Le 8 novembre 2018, la 9e conférence internationale «Protection des données personnelles» s'est tenue à Moscou, organisée avec le soutien du ministère des Communications RF et de Roskomnadzor. Parmi les orateurs de la conférence (leur liste complète se trouve sur le site Web de la conférence - https://zpd-forum.com/ru ), il y avait bien sûr des représentants de Roskomnadzor: Alexander Zharov, Alexander Pankov, Antonina Priezzheva et Yuri Kontemirov.
Un thème important de la conférence a été l'élaboration d'une réglementation juridique internationale de la protection des données personnelles (PD) sur l'exemple du RGPD et de la Convention modernisée n ° 108 du Conseil de l'Europe. Des participants étrangers se sont joints à la discussion, notamment des représentants des autorités autorisées de protection des données d'Azerbaïdjan, de Bulgarie, de Bosnie-Herzégovine, de Hongrie, d'Italie, de Jordanie, de Chine, de Serbie et de la République sud-africaine.
Les représentants de Roskomnadzor ont rappelé que la Russie était parmi les premiers pays à avoir signé la Convention ETS-108 du Conseil de l'Europe, et notre pays a également participé à la préparation d'une nouvelle version du texte de la Convention. Il a été déclaré que la modernisation de la directive n'entraînerait pas de changements majeurs dans l'organisation de la protection des données personnelles en Russie, et la signature de la Convention modernisée permettrait à la Russie d'être incluse dans la liste des pays respectant le RGPD.
Cependant, l'un des résultats les plus importants de la signature de la Convention par la Russie sera que les opérateurs russes auront l'obligation de notifier les fuites de données personnelles et la responsabilité de leur non-conformité. Il a également été question des projets de création d'une ressource sur laquelle les citoyens pourront révoquer leur consentement préalable au traitement de leurs données personnelles.
Yuri Kontemirov a déclaré dans son discours que Roskomnadzor supervise le respect de la législation sur les données personnelles en général, y compris les normes de toutes les lois relatives au traitement des données personnelles. Dans le même temps, en 2018, tous les départements territoriaux de Roskomnadzor ont élaboré ensemble 98 protocoles sur les infractions administratives dans le domaine des données personnelles, qualifiés conformément à l'article 13.11 du Code des infractions administratives de la Fédération de Russie tel que modifié. Par exemple, en vertu de l'article 19.7 du Code administratif de la Fédération de Russie (non-notification du traitement ou non-réponse à une demande), environ 7 000 protocoles sont compilés par an.
Comme on le sait, la législation sur les données personnelles, conjointement avec le décret du gouvernement de la Fédération de Russie n ° 687, régit tout traitement de données personnelles, y compris non automatisées dans leur intégralité. Dans le même temps, Yuri Kontemirov a précisé que la capacité juridique en ce qui concerne les données personnelles de leur sujet se produit à l'âge de 14 ans, et il n'y aura aucune prétention à consentir au traitement des données personnelles signées indépendamment par un enfant de 14 ans et plus. En outre, Y. Kontemirov a clairement indiqué qu'il est possible de signer le consentement au traitement sous forme électronique par toute signature électronique prévue par la loi fédérale sur la signature électronique, et pas seulement une qualification renforcée.
Il a également été précisé séparément que les formulaires standard prévoyant la saisie de données personnelles, s'ils sont développés par l'opérateur de manière indépendante, doivent être conformes aux exigences du paragraphe 7 du décret gouvernemental RF du 15 septembre 2008 N 687 «Sur l'approbation du règlement sur les particularités du traitement des données personnelles, sans utilisation d'automatisation », uniquement si elles sont créées par l'opérateur de manière indépendante.
Le paragraphe 7 du règlement N 687 se lit comme suit:"7. Lors de l'utilisation de formulaires standard, la nature des informations dans laquelle ils impliquent ou permettent d'y inclure des données personnelles (ci-après dénommés le formulaire standard), les conditions suivantes doivent être remplies:
a) le formulaire standard ou les documents qui lui sont associés (instructions pour le remplir, fiches, registres et magazines) doivent contenir des informations sur la finalité du traitement des données personnelles effectué sans utiliser d'outils d'automatisation, le nom (nom) et l'adresse de l'opérateur, le nom, le prénom, le deuxième prénom et l'adresse du sujet des données personnelles, la source des données personnelles, le temps de traitement des données personnelles, une liste d'actions avec les données personnelles qui seront effectuées dans le processus de traitement, une description générale de la méthode utilisée par l'opérateur des données personnelles;
b) le formulaire standard devrait inclure un champ dans lequel le sujet des données personnelles peut marquer son consentement au traitement des données personnelles effectué sans recours à l'automatisation, - si nécessaire, obtenir un consentement écrit au traitement des données personnelles; c) le formulaire standard devrait être conçu de telle manière que chacune des personnes concernées figurant dans le document ait la possibilité de se familiariser avec les données personnelles contenues dans le document sans violer les droits et intérêts légitimes des autres personnes concernées;
d) le formulaire standard devrait exclure la combinaison de champs destinés à la saisie de données à caractère personnel, dont les finalités de traitement ne sont évidemment pas compatibles. "
Mais sur les formes développées par les organes de l'Etat et les organes directeurs des fonds extrabudgétaires dans le cadre de leur autorité, comme indiqué lors de la conférence, ces exigences ne s'appliquent pas. En même temps, le numéro de téléphone ou le signe de la voiture d'État par eux-mêmes (sans référence à un sujet spécifique du PD) ne sont pas des données personnelles.
La représentante du FSTEC, Elena Torbenko, a déclaré que l'approche de l'ordonnance n ° 239 sur la sécurité des KII sur la possibilité d'évaluer la conformité des moyens de protection des informations sous la forme de tests et d'acceptation peut être appliquée à la construction d'un système de protection PD, mais le propriétaire du système doit être conscient de la responsabilité de la qualité et de la validité d'une telle évaluation. Le représentant du FSB, A. Bodrov, a noté que le FSB considère toujours acceptable seule l'évaluation de la conformité sous forme de certification dans son système. La certification du logiciel d'application utilisé pour traiter les données personnelles n'est pas requise s'il ne dispose pas de fonctions de protection contre les menaces actuelles. Mais tout client a le droit d'exiger une telle certification du fournisseur ou de l'entrepreneur, s'il le juge nécessaire.
En outre, la cérémonie de signature du Code de bonnes pratiques (Code des activités éthiques (travail) sur Internet) s'est tenue lors de la conférence "Protection des données personnelles". Chambre de commerce et d'industrie de Russie, LLC Delovaya Rossiya, LLC Opora Rossii, Université d'État de Moscou du nom de M.V. Lomonosov, ainsi que des représentants d'entreprises étrangères - l'Association des entreprises européennes, la Chambre de commerce américaine en Russie et la Chambre de commerce russo-allemande.
L'article a été préparé sur la base de https://emeliyannikov.blogspot.com et https://zpd-forum.com/en .