Разбиране на новия закон "За личните данни": въображаеми и реални рискове

2024 Автор: Malcolm Clapton | [email protected]. Последно модифициран: 2023-12-17 03:47

От 1 септември влизат в сила промените в Закона за личните данни. В една или друга степен те ще засегнат всички граждани на Русия. MakRadar се свърза с редица руски адвокати и представители на интернет компании и разбра всички нюанси на този закон.

Самите поправки са малки, отнемат само една страница и половина от стандартен лист А4 и всеки може да ги прочете директно. Две основни иновации:

• От 1 септември всички юридически лица, работещи с лични данни на руснаци, трябва да съхраняват бази данни на територията на Руската федерация - на собствени или наети сървъри.
• Създава се автоматизираната информационна система „Регистър на нарушителите на правата на субектите на лични данни”.

Лични данни - всяка информация, свързана с конкретно физическо лице. Това може да бъде фамилия, собствено име, бащино име, година, месец, дата и място на раждане, адрес, семейство, социално, имуществено състояние, образование, паспортни данни, професия, доход и друга информация.

Нека да разгледаме какво представлява гореспоменатият „Регистър…“, какви рискове носи законът за представителите на интернет индустрията, колко „коства“спазването на закона за компаниите и каква отговорност ще поемат нарушителите.

Какво представлява "Регистърът на нарушителите на правата на субектите на лични данни"

Този регистър ще включва имената на сайтове и страници в Интернет, на които се обработват лични данни в нарушение на закона. Това може да бъде абсолютно всеки сайт: онлайн магазини, хотели, авиокомпании, медии и други. „Тъй като законът не уточнява за какви нарушения сайтовете ще бъдат включени в този регистър, може да се приеме, че всяко нарушение на закона за личните данни може да послужи за такова нарушение“, казват Дария Сухих, старши сътрудник на Екип 29. - Редът за поддържане на регистъра се определя от правителството на Руската федерация. Прави впечатление, че сайт или страница могат да бъдат вписани в този регистър само въз основа на влязло в сила съдебно решение, в което е регистрирано нарушение на закона при обработката на лични данни.

Обработка на лични данни - операции с лични данни, като: събиране, натрупване, съхранение, изясняване, актуализиране, модифициране, използване, разпространение, прехвърляне, обезличаване, блокиране и унищожаване.

Който попада под закона

Компании за дистанционни продажби, транспорт, туроператори и системи за резервации, агенции за набиране на персонал, телекомуникационни оператори, банкова индустрия и платежни системи. Според юлската среща между RAEC, Руско-британската търговска камара и Роскомнадзор, повече от 54% от ИТ компаниите са готови да спазват всички изисквания на закона, други 27% са казали, че са частично готови, 19% не са били напълно готов. Финансовите проблеми и липсата на технически капацитет бяха идентифицирани като основни трудности при прилагането на закона.

Основни рискове за бизнеса

„Не виждаме значителни рискове за бизнеса“, казва старши юрисконсулт на OZON Group. Яна Баръш … „Разпоредбите за трансгранично предаване на лични данни не са засегнати от измененията и следователно прехвърлянето на лични данни на руски граждани към чуждестранни доставчици на услуги ще продължи да бъде възможно“. Кирил Митягин, партньор на Nevsky IP Law смята: „Основният риск е да не разбирате изискванията на закона за операторите и правилата за обработка на лични данни. Например, не изпращайте известие за включване в регистъра на Roskomnadzor (към 31 юли 2015 г. в регистъра има повече от 330 хиляди оператора) или извършвайте нарушения при обработката на лични данни, което води до възникване на граждански, административна и дори наказателна отговорност“.

Потенциални заплахи за обикновените интернет потребители

Основната заплаха за обикновения потребител е, че любимият му ресурс може да не се справи с разходите за защита на личните данни и ще бъде затворен. „Спазването на закона прави нашия проект с 45% по-скъп“, казва изпълнителният директор на услугата. Олег Грибанов … - Това са неизбежни разходи, ако искаме да спазваме закона, а ние в никакъв случай няма да го нарушаваме. Не мога да кажа колко ще похарчим за закупуване и наемане на сървъри и обучение на персонал за работа, това е търговска тайна”. „Днес сървърите могат да бъдат закупени на цени от 40 до 600 хиляди рубли, но повече или по-малко висококачествен продукт определено ще струва повече от сто хиляди, освен това изборът ще зависи от количеството съхранявани данни,“обяснява Александър Трифонов, главен експерт правна служба. - Има и възможност за наемане на сървър, офертите започват от пет до шест хиляди рубли, така че такъв бюджетен вариант може да отговаря на компании, които не са готови да похарчат веднага няколкостотин хиляди."

Защитата на личните данни е набор от административни мерки и технически методи за защита за противодействие на неразрешеното използване на лични данни.

Отговорност за неспазване на закона "За личните данни"

Неспазването на закона за защита на данните подлежи на наказателна и административна отговорност. „За незаконен достъп до законово защитена компютърна информация носи отговорност по чл. 272 от Наказателния кодекс на Руската федерация, - казва управляващият директор на компанията "YurPartner" Антон Толмачев … „Но това е тежка артилерия. По-често нарушението на закона „За личните данни“е административно нарушение, например съгласно член 13.14 от Административния кодекс на Руската федерация „Разкриване на информация с ограничен достъп“или член 13.12 „Нарушение на правилата за защита на информацията " „Сега компанията носи административна отговорност за нарушаване на процедурата за обработка на лични данни под формата на глоба от 5 до 10 хиляди рубли (член 13.11 от Кодекса за административните нарушения на Руската федерация) и за нарушаване на изискванията за защита на информацията - от 10 до 15 хиляди рубли (част 6 от член 13.12 от Административния кодекс на РФ) ", - обяснява Кирил Митягин, партньор на Nevsky IP Law.

Държавната дума на Руската федерация планира да приеме изменения в Административния кодекс. Минималната глоба ще бъде 50 000 рубли, а максималната - 300 000 рубли.

Опит на други държави в защитата на личните данни

В страните от ЕС защитата на личните данни е регламентирана от Директива 95/46/ЕО (1995) и редица последващи документи, но след случая Сноудън стана ясно, че законодателството в областта на защитата на личните данни изисква основно промяна. Страните от ЕС сега създават Общ регламент за защита на данните. Той ще включва понятия като: обработващ и получател на лични данни, личен идентификатор, онлайн идентификатор. Ще бъде въведено понятието „чувствителни данни“, което ще включва човешки генетични и биометрични данни и много, много повече.

Резюме

Почти всички страни по света вече участват в промяна на законодателството в областта на регулирането на обработката и защитата на лични данни. Фактът, че Русия е на преден план, не е нищо повече от съвпадение. Въпреки това, особеността на руския подход винаги е „законът на държавата”, докато в западните страни това са правата на човека. Оттук и опасенията, че новият закон е създаден преди всичко, за да контролира действията на гражданите, а не да защитава личните им данни.