De nieuwe wet "Over persoonsgegevens" begrijpen: denkbeeldige en reële risico's

2024 Auteur: Malcolm Clapton | [email protected]. Laatst gewijzigd: 2023-12-17 04:06

Op 1 september treden wijzigingen in de wet "Over persoonsgegevens" in werking. Tot op zekere hoogte zullen ze gevolgen hebben voor alle burgers van Rusland. MakRadar nam contact op met een aantal Russische advocaten en vertegenwoordigers van internetbedrijven en ontdekte alle nuances van deze wet.

De wijzigingen zelf zijn klein, nemen slechts anderhalve pagina van een standaard A4-blad in beslag en iedereen kan ze direct lezen. Twee belangrijke innovaties:

• Vanaf 1 september moeten alle rechtspersonen die met persoonlijke gegevens van Russen werken, databases opslaan op het grondgebied van de Russische Federatie - op hun eigen of gehuurde servers.
• Het geautomatiseerde informatiesysteem "Register overtreders van de rechten van personen met persoonsgegevens" wordt gecreëerd.

Persoonlijke gegevens - alle informatie met betrekking tot een specifiek individu. Dit kan achternaam, voornaam, patroniem, jaar, maand, geboortedatum en -plaats, adres, familie, sociale status, eigendomsstatus, opleiding, paspoortgegevens, beroep, inkomen en andere informatie zijn.

Laten we eens kijken naar wat het bovengenoemde "Registreren …" is, welke risico's de wet met zich meebrengt voor vertegenwoordigers van de internetindustrie, hoeveel het "kost" om te voldoen aan de wet voor bedrijven en welke verantwoordelijkheid de overtreders zullen dragen.

Wat is het "Register van overtreders van de rechten van personen met persoonsgegevens"

In dit register worden de namen opgenomen van sites en pagina's op internet waarop in strijd met de wet persoonsgegevens worden verwerkt. Het kan elke site zijn: online winkels, hotels, luchtvaartmaatschappijen, media en andere. “Omdat de wet niet specificeert voor welke overtredingen de sites in dit register worden opgenomen, kan worden aangenomen dat elke overtreding van de wet op de persoonsgegevens als een dergelijke overtreding kan dienen”, zegt Daria Sukhikh, senior medewerker van Team 29. - De procedure voor het bijhouden van het register wordt bepaald door de regering van de Russische Federatie. Opmerkelijk is dat een site of een pagina alleen in dit register kan worden opgenomen op basis van een in werking getreden rechterlijke uitspraak, waarin een overtreding van de wet bij de verwerking van persoonsgegevens is vastgelegd."

Verwerking van persoonsgegevens - handelingen met persoonsgegevens, zoals: verzameling, accumulatie, opslag, verduidelijking, actualisering, wijziging, gebruik, distributie, overdracht, depersonalisatie, blokkering en vernietiging.

Wie valt onder de wet?

Bedrijven die op afstand verkopen, transportbedrijven, touroperators en boekingssystemen, wervingsbureaus, telecomoperators, het bankwezen en betalingssystemen. Volgens de bijeenkomst in juli tussen RAEC, de Russisch-Britse Kamer van Koophandel en Roskomnadzor, is meer dan 54% van de IT-bedrijven klaar om te voldoen aan alle vereisten van de wet, nog eens 27% zei dat ze gedeeltelijk klaar waren, 19% was dat niet helemaal klaar. Financiële problemen en gebrek aan technische capaciteit werden geïdentificeerd als de belangrijkste problemen bij de uitvoering van de wet.

Belangrijkste risico's voor het bedrijfsleven

"We zien geen significante risico's voor het bedrijf", zegt senior juridisch adviseur van OZON Group. Yana Barash … "De bepalingen over grensoverschrijdende overdracht van persoonsgegevens worden niet beïnvloed door de wijzigingen, en daarom blijft de overdracht van persoonsgegevens van Russische burgers aan buitenlandse dienstverleners mogelijk." Kirill Mityagin, partner van Nevsky IP Law: “Het grootste risico is dat we de vereisten van de wet voor operators en de regels voor het verwerken van persoonlijke gegevens niet begrijpen. Dien bijvoorbeeld geen kennisgeving van opname in het Roskomnadzor-register in (op 31 juli 2015 zijn er meer dan 330 duizend exploitanten in het register), of maak geen inbreuken op de verwerking van persoonsgegevens, wat het begin van burgerlijke, administratieve en zelfs strafrechtelijke aansprakelijkheid.”

Potentiële bedreigingen voor gewone internetgebruikers

De belangrijkste bedreiging voor de gemiddelde gebruiker is dat zijn favoriete bron de kosten van het beschermen van persoonlijke gegevens mogelijk niet aankan en zal worden gesloten. “Naleving van de wet maakt ons project 45% duurder”, zegt de directeur van de dienst. Oleg Gribanov … - Dit zijn onvermijdelijke kosten als we de wet willen naleven, en we zullen deze in geen geval overtreden. Ik kan niet zeggen hoeveel we zullen uitgeven aan het kopen en huren van servers en het opleiden van personeel voor werk, dit is een commercieel geheim”. "Tegenwoordig kunnen servers worden gekocht tegen prijzen variërend van 40 tot 600 duizend roebel, maar een min of meer hoogwaardig product kost zeker meer dan honderdduizend, bovendien hangt de keuze af van de hoeveelheid opgeslagen gegevens", verklaart Alexander Trifonov, hoofddeskundige van de juridische dienst. - Er is ook de mogelijkheid om een server te huren, aanbiedingen beginnen bij vijf- tot zesduizend roebel, dus zo'n budgetoptie kan geschikt zijn voor bedrijven die niet klaar zijn om meteen enkele honderdduizenden uit te geven."

Bescherming van persoonsgegevens is een reeks administratieve maatregelen en technische beschermingsmethoden om ongeoorloofd gebruik van persoonsgegevens tegen te gaan.

Verantwoordelijkheid voor niet-naleving van de wet "Over persoonsgegevens"

Het niet naleven van de gegevensbeschermingswet is onderworpen aan strafrechtelijke en administratieve aansprakelijkheid. “Voor illegale toegang tot wettelijk beschermde computerinformatie valt de verantwoordelijkheid onder art. 272 van het Wetboek van Strafrecht van de Russische Federatie, - zegt de directeur van het bedrijf "YurPartner" Anton Tolmachev … 'Maar dit is zware artillerie. Vaker is een overtreding van de wet "Over persoonsgegevens" een administratieve overtreding, bijvoorbeeld volgens artikel 13.14 van de Administratieve Code van de Russische Federatie "Openbaarmaking van informatie met beperkte toegang" of artikel 13.12 "Overtreding van regels voor informatiebescherming." “Nu draagt het bedrijf de administratieve verantwoordelijkheid voor overtreding van de procedure voor het verwerken van persoonsgegevens in de vorm van een boete van 5 tot 10 duizend roebel (Artikel 13.11 van de Wet op administratieve overtredingen van de Russische Federatie) en voor schending van de vereisten voor informatiebescherming - van 10 tot 15 duizend roebel (deel 6 van artikel 13.12 van de administratieve code RF) ", - legt uit Kirill Mityagin, partner van Nevsky IP Law.

De Doema van de Russische Federatie is van plan wijzigingen aan te brengen in de administratieve code. De minimale boete is 50.000 roebel en het maximum - 300.000 roebel.

Ervaring van andere landen met de bescherming van persoonsgegevens

In de EU-landen is de bescherming van persoonsgegevens geregeld door Richtlijn 95/46/EG (1995) en een aantal daaropvolgende documenten, maar na de Snowden-zaak werd duidelijk dat de wetgeving op het gebied van de bescherming van persoonsgegevens een grote verandering. EU-landen stellen nu een Algemene Verordening Gegevensbescherming op. Het omvat begrippen als: verwerker en ontvanger van persoonsgegevens, persoonlijk identificatiemiddel, online identificatiemiddel. Het concept van "gevoelige gegevens" zal worden geïntroduceerd, waaronder menselijke genetische en biometrische gegevens en nog veel, veel meer.

Samenvatting

Bijna alle landen van de wereld zijn inmiddels betrokken bij veranderende wetgeving op het gebied van regulering van de verwerking en bescherming van persoonsgegevens. Dat Rusland voorop loopt, is niets meer dan toeval. De eigenaardigheid van de Russische benadering is echter altijd "de wet van de staat", terwijl het in westerse landen mensenrechten zijn. Vandaar de vrees dat de nieuwe wet in de eerste plaats is gemaakt om de acties van burgers te controleren, en niet om hun persoonlijke gegevens te beschermen.