El 8 de noviembre de 2018, se celebró en Moscú la novena conferencia internacional "Protección de datos personales" , organizada con el apoyo del Ministerio de Comunicaciones de RF y Roskomnadzor. Entre los oradores de la conferencia (su lista completa se puede encontrar en el sitio web de la conferencia: https://zpd-forum.com/ru ), por supuesto, había representantes de Roskomnadzor: Alexander Zharov, Alexander Pankov, Antonina Priezzheva y Yuri Kontemirov.
Un tema importante de la conferencia fue el desarrollo de la regulación legal internacional de la protección de datos personales (PD) en el ejemplo de GDPR y el Convenio Modernizado No. 108 del Consejo de Europa. Participantes extranjeros se unieron a la discusión, incluidos representantes de las autoridades autorizadas de protección de datos de Azerbaiyán, Bulgaria, Bosnia y Herzegovina, Hungría, Italia, Jordania, China, Serbia y la República de Sudáfrica.
Los representantes de Roskomnadzor recordaron que Rusia fue uno de los primeros países que firmaron el Convenio ETS-108 del Consejo de Europa, y nuestro país también participó en la preparación de una nueva versión del texto del Convenio. Se afirmó que la modernización de la directiva no implicaría cambios importantes en la organización de la protección de datos personales en Rusia, y la firma de la Convención modernizada permitiría que Rusia fuera incluida en la lista de países que cumplen con el GDPR.
Sin embargo, uno de los resultados más importantes de la firma de la Convención por parte de Rusia será que los operadores rusos tendrán la obligación de notificar las fugas de datos personales y la responsabilidad por su incumplimiento. También se dijo sobre los planes para crear un recurso sobre el cual los ciudadanos podrán revocar su consentimiento previo para el procesamiento de sus datos personales.
En su discurso, Yuri Kontemirov dijo que Roskomnadzor supervisa el cumplimiento de la legislación sobre datos personales en general, incluidas las normas de todas las leyes relacionadas con el procesamiento de la EP. Al mismo tiempo, en 2018, todos los departamentos territoriales de Roskomnadzor formaron juntos 98 protocolos sobre delitos administrativos en el campo de los datos personales, calificados de conformidad con el artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia enmendado. Por ejemplo, según el artículo 19.7 del Código Administrativo de la Federación de Rusia (no notificar sobre el procesamiento o no recibir una respuesta a una solicitud), se compilan alrededor de 7000 protocolos por año.
Como ya se sabe, la legislación sobre datos personales en conjunción con el Decreto del Gobierno de la Federación de Rusia N ° 687 rige cualquier procesamiento de datos personales, incluidos los no automáticos en su totalidad. Al mismo tiempo, Yuri Kontemirov aclaró que la capacidad legal en relación con los datos personales de su sujeto se produce a la edad de 14 años, y no habrá reclamos de consentimiento para el procesamiento de datos personales firmados independientemente por un niño de 14 años o más. Además, Y. Kontemirov señaló claramente que es posible firmar el consentimiento para el procesamiento en forma electrónica mediante cualquier firma electrónica prevista por la Ley Federal "Sobre Firma Electrónica", y no solo calificado.
También se aclaró por separado que los formularios estándar que prevén el ingreso de datos personales en ellos, si son desarrollados por el operador de forma independiente, deben cumplir con los requisitos del párrafo 7 del Decreto del Gobierno de la Federación de Rusia del 15 de septiembre de 2008 N 687 "Con la aprobación del Reglamento sobre las peculiaridades del procesamiento de datos personales, llevado a cabo sin el uso de la automatización ", solo si son creados por el operador de forma independiente.
El párrafo 7 del Reglamento N 687 dice lo siguiente:"7. Cuando se utilizan formularios estándar de documentos, la naturaleza de la información que implica o permite la inclusión de datos personales en ellos (en adelante, el formulario estándar), se deben cumplir las siguientes condiciones:
a) el formulario estándar o los documentos asociados con él (instrucciones para llenarlo, tarjetas, registros y revistas) deben contener información sobre el propósito del procesamiento de datos personales realizados sin usar herramientas de automatización, el nombre (nombre) y la dirección del operador, apellido, nombre, segundo nombre y la dirección del sujeto de datos personales, la fuente de datos personales, el tiempo de procesamiento de los datos personales, una lista de acciones con datos personales que se realizarán en el proceso de procesamiento, una descripción general del método utilizado por el operador un conjunto de datos personales;
b) el formulario estándar debe incluir un campo en el que el sujeto de los datos personales puede poner una marca en su consentimiento para el procesamiento de datos personales, llevado a cabo sin el uso de la automatización, - si es necesario, obtener el consentimiento por escrito para el procesamiento de datos personales; c) el formulario estándar debe redactarse de tal manera que cada uno de los interesados que figuran en el documento tenga la oportunidad de familiarizarse con sus datos personales contenidos en el documento sin violar los derechos e intereses legítimos de otros interesados;
d) el formulario estándar debe excluir la combinación de campos destinados a ingresar datos personales, cuyo procesamiento obviamente no es compatible ".
Pero en los formularios desarrollados por los organismos estatales y los órganos rectores de fondos extrapresupuestarios en el marco de su autoridad, como se indicó en la conferencia, estos requisitos no se aplican. Al mismo tiempo, el número de teléfono o la marca estatal del vehículo por sí mismos (sin referencia a un tema específico de la PD) no son datos personales.
La representante de FSTEC Elena Torbenko declaró que el enfoque de la Orden N ° 239 sobre la seguridad de KII sobre la posibilidad de evaluar la conformidad de los medios de protección de la información en forma de prueba y aceptación se puede aplicar a la construcción de un sistema de protección PD, pero el propietario del sistema debe ser consciente de la responsabilidad de la calidad y validez de dicha evaluación. El representante del FSB A. Bodrov señaló que el FSB todavía considera aceptable solo la evaluación de la conformidad en forma de certificación en su sistema. No se requiere la certificación del software de aplicación utilizado para procesar datos personales si no tiene funciones de protección contra las amenazas actuales. Pero cualquier cliente tiene derecho a solicitar dicha certificación al proveedor o contratista, si lo considera necesario.
Además, la ceremonia de firma del Código de Buenas Prácticas (Código de Actividades Éticas (Trabajo) en Internet) se celebró en la conferencia "Protección de datos personales". La Cámara de Comercio e Industria de Rusia, LLC Delovaya Rossiya, LLC Opora Rossii, Universidad Estatal de Moscú nombrada en honor a M.V. Lomonosov, así como representantes de empresas extranjeras: la Asociación de Empresas Europeas, la Cámara de Comercio Americana en Rusia y la Cámara de Comercio Ruso-Alemana.
El artículo fue preparado sobre la base de https://emeliyannikov.blogspot.com y https://zpd-forum.com/en .