La legislación rusa e internacional en el ámbito de la protección de datos personales.

En la publicación anterior , examinamos los conceptos básicos y el paradigma de la seguridad de la información, y ahora pasaremos al análisis de la legislación rusa e internacional que rige varios aspectos de la protección de datos, ya que sin el conocimiento de las normas legislativas que rigen las áreas relevantes de la actividad de la empresa, es correcto construir un sistema de gestión orientado al riesgo y a los negocios. La seguridad de la información es imposible. Las sanciones, así como el daño a la reputación por el incumplimiento de las normas legislativas, pueden hacer una corrección significativa al funcionamiento y los planes de desarrollo de la organización: sabemos que, por ejemplo, el incumplimiento de las normas de protección de la información en el sistema de pago nacional puede resultar en la revocación de una licencia de una institución financiera y el incumplimiento de los requisitos locales. La recopilación primaria y el procesamiento de datos personales pueden llevar a bloquear el acceso al sitio web de la empresa. El incumplimiento de los estándares de seguridad de la infraestructura de información crítica en general puede resultar en prisión por hasta 10 años. Por supuesto, hay una gran cantidad de leyes y regulaciones aplicables, por lo que en este y en los próximos dos artículos nos centraremos en la protección de datos personales, la protección de objetos de infraestructura de información crítica y la seguridad de la información de las organizaciones financieras.

Entonces, en la serie de hoy: datos personales, ¡vamos!



En primer lugar, es necesario hablar sobre el documento fundamental que rige el procedimiento para trabajar con información diversa en la Federación de Rusia, incluyendo y con datos personales: estamos hablando de la Ley Federal Nº 149 "sobre información, tecnologías de la información y protección de la información" del 27/07/2006. Este documento contiene los conceptos y definiciones básicos que se utilizan en todos los actos jurídicos normativos relacionados con la protección de la información, y también, entre otras cosas, introduce el concepto de categoría de información (información pública e información de distribución limitada) y el tipo de información (distribuida libremente, proporcionada sobre la base de acuerdo, sujeto a distribución de acuerdo con la ley, información de acceso / distribución limitada y prohibido para distribución). En particular, los datos personales se clasifican como información restringida y, de conformidad con el Artículo 9, Cláusula 2 de esta Ley, la confidencialidad de dicha información es obligatoria, como resultado de lo cual el estado establece normas y reglas obligatorias para su procesamiento. Desafortunadamente, no con todos los tipos de información de distribución limitada hay una certeza similar: por ejemplo, hasta el día de hoy no existe una clasificación legislativa de tipos de secretos, solo se pueden distinguir algunos de ellos: estado, comercial, fiscal, bancario, auditoría, médico, notarial, secreto de abogado, secreto comunicaciones, investigaciones, procedimientos legales, información privilegiada, etc. Además de la información de distribución limitada, en 149- (Artículo 8, Cláusula 4) también hay un clasificador de tipos de información, cuyo acceso, por el contrario, no puede limitarse, por ejemplo, actos legales regulatorios, información sobre las actividades de los organismos estatales, el estado del medio ambiente, etc. .d.

Normas rusas para la protección de datos personales.

En cuanto a la consideración de los problemas de protección de datos personales, debe tenerse en cuenta que han permanecido invariablemente afilados en los últimos años y se han elevado en las oficinas más altas tanto en Rusia como en el extranjero, ya que nos conciernen a cada uno de nosotros, independientemente de su ciudadanía o posición.

La seguridad de los datos personales, en la interpretación extranjera de la privacidad, se basa en garantizar los derechos y libertades inalienables de los ciudadanos de los países desarrollados; por ejemplo, en algunos países europeos, la cuestión de indicar el nombre y el apellido de quienes viven al lado de buzones y timbres fue bastante controvertida. Con el advenimiento de la tecnología de la información, la protección de datos personales se ha vuelto aún más relevante. Así es como apareció el "Convenio núm. 108 del Consejo de Europa sobre la protección de las personas con procesamiento automático de datos personales", firmado en 1981 y ratificado por la Federación de Rusia en 2001. Ya en ese momento, sentó las bases internacionales para el procesamiento legítimo de datos personales, que todavía son aplicables hoy: el uso de datos personales solo para ciertos fines y dentro de ciertos períodos, la redundancia y relevancia de los datos personales procesados ​​y las peculiaridades de su transferencia transfronteriza, la protección de datos garantizada derechos de un ciudadano - titular de datos personales. En el mismo documento, se proporciona la definición misma de datos personales, que luego "migra" a la primera edición de la Ley federal nacional Nº 152 "Sobre datos personales" del 27 de julio de 2006: "datos personales" significa cualquier información sobre una persona física específica o identificable. El objetivo de la ratificación de este Convenio era cumplir con los requisitos reglamentarios internacionales al momento de la entrada de Rusia en la OMC (Organización Mundial del Comercio), que tuvo lugar en 2012.

El trabajo conjunto de los países partes en la Convención continúa hasta nuestros días. Entonces, a fines de 2018, la Federación de Rusia junto con otros países participantes firmaron el " Protocolo No. 223 sobre Enmiendas al Convenio del Consejo de Europa sobre Protección de Datos Personales", que actualiza el Convenio en términos de enfrentar los desafíos actuales: protección de datos biométricos y genéticos, nuevos derechos individuos en el contexto de la toma de decisiones algorítmicas por inteligencia artificial, requisitos de protección de datos ya en la etapa de diseño de sistemas de información, la obligación de notificar al supervisor autorizado sobre gan sobre las fugas de datos. Los ciudadanos ahora tienen la oportunidad de recibir una protección calificada de sus datos personales por parte del supervisor, y las empresas rusas obligadas a cumplir con los requisitos del GDPR europeo (Reglamento general de protección de datos, hablaremos de ellos más adelante) no se verán obligados a aplicar medidas de protección adicionales, ya que El cumplimiento de las disposiciones de la Convención significa que el país parte proporciona un régimen legal adecuado para el procesamiento de datos personales.

Entonces, en 2006, se adoptó 152- “Sobre datos personales”, que no solo repitió en gran medida los requisitos de la Convención, sino que también introdujo definiciones y requisitos adicionales con respecto al procesamiento de datos personales (en adelante, PD). Con el tiempo, se modificó la Ley Federal, la mayoría de las cuales se introdujeron 261- con fecha 25/07/2011 y 242-dated con fecha 21/07/2014. La primera ley introdujo cambios significativos en los postulados básicos de la protección de la EP, y la segunda prohibió el procesamiento primario de la PD fuera del territorio de la Federación de Rusia. Tenga en cuenta que el organismo estatal autorizado para proteger los derechos de los sujetos con EP es el Servicio Federal de Supervisión de Comunicaciones, Tecnologías de la Información y Comunicaciones en Masa (Roskomnadzor), que informa al Ministerio de Desarrollo Digital, Telecomunicaciones y Comunicaciones en Masa de la Federación de Rusia.

En el artículo 152-FZ, las medidas para garantizar la seguridad de los datos personales se abordan en el artículo 19, que también establece que los operadores deben garantizar los niveles de seguridad establecidos por la Decisión gubernamental N ° 1119 del 1 de noviembre de 2012, que se entiende como un conjunto de requisitos que neutralizan ciertas amenazas de seguridad. Para simular estas amenazas, es decir construyendo un modelo de amenaza (en adelante, MU) y un modelo del infractor, uno debe confiar en los siguientes actos legales regulatorios:

• documento " Modelo básico de amenazas a la seguridad de los datos personales cuando se procesan en sistemas de información de datos personales ", que fue desarrollado y aprobado por el FSTEC de Rusia en 2008;
• Recomendaciones metodológicas del Servicio Federal de Seguridad de la Federación de Rusia de 2015 para identificar riesgos de seguridad para PD, destinados a organismos y operadores gubernamentales que utilizan herramientas de protección de información criptográfica y desarrollan MU apropiadas.

Además, el FSTEC de Rusia en 2015 desarrolló el proyecto "Métodos para identificar amenazas a la seguridad de la información en los sistemas de información", que, después de su aprobación, podrá guiar tanto a los operadores de los sistemas de información estatales como a las empresas privadas. Cabe señalar que los sistemas de información estatales (en adelante denominados GOSIS) se definen en 149-FZ (Artículo 13, Cláusula 1) como sistemas de información federales y sistemas de información regionales creados sobre la base de leyes federales, leyes de entidades constitutivas de la Federación de Rusia y actos legales organismos estatales para ejercer los poderes de los organismos estatales y garantizar el intercambio de información entre estos organismos, así como para otros fines establecidos por las leyes federales.

El artículo 5 en 152-FZ habla de la obligación de los organismos estatales de desarrollar UM específicas de la industria en su área de responsabilidad. Tales MU se desarrollaron, por ejemplo, en el Banco Central de la Federación de Rusia (primero en forma de RS BR IBBS-2.4, luego en la forma de la Ordenanza del Banco de Rusia No. 389-U ), el Ministerio de Telecomunicaciones y Comunicaciones Masivas de la Federación de Rusia (" Modelo de amenazas y violador de seguridad de datos personales procesados ​​en estándar ISPD de la industria "y" Modelo de amenazas y violador de seguridad PDN procesado en ISPD especial de la industria "), por el Ministerio de Salud de la Federación de Rusia (" El modelo de amenazas de una IP médica típica de una institución médica típica ").

En 152-, la obligación de garantizar la seguridad de los datos personales se asigna al operador del sistema de información personal (en adelante, ISPD) o a la persona que procesa los datos personales en nombre del operador (el denominado "procesador"). PP-1119 proporciona medidas específicas de protección organizativa y técnica que el operador (o procesador) debe tomar para garantizar el nivel de seguridad adecuado para la DP, mientras que la elección del nivel depende de la categoría de DP procesada (es decir, tipo de ISPD), categoría y número de sujetos con PD y tipo de amenazas reales.

Las categorías de DP pueden ser especiales (procesar información sobre aspectos críticos de la vida del sujeto de DP, como el estado de salud, afiliación nacional / racial, creencias políticas y religiosas), biométrica (procesar DP, caracterizar características fisiológicas y biológicas), pública (PD se obtiene de fuentes públicas ), otros.

Las amenazas reales pueden ser del primer tipo (las amenazas de usar capacidades no declaradas en el software del sistema son relevantes para ISPD), del segundo tipo (las amenazas de usar capacidades no declaradas en el software de aplicación son relevantes), del tercer tipo (las amenazas anteriores no son relevantes).

La elección del nivel de seguridad (en adelante, KM) de los datos personales depende de las características anteriores de ISPDn (categorías de PD procesadas y el tipo de amenazas relevantes para ISPD), así como de la categoría de entidades (empleados del operador u otras personas) y el número de entidades cuyos PDN se procesan (más o menos menos de 100,000 entradas). El ultrasonido máximo es el primero, el mínimo es el cuarto.

PP-1119 ofrece una lista bastante concisa de medidas de protección de DP, ya que las medidas de seguridad detalladas son determinadas por el FSTEC de Rusia: la Orden Núm. 21 de 18/02/2013 aprueba la composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de la DP, y la Orden Núm. 17 de 11/02/2013 regula los requisitos para protección de la información en el Instituto Estatal de Información del Estado, incluida la protección de la EP en ellos. Además, el Servicio Federal de Seguridad de la Federación Rusa también emitió la Orden N ° 378 del 10 de julio de 2014, que contiene una descripción de las medidas de seguridad de DP cuando se utilizan herramientas de protección de información criptográfica (en adelante, CIP).

Considere la primera Orden No. 21 . Este documento está dedicado a las medidas de protección PD para IP no estatales y contiene una lista de medidas específicas para garantizar una u otra PD KP. En la cláusula 4, los operadores de propiedad intelectual no estatales reciben una exención en forma de permiso para no usar SIS certificado en ausencia de amenazas reales que cierren, y la cláusula 6 del documento establece un intervalo de tres años para evaluar la efectividad de las medidas implementadas. La Orden No. 21, así como la Orden No. 17, ofrece el mismo algoritmo para seleccionar y aplicar medidas de seguridad: primero, las medidas básicas se seleccionan de acuerdo con las disposiciones de la Orden relevante, luego el conjunto básico de medidas seleccionado se adapta, excluyendo las medidas "básicas" irrelevantes dependiendo de las características de los sistemas de información y las tecnologías utilizadas. Luego, el conjunto básico de medidas adaptadas se especifica para neutralizar las amenazas actuales con medidas previamente no seleccionadas, y finalmente, el conjunto básico adaptado actualizado se complementa con medidas establecidas por otros documentos legales regulatorios aplicables.

La Orden No. 21 en la cláusula 10 contiene una observación importante sobre la capacidad del operador para aplicar medidas compensatorias cuando es imposible implementar medidas técnicas o si no es económicamente factible aplicar medidas del conjunto básico, lo que brinda cierta flexibilidad al elegir nuevas y justificar el uso de equipos de protección ya implementados para garantizar la seguridad de los datos personales. Si el operador utiliza SZI certificado, el regulador en la cláusula 12 de la Orden establece requisitos para las clases de SZI usadas y para equipos informáticos (en adelante, CBT).

Los firewalls certificados, los sistemas de detección de intrusos, las herramientas de protección antivirus de información, las herramientas de arranque confiables, las herramientas de control de medios extraíbles de la máquina, los sistemas operativos de acuerdo con los clasificadores FSTEC recientemente introducidos (2011-2016) de Rusia pueden tener clases de 1 (nivel máximo de soporte protección) a 6 (nivel mínimo). La TCC se puede clasificar en siete niveles de acuerdo con el documento de orientación FSTEC Rusia. También se imponen requisitos para controlar la ausencia de capacidades no declaradas en el software SZI: hay cuatro niveles de control. La lista actual de SIS certificados se encuentra en el registro estatal de herramientas de seguridad de la información certificadas.

En la Orden N ° 21, se indican los siguientes grupos de medidas para garantizar la seguridad de la EP, que deben aplicarse según el nivel de protección requerido de la EP:

• Identificación y autenticación de sujetos de acceso y objetos de acceso.
• Control de acceso de sujetos de acceso a objetos de acceso.
• Limitar el entorno del software
• Protección de portadores de máquinas PD
• Registro de eventos de seguridad.
• protección antivirus
• Detección de intrusiones
• Monitoreo (análisis) de seguridad PD
• Asegurar la integridad de IP y PD
• Garantizar la disponibilidad de DP
• Protección de entornos de virtualización.
• Protección de los medios técnicos.
• Protección de IP, sus medios, sistemas de comunicación y transmisión de datos.
• Detección y respuesta a incidentes.
• Gestión de la configuración de sistemas de protección IS y PD.

La Orden No. 17 establece los requisitos para garantizar la seguridad de la información de acceso limitado al GISIS, mientras que el párrafo 5 enfatiza que al procesar PDs en GOSIS, se debe seguir el PP-1119. La orden obliga a los operadores de GOSIS a usar solo SZI certificado y recibir un certificado de cumplimiento de cinco años con los requisitos de protección de la información. Este documento supone que los operadores toman las siguientes medidas para garantizar la protección de la información (en adelante, ZI): la formación de requisitos para ZI; desarrollo, implementación y certificación del sistema IP IP; proporcionando ZI durante la operación y durante el desmantelamiento. La cláusula 14.3 de la Orden habla de la necesidad de crear un modelo de amenaza y sugiere utilizar el Banco de Datos de Amenazas de Seguridad de la Información de Rusia ( BDU ) de FSTEC , del que hablamos en una publicación anterior . Para GOSIS, se establece una clase de seguridad (del 1 ° al 3 ° mínimo), que depende del nivel de significación de la información procesada y la escala del sistema, donde el nivel de significación depende del grado de posible daño a las propiedades de seguridad (confidencialidad, integridad, disponibilidad) de la información procesada en el GISIS , y la escala del sistema puede ser federal, regional u objetiva.

En GISIS de la primera clase de protección, se debe proporcionar protección contra las acciones de los infractores con alto potencial, en GISIS de la segunda clase, contra los infractores con un potencial no inferior a la base fortalecida (en la NOS su potencial se llama "promedio", y en el borrador de la Metodología para determinar las amenazas de seguridad información en IS - "básico aumentado"), en GISIS 3ra clase - de intrusos con un potencial no inferior al básico (en el NLD este potencial se llama "bajo"). Dado que para garantizar el IS en GosIS es permisible usar solo SZI certificado, el párrafo 26 de la Orden No. 17 describe las clases aceptables de SZI, SVT y los niveles de control de la ausencia de NDV, dependiendo de la clase de GISIS. En la cláusula 27, se establece una conexión entre la clase de seguridad GISIS y los niveles de seguridad de PD procesados ​​en ella: el cumplimiento de los requisitos de las medidas ZI para GISIS de la primera clase se proporciona por 1, 2, 3 y 4 niveles de seguridad de PD, para la 2da clase - 2, 3 y 4 ultrasonidos, para la 3ra clase - 3 y 4 ultrasonidos.

Las medidas de seguridad de la información en el Sistema de Información del Estado coinciden casi por completo con las medidas de la Orden No. 21 descritas anteriormente, excepto por la ausencia de indicaciones de detección de incidentes y gestión de la configuración.Estas acciones se llevan a cabo después de la construcción del sistema de seguridad, en la etapa de operación del Sistema de Información del Estado certificado, junto con la gestión del sistema de seguridad de la información y el control para garantizar el nivel de seguridad de la información en el Sistema de Información del Estado.

Además de la Orden Núm. 17, cuando se implementan las medidas ZI apropiadas, también se puede guiar por el documento metodológico del FSTEC de Rusia " Medidas de protección de la información en los sistemas de información estatales " , que detalla la composición y el contenido de todas las medidas.

Orden del Servicio Federal de Seguridad de la Federación de Rusia No. 378establece estándares para el uso de una de las seis clases de sistemas de protección de información criptográfica para la protección de datos personales: KS1 (mínimo), KS2, KS3, KV1, KV2, KA1 (máximo). La clase de protección de la información criptográfica se selecciona según el nivel de seguridad requerido de la PD y el tipo de amenazas reales. A pesar del hecho de que las clases de protección de información criptográfica neutralizan las amenazas que se originan de un cierto tipo de intruso con un cierto nivel de potencial (solo hay 6 tipos de infractores, de H1 a H6, se definen en el modelo del infractor), esta Orden vincula la clase de protección de información criptográfica al nivel de seguridad de los datos personales , y no a las posibilidades de los atacantes. Además de describir las clases requeridas de protección de la información criptográfica, este documento contiene requisitos administrativos para el operador, tales como organizar el acceso a las instalaciones (seguridad física - instalación de cerraduras, barras), garantizar la seguridad de los medios PD, aprobación de la lista de personas,quienes tienen acceso a la EP.

Normas internacionales para la protección de datos personales.

Si en Rusia las disputas relacionadas con la aplicación de 152- y los estatutos pertinentes no cesan, en la Unión Europea los últimos 3 años han estado trabajando para implementar y cumplir con el GDPR ( Reglamento General de Protección de Datos , Reglamento General de Protección de Datos ). Este documento, desde el momento de su adopción en abril de 2016 hasta la fecha de entrada en vigor el 25 de mayo de 2018, así como en este momento, plantea muchas preguntas y disputas, ya que concierne a un gran número de ciudadanos y empresas de todo el mundo.

El antecesor del GDPR en la Unión Europea fue la Directiva del Parlamento Europeo y del Consejo de la Unión Europea 95/46 / CE del 24 de octubre de 1995 "Sobre la protección de las personas en el procesamiento de datos personales y sobre la libre circulación de dichos datos". Después de la adopción del RGPD, los derechos de los sujetos con EP se expandieron significativamente, y las obligaciones de los operadores y las sanciones por su incumplimiento aumentaron significativamente.

La definición de DP en el GDPR en sí misma no difiere mucho de lo que se adoptó en el Convenio del Consejo de Europa y de una definición similar en el 152-FZ nacional: los datos personales en el marco del GDPR significa cualquier información relacionada con una persona identificada o identificable (sujeto de datos personales). Persona identificable significa una persona que puede ser identificada, directa o indirectamente, en particular usando identificadores como nombre, número de identificación, datos de ubicación, identificador en línea o usando uno o más factores específicos para el físico, fisiológico, El estado genético, mental, económico, cultural o social de esa persona. Por lo tanto, la definición de PD incluye no solo las características habituales, sino también la dirección IP,identificadores de cookies establecidos por el usuario, datos de geolocalización del usuario y otros atributos técnicos.

Un nuevo término importante en el RGPD es "elaboración de perfiles", que significa cualquier forma de procesamiento automatizado de datos personales para evaluar ciertos aspectos de una persona, en particular para analizar o predecir la capacidad de trabajo de una persona, su situación material, salud, preferencias personales, intereses , comportamiento, ubicación o movimiento.

Al igual que en 152-FZ, el RGPD utiliza conceptos como "procesamiento de datos personales", "procesador", "operador" (controlador en inglés), "procesamiento transfronterizo", "seudonimización" (despersonalización) y términos universales similares.

El alcance de las normas GDPR se aplica a todos los operadores que procesan datos personales de ciudadanos de la UE y otros ciudadanos ubicados en la UE. Además, el operador puede no tener una oficina de representación en la UE, y sus sistemas automatizados también pueden estar ubicados fuera de la UE. Ejemplos de empresas operadoras de la Federación de Rusia:

• un banco ruso debe cumplir con los estándares GDPR al procesar datos de sus clientes, ciudadanos de la Federación Rusa, cuando se encuentran en la UE;
• una tienda en línea con registro en la Federación de Rusia que brinda servicios / productos, incluidos los ciudadanos de la UE, utiliza identificadores de cookies y / o análisis de comportamiento del usuario en su sitio web con una interfaz en los idiomas de la UE, también está sujeta a los estándares GDPR;
• filial de una empresa rusa que opera en la UE.

Los estándares GDPR se basan en seis principios básicos:

• , — , (.. privacy policy);
• — , , ;
• — , ;
• — , ;
• — ;
• — , , , , , .

El documento no proporciona a los operadores instrucciones detalladas de protección, dándoles la libertad de elegir medidas y técnicas. Por ejemplo, debe, siempre que sea posible, cifrar PD durante el almacenamiento, la transmisión y el procesamiento, así como utilizar algoritmos de seudonimización. Se espera que esto reduzca el daño potencial en caso de una fuga, pero el RGPD no proporciona condiciones específicas para la aplicación de estas medidas de protección. En esto, el enfoque europeo difiere del ruso, en el que las autoridades estatales regulan claramente las medidas de protección y las condiciones para su aplicación, sin esperar la prudencia de los operadores, y, debería lamentarse, está muy justificado.

Además de los principios descritos anteriormente, las siguientes normas también están presentes en el GDPR:

• , , , .. , , , ( );
• (.. Data Protection Impact Assessment);
• - , , , ;
• (privacy by design, .. ) (privacy by default, .. );
• — , ;
• (Data Privacy Officer) , :
  
  
  • / ( , , , , , , );
• 72- (supervisory authority, Data Protection Authority — ) GDPR- , .. , , , .

En julio de 2016, se introdujo el acuerdo de protección de privacidad del Escudo de privacidad UE-EE. UU . Este acuerdo es un marco que define los enfoques de las empresas comerciales para un intercambio seguro de datos personales entre la Unión Europea y América del Norte. El propósito de dicho acuerdo es adaptar los estándares GDPR para la protección de la EP en la UE y los métodos para garantizar su seguridad en los EE. UU. El antecesor de este marco fue el acuerdo de Principios de Privacidad de Puerto Seguro .("Principios de puerto seguro para la protección de datos personales"), que estuvo en vigor entre 2000 y 2015 y confirmó que los métodos para garantizar la seguridad de los datos personales en los EE. UU. Cumplen con la Directiva Europea 95/46 / CE "Sobre la protección de las personas en el procesamiento de datos personales y en forma gratuita manejo de tales datos ". El acuerdo especificado fue criticado por los hechos revelados de acceso permanente deliberado a DP para ciudadanos europeos por parte del gobierno de EE. UU., En particular, la Agencia de Seguridad Nacional. Esto fue considerado por el Tribunal Europeo, que falló en octubre el año 2015 la decisiónLa invalidez de los Principios de Puerto Seguro. Por lo tanto, en la actualidad, las empresas estadounidenses que deseen procesar datos personales de ciudadanos de la UE deben cumplir con el Escudo de privacidad UE-EE. UU. La confirmación del cumplimiento se realiza en forma de autocertificación voluntaria en el Departamento de Comercio de los EE. UU. La empresa operadora debe cumplir con los siguientes requisitos básicos , confirmando el nivel adecuado de protección de su DP para los ciudadanos de la UE:

• informar a los sujetos sobre el procesamiento de sus datos personales, que incluye una indicación de la protección de datos personales de acuerdo con el Escudo de privacidad en la política de la empresa para la protección de datos personales (Política de privacidad), notificación de los datos personales de sus derechos y un recordatorio de las obligaciones de la propia empresa en caso de recibir una solicitud legítima de provisión de DP por parte de las autoridades estatales;
• , 45 , , , Data Protection Authorities ( );
• , Privacy Shield;
• , ;
• , :
  
  
  1. , , — (.. Notice and Choice Principles), ( , , );
  2. , , .. , — , , , — ;
• Privacy Shield;
• , Privacy Shield.
• , , Privacy Shield, , , 152-.

1. Las multas cobradas por la violación de la legislación rusa sobre protección de datos personales están reguladas por el art. 13.11 Código administrativo, que prevé siete delitos introducidos en julio de 2017. Por ejemplo, parte 1 del artículo 13.11 del Código Administrativo de la Federación de Rusia castiga a los operadores por el procesamiento de datos personales en casos no prescritos por la ley, o procesamiento incompatible con el propósito de recopilar datos personales, por un monto de hasta 50 mil rublos. Parte 2 del art. 13.11 del Código Administrativo de la Federación de Rusia prevé el castigo por el procesamiento de PD sin el consentimiento del sujeto o por violaciones en el proceso de obtención de dicho consentimiento, por un monto de hasta 75 mil rublos. Además, el incumplimiento de las normas sobre localización de bases de datos de DP en el territorio de la Federación Rusa es una violación del artículo 1242-FZ y del artículo 15.5 de 149-FZ, que amenaza con bloquear el acceso al recurso web del infractor de la empresa sobre la base de una decisión judicial.

Tenga en cuenta que se puede imponer una multa por cada hecho de violación de las normas legislativas. Además, recientemente se ha presentado un proyecto de ley a la Duma del Estado , que implica la introducción de dos nuevos delitos en el campo de la protección de la EP: los parlamentarios proponen imponer millones de multas por incumplimiento de 242-FZ, es decir. por negarse a localizar bases de datos PD de rusos en el territorio de la Federación de Rusia, así como por reiteradas violaciones de los requisitos de localización.

2. Las multas impuestas por los reguladores europeos por incumplimiento del RGPD en el caso de infracciones leves ascienden a 10 millones de euros o el 2% de la facturación anual global de la compañía, y en el caso de las significativas, hasta 20 millones de euros o el 4% de la facturación anual global. Al mismo tiempo, se han resumido estadísticas decepcionantes durante el año de requisitos del RGPD: se han realizado más de 200,000 controles contra operadores, y el monto total de multas es de más de 56 millones de euros, mientras que 50 millones de euros es la suma de la multa impuesta por el gigante de Internet de Google por el regulador francés. áreas de protección

3. Las multas cobradas por la Comisión Federal de Comercio de EE. UU. Para las empresas que no cumplan con los principios del Escudo de privacidad son de hasta $ 40 mil por una violación, más $ 40 mil por cada día posterior de procesamiento ilegal de datos personales después de que se descubran las violaciones.

Procedimiento de inspección por Roskomnadzor

Roskomnadzor, el organismo estatal nacional autorizado para la protección de los derechos de los sujetos con EP, tiene el derecho de inspeccionar a las personas jurídicas y empresarios individuales por su cumplimiento de las disposiciones de la legislación rusa en el campo de la protección de la EP. Al mismo tiempo, las inspecciones son realizadas tanto por la Oficina Central (el plan de inspección y los informes de actividad se publican en el sitio web oficial ) como por los Departamentos en los Distritos Federales (por ejemplo, el sitio web del Distrito Federal Central de Roskomnadzor publicó los planes e informes de actividad de los últimos 10 años). Las inspecciones de Roskomnadzor están reguladas por el Decreto del Gobierno de la Federación de Rusia Nº 144.con fecha 13 de febrero de 2019 “Sobre la aprobación de las Reglas para la organización e implementación del control estatal y la supervisión del procesamiento de datos personales”. De acuerdo con esta Resolución, las inspecciones están programadas (la práctica ha demostrado que el regulador verifica grupos de empresas unidas por un atributo común, por ejemplo, por campo de actividad), así como no programadas: pueden realizarse en nombre del Presidente, el Gobierno de la Federación de Rusia o por decisión El jefe de Roskomnadzor en el marco de la auditoría del fiscal, en caso de incumplimiento de la regulación previa del regulador, así como en el caso de las quejas de los sujetos de DP. En este caso, las inspecciones no programadas solo pueden realizarse in situ, y las programadas pueden ser tanto documentales como in situ. Al verificar, el regulador examina los documentos regulatorios internos sobre el procesamiento de PD, inspecciona las ubicaciones de almacenamiento de PD,requiere demostrar el procesamiento de PD en sistemas de información. Como regla general, en caso de deficiencias, el regulador ordena la eliminación de violaciones dentro de los límites de tiempo especificados y multas por la falta de una base legal para el procesamiento de datos personales (por ejemplo, por la falta de hechos documentados de consentimiento por parte de particulares), por el incumplimiento de los objetivos de procesamiento y el volumen de datos personales, por la falta de notificaciones y políticas en el sitio web del operador, sujeto a la recopilación de PD en él.por la falta de las notificaciones y políticas necesarias en el sitio web del operador, sujeto a la recopilación de PD en él.por la falta de las notificaciones y políticas necesarias en el sitio web del operador, sujeto a la recopilación de PD en él.