado por la presencia de tareas específicas.

Sin embargo, la implementación del elemento en la verificación periódica de la presencia de PID para un empleado que se encuentra en modo de autoaislamiento durante un período de pandemia conduce a ciertos pensamientos. Una pregunta completamente diferente es cómo los reguladores tratarán esto en el campo del procesamiento de DP y la protección de la información.
 
El siguiente requisito para garantizar el proceso de trabajo con PD es garantizar una descarga confiable de equipos informáticos.
№21 18 2013.:

«.17
 
() () .

:

— () ;
— ;
— .

( -, ).

- .

.17:

 1) - ;
 2) - , - ;
 3) ;..»

Debe entenderse que el uso de herramientas de arranque confiables en las computadoras domésticas, por supuesto, aunque técnicamente es factible, no se proporciona. Además, el uso de SDZ se proporciona en aquellas "máquinas" a las que debe conectarse de forma remota. Esto plantea preguntas bastante naturales: ¿quién debería dar el visto bueno para iniciar en modo remoto y qué debo hacer si ocurre una falla y se requiere un reinicio?

En tales casos, solo hay una opción: la "estación de máquina" principal se pone en modo de inicio (lo que en sí mismo es una violación de las reglas crea ciertos riesgos, que analizaremos un poco más adelante).

La función de control de integridad del sistema proporciona protección contra el cambio de archivos del sistema, cuya calidad FSTEC también impone ciertos requisitos en la orden No. 27 del 15 de febrero de 2017.

Técnicamente, todos estos requisitos pueden implementarse en el marco de la transición continua al "sitio remoto". Pero todos estos problemas técnicos organizativos se están desvaneciendo en el fondo cuando comenzamos a buscar la respuesta a la pregunta: cómo minimizar (o mejor no permitir) la filtración de información procesada, incluida la DP en tales condiciones.

A pesar de las medidas tomadas en el campo de la protección de la información, los riesgos de fuga siempre han sido, son y serán. Los documentos de orientación en el campo de ZI describen con bastante claridad la lista de medidas organizativas y técnicas para minimizarlas y prevenirlas.

Como sabes, en casa y el ambiente es hogareño ... Y funciona fácilmente, y las paredes ayudan. Trabajar en casa con EP probablemente sea más fácil solo para personas solteras.
 
Veamos un ejemplo simple: un

padre, un empleado del centro de certificación del departamento financiero federal que procesa datos personales, trajo su computadora del trabajo. El jactancioso hijo accidentalmente espió un escaneo del pasaporte del ministro, el fiscal de una entidad constituyente de la Federación de Rusia o el gobernador. Bueno, tomé fotos para mostrarles a mis amigos. Y ahora otro ejemplo: imagine una carga por lotes de datos personales con fines de marketing, etc.

El lado objetivo del delito considerado en las partes 1 y 2 del art. 137 del Código Penal, se describe alternativamente por las siguientes acciones en relación con la información relevante:

  1. Colección.
  2. Propagar.
  3. Distribución de manera especial: en los medios de comunicación, en una obra pública o en un discurso.

Para rendir cuentas, estas acciones deben llevarse a cabo:

  • ilegalmente (con cualquier violación del procedimiento establecido por la ley);
  • sin el consentimiento del sujeto de PD.

Como regla general, la distribución ilegal de PD está precedida por su colección. La interpretación del concepto de "distribución" en el derecho penal es más amplia que en la ley Nº 152-FZ. Entonces, según el párrafo 5 del art. 3 de la Ley N ° 152-FZ, la distribución de PD es su divulgación a un número indefinido de personas. Para llevar ante la justicia la divulgación de EP en virtud del art. 137 del Código Penal, es suficiente informar al menos a una persona.

Por lo tanto, la broma y la indiscreción ordinarias pueden tener consecuencias bastante tristes, tanto criminales como de reputación, y demás, tanto para el empleado como para el empleador.

Resumiendo lo anterior, debe decirse que el modo remoto, por supuesto, alienta a los empleados y su entorno a cometer delitos, lo que puede conllevar consecuencias de una escala diferente.

Además, la situación actual es una señal para que el estado estudie y cree asistencia legislativa para regular el trabajo con DP en el modo remoto.

More articles:


All Articles