Forstå den nye loven "Om personopplysninger": imaginære og reelle risikoer

2024 Forfatter: Malcolm Clapton | [email protected]. Sist endret: 2023-12-17 04:07

1. september trer endringer i loven «Om personopplysninger» i kraft. I en eller annen grad vil de påvirke alle innbyggere i Russland. MakRadar kontaktet en rekke russiske advokater og representanter for internettselskaper og fant ut alle nyansene i denne loven.

Selve endringene er små, tar bare halvannen side av et standard A4-ark, og hvem som helst kan lese dem direkte. To hovedinnovasjoner:

• Fra 1. september må alle juridiske enheter som arbeider med personopplysninger om russere lagre databaser på den russiske føderasjonens territorium - på sine egne eller leide servere.
• Det automatiserte informasjonssystemet "Register over krenkere av rettighetene til subjekter av personopplysninger" blir opprettet.

Personopplysninger - all informasjon knyttet til en bestemt person. Dette kan være etternavn, fornavn, patronym, år, måned, fødselsdato og -sted, adresse, familie, sosial, eiendomsstatus, utdanning, passdata, yrke, inntekt og annen informasjon.

La oss ta en titt på hva det ovennevnte «Register …» er, hvilke risikoer loven bærer for representanter for internettbransjen, hvor mye det «koster» å overholde loven for selskaper og hvilket ansvar overtrederne vil pådra seg..

Hva er "Register over brudd på rettighetene til subjekter av personopplysninger"

Dette registeret vil inneholde navn på nettsteder og sider på Internett der personopplysninger behandles i strid med loven. Det kan være absolutt hvilket som helst nettsted: nettbutikker, hoteller, flyselskaper, media og andre. "Siden loven ikke spesifiserer hvilke brudd sidene skal inkluderes i dette registeret, kan det antas at ethvert brudd på personopplysningsloven kan tjene som et slikt brudd," sier Daria Sukhikh, seniormedarbeider i Team 29. - Prosedyren for å opprettholde registeret vil bli bestemt av regjeringen i Den russiske føderasjonen. Det er bemerkelsesverdig at et nettsted eller en side kun kan legges inn i dette registeret på grunnlag av en rettsavgjørelse som har trådt i kraft, som registrerte et brudd på loven i behandlingen av personopplysninger."

Behandling av personopplysninger - operasjoner med personopplysninger, slik som: innsamling, akkumulering, lagring, avklaring, oppdatering, modifikasjon, bruk, distribusjon, overføring, depersonalisering, blokkering og destruksjon.

Hvem faller inn under loven

Fjernsalgsselskaper, transport, turoperatører og bookingsystemer, rekrutteringsbyråer, teleoperatører, banknæringen og betalingssystemer. I følge julimøtet mellom RAEC, det russisk-britiske handelskammeret og Roskomnadzor, er mer enn 54 % av IT-selskapene klare til å overholde alle lovens krav, ytterligere 27 % sa at de var delvis klare, 19 % var ikke klare. helt klar. Økonomiske problemer og mangel på teknisk kapasitet ble identifisert som hovedvanskene ved å implementere loven.

Hovedrisiko for virksomheten

"Vi ser ikke betydelige risikoer for virksomheten," sier senior juridisk rådgiver i OZON Group. Yana Barash … "Bestemmelsene om grenseoverskridende overføring av personopplysninger påvirkes ikke av endringene, og derfor vil overføring av personopplysninger om russiske statsborgere til utenlandske tjenesteleverandører fortsatt være mulig." Kirill Mityagin, partner i Nevsky IP Law mener: "Hovedrisikoen er ikke å forstå kravene i loven for operatører og reglene for behandling av personopplysninger. For eksempel, ikke send inn en melding om inkludering i Roskomnadzor-registeret (per 31. juli 2015 er det mer enn 330 tusen operatører i registeret), eller begå brudd i behandlingen av personopplysninger, som medfører utbruddet av sivile, administrativt og til og med straffeansvar."

Potensielle trusler for vanlige Internett-brukere

Hovedtrusselen for den gjennomsnittlige brukeren er at favorittressursen hans kanskje ikke kan takle kostnadene ved å beskytte personopplysninger og vil bli stengt. "Overholdelse av loven gjør prosjektet vårt 45% dyrere," sier administrerende direktør for tjenesten. Oleg Gribanov … – Dette er uunngåelige kostnader dersom vi ønsker å forholde oss til loven, og vi vil ikke i noe tilfelle bryte den. Jeg kan ikke si hvor mye vi kommer til å bruke på å kjøpe og leie servere og lære opp personalet til arbeid, dette er en kommersiell hemmelighet”. "I dag kan servere kjøpes til priser fra 40 til 600 tusen rubler, men et mer eller mindre høykvalitetsprodukt vil definitivt koste mer enn hundre tusen, i tillegg vil valget avhenge av mengden lagrede data," forklarer Alexander Trifonov, sjefekspert for juridisk tjeneste. - Det er også mulighet for å leie en server, tilbud starter fra fem til seks tusen rubler, så et slikt budsjettalternativ kan passe selskaper som ikke er klare til å bruke flere hundre tusen umiddelbart.

Personopplysningsbeskyttelse er et sett med administrative tiltak og tekniske beskyttelsesmetoder for å motvirke uautorisert bruk av personopplysninger.

Ansvar for manglende overholdelse av loven "Om personopplysninger"

Manglende overholdelse av databeskyttelsesloven er underlagt strafferettslig og administrativt ansvar. "For ulovlig tilgang til lovlig beskyttet datainformasjon kommer ansvaret i henhold til art. 272 i den russiske føderasjonens straffelov, - sier administrerende direktør for selskapet "YurPartner" Anton Tolmachev … «Men dette er tungt artilleri. Oftere er et brudd på loven "Om personopplysninger" en administrativ krenkelse, for eksempel i henhold til artikkel 13.14 i den russiske føderasjonens administrative kode "Offentliggjøring av informasjon med begrenset tilgang" eller artikkel 13.12 "Brennelse av informasjonsbeskyttelsesregler." "Nå har selskapet administrativt ansvar for brudd på prosedyren for behandling av personopplysninger i form av en bot fra 5 til 10 tusen rubler (artikkel 13.11 i den russiske føderasjonens administrative lovbrudd) og for brudd på kravene til informasjonsbeskyttelse - fra 10 til 15 tusen rubler (del 6 av artikkel 13.12 i Administrative Code RF) ", - forklarer Kirill Mityagin, partner i Nevsky IP Law.

Den russiske føderasjonens statsduma planlegger å vedta endringer i den administrative koden. Minimumsboten vil være 50 000 rubler, og maksimum - 300 000 rubler.

Erfaring fra andre land med beskyttelse av personopplysninger

I EU-landene er beskyttelsen av personopplysninger regulert av direktiv 95/46/EF (1995) og en rekke påfølgende dokumenter, men etter Snowden-saken ble det klart at lovverket på personopplysningsområdet krever en større endring. EU-land oppretter nå en generell databeskyttelsesforordning. Den vil inneholde begreper som: behandler og mottaker av personopplysninger, personlig identifikator, online identifikator. Konseptet «sensitive data» vil bli introdusert, som vil inkludere menneskelige genetiske og biometriske data og mye, mye mer.

Sammendrag

Nesten alle land i verden er nå involvert i å endre lovgivningen innen regulering av behandling og beskyttelse av personopplysninger. At Russland er i front er ikke annet enn en tilfeldighet. Imidlertid er det særegne ved den russiske tilnærmingen alltid "statens lov", mens det i vestlige land er menneskerettigheter. Derfor frykten for at den nye loven først og fremst ble opprettet for å kontrollere borgernes handlinger, og ikke for å beskytte deres personlige data.