Geekly articles weekly

Schutz personenbezogener Daten von 3 Milliarden Menschen - Ähnlichkeiten und Unterschiede in der Gesetzgebung in den BRICS-Ländern



Auf seiner Sitzung am 26. Oktober 2017 beauftragte der russische Sicherheitsrat das Kommunikationsministerium und das Außenministerium Russlands, im Rahmen der BRICS (Brasilien, Russland, Indien, China und Südafrika) die Diskussion über die Schaffung eines eigenen „Systems doppelter Wurzeln“ einzuleiten "Domain Name Server (DNS), unabhängig von der Kontrolle von [internationalen Organisationen] ICANN, IANA und VeriSign, und in der Lage, die Anforderungen der Benutzer dieser Länder im Falle von Fehlern oder gezielten Auswirkungen zu erfüllen."

Angesichts dieser Ereignisse möchten wir die Frage der Kohärenz der Gesetze der BRICS-Länder in Datenschutzfragen berücksichtigen. Darüber hinaus konzentrieren wir uns auf den Schutz personenbezogener Daten: auf der Grundlage der schutzbasierten Gesetze und der Hauptnachteile.

Ein kleiner Exkurs in die Grundlagen.

BRICS ist eine Gruppe von fünf Ländern: Brasilien, Russland, Indien, China und die Republik Südafrika.

Am 9. Juli 2015 wurde auf dem VII BRICS-Gipfel in Ufa die Ufa-Erklärung verabschiedet. Die Erklärung ist umfangreich, sie berührt viele aktuelle Themen weltweit, aber wir werden nur einen Punkt ansprechen, in dem Beziehungen zu Informations- und Kommunikationstechnologien deklariert werden. In Absatz 33 der Ufa-Erklärung heißt es also:

  • die Notwendigkeit, die Zusammenarbeit im Bereich der IKT einschließlich des Internets zu stärken
  • die Entscheidung, innerhalb der BRICS-Arbeitsgruppe eine Zusammenarbeit im Bereich der IKT einzurichten
  • die Notwendigkeit, ein System zu bilden
  • um die Vertraulichkeit und den Schutz der persönlichen Daten des Benutzers zu gewährleisten

"Wir bekräftigen die Unzulässigkeit der Nutzung von IKT und Internet zur Verletzung der Menschenrechte und Grundfreiheiten, einschließlich des Rechts auf Privatsphäre, und bekräftigen, dass die Rechte, die eine Person außerhalb des Internets hat, auch darin geschützt werden müssen."

Den vollständigen Wortlaut der Erklärung finden Sie hier .



Höhepunkte des Schutzes personenbezogener Daten in den BRICS-Ländern


PD-Schutz in der Russischen Föderation


Bisher ist die Russische Föderation unter den BRIC-Staaten in dieser Hinsicht am weitesten fortgeschritten. Wir weisen auf die wichtigsten Punkte hin, die im Rahmen der Frage der Verteidigung der PD getan wurden.

Im Bereich des PD-Schutzes wurden Rechtsvorschriften erlassen, die Folgendes umfassen:

  • Normen der Verfassung (Artikel 23, 24);
  • Sondergesetz - Bundesgesetz der Russischen Föderation vom 27. Juli 2006 Nr. 152- „Über personenbezogene Daten“;
  • Normen der Industriegesetze;
  • Statuten.

Darüber hinaus wurde eine spezielle autorisierte Stelle geschaffen, deren Tätigkeit Folgendes sicherstellt:

  • das wirksame Funktionieren eines zentralisierten Kontroll- und Überwachungssystems für die Umsetzung der gesetzlichen Anforderungen;
  • Prüfung von Einsprüchen gegen Personen mit personenbezogenen Daten;
  • Führung eines Registers von PD-Betreibern;
  • Informationsarbeit mit Bürgern und PD-Betreibern.

Es sollte auch beachtet werden, dass sich allmählich eine einheitliche Strafverfolgungspraxis bildet. Derzeit gibt es in Russland ein PD-Schutzsystem, das internationalen Standards entspricht und in Betrieb ist.

Wenn Sie keine ausreichende Klarheit hinsichtlich der Verarbeitung personenbezogener Daten gemäß den gesetzlichen Bestimmungen der Russischen Föderation haben und ein umfassenderes Verständnis des Gesetzes wünschen, empfehlen wir Ihnen, sich mit unserem Weißbuch zum Bundesgesetz Nr. 152 vertraut zu machen.

PD-Schutz in China


Hier ist alles kompliziert. Es gibt kein spezielles allgemeines Gesetz zum Schutz der Parkinson-Krankheit. Schauen wir uns jedoch die wichtigsten Punkte an.

Die Verfassung der VR China garantiert den Schutz der Würde des Einzelnen und die Geheimhaltung der Korrespondenz. Die Bestimmungen zum Schutz der Parkinson-Krankheit sind in gesonderten Rechtsakten enthalten, die wir nun kurz prüfen werden.

Am 05. November 2012 wurden die „Richtlinien zum Schutz personenbezogener Daten im Informationssystem für die Erbringung öffentlicher und kommerzieller Dienstleistungen“ verabschiedet, in denen folgende Definition gegeben wurde:

Personenbezogene Daten - alle Informationen über eine bestimmte Person, die allein oder in Kombination mit anderen Informationen identifiziert werden können

Das Management legt die Pflicht des PD-Betreibers fest, die Zustimmung des PD-Betreffs zur Verarbeitung einzuholen und ihn über den Zweck der Verarbeitung, die Haltbarkeit, Maßnahmen zum Schutz der PD usw. zu informieren.

Was die Lokalisierung von PD betrifft, so wird uns in Artikel 5.4.5 davon erzählt:

In Ermangelung einer eindeutigen Zustimmung des Gegenstandes der PD, einer behördlichen Genehmigung oder der Zustimmung der autorisierten Stellen sollte der Betreiber der PD die PD nicht an Personen im Ausland übertragen, einschließlich Personen mit Wohnsitz im Ausland oder an Organisationen und Unternehmen, die im Ausland registriert sind.

Auch personenbezogene Daten werden im am 25. Oktober 2013 verabschiedeten Verbraucherschutzgesetz erwähnt:

Artikel 29. Bei der Erhebung und Verwendung personenbezogener Daten von Personen sind Unternehmer verpflichtet, die Grundsätze der Rechtmäßigkeit, Gültigkeit und Notwendigkeit zu befolgen, ausdrücklich über den Zweck, die Methoden und die Grenzen der Erhebung und Verwendung von Informationen zu informieren und die Zustimmung des Verbrauchers einzuholen.

Unternehmer müssen technische und andere notwendige Maßnahmen ergreifen, um die Sicherheit von Informationen zu gewährleisten und die Offenlegung oder das Auslaufen von Verbraucher-PD zu verhindern.

Bei Nichteinhaltung des Gesetzes wird eine schwerwiegende Geldstrafe verhängt.

Darüber hinaus gibt es eine Reihe von Rechtsakten, die auf die eine oder andere Weise den Schutz der Betroffenen der Parkinson-Krankheit betreffen.

  • Das PRC-Gesetz über die Haftung aus unerlaubter Handlung von 2009 zum Schutz des Rechts auf Privatsphäre sieht insbesondere die Verantwortung einer medizinischen Einrichtung für die Verbreitung von PD ohne Zustimmung des PD-Patienten vor
  • "Die Entscheidung zur Stärkung des Schutzes von Informationen im Internet", verabschiedet vom chinesischen Parlament am 28.12.2012
  • „Verordnung über Telekommunikation und den Schutz personenbezogener Daten von Internetnutzern“, angenommen am 19. Juli 2013
  • Am 15. März 2015 trat die „Verantwortung für die Verletzung von Verbraucherrechten und -interessen“ in Kraft, die von der staatlichen Verwaltung für Industrie und Handel Chinas (SAIC) entwickelt und verabschiedet wurde.

Das letztgenannte Gesetz ist von besonderem Interesse im Hinblick auf die Definition personenbezogener Daten im Rahmen des Verbraucherschutzes. Gemäß den Maßnahmen beziehen sich die folgenden Daten auf die Verbraucher-PD:

  1. Name
  2. Geschlecht
  3. Beruf;
  4. Geburtsdatum;
  5. Passnummer;
  6. Adresse
  7. Kontaktinformationen;
  8. Angaben zu Einkommen und Vermögen;
  9. Gesundheitsinformationen;
  10. Verbrauchergewohnheiten.

Am 1. Juni 2017 trat das Cybersicherheitsgesetz in Kraft. Das Cybersicherheitsgesetz ist das erste konsolidierte Gesetz, das fast alle Probleme in diesem Bereich in China regelt. Einschließlich natürlich gilt es für PD.

Die Speicherung personenbezogener Daten und anderer wichtiger Daten sollte ausschließlich im Hoheitsgebiet der VR China erfolgen (Artikel 37).

Das Gesetz über Cybersicherheit bestätigt die Verpflichtungen der Netzbetreiber in Bezug auf den Schutz personenbezogener Daten, die durch bestehende Gesetze und behördliche Anforderungen festgelegt werden, einschließlich des Rechts zur Überwachung der Einhaltung des Grundsatzes der Rechtmäßigkeit, der Notwendigkeit und Relevanz der Erhebung und Verwendung personenbezogener Daten sowie des Rechts zur Überwachung der Umsetzung von Informations- und Empfangsanforderungen Einwilligung “(Artikel 41) über die Verwendung personenbezogener Daten nur für die Zwecke, für die die betreffende Person zugestimmt hat (Artikel 41), das Recht auf Maßnahmen zum Schutz der Sicherheit personenbezogener Daten (Artikel 42) und zum Schutz des individuellen Rechts auf Bewertung und Korrektur personenbezogener Daten (Artikel 43) ergreifen.

Darüber hinaus enthält das Gesetz zur Cybersicherheit einige neue Vorschriften zum Schutz personenbezogener Daten, einschließlich der Anforderungen für die Meldung von Datenschutzverletzungen (Artikel 42), der Anonymisierung von Daten als Ausnahme von den Anforderungen für die Information und Einholung der Einwilligung (Artikel 42). sowie das Recht des Einzelnen, von den Netzbetreibern die Änderung oder Löschung seiner personenbezogenen Daten zu verlangen, wenn Informationen über ihn fehlerhaft sind oder für nicht mit ihm unvereinbare Zwecke verwendet werden (Artikel 43).

Die Hauptprobleme des PD-Schutzes in China umfassen Folgendes:

  • Fehlen einer autorisierten Stelle zum Schutz der Parkinson-Krankheit;
  • Fehlen eines einzigen Sondergesetzes zur PD;
  • Fehlen eines einzigen konzeptionellen Rahmens (nun, das läuft auch bei uns nicht reibungslos);
  • Die Grundregeln zum Schutz der Parkinson-Krankheit sind in Rechtsakten enthalten, die beratender Natur sind (z. B. der Leitfaden).
  • fehlende Benachrichtigung über die Verarbeitung von PD und das Register der an der Verarbeitung von PD beteiligten Betreiber.

PD-Schutz in Brasilien


Die brasilianische Verfassung schützt die Menschenwürde, die Privatsphäre und die Privatsphäre der Korrespondenz. Wie in China gibt es kein allgemeines Gesetz zum Schutz der Parkinson-Krankheit, und Bestimmungen zum Schutz der Parkinson-Krankheit sind in separaten Rechtsakten enthalten.

Brasilianisches Internetgesetz (Marco Civil da Internet) vom 23.04.2014 .:

  • Es legt allgemeine Grundsätze für die Nutzung des Internets, die Rechte und Garantien der Nutzer, die Pflichten der Anbieter und die Regeln für die Erbringung von Diensten im Internet fest.
  • Das Gesetz enthält eine Vielzahl von Regeln zum Schutz der Privatsphäre und personenbezogener Daten.
  • Um APs im Internet verarbeiten zu können, müssen Sie die freiwillige und informierte Zustimmung des Benutzers einholen.
  • Die PD-Verarbeitung ist nur für einen bestimmten Zweck zulässig, der in der Benutzervereinbarung oder in den Regeln für die Nutzung von Internetdiensten angegeben ist

Wie für die Lokalisierung von PD. Der Gesetzesentwurf enthielt zunächst Anforderungen für die Lagerung der PD brasilianischer Staatsbürger im Staat. In späteren Ausgaben wurde die Bestimmung ausgeschlossen, aber das Recht des Präsidenten wurde eingeführt, Dekrete zu diesem Thema zu erlassen. In der verabschiedeten endgültigen Fassung des Gesetzes wird das Problem der Datenlokalisierung nicht angesprochen. Der Ausschluss dieser Anforderung aus dem Gesetz war das Ergebnis der Lobbyarbeit internationaler Unternehmen und der Vereinigten Staaten.

Von besonderem Interesse ist die Entscheidung im Gesetz über die Frage der Zuständigkeit (Artikel 11). Die allgemeine Regel lautet wie folgt:

Internetanbieter und Internetanwendungsanbieter müssen die brasilianischen Gesetze, einschließlich des Schutzes von PD, einhalten, wenn mindestens eine der Erfassungen, Speicherungen oder Verarbeitungen von PD im brasilianischen Staatsgebiet erfolgt.

Es gibt jedoch zusätzliche Bedingungen:

  1. Die allgemeine Regel gilt für in Brasilien gesammelte PD und für den Inhalt der Kommunikation, wenn sich mindestens eines der Terminals in Brasilien befindet
  2. Die allgemeine Regel gilt auch dann, wenn solche Tätigkeiten von einer ausländischen juristischen Person ausgeführt werden, sofern:
a) Eine ausländische juristische Person erbringt Dienstleistungen für eine unbegrenzte Anzahl von Personen in Brasilien.
entweder
b) Mindestens eine der zur Gruppe ausländischer Unternehmen gehörenden Personen ist in Brasilien niedergelassen.

PD-Schutz in Brasilien, die Hauptprobleme:

  • Fehlen einer autorisierten Stelle zum Schutz der Parkinson-Krankheit;
  • Fehlen eines einzigen Sondergesetzes zur PD;
  • Fehlen einer einheitlichen Definition personenbezogener Daten;
  • fehlende Definition spezieller Kategorien von PD (sensible personenbezogene Daten);
  • mangelnder Schutz der Parkinson-Krankheit in bestimmten Branchen und Bereichen mit Ausnahme des Internets;
  • fehlende Mitteilung über die Verarbeitung von PD und das Register der an der Verarbeitung von PD beteiligten Betreiber.

PD-Schutz in Indien


§ 21 der indischen Verfassung garantiert jedem das Recht auf Leben und persönliche Freiheit.

In Indien gibt es kein spezielles allgemeines Gesetz zum Schutz der Parkinson-Krankheit.

Das Information Technology Act 2000 enthält einen speziellen Artikel zum Schutz spezieller Kategorien personenbezogener Daten (Artikel 43A). Der Betreiber der PD ist verpflichtet, die zum Schutz der PD erforderlichen Maßnahmen zu ergreifen und haftet für Schäden, die durch Datenlecks verursacht werden.

Im Jahr 2011 wurden „Regeln für die Praxis und das Verfahren zur Gewährleistung der Sicherheit besonderer Kategorien personenbezogener Daten und Informationen“ verabschiedet. Ihnen zufolge:

Personenbezogene Daten - alle Informationen, die sich auf eine Person beziehen und die in Kombination mit anderen Informationen des Betreibers personenbezogener Daten diese Person identifizieren können.

Die speziellen Kategorien von PD umfassen (Absatz 3 der Regeln):

  • Passwörter
  • Finanzinformationen (einschließlich Bankkonto- und Kreditkartendaten);
  • Gesundheitsdaten;
  • sexuelle Orientierung;
  • biometrische Daten.

Lokalisierung spezieller Kategorien von PD. Gemäß Regel 7 kann eine grenzüberschreitende Übertragung von PD indischer Staatsbürger nur dann gestattet werden, wenn der Vertrag zwischen der juristischen Person und dem Subjekt von PD erfüllt werden muss oder wenn der Subjekt seine Zustimmung zur Datenübertragung gegeben hat.

Regeln zum Schutz der Vertraulichkeit und personenbezogener Daten sind in mehreren Branchengesetzen in Indien enthalten, einschließlich Versicherungs- und Bankgesetzen.

Die Hauptprobleme des PD-Schutzes in Indien:

  • Fehlen einer autorisierten Stelle zum Schutz der Parkinson-Krankheit;
  • Fehlen eines einzigen Sondergesetzes zur PD;
  • fehlende Mitteilung über die Verarbeitung von PD und das Register der an der Verarbeitung von PD beteiligten Betreiber.

Schlussfolgerungen


Im Gegensatz zur Russischen Föderation bleiben sowohl die Gesetzgebung als auch die Praxis des Schutzes der Parkinson-Krankheit vor anderen BRICS-Ländern zurück. Gleichzeitig wurde in den letzten Jahren in allen BRICS-Ländern Folgendes beobachtet:

  • Interesse an der Entwicklung eines PD-Schutzsystems im Zusammenhang mit neuen Informationsbedrohungen des digitalen Zeitalters
  • Verabschiedung neuer Vorschriften
  • Einführung oder Plan zur Einrichtung einer speziellen autorisierten Stelle zum Schutz von PD-Patienten
  • Bestreben, bewährte Verfahren sowie internationale Grundsätze und Standards umzusetzen

Wir hoffen, dass Russland das Gesetzgebungssystem weiter verbessern, bewährte Verfahren einführen und unnötige Verbotsmaßnahmen vermeiden wird.

Source: https://habr.com/ru/post/de412737/

More articles:


All Articles