Entendre la nova llei "De dades personals": riscos imaginaris i reals

2024 Autora: Malcolm Clapton | [email protected]. Última modificació: 2023-12-17 03:49

L'1 de setembre entren en vigor les modificacions a la llei "De dades personals". En un grau o un altre, afectaran a tots els ciutadans de Rússia. MakRadar es va posar en contacte amb diversos advocats russos i representants d'empreses d'Internet i va descobrir tots els matisos d'aquesta llei.

Les esmenes en si són petites, només tenen una pàgina i mitja d'un full A4 estàndard i qualsevol pot llegir-les directament. Dues innovacions principals:

• A partir de l'1 de setembre, totes les persones jurídiques que treballin amb dades personals de russos han d'emmagatzemar bases de dades al territori de la Federació de Rússia, en servidors propis o llogats.
• S'està creant el sistema d'informació automatitzat "Registre de violadors dels drets dels subjectes de dades personals".

Dades personals: qualsevol informació relacionada amb una persona específica. Pot ser el cognom, el nom, el patronímic, l'any, el mes, la data i el lloc de naixement, l'adreça, la família, l'estat de la propietat, l'educació, les dades del passaport, la professió, els ingressos i altra informació.

Fem una ullada a què és el "Registre…" esmentat anteriorment, quins riscos comporta la llei per als representants de la indústria d'Internet, quant "cost" complir la llei per a les empreses i en quina responsabilitat incorreran els infractors..

Què és el "Registre de violadors dels drets dels subjectes de dades personals"

Aquest registre inclourà els noms dels llocs i pàgines d'Internet en què es tracten dades personals infringint la llei. Pot ser absolutament qualsevol lloc: botigues en línia, hotels, companyies aèries, mitjans de comunicació i altres. "Com que la llei no especifica per a quines infraccions s'inclouran els llocs en aquest registre, es pot suposar que qualsevol violació de la llei de dades personals pot servir com a violació", diu. Daria Sukhikh, associat sènior de l'equip 29. - El procediment per mantenir el registre el determinarà el Govern de la Federació Russa. Cal destacar que un lloc o una pàgina es pot introduir en aquest registre només sobre la base d'una decisió judicial que ha entrat en vigor, que va registrar una violació de la llei en el tractament de dades personals".

Tractament de dades personals - operacions amb dades personals, com ara: recollida, acumulació, emmagatzematge, aclariment, actualització, modificació, ús, distribució, transferència, despersonalització, bloqueig i destrucció.

Qui està sota la llei

Empreses de venda a distància, transports, operadors turístics i sistemes de reserves, agències de contractació, operadors de telecomunicacions, sector bancari i sistemes de pagament. Segons la reunió de juliol entre la RAEC, la Cambra de Comerç britànica russa i Roskomnadzor, més del 54% de les empreses de TI estan preparades per complir amb tots els requisits de la llei, un altre 27% va dir que estaven parcialment preparades, el 19% no ho estaven. completament llest. Els problemes financers i la manca de capacitat tècnica es van identificar com les principals dificultats en l'aplicació de la llei.

Principals riscos per a l'empresa

"No veiem riscos significatius per al negoci", diu l'assessor legal sènior d'OZON Group. Yana Barash … "Les disposicions sobre transferència transfronterera de dades personals no es veuen afectades per les esmenes i, per tant, la transferència de dades personals de ciutadans russos a proveïdors de serveis estrangers continuarà sent possible". Kirill Mityagin, soci de Nevsky IP Law creu: “El principal risc és no entendre els requisits de la llei per als operadors i les normes de tractament de dades personals. Per exemple, no envieu un avís d'inclusió al registre de Roskomnadzor (a 31 de juliol de 2015, hi ha més de 330 mil operadors al registre), ni cometeu infraccions en el tractament de dades personals, que comportin l'inici de, responsabilitat administrativa i fins i tot penal".

Amenaces potencials per als usuaris normals d'Internet

La principal amenaça per a l'usuari mitjà és que el seu recurs favorit pot no poder fer front als costos de protecció de dades personals i es tancarà. “El compliment de la llei encareix un 45% el nostre projecte”, diu el director executiu del servei. Oleg Gribanov … - Són costos inevitables si volem complir amb la llei, i en cap cas la vulnerem. No puc dir quant gastarem en la compra i lloguer de servidors i la formació de personal per treballar, això és un secret comercial”. "Avui, els servidors es poden comprar a preus que oscil·len entre els 40 i els 600 mil rubles, però un producte de més o menys alta qualitat costarà més de cent mil, a més, l'elecció dependrà de la quantitat de dades emmagatzemades". explica Alexandre Trifonov, expert en cap del servei jurídic. - També hi ha la possibilitat de llogar un servidor, les ofertes comencen de cinc a sis mil rubles, de manera que aquesta opció de pressupost pot adaptar-se a les empreses que no estan disposades a gastar immediatament diversos centenars de milers ".

La protecció de dades personals és un conjunt de mesures administratives i mètodes tècnics de protecció per contrarestar l'ús no autoritzat de dades personals.

Responsabilitat per l'incompliment de la llei "De dades personals"

L'incompliment de la llei de protecció de dades està subjecte a responsabilitat penal i administrativa. "Per l'accés il·legal a la informació informàtica protegida legalment és responsable d'acord amb l'art. 272 del Codi Penal de la Federació Russa, - diu el director general de l'empresa "YurPartner" Anton Tolmatxov … "Però això és artilleria pesada. Més sovint, una violació de la llei "Sobre dades personals" és un delicte administratiu, per exemple, segons l'article 13.14 del Codi Administratiu de la Federació de Rússia "Divulgació d'informació amb accés limitat" o l'article 13.12 "Violació de les normes de protecció de la informació".." "Ara l'empresa té la responsabilitat administrativa per la violació del procediment de tractament de dades personals en forma de multa de 5 a 10 mil rubles (article 13.11 del Codi d'infraccions administratives de la Federació de Rússia) i per la violació dels requisits de protecció de la informació - des de De 10 a 15 mil rubles (part 6 de l'article 13.12 del Codi Administratiu RF) ", - explica Kirill Mityagin, soci de Nevsky IP Law.

La Duma Estatal de la Federació Russa té previst adoptar esmenes al Codi Administratiu. La multa mínima serà de 50.000 rubles i la màxima de 300.000 rubles.

Experiència d'altres països en protecció de dades personals

Als països de la UE, la protecció de dades personals està regulada per la Directiva 95/46/CE (1995) i una sèrie de documents posteriors, però després del cas Snowden va quedar clar que la legislació en matèria de protecció de dades personals exigeix una important canvi. Els països de la UE estan creant un Reglament general de protecció de dades. Inclourà conceptes com ara: processador i destinatari de dades personals, identificador personal, identificador en línia. S'introduirà el concepte de "dades sensibles", que inclourà dades genètiques i biomètriques humanes i molt, molt més.

Resum

Gairebé tots els països del món estan actualment implicats en el canvi de legislació en l'àmbit de la regulació del tractament i la protecció de dades personals. El fet que Rússia estigui al capdavant no és més que una casualitat. Tanmateix, la peculiaritat de l'enfocament rus sempre és "la llei de l'estat", mentre que als països occidentals són els drets humans. D'aquí els temors que la nova llei s'hagi creat principalment per controlar l'actuació dels ciutadans, i no per protegir les seves dades personals.