Russische und internationale Gesetzgebung im Bereich des Schutzes personenbezogener Daten

In der vorherigen Veröffentlichung haben wir die Grundkonzepte und das Paradigma der Informationssicherheit untersucht und gehen nun zur Analyse der russischen und internationalen Gesetzgebung über verschiedene Aspekte des Datenschutzes über, da es ohne Kenntnis der gesetzlichen Vorschriften für die relevanten Tätigkeitsbereiche des Unternehmens richtig ist, ein risiko- und geschäftsorientiertes Managementsystem aufzubauen Informationssicherheit ist unmöglich. Strafen sowie Reputationsschäden durch Nichteinhaltung gesetzlicher Standards können die Funktions- und Entwicklungspläne der Organisation erheblich korrigieren: Wir wissen, dass beispielsweise die Nichteinhaltung von Informationsschutzstandards im nationalen Zahlungssystem zum Widerruf einer Lizenz eines Finanzinstituts und zur Nichteinhaltung lokaler Anforderungen führen kann Die primäre Erfassung und Verarbeitung personenbezogener Daten kann dazu führen, dass der Zugriff auf die Website des Unternehmens blockiert wird. Die Nichteinhaltung der Sicherheitsstandards der kritischen Informationsinfrastruktur im Allgemeinen kann zu einer Freiheitsstrafe von bis zu 10 Jahren führen. Natürlich gibt es eine Vielzahl von Gesetzen und Vorschriften, daher konzentrieren wir uns in diesem und den nächsten beiden Artikeln auf den Schutz personenbezogener Daten, den Schutz kritischer Objekte der Informationsinfrastruktur und die Informationssicherheit von Finanzorganisationen.

Also, in der heutigen Serie - persönliche Daten, lass uns gehen!



Zunächst muss über das grundlegende Dokument gesprochen werden, das das Verfahren für die Arbeit mit verschiedenen Informationen in der Russischen Föderation regelt, einschließlich und mit personenbezogenen Daten - wir sprechen über das Bundesgesetz Nr. 149 "Über Information, Informationstechnologien und den Schutz von Informationen" vom 27.07.2006. Dieses Dokument enthält die grundlegenden Konzepte und Definitionen, die in allen aufsichtsrechtlichen Rechtsakten zum Schutz von Informationen verwendet werden, und führt unter anderem das Konzept der Kategorie von Informationen (öffentliche Informationen und Informationen mit begrenzter Verbreitung) und der Art von Informationen (frei verbreitet, bereitgestellt auf der Grundlage von) ein Vereinbarung, vorbehaltlich der Verbreitung in Übereinstimmung mit dem Gesetz, Informationen über eingeschränkten Zugang / Verteilung und zur Verbreitung verboten). Insbesondere werden personenbezogene Daten als eingeschränkte Informationen eingestuft, und gemäß Artikel 9 Absatz 2 dieses Gesetzes ist die Vertraulichkeit dieser Informationen obligatorisch, wodurch der Staat verbindliche Normen und Regeln für ihre Verarbeitung festlegt. Leider gibt es nicht bei allen Arten von Informationen mit begrenzter Verbreitung eine ähnliche Sicherheit - zum Beispiel gibt es bis heute keine gesetzliche Klassifizierung von Arten von Geheimnissen, nur einige von ihnen können unterschieden werden: Staat, Handel, Steuern, Bankwesen, Wirtschaftsprüfung, Medizin, Notar, Anwaltsgeheimnis, Geheimnis Mitteilungen, Ermittlungen, Gerichtsverfahren, Insiderinformationen usw. Neben Informationen mit begrenzter Verbreitung gibt es in 149- (Artikel 8 Absatz 4) auch einen Klassifikator für Arten von Informationen, auf die der Zugang im Gegenteil nicht beschränkt werden kann - zum Beispiel Rechtsakte, Informationen über die Aktivitäten staatlicher Stellen, den Zustand der Umwelt usw. .d.

Russische Standards zum Schutz personenbezogener Daten

In Bezug auf die Berücksichtigung von Fragen des Datenschutzes ist anzumerken, dass sie in den letzten Jahren stets scharf geblieben sind und in den höchsten Ämtern in Russland und im Ausland aufgestiegen sind, da sie jeden von uns betreffen, unabhängig von Staatsbürgerschaft oder Position.

Die Sicherheit personenbezogener Daten bei der ausländischen Auslegung der Privatsphäre beruht auf der Gewährleistung der unveräußerlichen Rechte und Freiheiten der Bürger der Industrieländer. In einigen europäischen Ländern war beispielsweise die Angabe des Vor- und Nachnamens von Personen, die in der Nähe von Postfächern und Türklingeln leben, ziemlich umstritten. Mit dem Aufkommen der Informationstechnologie ist der Schutz personenbezogener Daten noch relevanter geworden. So entstand das 1981 unterzeichnete und 2001 von der Russischen Föderation ratifizierte „Übereinkommen Nr. 108 des Europarates zum Schutz von Personen bei der automatischen Verarbeitung personenbezogener Daten“. Bereits zu diesem Zeitpunkt legte es die internationalen Grundlagen für die rechtmäßige Verarbeitung personenbezogener Daten, die bis heute gelten: die Verwendung personenbezogener Daten nur für bestimmte Zwecke und innerhalb bestimmter Zeiträume, die Redundanz und Relevanz verarbeiteter personenbezogener Daten sowie die Besonderheiten ihrer grenzüberschreitenden Übermittlung, Datenschutz garantiert Rechte eines Bürgers - Inhaber personenbezogener Daten. In demselben Dokument wird genau die Definition personenbezogener Daten angegeben, die dann zur ersten Ausgabe des Bundesgesetzes Nr. 152 „Über personenbezogene Daten“ vom 27. Juli 2006 „migriert“: „personenbezogene Daten“ sind alle Informationen über eine bestimmte oder identifizierbare natürliche Person. Der Zweck der Ratifizierung dieses Übereinkommens bestand darin, die internationalen Regulierungsanforderungen beim Beitritt Russlands zur WTO (Welthandelsorganisation) zu erfüllen, die 2012 stattfand.

Die gemeinsame Arbeit der Vertragsparteien des Übereinkommens dauert bis heute an. Ende 2018 unterzeichnete die Russische Föderation zusammen mit anderen teilnehmenden Ländern das „ Protokoll Nr. 223 über Änderungen des Übereinkommens des Europarates zum Schutz personenbezogener Daten“, das das Übereinkommen hinsichtlich der Bewältigung der aktuellen Herausforderungen aktualisiert: Schutz biometrischer und genetischer Daten, neue Rechte Einzelpersonen im Rahmen der algorithmischen Entscheidungsfindung durch künstliche Intelligenz, Datenschutzanforderungen, die sich bereits in der Phase des Entwurfs von Informationssystemen befinden, die Verpflichtung, den autorisierten Vorgesetzten darüber zu informieren gan über Datenlecks. Die Bürger haben jetzt die Möglichkeit, von der Aufsichtsbehörde einen qualifizierten Schutz ihrer personenbezogenen Daten zu erhalten, und russische Unternehmen, die gezwungen sind, die Anforderungen der Europäischen DSGVO (Allgemeine Datenschutzverordnung, über die wir später sprechen werden) zu erfüllen, müssen keine zusätzlichen Schutzmaßnahmen ergreifen, da Die Einhaltung der Bestimmungen des Übereinkommens bedeutet, dass der Vertragspartei des Landes ein angemessenes Rechtssystem für die Verarbeitung personenbezogener Daten vorsieht.

So wurde 2006 152- „Über personenbezogene Daten“ verabschiedet, das nicht nur die Anforderungen des Übereinkommens weitgehend wiederholte, sondern auch zusätzliche Definitionen und Anforderungen für die Verarbeitung personenbezogener Daten einführte (im Folgenden: PD). Im Laufe der Zeit wurde das Bundesgesetz geändert, dessen Hauptgesetz 261 vom 25.07.2011 und 242 vom 21.07.2014 eingeführt wurde. Das erste Gesetz führte wesentliche Änderungen an den Grundpostulaten des PD-Schutzes ein, und das zweite verbot die primäre Verarbeitung von PD außerhalb des Hoheitsgebiets der Russischen Föderation. Beachten Sie, dass die autorisierte staatliche Stelle zum Schutz der Rechte von PD-Patienten der Bundesdienst für die Überwachung von Kommunikation, Informationstechnologien und Massenkommunikation (Roskomnadzor) ist, der dem Ministerium für digitale Entwicklung, Telekommunikation und Massenkommunikation der Russischen Föderation Bericht erstattet.

In Artikel 152-FZ werden Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten in Artikel 19 behandelt, in dem auch festgelegt ist, dass die Betreiber die durch den Regierungsbeschluss Nr. 1119 vom 01.11.2012 festgelegten Sicherheitsniveaus gewährleisten sollten, die als eine Reihe von Anforderungen verstanden werden, die bestimmte Sicherheitsbedrohungen neutralisieren. Um diese Bedrohungen zu simulieren, d.h. Wenn man ein Bedrohungsmodell (im Folgenden - MU) und ein Modell des Verstoßes erstellt, sollte man sich auf die folgenden Rechtsakte stützen:

• Dokument „ Grundmodell für Bedrohungen der Sicherheit personenbezogener Daten bei der Verarbeitung in Informationssystemen für personenbezogene Daten “, das 2008 vom russischen FSTEC entwickelt und genehmigt wurde;
• Methodische Empfehlungen des Bundessicherheitsdienstes der Russischen Föderation von 2015 zur Ermittlung von Sicherheitsrisiken für PDs, die für Regierungsstellen und Betreiber bestimmt sind, die Tools zum Schutz kryptografischer Informationen verwenden und geeignete MUs entwickeln.

Darüber hinaus hat die FSTEC von Russland im Jahr 2015 das Projekt „Methoden zur Identifizierung von Bedrohungen der Informationssicherheit in Informationssystemen“ entwickelt, das nach seiner Genehmigung sowohl Betreiber staatlicher Informationssysteme als auch private Unternehmen leiten kann. Es ist zu beachten, dass staatliche Informationssysteme (im Folgenden als GOSIS bezeichnet) in 149-FZ (Artikel 13 Absatz 1) als föderale Informationssysteme und regionale Informationssysteme definiert sind, die auf der Grundlage von Bundesgesetzen, Gesetzen der Mitgliedsgruppen der Russischen Föderation und Rechtsakten geschaffen wurden staatliche Stellen, um die Befugnisse staatlicher Stellen auszuüben und den Informationsaustausch zwischen diesen Stellen sowie für andere durch Bundesgesetze festgelegte Zwecke sicherzustellen.

Artikel 5 in 152-FZ spricht von der Verpflichtung staatlicher Stellen, branchenspezifische MUs in ihrem Verantwortungsbereich zu entwickeln. Solche MUs wurden beispielsweise in der Zentralbank der Russischen Föderation (zuerst in Form der RS ​​BR IBBS-2.4, dann in Form der Verordnung Nr. 389-U der Bank of Russia ), des Ministeriums für Telekommunikation und Massenkommunikation der Russischen Föderation („ Modell der Bedrohung und Sicherheitsverletzung von im Standard verarbeiteten personenbezogenen Daten“ entwickelt ISPD der Branche “und„ Modell der Bedrohung und Sicherheitsverletzung PDN, verarbeitet in einer speziellen ISPD der Branche “) vom Gesundheitsministerium der Russischen Föderation („ Das Modell der Bedrohung eines typischen medizinischen geistigen Eigentums einer typischen medizinischen Einrichtung “).

In 152- wird die Verpflichtung zur Gewährleistung der Sicherheit personenbezogener Daten dem Betreiber des personenbezogenen Informationssystems (im Folgenden: ISPD) oder der Person übertragen, die die personenbezogenen Daten im Auftrag des Betreibers verarbeitet (dem sogenannten "Verarbeiter"). PP-1119 bietet spezifische organisatorische und technische Schutzmaßnahmen, die vom Betreiber (oder Verarbeiter) getroffen werden sollten, um das angemessene Sicherheitsniveau für PD zu gewährleisten, während die Wahl des Niveaus von der Kategorie der verarbeiteten PD (d. H. ISPD-Typ), der Kategorie und der Anzahl der PD-Probanden abhängt und Art der tatsächlichen Bedrohungen.

PD-Kategorien können speziell (Verarbeitung von Informationen zu kritischen Aspekten des Lebens des PD-Patienten, wie Gesundheitszustand, nationale / rassische Zugehörigkeit, politische und religiöse Überzeugungen), biometrisch (Verarbeitung von PD, Charakterisierung physiologischer und biologischer Merkmale), öffentlich (PD wird aus öffentlichen Quellen bezogen) sein ), andere.

Tatsächliche Bedrohungen können vom 1. Typ sein (Bedrohungen durch die Verwendung nicht deklarierter Funktionen in Systemsoftware sind für ISPD relevant), vom 2. Typ (Bedrohungen durch die Verwendung nicht deklarierter Funktionen in Anwendungssoftware sind relevant) vom 3. Typ (die oben genannten Bedrohungen sind nicht relevant).

Die Wahl des Sicherheitsniveaus (im Folgenden: KM) personenbezogener Daten hängt von den oben genannten Merkmalen von ISPDn (Kategorien verarbeiteter PDNs und der Art der für ISPD relevanten Bedrohungen) sowie von der Kategorie der Entitäten (Mitarbeiter des Betreibers oder anderer Personen) und der Anzahl der Entitäten ab, deren PDNs verarbeitet werden (mehr oder weniger) weniger als 100.000 Einträge). Der maximale Ultraschall ist der 1., der minimale der 4 ..

PP-1119 bietet eine ziemlich präzise Liste von PD-Schutzmaßnahmen, da die FSTEC von Russland die detaillierten Sicherheitsmaßnahmen festlegt: Die Verordnung Nr. 21 vom 18.02.2013 genehmigt die Zusammensetzung und den Inhalt von organisatorischen und technischen Maßnahmen zur Gewährleistung der Sicherheit der PD, und die Verordnung Nr. 17 vom 11.02.2013 regelt die Anforderungen für Schutz der Informationen im State Institute of State Information, einschließlich des Schutzes der PD in ihnen. Darüber hinaus hat der Bundessicherheitsdienst der Russischen Föderation die Verordnung Nr. 378 vom 10. Juli 2014 erlassen, die eine Beschreibung der PD-Sicherheitsmaßnahmen bei Verwendung von Tools zum Schutz kryptografischer Informationen (im Folgenden: KVP) enthält.

Betrachten Sie die erste Bestellung Nr. 21 . Dieses Dokument ist PD-Schutzmaßnahmen für nichtstaatliche IP gewidmet und enthält eine Liste spezifischer Maßnahmen, um die eine oder andere KP-PD sicherzustellen. In Abschnitt 4 wird nichtstaatlichen IP-Betreibern eine Ausnahme in Form einer Erlaubnis gewährt, zertifiziertes SIS nicht zu verwenden, wenn keine tatsächlichen Bedrohungen vorliegen, die sie schließen, und in Abschnitt 6 des Dokuments ist ein Dreijahresintervall für die Bewertung der Wirksamkeit der durchgeführten Maßnahmen festgelegt. Die Verordnung Nr. 21 sowie die Bestellung Nr. 17 bieten denselben Algorithmus für die Auswahl und Anwendung von Sicherheitsmaßnahmen: Zunächst werden grundlegende Maßnahmen auf der Grundlage der Bestimmungen der jeweiligen Bestellung ausgewählt, dann wird der ausgewählte grundlegende Satz von Maßnahmen angepasst, wobei irrelevante „grundlegende“ Maßnahmen ausgeschlossen werden aus den Merkmalen der verwendeten Informationssysteme und Technologien. Anschließend wird der angepasste Basissatz von Maßnahmen festgelegt, um die aktuellen Bedrohungen durch zuvor nicht ausgewählte Maßnahmen zu neutralisieren, und schließlich wird der aktualisierte angepasste Basissatz durch Maßnahmen ergänzt, die durch andere geltende aufsichtsrechtliche Dokumente festgelegt wurden.

Die Verordnung Nr. 21 in Abschnitt 10 enthält eine wichtige Bemerkung zur Fähigkeit des Betreibers, Ausgleichsmaßnahmen anzuwenden, wenn es unmöglich ist, technische Maßnahmen umzusetzen, oder wenn es wirtschaftlich nicht machbar ist, Maßnahmen aus dem Basissatz anzuwenden, was eine gewisse Flexibilität bei der Auswahl neuer Maßnahmen und die Rechtfertigung der Verwendung bereits implementierter Schutzausrüstung zur Gewährleistung der persönlichen Sicherheit bietet. Wenn der Betreiber zertifiziertes SZI verwendet, stellt der Regulierer in Abschnitt 12 der Verordnung Anforderungen an die Klassen des verwendeten SZI und an Computerausrüstung (im Folgenden: CBT).

Zertifizierte Firewalls, Intrusion Detection-Systeme, Antiviren-Tools zum Schutz von Informationen, vertrauenswürdige Boot-Tools, Tools zur Steuerung austauschbarer Computermedien und Betriebssysteme gemäß den kürzlich eingeführten (2011-2016) FSTEC-Klassifizierern Russlands können Klassen von 1 (maximale Unterstützungsstufe) aufweisen Schutz) bis 6 (Mindeststufe). CBT kann gemäß dem FSTEC Russia Guidance Document auf sieben Ebenen klassifiziert werden. Es werden auch Anforderungen gestellt, um das Fehlen nicht deklarierter Funktionen in der SZI-Software zu kontrollieren - es gibt vier Kontrollebenen. Die aktuelle Liste der zertifizierten SIS ist im staatlichen Register der zertifizierten Informationssicherheitstools enthalten.

In der Verordnung Nr. 21 sind die folgenden Gruppen von Maßnahmen zur Gewährleistung der Sicherheit der Parkinson-Krankheit angegeben, die je nach dem erforderlichen Schutzniveau der Parkinson-Krankheit angewendet werden sollten:

• Identifizierung und Authentifizierung von Zugriffssubjekten und Zugriffsobjekten
• Zugriffskontrolle von Zugriffssubjekten für den Zugriff auf Objekte
• Begrenzen Sie die Softwareumgebung
• Schutz der Maschinenträger PD
• Protokollierung von Sicherheitsereignissen
• Virenschutz
• Intrusion Detection
• Überwachung (Analyse) der Sicherheits-PD
• Sicherstellung der Integrität von IP und PD
• Sicherstellen der Verfügbarkeit von PD
• Schutz von Virtualisierungsumgebungen
• Schutz der technischen Mittel
• Schutz von IP, seinen Mitteln, Kommunikationssystemen und Datenübertragung
• Erkennung und Reaktion von Vorfällen
• Verwaltung der Konfiguration von IS- und PD-Schutzsystemen.

Die Verordnung Nr. 17 legt die Anforderungen für die Gewährleistung der Sicherheit von Informationen mit eingeschränktem Zugang zum GISIS fest, während in Absatz 5 betont wird, dass bei der Verarbeitung von PDs in GOSIS PP-1119 geleitet werden sollte. Die Anordnung verpflichtet GOSIS-Betreiber, nur zertifiziertes SZI zu verwenden und ein fünfjähriges Zertifikat über die Einhaltung der Informationsschutzanforderungen zu erhalten. In diesem Dokument wird davon ausgegangen, dass die Betreiber die folgenden Maßnahmen ergreifen, um den Schutz von Informationen zu gewährleisten (im Folgenden: ZI): Bildung von Anforderungen für ZI; Entwicklung, Implementierung und Zertifizierung von IP IP-Systemen; Bereitstellung von ZI während des Betriebs und während der Stilllegung. In Abschnitt 14.3 des Ordens wird auf die Notwendigkeit hingewiesen, ein Bedrohungsmodell zu erstellen, und es wird vorgeschlagen, die FSTEC Russia Data Security Threat Data Bank ( BDU ) zu verwenden, über die wir in einer früheren Veröffentlichung gesprochen haben. Für GOSIS wird eine Sicherheitsklasse festgelegt (vom maximalen 1. bis zum minimalen 3.), die vom Signifikanzniveau der verarbeiteten Informationen und vom Umfang des Systems abhängt, wobei das Signifikanzniveau vom Grad der möglichen Beschädigung der Sicherheitseigenschaften (Vertraulichkeit, Integrität, Verfügbarkeit) der im GISIS verarbeiteten Informationen abhängt und der Umfang des Systems kann föderal, regional oder objektbezogen sein.

In GISIS der 1. Schutzklasse sollte Schutz vor den Handlungen von Verstößen mit hohem Potenzial, in GOSIS der 2. Klasse vor Verstößen mit einem Potenzial, das nicht unter der verstärkten Basis liegt (in der NOS wird ihr Potenzial als "Durchschnitt" bezeichnet, und im Entwurf der Methodik zur Bestimmung von Sicherheitsbedrohungen) — « »), 3- — ( «»).Da zur Gewährleistung von IS in GosIS nur zertifiziertes SIS verwendet werden darf, werden in Paragraph 26 der Verordnung Nr. 17 die zulässigen Klassen von SIS, CBT und Kontrollniveaus für das Fehlen von NDV in Abhängigkeit von der Klasse von GISIS beschrieben. In Abschnitt 27 wird eine Verbindung zwischen der GISIS-Sicherheitsklasse und den darin verarbeiteten Sicherheitsstufen der PD hergestellt: Die Einhaltung der Anforderungen der ZI-Maßnahmen für GISIS der 1. Klasse wird durch 1, 2, 3 und 4 Sicherheitsstufen der PDs für die 2. Klasse - 2, 3 sichergestellt und 4 Ultraschall für die 3. Klasse - 3 und 4 Ultraschall.

Die Maßnahmen zur Informationssicherheit im staatlichen Informationssystem stimmen fast vollständig mit den oben beschriebenen Maßnahmen aus der Verordnung Nr. 21 überein, mit Ausnahme des Fehlens von Hinweisen auf die Erkennung von Vorfällen und das Konfigurationsmanagement. Diese Maßnahmen werden nach dem Aufbau des Sicherheitssystems in der Betriebsphase des zertifizierten staatlichen Informationssystems zusammen mit der Verwaltung des Informationssicherheitssystems und der Kontrolle über die Gewährleistung des Niveaus der Informationssicherheit im staatlichen Informationssystem durchgeführt.

Neben der Verordnung Nr. 17 kann man sich bei der Umsetzung geeigneter ZI-Maßnahmen auch an dem Methodendokument des FSTEC Russlands „ Informationsschutzmaßnahmen in staatlichen Informationssystemen “ orientieren, in dem Zusammensetzung und Inhalt aller Maßnahmen aufgeführt sind.

Befehl des Bundessicherheitsdienstes der Russischen Föderation Nr. 378legt Standards für die Verwendung einer der sechs Klassen von kryptografischen Informationsschutzsystemen zum Schutz personenbezogener Daten fest: KS1 (Minimum), KS2, KS3, KV1, KV2, KA1 (Maximum). Die Schutzklasse für kryptografische Informationen wird abhängig von der erforderlichen Sicherheitsstufe von PD und der Art der tatsächlichen Bedrohungen ausgewählt. Trotz der Tatsache, dass kryptografische Informationsschutzklassen Bedrohungen neutralisieren, die von einem bestimmten Eindringlingstyp mit einem bestimmten Potenzial ausgehen (es gibt nur 6 Arten von Verstößen, von H1 bis H6, sie sind im Modell des Verstoßes definiert), bindet diese Verordnung die kryptografische Informationsschutzklasse an das Sicherheitsniveau personenbezogener Daten und nicht auf die Möglichkeiten von Angreifern. Dieses Dokument beschreibt nicht nur die erforderlichen Klassen des Schutzes kryptografischer Informationen, sondern enthält auch administrative Anforderungen an den Betreiber, z. B. die Organisation des Zugangsmodus zu den Räumlichkeiten (physische Sicherheit - Installation von Schlössern, Stangen), Gewährleistung der Sicherheit von PD-Medien, Genehmigung der Personenliste,die Zugang zu PD haben.

Internationale Standards zum Schutz personenbezogener Daten

Wenn in Russland Streitigkeiten über die Durchsetzung von 152- und einschlägigen Statuten nicht aufhören, dann haben in der Europäischen Union in den letzten 3 Jahren daran gearbeitet, die DSGVO ( Allgemeine Datenschutzverordnung , Allgemeine Datenschutzverordnung ) umzusetzen und einzuhalten . Dieses Dokument wirft vom Zeitpunkt seiner Annahme im April 2016 bis zum Inkrafttreten am 25. Mai 2018 und auch im Moment viele Fragen und Streitigkeiten auf, da es eine große Anzahl von Bürgern und Unternehmen auf der ganzen Welt betrifft.

Der Vorgänger der DSGVO in der Europäischen Union war die Richtlinie des Europäischen Parlaments und des Rates der Europäischen Union 95/46 / EG vom 24. Oktober 1995 über den Schutz des Einzelnen bei der Verarbeitung personenbezogener Daten und den freien Verkehr dieser Daten. Nach der Verabschiedung der DSGVO wurden die Rechte der PD-Betroffenen erheblich erweitert, und die Pflichten der Betreiber und die Strafen für ihre Nichterfüllung nahmen erheblich zu.

Die Definition von PD in der DSGVO selbst unterscheidet sich nicht wesentlich von der Definition im Übereinkommen des Europarates und von einer ähnlichen Definition im Inland 152-FZ: Personenbezogene Daten im Rahmen der DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person (personenbezogene Daten) beziehen. Identifizierbare Person bezeichnet eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere unter Verwendung von Kennungen wie Name, Identifikationsnummer, Standortdaten, Online-Kennung oder unter Verwendung eines oder mehrerer physikalischer, physiologischer, den genetischen, mentalen, wirtschaftlichen, kulturellen oder sozialen Status dieser Person. Somit umfasst die Definition von PD nicht nur die üblichen Merkmale, sondern auch die IP-Adresse.Vom Benutzer festgelegte Cookie-IDs, Geolokalisierungsdaten des Benutzers und andere technische Attribute.

Ein wichtiger neuer Begriff in der DSGVO ist „Profiling“, dh jede Form der automatisierten Verarbeitung personenbezogener Daten, um bestimmte Aspekte einer Person zu bewerten, insbesondere um die Arbeitsfähigkeit, die materielle Situation, die Gesundheit, die persönlichen Vorlieben und die Interessen einer Person zu analysieren oder vorherzusagen , Verhalten, Ort oder Bewegung.

Wie in 152-FZ verwendet die DSGVO Konzepte wie "Verarbeitung personenbezogener Daten", "Verarbeiter", "Betreiber" (englischer Controller), "grenzüberschreitende Verarbeitung", "Pseudonymisierung" (Depersonalisierung) und ähnliche universelle Begriffe.

Der Geltungsbereich der DSGVO-Bestimmungen gilt für alle Betreiber, die personenbezogene Daten von EU-Bürgern und anderen in der EU ansässigen Bürgern verarbeiten. Darüber hinaus hat der Betreiber möglicherweise keine Repräsentanz in der EU, und seine automatisierten Systeme befinden sich möglicherweise auch außerhalb der EU. Beispiele für Betreiberunternehmen aus der Russischen Föderation:

• Eine russische Bank muss bei der Verarbeitung der Daten ihrer Kunden, der Bürger der Russischen Föderation, in der EU die DSGVO-Standards einhalten.
• Ein Online-Shop mit Registrierung in der Russischen Föderation, der Dienstleistungen / Produkte einschließlich EU-Bürgern anbietet, Cookie-IDs und / oder Benutzerverhaltensanalysen auf seiner Website mit einer Schnittstelle in EU-Sprachen verwendet, unterliegt ebenfalls den GDPR-Standards.
• eine Tochtergesellschaft eines in der EU tätigen russischen Unternehmens.

GDPR-Standards basieren auf sechs Grundprinzipien:

• , — , (.. privacy policy);
• — , , ;
• — , ;
• — , ;
• — ;
• — , , , , , .

Das Dokument bietet den Bedienern keine detaillierten Schutzanweisungen, sodass sie die Freiheit haben, Maßnahmen und Techniken zu wählen. Beispielsweise sollten Sie nach Möglichkeit die PD während der Speicherung, Übertragung und Verarbeitung verschlüsseln und Pseudonymisierungsalgorithmen verwenden. Dies wird voraussichtlich den potenziellen Schaden im Falle eines Lecks verringern, aber die DSGVO bietet keine spezifischen Bedingungen für die Anwendung dieser Schutzmaßnahmen. In dieser Hinsicht unterscheidet sich der europäische Ansatz von dem russischen, bei dem die staatlichen Behörden die Schutzmaßnahmen und die Bedingungen für ihre Anwendung klar regeln, ohne auf die Umsicht der Betreiber zu hoffen - und es ist zu bedauern, dass dies sehr gerechtfertigt ist.

Neben den oben beschriebenen Grundsätzen sind in der DSGVO auch folgende Normen enthalten:

• , , , .. , , , ( );
• (.. Data Protection Impact Assessment);
• - , , , ;
• (privacy by design, .. ) (privacy by default, .. );
• — , ;
• (Data Privacy Officer) , :
  
  
  • / ( , , , , , , );
• 72- (supervisory authority, Data Protection Authority — ) GDPR- , .. , , , .

Im Juli 2016 wurde das Datenschutzabkommen EU-US Privacy Shield eingeführt . Diese Vereinbarung ist ein Rahmen, der die Ansätze kommerzieller Unternehmen für einen sicheren Austausch personenbezogener Daten zwischen der Europäischen Union und Nordamerika definiert. Ziel eines solchen Abkommens ist es, die DSGVO-Standards zum Schutz der Parkinson-Krankheit in der EU und die Methoden zur Gewährleistung ihrer Sicherheit in den USA in Einklang zu bringen. Der Vorgänger dieses Rahmens war die Vereinbarung über die Safe Harbor-Datenschutzgrundsätze .(„Safe-Harbor-Grundsätze zum Schutz personenbezogener Daten“), die von 2000 bis 2015 in Kraft war und bestätigte, dass die Methoden zur Gewährleistung der Sicherheit personenbezogener Daten in den USA der europäischen Richtlinie 95/46 / EG „Zum Schutz von Personen bei der Verarbeitung personenbezogener Daten und kostenlos“ entsprechen Umgang mit solchen Daten. " Die spezifizierte Vereinbarung wurde wegen der offenbarten Tatsachen eines absichtlichen dauerhaften Zugangs der europäischen Bürger zu PD durch europäische Bürger, insbesondere der Nationalen Sicherheitsagentur, kritisiert. Dies wurde vom Europäischen Gerichtshof in Betracht gezogen, die im Oktober 2015 entschieden , Entscheidungdie Ungültigkeit der Safe-Harbor-Grundsätze. Daher müssen US-Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten möchten, derzeit den EU-US-Datenschutzschild einhalten. Die Bestätigung der Einhaltung erfolgt in Form einer freiwilligen Selbstzertifizierung beim US-Handelsministerium. Das Betreiberunternehmen muss die folgenden grundlegenden Anforderungen erfüllen und das angemessene Schutzniveau seiner PD für EU-Bürger bestätigen:

• Unterrichtung der betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten, einschließlich eines Hinweises auf den Schutz personenbezogener Daten gemäß dem Datenschutzschild in der Richtlinie des Unternehmens zum Schutz personenbezogener Daten (Datenschutzrichtlinie), Benachrichtigung der personenbezogenen Daten über ihre Rechte und Erinnerung an die Pflichten des Unternehmens selbst im Falle eines berechtigten Antrags auf Bereitstellung von PD durch staatliche Behörden;
• , 45 , , , Data Protection Authorities ( );
• , Privacy Shield;
• , ;
• , :
  
  
  1. , , — (.. Notice and Choice Principles), ( , , );
  2. , , .. , — , , , — ;
• Privacy Shield;
• , Privacy Shield.
• , , Privacy Shield, , , 152-.

1. Die Geldbußen, die wegen Verstoßes gegen die russische Gesetzgebung zum Schutz personenbezogener Daten erhoben werden, sind in Art. 13.11 Verwaltungsgesetzbuch, das sieben im Juli 2017 eingeführte Straftaten vorsieht. Zum Beispiel Teil 1 des Artikels 13.11 des Verwaltungsgesetzbuchs der Russischen Föderation bestraft Betreiber für die Verarbeitung personenbezogener Daten in Fällen, die nicht gesetzlich vorgeschrieben sind, oder für die Verarbeitung, die mit dem Zweck der Erhebung personenbezogener Daten unvereinbar sind, in Höhe von bis zu 50.000 Rubel. Teil 2 der Kunst. 13.11 des Verwaltungsgesetzbuchs der Russischen Föderation sieht eine Bestrafung für die Verarbeitung von PD ohne Zustimmung des Subjekts oder für Verstöße bei der Erlangung einer solchen Zustimmung in Höhe von bis zu 75.000 Rubel vor. Darüber hinaus verstößt die Nichteinhaltung der Vorschriften zur Lokalisierung von PD-Datenbanken im Hoheitsgebiet der Russischen Föderation gegen Artikel 1242-FZ und Artikel 15.5 von 149-FZ, die aufgrund einer Gerichtsentscheidung den Zugriff auf die Webressource des Unternehmensverletzers zu blockieren drohen.

Es ist zu beachten, dass für jeden Verstoß gegen gesetzliche Normen eine Geldbuße verhängt werden kann. Darüber hinaus wurde der Staatsduma kürzlich ein Gesetzesentwurf vorgelegt, der die Einführung von zwei neuen Straftaten im Bereich des Schutzes von PD impliziert. Die Abgeordneten schlagen vor, Millionen von Geldbußen wegen Nichteinhaltung von 242-FZ zu verhängen, d. H. für die Weigerung, PD-Datenbanken von Russen auf dem Gebiet der Russischen Föderation zu lokalisieren, sowie für wiederholte Verstöße gegen die Lokalisierungsanforderungen.

2. Die von den europäischen Regulierungsbehörden für die Nichteinhaltung der DSGVO bei geringfügigen Verstößen erhobenen Geldbußen betragen 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes des Unternehmens und bei erheblichen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Gleichzeitig wurden bereits enttäuschende Statistiken über das GDPR-Anforderungsjahr zusammengefasst: Es wurden mehr als 200.000 Überprüfungen gegen Betreiber durchgeführt, und die Gesamtstrafe beträgt mehr als 56 Millionen Euro, während 50 Millionen Euro die Summe der von der französischen Regulierungsbehörde vom Internetgiganten von Google verhängten Geldbuße sind Schutzbereiche

3. Die von der US-amerikanischen Federal Trade Commission erhobenen Bußgelder für Unternehmen, die die Privacy Shield-Grundsätze nicht einhalten, betragen bis zu 40.000 US-Dollar für Verstöße sowie 40.000 US-Dollar für jeden weiteren Tag der illegalen Verarbeitung personenbezogener Daten nach Aufdeckung von Verstößen.

Inspektionsverfahren durch Roskomnadzor

Roskomnadzor, die inländische zugelassene staatliche Stelle zum Schutz der Rechte von PD-Betroffenen, hat das Recht, juristische Personen und einzelne Unternehmer auf ihre Einhaltung der Bestimmungen der russischen Gesetzgebung im Bereich des PD-Schutzes zu überprüfen. Gleichzeitig werden Inspektionen sowohl von der Zentrale (der Inspektionsplan und die Tätigkeitsberichte werden auf der offiziellen Website veröffentlicht ) als auch von den Abteilungen in den Bundesdistrikten durchgeführt (z. B. wurden auf der Website des Zentralbezirks Roskomnadzor Aktivitätspläne und -berichte für die letzten 10 Jahre veröffentlicht). Die Inspektionen von Roskomnadzor werden durch das Dekret der Regierung der Russischen Föderation Nr. 144 geregeltvom 13. Februar 2019 „Über die Genehmigung der Regeln für die Organisation und Durchführung der staatlichen Kontrolle und Überwachung der Verarbeitung personenbezogener Daten“. In Übereinstimmung mit dieser Entschließung sind Inspektionen sowohl geplant (die Praxis hat gezeigt, dass die Regulierungsbehörde Unternehmensgruppen prüft, die durch ein gemeinsames Merkmal, beispielsweise nach Tätigkeitsbereichen, vereint sind), als auch außerplanmäßig: Sie können im Namen des Präsidenten, der Regierung der Russischen Föderation oder durch Entscheidung durchgeführt werden Der Leiter von Roskomnadzor im Rahmen der Prüfung der Staatsanwaltschaft bei Nichteinhaltung der bisherigen Regelung der Aufsichtsbehörde sowie bei Beschwerden von PD-Patienten. In diesem Fall können außerplanmäßige Inspektionen nur vor Ort durchgeführt werden, und geplante Inspektionen können sowohl dokumentarisch als auch vor Ort durchgeführt werden. Bei der Überprüfung prüft die Regulierungsbehörde interne Regulierungsdokumente zur PD-Verarbeitung, inspiziert die PD-Speicherorte.erfordert die Demonstration der Verarbeitung von PD in Informationssystemen. In der Regel ordnet die Regulierungsbehörde im Falle von Mängeln die Beseitigung von Verstößen innerhalb der festgelegten Fristen und Geldbußen an, wenn keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten vorliegt (z. B. mangels dokumentierter Einwilligungserklärungen von Privatpersonen), wenn die Verarbeitungsziele und das Volumen personenbezogener Daten nicht eingehalten werden, wenn dies nicht erforderlich ist Benachrichtigungen und Richtlinien auf der Website des Betreibers, vorbehaltlich der Erfassung von PD auf der Website des Betreibers.für das Fehlen der erforderlichen Benachrichtigungen und Richtlinien auf der Website des Betreibers, vorbehaltlich der Erfassung von PD auf der Website des Betreibers.für das Fehlen der erforderlichen Benachrichtigungen und Richtlinien auf der Website des Betreibers, vorbehaltlich der Erfassung von PD auf der Website des Betreibers.