في 8 نوفمبر 2018 ، تم عقد المؤتمر الدولي التاسع "حماية البيانات الشخصية" في موسكو ، والذي تم تنظيمه بدعم من وزارة الاتصالات اللاسلكية و Roskomnadzor. من بين المتحدثين في المؤتمر (يمكن الاطلاع على قائمتهم الكاملة على الموقع الإلكتروني للمؤتمر - https://zpd-forum.com/ru ) ، بالطبع ، كان هناك ممثلون عن روسكومنادزور: ألكساندر زهاروف ، وألكساندر بانكوف ، وأنتونينا بريزيفا ويوري كونتيميروف.
كان الموضوع الهام للمؤتمر هو تطوير اللوائح القانونية الدولية لحماية البيانات الشخصية (PD) بشأن مثال الناتج المحلي الإجمالي واتفاقية مجلس أوروبا المحدثة رقم 108. انضم المشاركون الأجانب إلى المناقشة ، بما في ذلك ممثلو سلطات حماية البيانات المأذون بها في أذربيجان وبلغاريا والبوسنة والهرسك والمجر وإيطاليا والأردن والصين وصربيا وجمهورية جنوب إفريقيا.
استذكر ممثلو Roskomnadzor أن روسيا كانت من بين الدول الأولى التي وقعت اتفاقية مجلس أوروبا ETS-108 ، وشاركت بلادنا أيضًا في إعداد نسخة جديدة من نص الاتفاقية. وذُكر أن تحديث التوجيه لن يستتبع تغييرات كبيرة في تنظيم حماية البيانات الشخصية في روسيا ، وأن التوقيع على الاتفاقية الحديثة سيسمح لروسيا بإدراجها في قائمة البلدان التي تمتثل للإنتاج المحلي الإجمالي.
ومع ذلك ، فإن أحد أهم نتائج توقيع الاتفاقية من جانب روسيا هو أن المشغلين الروس ملزمون بالإخطار بتسريبات البيانات الشخصية والمسؤولية عن عدم امتثالها. وقيل أيضًا عن خطط إنشاء مورد يستطيع المواطنون من خلاله إلغاء موافقتهم السابقة على معالجة بياناتهم الشخصية.
وقال يوري كونتيميروف في كلمته إن Roskomnadzor تشرف على الامتثال للتشريع المتعلق بالبيانات الشخصية بشكل عام ، بما في ذلك قواعد جميع القوانين المتعلقة بمعالجة PD. في الوقت نفسه ، في عام 2018 ، قامت جميع الإدارات الإقليمية في Roskomnadzor بإعداد 98 بروتوكولًا حول المخالفات الإدارية في مجال البيانات الشخصية ، مؤهلة وفقًا للمادة 13.11 من مدونة الجرائم الإدارية للاتحاد الروسي بصيغتها المعدلة. على سبيل المثال ، بموجب المادة 19.7 من القانون الإداري للاتحاد الروسي (عدم الإخطار بمعالجة أو عدم تلقي استجابة لطلب) ، يتم تجميع حوالي 7000 بروتوكول سنويًا.
كما هو معروف بالفعل ، فإن التشريعات المتعلقة بالبيانات الشخصية بالاقتران مع مرسوم حكومة الاتحاد الروسي رقم 687 تحكم أي معالجة للبيانات الشخصية ، بما في ذلك غير الآلي بالكامل. في الوقت نفسه ، أوضح يوري كونتيميروف أن الأهلية القانونية فيما يتعلق بالبيانات الشخصية لموضوعها تحدث في سن 14 ، ولن تكون هناك شكاوى للموافقة على معالجة البيانات الشخصية الموقعة بشكل مستقل من قبل طفل عمره 14 عامًا أو أكبر. بالإضافة إلى ذلك ، لاحظ Y. Kontemirov بوضوح أنه من الممكن التوقيع على الموافقة للمعالجة في شكل إلكتروني عن طريق أي توقيع إلكتروني منصوص عليه في القانون الاتحادي "على التوقيع الإلكتروني" ، وليس فقط تعزيز مؤهل.
كما تم توضيحه بشكل منفصل أن النماذج القياسية التي تنص على إدخال البيانات الشخصية فيها ، إذا تم تطويرها من قبل المشغل بشكل مستقل ، يجب أن تمتثل لمتطلبات الفقرة 7 من مرسوم حكومة RF المؤرخ 15 سبتمبر 2008 N 687 "عند الموافقة على اللائحة الخاصة بخصائص معالجة البيانات الشخصية ، نفذت دون استخدام الأتمتة "، إلا إذا تم إنشاؤها من قبل المشغل بشكل مستقل.
فيما يلي نص الفقرة ٧ من اللائحة رقم ٦٨٧:"7. عند استخدام النماذج القياسية من المستندات ، وطبيعة المعلومات التي تتضمن أو تسمح بإدراج البيانات الشخصية فيها (المشار إليها فيما يلي باسم النموذج القياسي) ، يجب استيفاء الشروط التالية:
أ) يجب أن يحتوي النموذج أو المستندات القياسية المرتبطة به (إرشادات لملء البيانات والبطاقات والسجلات والمجلات) على معلومات حول الغرض من معالجة البيانات الشخصية المنفذة دون استخدام أدوات التشغيل الآلي واسم (الاسم) وعنوان المشغل والاسم الأخير والاسم الأول والاسم الأوسط و عنوان موضوع البيانات الشخصية ، ومصدر البيانات الشخصية ، ووقت معالجة البيانات الشخصية ، وقائمة الإجراءات مع البيانات الشخصية التي سيتم تنفيذها في عملية المعالجة ، وصف عام للطريقة التي يستخدمها المشغل بيانات الشخصية؛
ب) يجب أن يشتمل النموذج القياسي على حقل يمكن لموضوع البيانات الشخصية من خلاله وضع علامة على موافقته على معالجة البيانات الشخصية ، التي تتم دون استخدام الأتمتة ، - إذا لزم الأمر ، الحصول على موافقة كتابية على معالجة البيانات الشخصية ؛ ج) يجب وضع النموذج القياسي بحيث تتاح لكل من موضوعات البيانات الشخصية الواردة في الوثيقة فرصة للتعرف على بياناتهم الشخصية الواردة في الوثيقة دون انتهاك حقوق ومصالح مشروعة لموضوعات البيانات الشخصية الأخرى ؛
د) ينبغي أن يستبعد النموذج القياسي مجموعة الحقول المخصصة لإدخال البيانات الشخصية ، والتي من الواضح أن أغراض المعالجة غير متوافقة معها. "
لكن فيما يتعلق بالنماذج التي طورتها هيئات الدولة وهيئات إدارة الأموال من خارج الميزانية في إطار سلطتها ، كما ورد في المؤتمر ، فإن هذه المتطلبات لا تنطبق. في الوقت نفسه ، فإن رقم الهاتف أو علامة سيارة الدولة من تلقاء نفسها (دون الإشارة إلى موضوع معين من PD) ليست بيانات شخصية.
صرحت ممثلة FSTEC Elena Torbenko بأن نهج الأمر رقم 239 بشأن أمن KII بشأن إمكانية تقييم توافق وسائل حماية المعلومات في شكل اختبار وقبول يمكن تطبيقه على بناء نظام حماية PD ، ولكن يجب أن يكون مالك النظام مدركًا لمسؤولية جودة وصلاحية هذا التقييم. وأشار ممثل FSB A. Bodrov أن FSB لا يزال يعتبر مقبولا فقط تقييم المطابقة في شكل شهادة في نظامها. لا يلزم اعتماد برنامج التطبيق المستخدم لمعالجة البيانات الشخصية إذا لم يكن لديه وظائف حماية ضد التهديدات الحالية. لكن يحق لأي عميل طلب مثل هذه الشهادة من المورد أو المقاول ، إذا رأى ذلك ضروريًا.
بالإضافة إلى ذلك ، عُقد حفل توقيع مدونة الممارسات الجيدة (مدونة الأنشطة الأخلاقية (العمل) على الإنترنت) في مؤتمر "حماية البيانات الشخصية". غرفة التجارة والصناعة في روسيا ، ذ م م Delovaya Rossiya ، ذ م م Opora Rossii ، جامعة موسكو الحكومية التي سميت باسم M.V. Lomonosov ، بالإضافة إلى ممثلي الشركات الأجنبية - رابطة الشركات الأوروبية ، وغرفة التجارة الأمريكية في روسيا وغرفة التجارة الروسية الألمانية.
تم إعداد المقال على أساس https://emeliyannikov.blogspot.com و https://zpd-forum.com/ar .