Am 8. November 2018 fand in Moskau die 9. internationale Konferenz „Schutz personenbezogener Daten“ statt, die mit Unterstützung des RF-Kommunikationsministeriums und von Roskomnadzor organisiert wurde. Unter den Konferenzrednern (ihre vollständige Liste finden Sie auf der Konferenzwebsite - https://zpd-forum.com/ru ) befanden sich natürlich Vertreter von Roskomnadzor: Alexander Zharov, Alexander Pankov, Antonina Priezzheva und Yuri Kontemirov.
Ein wichtiges Thema der Konferenz war die Entwicklung einer internationalen Rechtsvorschrift zum Schutz personenbezogener Daten (PD) am Beispiel der DSGVO und des Modernisierten Übereinkommens Nr. 108 des Europarates. Ausländische Teilnehmer nahmen an der Diskussion teil, darunter Vertreter der zugelassenen Datenschutzbehörden Aserbaidschans, Bulgariens, Bosnien und Herzegowinas, Ungarns, Italiens, Jordaniens, Chinas, Serbiens und der Republik Südafrika.
Vertreter von Roskomnadzor erinnerten daran, dass Russland zu den ersten Ländern gehörte, die das Übereinkommen des Europarates ETS-108 unterzeichnet hatten, und dass unser Land auch an der Ausarbeitung einer neuen Version des Übereinkommenstextes beteiligt war. Es wurde festgestellt, dass die Modernisierung der Richtlinie keine wesentlichen Änderungen in der Organisation des Schutzes personenbezogener Daten in Russland mit sich bringen würde, und die Unterzeichnung des modernisierten Übereinkommens würde es Russland ermöglichen, in die Liste der Länder aufgenommen zu werden, die der DSGVO entsprechen.
Eines der wichtigsten Ergebnisse der Unterzeichnung des Übereinkommens durch Russland wird jedoch sein, dass die russischen Betreiber verpflichtet sind, Lecks personenbezogener Daten zu melden und für deren Nichteinhaltung verantwortlich zu sein. Es wurde auch über Pläne zur Schaffung einer Ressource gesprochen, auf der die Bürger ihre frühere Zustimmung zur Verarbeitung ihrer personenbezogenen Daten widerrufen können.
Yuri Kontemirov sagte in seiner Rede, dass Roskomnadzor die Einhaltung der Gesetze über personenbezogene Daten im Allgemeinen überwacht, einschließlich der Normen aller Gesetze in Bezug auf die Verarbeitung von PD. Gleichzeitig erstellten 2018 alle Gebietsabteilungen von Roskomnadzor zusammen 98 Protokolle zu Verwaltungsdelikten im Bereich personenbezogener Daten, die gemäß Artikel 13.11 des Gesetzes über Verwaltungsdelikte der Russischen Föderation in der jeweils gültigen Fassung qualifiziert waren. Beispielsweise werden gemäß Artikel 19.7 des Verwaltungsgesetzes der Russischen Föderation (Nichtbenachrichtigung über die Verarbeitung oder Nichterhalt einer Antwort auf eine Anfrage) pro Jahr etwa 7000 Protokolle erstellt.
Wie bereits bekannt, regelt die Gesetzgebung zu personenbezogenen Daten in Verbindung mit dem Dekret der Regierung der Russischen Föderation Nr. 687 die Verarbeitung personenbezogener Daten, auch wenn diese nicht vollständig automatisiert sind. Gleichzeitig stellte Yuri Kontemirov klar, dass die Rechtsfähigkeit in Bezug auf personenbezogene Daten ihres Subjekts im Alter von 14 Jahren besteht und es keine Beschwerden gibt, der Verarbeitung personenbezogener Daten zuzustimmen, die von einem Kind ab 14 Jahren unabhängig unterzeichnet wurden. Darüber hinaus stellte Y. Kontemirov klar fest, dass es möglich ist, die Einwilligung zur Verarbeitung in elektronischer Form durch jede elektronische Signatur zu unterzeichnen, die im Bundesgesetz „Über elektronische Signatur“ vorgesehen ist, und nicht nur durch eine verbesserte Qualifikation.
Es wurde auch gesondert klargestellt, dass Standardformulare, die die Eingabe personenbezogener Daten vorsehen, wenn sie vom Betreiber unabhängig entwickelt werden, den Anforderungen von Absatz 7 des RF-Regierungsdekrets vom 15. September 2008 entsprechen müssen. N 687 „Nach Genehmigung der Verordnung über die Besonderheiten der Verarbeitung personenbezogener Daten, ohne Automatisierung durchgeführt werden “, nur wenn sie vom Bediener eigenständig erstellt werden.
Absatz 7 der Verordnung N 687 lautet wie folgt:"7. Bei der Verwendung von Standarddokumenten müssen die folgenden Bedingungen erfüllt sein: Die Art der Informationen, in denen personenbezogene Daten enthalten sind oder deren Aufnahme gestattet ist (im Folgenden als Standardformular bezeichnet), muss die folgenden Bedingungen erfüllen:
a) Das Standardformular oder die damit verbundenen Dokumente (Anweisungen zum Ausfüllen, Karten, Register und Magazine) sollten Informationen über den Zweck der Verarbeitung personenbezogener Daten enthalten, die ohne Verwendung von Automatisierungstools durchgeführt wurden, den Namen (Name) und die Adresse des Betreibers, Nachname, Vorname, zweiter Vorname und Adresse des Subjekts personenbezogener Daten, Quelle personenbezogener Daten, Verarbeitungszeit für personenbezogene Daten, Liste der Aktionen mit personenbezogenen Daten, die während des Verarbeitungsprozesses ausgeführt werden, allgemeine Beschreibung der Methode ein personenbezogenen Daten;
b) Das Standardformular sollte einen Bereich enthalten, in dem der Betroffene seine Zustimmung zur Verarbeitung personenbezogener Daten, die ohne Automatisierung durchgeführt wird, markieren kann. - Falls erforderlich, schriftliche Zustimmung zur Verarbeitung personenbezogener Daten einholen. c) Das Standardformular sollte so erstellt werden, dass jede der in dem Dokument enthaltenen personenbezogenen Daten die Möglichkeit hat, sich mit ihren in dem Dokument enthaltenen personenbezogenen Daten vertraut zu machen, ohne die Rechte und berechtigten Interessen anderer betroffener Personen zu verletzen.
d) Das Standardformular sollte die Kombination von Feldern zur Eingabe personenbezogener Daten ausschließen, deren Verarbeitungszwecke offensichtlich nicht kompatibel sind. “
Für die Formulare, die von staatlichen Stellen und Leitungsgremien für außerbudgetäre Mittel im Rahmen ihrer Befugnisse entwickelt wurden, wie auf der Konferenz festgelegt, gelten diese Anforderungen jedoch nicht. Gleichzeitig sind die Telefonnummer oder das staatliche Autozeichen selbst (ohne Bezugnahme auf ein bestimmtes Thema der PD) keine personenbezogenen Daten.
Die FSTEC-Vertreterin Elena Torbenko erklärte, dass der Ansatz der Verordnung Nr. 239 zur Sicherheit von KII in Bezug auf die Möglichkeit der Bewertung der Konformität von Informationsschutzmitteln in Form von Tests und Akzeptanz auf den Aufbau eines PD-Schutzsystems angewendet werden kann, der Systembesitzer sollte sich jedoch der Verantwortung für die Qualität und Gültigkeit einer solchen Bewertung bewusst sein. FSB-Vertreter A. Bodrov stellte fest, dass der FSB nur eine Konformitätsbewertung in Form einer Zertifizierung in seinem System für akzeptabel hält. Die Zertifizierung der zur Verarbeitung personenbezogener Daten verwendeten Anwendungssoftware ist nicht erforderlich, wenn sie nicht über die Funktionen zum Schutz vor aktuellen Bedrohungen verfügt. Jeder Kunde hat jedoch das Recht, eine solche Zertifizierung vom Lieferanten oder Auftragnehmer zu verlangen, wenn er dies für erforderlich hält.
Darüber hinaus fand auf der Konferenz "Schutz personenbezogener Daten" die Zeremonie zur Unterzeichnung des Verhaltenskodex (Code of Ethical Activities (Work) im Internet) statt. Die Industrie- und Handelskammer Russlands, Delovaya Rossiya LLC, Opora Rossii LLC, Moskauer Staatliche Universität, benannt nach M.V. Lomonosov sowie Vertreter ausländischer Unternehmen - der Verband europäischer Unternehmen, die amerikanische Handelskammer in Russland und die russisch-deutsche Handelskammer.
Der Artikel wurde basierend auf den Materialien https://emeliyannikov.blogspot.com und https://zpd-forum.com/de erstellt .