Pour comprendre la nouvelle loi « sur les données personnelles »: les risques sont réels et imaginaires
Makradar De La Technologie / / December 19, 2019
1 septembre entrera en vigueur des amendements à la loi « sur les données personnelles ». À des degrés divers, ils auront une incidence sur tous les citoyens de la Russie. « MakRadar » a contacté un certain nombre d'avocats russes et des représentants des sociétés Internet et découvrir toutes les nuances de la loi.
En eux-mêmes, de petites corrections, prennent seulement une demi-feuille standard de pages A4, et tout le monde peut les lire directement pour le moment. Deux innovations majeures:
- A partir du 1er Septembre, toutes les entités juridiques qui travaillent avec des données personnelles des Russes, devrait stocker la base de données sur le territoire de la Fédération de Russie - sur leurs serveurs propres ou loués.
- Un système d'information automatisé « Registre des droits des auteurs de violations des sujets de données personnelles. »
Données personnelles - toute information relative à une personne spécifique. Il peut être un nom, prénom, nom patronymique, année, mois, date et lieu de naissance, adresse, familiale, sociale, de fortune, de l'éducation, numéro de passeport, la profession, le revenu, et d'autres informations.
Voyons ce qui est mentionné ci-dessus le « registre... », quels sont les risques pour la loi représentants de l'industrie Internet que la mise en œuvre des « coûts » de la loi pour les entreprises et quelle est la responsabilité les contrevenants encourent.
Quel est le « Registre des violations des droits des sujets de données personnelles
Ce registre contient les noms des sites Web et des pages sur Internet, dans lequel le traitement des données personnelles a lieu en violation de la loi. Il peut être absolument tous les sites Web: boutiques en ligne, les hôtels, les compagnies aériennes, les médias et les autres. « Étant donné que la loi ne sera inclus précise pas quel type de sites de violations dans ce registre, il peut être Il suggère qu'une telle violation pourrait servir de non-respect des dispositions de la loi sur les données personnelles - il parle daria secavocat principal "Team 29". - La procédure de la tenue du registre sera déterminé par le gouvernement. Il est à noter que dans ce registre un site ou d'une page ne peut être faite sur la base d'une décision de justice, de fixer les violations de la loi dans le traitement des données à caractère personnel ».
Traitement des données personnelles - l'opération avec des données personnelles, telles que la collecte, l'accumulation, le stockage, mise à jour, mettre à jour, modifier, utiliser, distribuer, transférer, la dépersonnalisation, le blocage et la destruction.
Qui relève de la loi
sociétés de vente à distance, le transport, tour-opérateurs et des systèmes de réservation, les agences de recrutement, les fournisseurs de services, le secteur bancaire et les systèmes de paiement. Selon la réunion entre Juillet RAEC, la Chambre russo-britannique de commerce et par Roskomnadzor, plus de 54% des IT-entreprises prêt à répondre à toutes les exigences de la loi, même 27% pour cent ont dit la disponibilité partielle, 19% ne sont pas entièrement prêt. Parmi les principaux défis pour la mise en œuvre de la loi ont été nommés problèmes financiers et le manque de capacités techniques.
Les principaux risques pour les entreprises
« Nous ne voyons pas de risques importants pour l'entreprise, - dit l'avocat principal groupe OZON Jan Barash. - Les dispositions relatives au transfert transfrontalier des données personnelles ne sont pas affectées par les modifications, et Par conséquent, le transfert des données personnelles des citoyens russes à des fournisseurs de services étrangers sont encore Il sera possible ". Kirill MityaginPartenaire Nevsky IP Law a déclaré: « Le principal risque - est de ne pas comprendre les exigences de la loi aux opérateurs et les règles de traitement des données personnelles. Par exemple, ne pas déposer un avis d'inscription au registre des Roskomnadzor (au 31/07/2015 dans le registre pour plus de 330.000 opérateurs), ou distorsions d'éviter dans le traitement des données personnelles, ce qui conduit à l'apparition des droits civils, administratifs et même criminelle responsabilité ».
menaces possibles pour les utilisateurs d'Internet ordinaires
La principale menace pour l'utilisateur moyen est que sa ressource préférée ne peut pas faire face au coût de la protection des données personnelles et ferme. « Le respect de la loi à rendre notre projet plus cher de 45%, - dit le directeur exécutif du service darenta.ruOleg Gribanov. - Ce sont les coûts inévitables, si nous voulons obéir à la loi, et nous ne sommes pas en aucune façon ne violer. Exactement combien nous avons dépensé pour l'achat et la location de serveurs et la formation du personnel pour le travail, je ne peux pas dire que c'est un secret commercial ". « Aujourd'hui, les serveurs peuvent être achetés à un prix allant de 40 à 600 mille roubles, mais plus ou moins la qualité le produit sera exactement le coût de plus de cent mille, en plus, le choix dépendra de la quantité de données stockées - explique Alexander Trifonov, Expert en chef du service juridique 48Prav.ru. - Il y a encore une possibilité de louer un serveur, offres commencent à cinq ou six mille, de sorte qu'une telle option budgétaire peut organiser l'entreprise n'est pas prêt immédiatement à dépenser plusieurs centaines de milliers ».
Protection des données personnelles - un ensemble de mesures administratives et les méthodes techniques de protection pour lutter contre l'utilisation non autorisée de données personnelles.
La responsabilité en cas de non-respect de la loi « sur les données personnelles »
Pour le non-respect de la protection du droit de l'information prévoit la responsabilité pénale et administrative. « Pour l'accès illégal à des informations de l'ordinateur protégé par la loi vient la responsabilité de l'art. 272 du Code criminel - dit le directeur général de la société « YurPartner » Anton Tolmachev. - Mais il est l'artillerie lourde. La plus commune violation de la loi « sur les données personnelles » est une infraction administrative, par exemple, conformément à l'article 13.14 du Code administratif « Divulgation d'informations avec un accès limité » ou à l'article 13.12 « Violation des règles de protection informations ". « La société a maintenant la responsabilité administrative de la violation du traitement des données personnelles sous la forme d'une amende de 5 à 10 mille roubles (art. 13.11 du Code administratif) et pour violation des exigences de protection des données - du 10 au 15 mille roubles (h. 6 cuillères à soupe. 13.12 du Code administratif), « - explique Kirill MityaginPartenaire Nevsky IP Law.
plans Douma d'Etat russe à adopter des amendements au Code des infractions administratives. Une amende minimale de 50 000 roubles, et le maximum - 300 000 roubles.
L'expérience dans d'autres pays de la protection des données personnelles
Dans l'UE, la protection des données personnelles est régie par la directive 95/46 / CE (1995) et un certain nombre de documents de suivi, mais après « Cas Snowden » il est devenu clair que la législation dans le domaine de la protection des données personnelles nécessite graves changer. Pays de l'UE est maintenant établi par le règlement général sur la protection des données personnelles. Ce sera des choses telles que: le gestionnaire et le destinataire des données personnelles, carte d'identité, identifiant en ligne. le concept de « données sensibles » sera introduit, qui comprendra des données génétiques et biométriques de la personne, et bien plus encore.
résumé
Les changements dans le traitement de régulation de la législation et à la protection des données à caractère personnel sont maintenant engagés dans presque tous les pays du monde. Le fait que la Russie était à l'avant-garde, pas plus qu'une coïncidence. Cependant, la particularité de l'approche russe est toujours le « droit de l'État », alors que dans les pays occidentaux - droits de l'homme. D'où la crainte que la nouvelle loi a été créée principalement dans le but de surveiller les actions des citoyens, et non pour la protection de leurs données personnelles.