التشريعات الروسية والدولية في مجال حماية البيانات الشخصية

في المنشور السابق ، درسنا المفاهيم الأساسية ونموذج أمن المعلومات ، وسوف ننتقل الآن إلى تحليل التشريعات الروسية والدولية التي تحكم مختلف جوانب حماية البيانات ، لأنه من دون معرفة القواعد التشريعية التي تحكم المجالات ذات الصلة من نشاط الشركة ، فمن الصحيح بناء نظام إدارة للمخاطر والأعمال أمن المعلومات مستحيل. يمكن للعقوبات ، بالإضافة إلى الأضرار التي تلحق بسمعة عدم الامتثال للمعايير التشريعية ، إجراء تصحيح مهم لخطط عمل المنظمة وتطويرها: نحن نعلم ، على سبيل المثال ، أن عدم الامتثال لمعايير حماية المعلومات في نظام الدفع الوطني قد يؤدي إلى إلغاء ترخيص من مؤسسة مالية ، وعدم الامتثال للمتطلبات المعمول بها قد يؤدي جمع ومعالجة البيانات الشخصية بشكل أساسي إلى منع الوصول إلى موقع الشركة على الويب. قد يؤدي عدم الامتثال لمعايير السلامة الخاصة بالبنية التحتية الحيوية للمعلومات بشكل عام إلى السجن لمدة تصل إلى 10 سنوات. بالطبع ، هناك عدد كبير من القوانين واللوائح المعمول بها ، لذلك في هذا المقال وفي المادتين التاليتين سوف نركز على حماية البيانات الشخصية وحماية كائنات البنية التحتية للمعلومات الهامة وأمن معلومات المؤسسات المالية.

لذلك ، في سلسلة اليوم - البيانات الشخصية ، دعنا نذهب!



بادئ ذي بدء ، من الضروري التحدث عن المستند الأساسي الذي يحكم إجراءات العمل بمختلف المعلومات في الاتحاد الروسي ، بما في ذلك ومع البيانات الشخصية - نحن نتحدث عن القانون الاتحادي رقم 149 "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات" بتاريخ 07/27/2006. تحتوي هذه الوثيقة على المفاهيم والتعاريف الأساسية المستخدمة في جميع الإجراءات القانونية التنظيمية المتعلقة بحماية المعلومات ، وكذلك ، من بين أمور أخرى ، تقدم مفهوم فئة المعلومات (المعلومات العامة والمعلومات ذات التوزيع المحدود) ونوع المعلومات (يتم توزيعها مجانًا ، على أساس اتفاقية ، تخضع للتوزيع وفقًا للقانون ، ومعلومات محدودة الوصول / التوزيع ويحظر توزيعها). على وجه الخصوص ، يتم تصنيف البيانات الشخصية على أنها معلومات مقيدة ، ووفقًا للمادة 9 ، البند 2 من هذا القانون ، فإن سرية هذه المعلومات إلزامية ، ونتيجة لذلك تضع الدولة قواعد وقواعد إلزامية لمعالجتها. لسوء الحظ ، لا يوجد يقين مماثل في جميع أنواع المعلومات ذات التوزيع المحدود - على سبيل المثال ، حتى يومنا هذا لا يوجد تصنيف تشريعي لأنواع الأسرار ، يمكن التمييز بين القليل منها فقط: الدولة ، والتجارية ، والضريبية ، والمصرفية ، والمراجعة ، والطبية ، والتوثيقية ، وسرية المحامي الاتصالات ، التحقيقات ، الإجراءات القانونية ، المعلومات الداخلية ، إلخ. بالإضافة إلى المعلومات ذات التوزيع المحدود ، يوجد في 149- (المادة 8 ، الفقرة 4) تصنيفًا لأنواع المعلومات ، والوصول إليها ، على العكس من ذلك ، لا يمكن حصره - على سبيل المثال ، الأفعال القانونية التنظيمية ، معلومات عن أنشطة الهيئات الحكومية ، وحالة البيئة ، إلخ. .D.

المعايير الروسية لحماية البيانات الشخصية

بالانتقال إلى النظر في قضايا حماية البيانات الشخصية ، تجدر الإشارة إلى أنها ظلت حادة دائمًا على مدار الأعوام الماضية وترتفع في أعلى المكاتب في كل من روسيا والخارج ، لأنها تهم كل واحد منا ، بغض النظر عن الجنسية أو المنصب.

إن أمن البيانات الشخصية ، في التفسير الأجنبي للخصوصية ، متجذر في ضمان الحقوق والحريات غير القابلة للتصرف لمواطني البلدان المتقدمة - على سبيل المثال ، في بعض البلدان الأوروبية ، كانت مسألة الإشارة إلى اسم ولقب أولئك الذين يعيشون بجانب صناديق البريد وجرس الباب مثيرة للجدل إلى حد كبير. مع ظهور تكنولوجيا المعلومات ، أصبحت حماية البيانات الشخصية أكثر أهمية. هذه هي الطريقة التي ظهرت بها "اتفاقية مجلس أوروبا رقم 108 بشأن حماية الأفراد بالمعالجة التلقائية للبيانات الشخصية" ، وتم التوقيع عليها في عام 1981 وصدق عليها الاتحاد الروسي في عام 2001. بالفعل ، في ذلك الوقت ، وضعت الأسس الدولية للمعالجة المشروعة للبيانات الشخصية ، والتي لا تزال قابلة للتطبيق حتى اليوم: استخدام البيانات الشخصية فقط لأغراض معينة وفي غضون فترات معينة ، وتكرار وأهمية البيانات الشخصية المعالجة وخصائص نقلها عبر الحدود ، وضمان حماية البيانات حقوق المواطن - صاحب البيانات الشخصية. في نفس الوثيقة ، يتم تقديم تعريف البيانات الشخصية ذاته ، والذي "يهاجر" بعد ذلك إلى الطبعة الأولى من القانون الاتحادي المحلي رقم 152 "بشأن البيانات الشخصية" بتاريخ 27 يوليو 2006: "البيانات الشخصية" تعني أي معلومات حول شخص طبيعي محدد أو محدد. كان الغرض من التصديق على هذه الاتفاقية هو الامتثال للمتطلبات التنظيمية الدولية عند انضمام روسيا إلى منظمة التجارة العالمية (منظمة التجارة العالمية) ، والتي وقعت في عام 2012.

يستمر العمل المشترك للبلدان الأطراف في الاتفاقية حتى يومنا هذا. لذلك ، في نهاية عام 2018 ، وقع الاتحاد الروسي مع البلدان المشاركة الأخرى على " البروتوكول رقم 223 بشأن التعديلات على اتفاقية مجلس أوروبا لحماية البيانات الشخصية" ، والذي يستكمل الاتفاقية من حيث مواجهة التحديات الحالية: حماية البيانات البيومترية والجينية ، وحقوق جديدة الأفراد في سياق اتخاذ القرارات الحسابية بواسطة الذكاء الاصطناعي ، ومتطلبات حماية البيانات بالفعل في مرحلة تصميم نظم المعلومات ، والالتزام بإخطار المشرف المعتمد حول قان حول تسرب البيانات. ستتاح للمواطنين الآن فرصة الحصول على حماية مؤهلة على بياناتهم الشخصية من المشرف ، ولن تضطر الشركات الروسية التي أجبرت على الامتثال لمتطلبات الناتج المحلي الإجمالي الأوروبي (اللائحة العامة لحماية البيانات ، سنتحدث عنها لاحقًا) إلى تطبيق تدابير حماية إضافية ، يعني الامتثال لأحكام الاتفاقية أن الدولة الطرف توفر نظامًا قانونيًا مناسبًا لمعالجة البيانات الشخصية.

لذلك ، في عام 2006 ، تم اعتماد 152 "On على البيانات الشخصية" ، والتي لم تكرر متطلبات الاتفاقية إلى حد كبير فحسب ، بل قدمت أيضًا تعريفات ومتطلبات إضافية فيما يتعلق بمعالجة البيانات الشخصية (المشار إليها فيما يلي - PD). بمرور الوقت ، تم تعديل القانون الاتحادي ، والذي تم تقديمه بشكل رئيسي بتاريخ 261 07 بتاريخ 07/25/2011 و 242 بتاريخ 07/21/2014. أدخل القانون الأول تغييرات مهمة على افتراضات حماية PD الأساسية ، وحظر القانون الثاني المعالجة الأولية لـ PD خارج إقليم الاتحاد الروسي. لاحظ أن الهيئة الحكومية المعتمدة لحماية حقوق الأشخاص ذوي الإعاقة هي الخدمة الفيدرالية للإشراف على الاتصالات وتكنولوجيا المعلومات والاتصالات الجماهيرية (Roskomnadzor) ، التي تقدم تقاريرها إلى وزارة التنمية الرقمية والاتصالات السلكية واللاسلكية والإعلام الجماهيري في الاتحاد الروسي.

في المادة 152-FZ ، يتم التعامل مع تدابير ضمان سلامة البيانات الشخصية في المادة 19 ، التي تنص أيضًا على أنه يجب على المشغلين ضمان مستويات الأمان المحددة بموجب القرار الحكومي رقم 1119 المؤرخ 1 نوفمبر 2012 ، والتي يتم فهمها على أنها مجموعة من المتطلبات التي تحيد بعض التهديدات الأمنية. لمحاكاة هذه التهديدات ، أي بناء نموذج تهديد (يشار إليه فيما يلي - MU) ونموذج للمنتهك ، ينبغي للمرء أن يعتمد على الإجراءات القانونية التنظيمية التالية:

• وثيقة " النموذج الأساسي للتهديدات التي يتعرض لها أمن البيانات الشخصية عند معالجتها في أنظمة معلومات البيانات الشخصية " ، والتي تم تطويرها واعتمادها من قبل FSTEC في روسيا في عام 2008 ؛
• توصيات منهجية صادرة عن دائرة الأمن الفيدرالية في الاتحاد الروسي لعام 2015 لتحديد المخاطر الأمنية على أجهزة PD ، والموجهة للهيئات الحكومية والمشغلين الذين يستخدمون أدوات حماية معلومات التشفير وتطوير MUs المناسبين.

بالإضافة إلى ذلك ، وضعت FSTEC في روسيا في عام 2015 مشروع "طرق لتحديد التهديدات لأمن المعلومات في نظم المعلومات" ، والتي ، بعد موافقتها ، سوف تكون قادرة على توجيه كل من مشغلي أنظمة المعلومات الحكومية والشركات الخاصة. تجدر الإشارة إلى أن أنظمة المعلومات الحكومية (المشار إليها فيما يلي باسم GOSIS) معرّفة في 149-FZ (المادة 13 ، الفقرة 1) على أنها أنظمة المعلومات الفيدرالية وأنظمة المعلومات الإقليمية التي تم إنشاؤها على أساس القوانين الفيدرالية وقوانين الكيانات المكونة للاتحاد الروسي ، والقوانين القانونية هيئات الدولة من أجل ممارسة صلاحيات هيئات الدولة وضمان تبادل المعلومات بين هذه الهيئات ، وكذلك لأغراض أخرى تحددها القوانين الفيدرالية.

تتحدث المادة 5 في 152-FZ عن التزام هيئات الدولة بتطوير MUs الخاصة بالصناعة في مجال مسؤوليتها. تم تطوير هذه MUs ، على سبيل المثال ، في البنك المركزي للاتحاد الروسي (أولاً في شكل RS BR IBBS-2.4 ، ثم في شكل مرسوم بنك روسيا رقم 389-U ) ، ووزارة الاتصالات والاتصالات الجماهيرية في الاتحاد الروسي (" نموذج التهديدات ومخالف الأمان للبيانات الشخصية التي تمت معالجتها بشكل قياسي ISPD للصناعة "و" نموذج التهديدات ومخالف الأمان PDN الذي تمت معالجته في ISPD الخاص للصناعة ") ، من قبل وزارة الصحة في الاتحاد الروسي (" نموذج تهديدات IP الطبية النموذجية لمؤسسة طبية نموذجية ").

في 152- ، يتم تعيين الالتزام بضمان أمان البيانات الشخصية لمشغل نظام المعلومات الشخصية (المشار إليه فيما يلي - ISPD) أو للشخص الذي يعالج البيانات الشخصية نيابة عن المشغل (ما يسمى "المعالج"). يوفر PP-1119 تدابير حماية تنظيمية وفنية محددة ينبغي على المشغل (أو المعالج) اتخاذها لضمان مستوى الأمان المناسب لـ PD ، في حين يعتمد اختيار المستوى على فئة PD التي تمت معالجتها (أي نوع ISPD) ، وفئة وعدد موضوعات PD ونوع التهديدات الفعلية.

يمكن أن تكون فئات PD خاصة (معالجة المعلومات عن الجوانب الهامة من حياة موضوع PD ، مثل الحالة الصحية ، والانتماء القومي / العنصري ، والمعتقدات السياسية والدينية) ، والقياسات الحيوية (معالجة PD ، وسم الخصائص الفسيولوجية والبيولوجية) ، عامة (يتم الحصول على PD من مصادر عامة ) ، أخرى.

يمكن أن تكون التهديدات الفعلية من النوع الأول (تهديدات استخدام القدرات غير المعلنة في برنامج النظام مناسبة لـ ISPD) ، من النوع الثاني (تهديدات استخدام القدرات غير المعلنة في برنامج التطبيق وثيقة الصلة) ، من النوع الثالث (التهديدات المذكورة أعلاه ليست ذات صلة).

يعتمد اختيار مستوى أمان البيانات الشخصية (المشار إليه فيما يلي - KM) على الخصائص المذكورة أعلاه لـ ISPDn (فئات شبكات PDN التي تمت معالجتها ونوع التهديدات ذات الصلة بـ ISPD) ، وكذلك على فئة الكيانات (موظفو المشغل أو الأشخاص الآخرون) وعدد الكيانات التي تتم معالجة PDN الخاصة بها (أكثر أو أقل من 100،000 إدخالات). الحد الأقصى للموجات فوق الصوتية هو الأول ، والحد الأدنى هو الرابع.

يقدم PP-1119 قائمة موجزة إلى حد ما بتدابير حماية PD ، نظرًا لأن FSTEC لروسيا تحدد التدابير الأمنية التفصيلية: يوافق الأمر رقم 21 الصادر في 02/18/2013 على تكوين ومحتوى التدابير التنظيمية والتقنية لضمان سلامة PD ، وينظم الأمر رقم 17 بتاريخ 02/11/2013 متطلبات حماية المعلومات في معهد الدولة لمعلومات الدولة ، بما في ذلك حماية PD فيها. بالإضافة إلى ذلك ، أصدرت دائرة الأمن الفيدرالية في الاتحاد الروسي أيضًا الأمر رقم 378 المؤرخ 10 يوليو 2014 ، والذي يتضمن وصفًا لتدابير أمان PD عند استخدام أدوات حماية معلومات التشفير (المشار إليها فيما يلي - CIP).

النظر في الأمر الأول رقم 21 . هذا المستند مخصص لإجراءات حماية PD الخاصة بالملكية الفكرية من غير الدول ويحتوي على قائمة من التدابير المحددة لضمان واحد أو آخر من KP PD. في الفقرة 4 ، يتم إعفاء مشغلي IP من غير الدول في شكل إذن بعدم استخدام SIS مصدق في حالة عدم وجود تهديدات فعلية يغلقونها ، والفقرة 6 من الوثيقة تحدد فاصل زمني مدته ثلاث سنوات لتقييم فعالية التدابير المنفذة. يقدم الأمر رقم 21 ، وكذلك الأمر رقم 17 ، نفس الخوارزمية لاختيار وتطبيق تدابير الأمان: أولاً ، يتم اختيار التدابير الأساسية بناءً على أحكام الأمر ذي الصلة ، ثم يتم تكييف مجموعة التدابير الأساسية المختارة ، باستثناء التدابير "الأساسية" غير ذات الصلة وفقًا من ميزات نظم المعلومات والتقنيات المستخدمة. بعد ذلك ، يتم تحديد مجموعة التدابير الأساسية المكيفة لتحييد التهديدات الحالية بتدابير غير محددة مسبقًا ، وأخيراً ، يتم استكمال المجموعة الأساسية المكيفة المحدثة بتدابير تحددها وثائق قانونية تنظيمية أخرى قابلة للتطبيق.

يحتوي الأمر رقم 21 في الفقرة 10 على ملاحظة مهمة حول قدرة المشغل على تطبيق التدابير التعويضية عندما يكون من المستحيل تنفيذ التدابير الفنية أو إذا لم يكن من المجدي اقتصاديًا تطبيق التدابير من المجموعة الأساسية ، مما يمنح بعض المرونة عند اختيار تدابير جديدة ويبرر استخدام معدات الحماية المنفذة بالفعل لضمان السلامة الشخصية. إذا كان المشغل يستخدم SZI معتمدًا ، فإن الجهة المنظمة في الفقرة 12 من الأمر تضع متطلبات لفئات SZI المستخدمة وأجهزة الكمبيوتر (المشار إليها فيما يلي - CBT).

يمكن لجدران الحماية المعتمدة ، وأنظمة الكشف عن الاقتحام ، وأدوات حماية معلومات مكافحة الفيروسات ، وأدوات التمهيد الموثوق بها ، وأدوات التحكم في وسائط الكمبيوتر القابلة للإزالة ، وأنظمة التشغيل وفقًا لمصنفات FSTEC التي تم طرحها مؤخرًا (2011-2016) الحصول على فئات من 1 (أقصى مستوى من الدعم الحماية) إلى 6 (المستوى الأدنى). يمكن تصنيف CBT على سبعة مستويات وفقًا للوثيقة التوجيهية FSTEC Russia. تُفرض المتطلبات أيضًا للتحكم في غياب القدرات غير المعلنة في برنامج SZI - هناك أربعة مستويات للتحكم. توجد القائمة الحالية لـ SIS المعتمدة في سجل حالة أدوات أمن المعلومات المعتمدة.

في الأمر رقم 21 ، تم الإشارة إلى مجموعات التدابير التالية لضمان سلامة PD ، والتي يجب تطبيقها وفقًا للمستوى المطلوب لحماية PD:

• تحديد وتوثيق وصول المواضيع وكائنات الوصول
• التحكم في الوصول إلى الموضوعات الوصول إلى الكائنات
• الحد من بيئة البرمجيات
• حماية ناقلات الآلات PD
• تسجيل الأحداث الأمنية
• الحماية من الفيروسات
• كشف التسلل
• رصد (تحليل) الأمن PD
• ضمان سلامة IP و PD
• ضمان توافر PD
• حماية البيئات الافتراضية
• حماية الوسائل التقنية
• حماية الملكية الفكرية ووسائلها وأنظمة الاتصالات ونقل البيانات
• الكشف عن الحوادث والاستجابة لها
• إدارة تكوين نظم الحماية IS و PD.

يحدد الأمر رقم 17 متطلبات ضمان أمن المعلومات ذات الوصول المحدود إلى نظام المعلومات الجغرافية GISIS ، في حين تؤكد الفقرة 5 أنه عند معالجة ملفات PDS في GOSIS ، ينبغي اتباع PP-1119. يُلزم الأمر مشغلي GOSIS باستخدام SZI المعتمدين فقط والحصول على شهادة امتثال مدتها خمس سنوات لمتطلبات حماية المعلومات. تفترض هذه الوثيقة أن المشغلين يتخذون التدابير التالية لضمان حماية المعلومات (المشار إليها فيما يلي - ZI): تشكيل متطلبات ZI ؛ تطوير وتنفيذ وإصدار الشهادات لنظام الملكية الفكرية IP ؛ توفير ZI أثناء التشغيل وأثناء وقف التشغيل. يتحدث البند 14.3 من الأمر عن الحاجة إلى إنشاء نموذج تهديد ، ويقترح استخدام بنك بيانات تهديد أمان بيانات FSTEC في روسيا ( BDU ) ، والذي تحدثنا عنه في منشور سابق . بالنسبة لنظام GOSIS ، تم إنشاء فئة أمان (من الحد الأقصى الأول إلى الثالث الأدنى) ، وهذا يعتمد على مستوى أهمية المعلومات التي تم معالجتها وحجم النظام ، حيث يعتمد مستوى الأهمية على درجة الضرر المحتمل لخصائص الأمان (السرية والسلامة وتوافر) المعلومات التي تمت معالجتها في GISIS ، ويمكن أن يكون نطاق النظام فدراليًا أو إقليميًا أو كائنًا.

في نظم المعلومات الجغرافية GISIS من الدرجة الأولى من الحماية ، ينبغي توفير الحماية من تصرفات المخالفين ذوي الإمكانات العالية ، وفي GOSIS من الدرجة الثانية - من المخالفين الذين يحتمل أن يكونوا أقل من القاعدة المعززة (في NOS ، يُطلق على إمكاناتهم "متوسط" ، وفي مشروع منهجية تحديد التهديدات الأمنية المعلومات في IS - "زيادة أساسية") ، في GISIS من الدرجة الثالثة - من المتسللين الذين لديهم إمكانات لا تقل عن الأساسية (في NLD تسمى هذه الإمكانات "منخفضة"). بما أنه لضمان وجود نظام IS في GosIS ، فإنه يجوز استخدام SIS المعتمد فقط ، في الفقرة 26 من الأمر رقم 17 ، يتم وصف الفئات المقبولة من SIS و CBT ومستويات التحكم في غياب NDV ، اعتمادًا على فئة GISIS. في الفقرة 27 ، تم إجراء اتصال بين فئة أمان GISIS ومستويات أمان PD التي تمت معالجتها: يتم توفير الامتثال لمتطلبات تدابير ZI لنظام GISIS من الفئة الأولى من خلال مستويات الأمان 1 و 2 و 3 و 4 من PD ، للفئة الثانية - 2 ، 3 و 4 الموجات فوق الصوتية ، لفئة 3 - 3 و 4 الموجات فوق الصوتية.

تتوافق تدابير أمن المعلومات في نظام معلومات الدولة تقريبًا بالكامل مع التدابير الواردة في الأمر رقم 21 الموضح أعلاه ، باستثناء عدم وجود مؤشرات على اكتشاف الحادث وإدارة التهيئة.يتم تنفيذ هذه الإجراءات بعد إنشاء نظام الحماية ، في مرحلة تشغيل نظام GISIS المعتمد ، إلى جانب إدارة نظام حماية المعلومات نفسه والتحكم في ضمان مستوى أمان المعلومات في GOSIS.

بالإضافة إلى الأمر رقم 17 ، في تنفيذ تدابير ZI ذات الصلة ، يمكن للمرء أيضًا أن يسترشد بالوثيقة المنهجية لـ FSTEC لروسيا " تدابير حماية المعلومات في نظم المعلومات الحكومية " ، والتي تكشف بمزيد من التفصيل عن تركيبة ومضمون جميع التدابير.

قرار من جهاز الأمن الفيدرالي في الاتحاد الروسي رقم 378 : 1 (), 2, 3, 1, 2, 1 (). . , , ( 6, 1 6, ), , . , , ( — , ), , , .

152- , 3 GDPR ( General Data Protection Regulation , ). , 2016 25 2018 , , , .

كان سلف الناتج المحلي الإجمالي في الاتحاد الأوروبي هو توجيه البرلمان الأوروبي ومجلس الاتحاد الأوروبي 95/46 / EC المؤرخ 24 أكتوبر 1995 "بشأن حماية الأفراد في معالجة البيانات الشخصية والتداول الحر لهذه البيانات". بعد اعتماد الناتج المحلي الإجمالي ، توسعت حقوق موضوعات PD بشكل كبير ، وازدادت التزامات المشغلين والعقوبات لعدم الوفاء بهم بشكل كبير.

GDPR , 152-: GDPR , ( ). , , , , , , , - , , , , , , . , , IP-, cookie-, .

GDPR «» (. profiling), , , , , , , , .

152-, GDPR , « », «», «» (. controller), « », «» () .

GDPR , , . , . , - :

• GDPR - ;
• - , / , cookie- / , GDPR;
• , .

GDPR :

• , — , (.. privacy policy);
• — , , ;
• — , ;
• — , ;
• — ;
• — , , , , , .

لا يوفر المستند للمشغلين تعليمات حماية مفصلة ، مما يمنحهم حرية اختيار التدابير والتقنيات. على سبيل المثال ، يجب عليك ، حيثما أمكن ذلك ، تشفير PD أثناء التخزين والإرسال والمعالجة ، وكذلك استخدام خوارزميات تعرّف الاسم المستعار. من المتوقع أن يؤدي هذا إلى تقليل الضرر المحتمل في حالة حدوث تسرب ، لكن لا يوفر إجمالي الناتج المحلي شروطًا محددة لتطبيق هذه التدابير الوقائية. في هذا ، يختلف النهج الأوروبي عن النهج الروسي ، حيث تنظم سلطات الدولة بوضوح التدابير الوقائية وشروط تطبيقها ، لا تأمل في توخي الحذر من المشغلين - ويجب أن نأسف لذلك ، فهي مبررة للغاية.

بالإضافة إلى المبادئ الموضحة أعلاه ، توجد أيضًا المعايير التالية في إجمالي الناتج المحلي:

• , , , .. , , , ( );
• (.. Data Protection Impact Assessment);
• - , , , ;
• (privacy by design, .. ) (privacy by default, .. );
• — , ;
• (Data Privacy Officer) , :
  
  
  • / ( , , , , , , );
• 72- (supervisory authority, Data Protection Authority — ) GDPR- , .. , , , .

في يوليو 2016 ، تم تقديم اتفاقية حماية الخصوصية بين الاتحاد الأوروبي والولايات المتحدة لحماية الخصوصية . هذا الاتفاق هو إطار يحدد أساليب الشركات التجارية لتبادل آمن للبيانات الشخصية بين الاتحاد الأوروبي وأمريكا الشمالية. الغرض من مثل هذا الاتفاق هو جعل معايير الناتج المحلي الإجمالي لحماية PD في الاتحاد الأوروبي وطرق لضمان سلامتهم في الولايات المتحدة. سابق هذا الإطار كان اتفاقية Safe Harbor Privacy Principles . (« »), 2000 2015 , 95/46/ « ». - , , . , 2015 بطلان مبادئ الملاذ الآمن. وبالتالي ، في الوقت الحالي ، يتعين على الشركات الأمريكية التي ترغب في معالجة البيانات الشخصية لمواطني الاتحاد الأوروبي الامتثال لدرع الخصوصية للاتحاد الأوروبي والولايات المتحدة. يتم تنفيذ تأكيد الامتثال في شكل شهادة طوعية ذاتية في وزارة التجارة الأمريكية. يجب أن تلتزم الشركة المشغِّلة بالمتطلبات الأساسية التالية ، مع التأكيد على مستوى الحماية الكافية لمنتجها الشخصي لمواطني الاتحاد الأوروبي:

• إبلاغ الموضوعات حول معالجة بياناتهم الشخصية ، والتي تتضمن إشارة إلى حماية البيانات الشخصية وفقًا لدرع الخصوصية في سياسة الشركة لحماية البيانات الشخصية (سياسة الخصوصية) ، والإخطار بمواضيع البيانات الشخصية حول حقوقهم وتذكير بالتزامات الشركة نفسها في حالة تلقي طلب قانوني للشركة توفير PD من قبل سلطات الدولة ؛
• , 45 , , , Data Protection Authorities ( );
• , Privacy Shield;
• , ;
• , :
  
  
  1. , , — (.. Notice and Choice Principles), ( , , );
  2. , , .. , — , , , — ;
• Privacy Shield;
• , Privacy Shield.
• , , Privacy Shield, , , 152-.

1. الغرامات المفروضة لانتهاك التشريعات الروسية بشأن حماية البيانات الشخصية تنظمها المادة. 13.11 القانون الإداري ، الذي ينص على سبع جرائم أدخلت في يوليو 2017. على سبيل المثال ، الجزء 1 من المادة 13.11 من القانون الإداري للاتحاد الروسي يعاقب المشغلين على معالجة البيانات الشخصية في الحالات التي لا ينص عليها القانون ، أو معالجة غير متوافق مع الغرض من جمع البيانات الشخصية ، بمبلغ يصل إلى 50 ألف روبل. الجزء 2 من الفن. 13.11 من القانون الإداري للاتحاد الروسي ينص على عقوبة لمعالجة PD دون موافقة هذا الموضوع أو عن انتهاكات في عملية الحصول على هذه الموافقة ، بمبلغ يصل إلى 75 ألف روبل. بالإضافة إلى ذلك ، يعد عدم الامتثال لقواعد توطين قواعد بيانات PD على أراضي الاتحاد الروسي انتهاكًا للمادة 1242-FZ والمادة 15.5 من 149-FZ ، التي تهدد بمنع الوصول إلى شبكة الإنترنت لمنتهك الشركة بناءً على قرار من المحكمة.

يجب أن يؤخذ في الاعتبار أنه يمكن فرض غرامة لكل حقيقة انتهاك للمعايير التشريعية. علاوة على ذلك ، تم تقديم مشروع قانون مؤخرًا إلى مجلس الدوما ، والذي يتضمن إدخال جريمتين جديدتين في مجال حماية PD - يقترح النواب فرض ملايين الغرامات لعدم الامتثال لـ 242-FZ ، أي لرفض توطين قواعد بيانات PD من الروس في أراضي الاتحاد الروسي ، وكذلك عن الانتهاكات المتكررة لمتطلبات الترجمة.

2. , GDPR 10 2% , — 20 4% . GDPR : 200000 , 56 , 50 , - Google .

3. تبلغ الغرامات التي تتقاضاها لجنة التجارة الفيدرالية الأمريكية للشركات التي لا تلتزم بمبادئ درع الخصوصية ما يصل إلى 40 ألف دولار عن الانتهاك ، بالإضافة إلى 40 ألف دولار عن كل يوم لاحق من المعالجة غير القانونية للبيانات الشخصية بعد اكتشاف الانتهاكات.

إجراء التفتيش بواسطة Roskomnadzor

, , . ( ), (, 10 ). №146 13.02.2019 « ». ( , , , , ), : , , , . , , . , , . , , (, ), , .