Geekly articles weekly

Perlindungan data pribadi 3 miliar orang - persamaan dan perbedaan dalam undang-undang di negara-negara BRICS



Pada pertemuannya pada 26 Oktober 2017, Dewan Keamanan Rusia menginstruksikan Kementerian Komunikasi dan Kementerian Luar Negeri Rusia untuk memprakarsai, dalam kerangka BRICS (Brasil, Rusia, India, Cina, dan Afrika Selatan), diskusi tentang penciptaan "sistem rangkap akar" sendiri. "server nama domain (DNS), independen dari kontrol [organisasi internasional] ICANN, IANA, dan VeriSign, dan mampu melayani permintaan pengguna dari negara-negara ini jika terjadi kegagalan atau dampak yang ditargetkan."

Dalam terang peristiwa ini, kami ingin mempertimbangkan masalah konsistensi hukum negara-negara BRICS dalam masalah perlindungan data. Lebih lanjut, kami akan fokus pada perlindungan data pribadi: berdasarkan apa yang menjadi dasar perlindungan dan apa kerugian utama.

Penyimpangan kecil ke dalam dasar-dasar.

BRICS adalah sekelompok lima negara: Brasil, Rusia, India, Cina, dan Republik Afrika Selatan.

9 Juli 2015 di KTT VII BRICS, yang diadakan di Ufa, Deklarasi Ufa diadopsi. Deklarasi ini sangat produktif, menyentuh banyak masalah topikal secara global, tetapi kami hanya akan menyentuh satu titik di mana hubungan dengan teknologi informasi dan komunikasi diumumkan. Jadi, paragraf 33 Deklarasi Ufa mencatat:

  • perlunya memperkuat kerja sama di bidang TIK, termasuk internet
  • keputusan untuk membuat dalam kelompok kerja BRICS tentang kerja sama di bidang TIK
  • kebutuhan untuk membentuk suatu sistem
  • untuk memastikan kerahasiaan dan perlindungan informasi pribadi pengguna

"Kami menegaskan kembali tidak dapat diterimanya penggunaan TIK dan Internet untuk melanggar hak asasi manusia dan kebebasan mendasar, termasuk hak privasi, dan menegaskan kembali bahwa hak-hak yang dimiliki seseorang di luar Internet juga harus dilindungi di dalamnya."

Teks lengkap deklarasi dapat ditemukan di sini .



Sorotan Perlindungan Data Pribadi di Negara-negara BRICS


Perlindungan PD di Federasi Rusia


Sampai saat ini, Federasi Rusia di antara negara-negara BRIC telah maju terjauh dalam hal ini, kami mencatat poin-poin utama yang telah dilakukan dalam kerangka masalah pertahanan PD.

Legislasi telah dibentuk di bidang perlindungan PD, yang meliputi:

  • norma-norma Konstitusi (Pasal 23, 24);
  • hukum khusus - Hukum Federal Federasi Rusia 27 Juli 2006 No. 152- “Tentang Data Pribadi”;
  • norma-norma hukum industri;
  • oleh-hukum.

Selain itu, badan resmi khusus telah dibuat, kegiatan yang memastikan:

  • berfungsinya sistem kontrol dan pengawasan secara terpusat atas implementasi persyaratan hukum;
  • pertimbangan banding subjek data pribadi;
  • memelihara daftar operator PD;
  • informasi bekerja dengan warga dan operator PD.

Juga harus dicatat bahwa praktik penegakan hukum yang seragam secara bertahap sedang dibentuk. Saat ini, sistem perlindungan PD yang memenuhi standar internasional ada di Rusia dan sedang beroperasi.

Jika Anda tidak memiliki kejelasan yang cukup mengenai pemrosesan data pribadi sesuai dengan tindakan hukum pengaturan dari Federasi Rusia dan ingin memiliki pemahaman yang lebih lengkap tentang hukum, kami sarankan Anda membiasakan diri dengan Buku Putih kami tentang Undang-Undang Federal No. 152 .

Perlindungan PD di Cina


Semuanya rumit di sini. Tidak ada hukum umum khusus tentang perlindungan PD. Namun, mari kita lihat poin utama.

Konstitusi RRC menjamin perlindungan martabat individu dan kerahasiaan korespondensi. Ketentuan untuk perlindungan PD terkandung dalam tindakan hukum yang terpisah, kami sekarang akan meninjau mereka secara singkat.

Pada 05 November 2012, "Pedoman Perlindungan Informasi Pribadi dalam Sistem Informasi untuk Penyediaan Layanan Publik dan Komersial" diadopsi, di mana definisi berikut diberikan:

Data pribadi - setiap informasi tentang individu tertentu, yang dengan sendirinya atau dalam kombinasi dengan informasi lain memungkinkannya untuk diidentifikasi

Manajemen menetapkan tugas operator PD untuk mendapatkan persetujuan subjek PD untuk diproses dan untuk memberitahukan kepadanya tentang tujuan pemrosesan, umur simpan, langkah-langkah untuk melindungi PD dan sebagainya.

Adapun lokalisasi PD, maka kita diberitahu tentang hal itu dalam Pasal 5.4.5:

Dengan tidak adanya persetujuan tertulis dari subjek PD, izin pengaturan atau persetujuan dari badan yang berwenang, operator PD tidak boleh mentransfer PD kepada siapa pun yang berada di luar negeri, termasuk individu yang tinggal di luar negeri, atau organisasi dan perusahaan yang terdaftar di luar negeri.

Selain itu, data pribadi juga disebutkan dalam undang-undang tentang perlindungan konsumen yang diadopsi pada 25 Oktober 2013:

Pasal 29. Ketika mengumpulkan dan menggunakan data pribadi individu, pengusaha diwajibkan untuk mengikuti prinsip-prinsip legalitas, validitas, dan keperluan, untuk secara eksplisit menginformasikan tentang tujuan, metode, dan batasan pengumpulan dan penggunaan informasi serta mendapatkan persetujuan dari konsumen.

Pengusaha diharuskan mengambil tindakan teknis dan tindakan lain yang diperlukan untuk memastikan keamanan informasi dan mencegah pengungkapan atau kebocoran PD konsumen.

Denda administrasi yang serius diberikan untuk ketidakpatuhan terhadap hukum.

Selain itu, ada sejumlah tindakan hukum yang dalam satu atau lain cara mempengaruhi perlindungan subyek PD.

  • Undang-undang RRC tentang kewajiban gugatan tahun 2009, melindungi hak privasi dan, khususnya, memberikan tanggung jawab lembaga medis untuk distribusi PD tanpa persetujuan subjek PD.
  • "Keputusan untuk memperkuat perlindungan informasi di Internet", diadopsi oleh Parlemen Tiongkok pada 12.28/2012
  • "Peraturan tentang telekomunikasi dan perlindungan informasi pribadi pengguna Internet", diadopsi 19 Juli 2013
  • Pada tanggal 15 Maret 2015, “Tanggung Jawab untuk Melanggar Hak dan Kepentingan Konsumen” mulai berlaku, dikembangkan dan diadopsi oleh Administrasi Negara untuk Industri dan Perdagangan Tiongkok (SAIC).

Tindakan yang disebutkan terakhir adalah kepentingan khusus sehubungan dengan definisi data pribadi dalam konteks perlindungan konsumen. Menurut Measures, data berikut ini terkait dengan PD konsumen:

  1. nama
  2. jenis kelamin
  3. profesi;
  4. tanggal lahir;
  5. nomor paspor;
  6. Alamat
  7. informasi kontak;
  8. informasi tentang pendapatan dan properti;
  9. informasi kesehatan;
  10. kebiasaan konsumen.

Pada 1 Juni 2017, Hukum Keamanan Siber mulai berlaku. Hukum Keamanan Siber adalah hukum gabungan pertama yang mengatur hampir semua masalah di daerah ini di Tiongkok. Termasuk, tentu saja, itu berlaku untuk PD.

Penyimpanan data pribadi dan data penting lainnya harus disediakan secara eksklusif di wilayah RRC (Pasal 37).

Undang-undang tentang Keamanan Siber menegaskan kewajiban operator jaringan terkait perlindungan informasi pribadi, yang ditentukan oleh peraturan perundang-undangan dan persyaratan peraturan yang berlaku, termasuk hak untuk memantau kepatuhan dengan prinsip legalitas, kebutuhan dan relevansi pengumpulan dan penggunaan data pribadi, serta hak untuk memantau implementasi “informasi dan persyaratan penerimaan menyetujui ”(Pasal 41) tentang penggunaan data pribadi hanya untuk tujuan yang telah disetujui orang yang bersangkutan (Pasal 41), hak untuk mengambil tindakan untuk melindungi keamanan data pribadi (Pasal 42) dan melindungi hak individu untuk mengevaluasi dan memperbaiki informasi pribadi (Pasal 43).

Selain itu, UU Keamanan Siber juga mencakup beberapa aturan baru tentang perlindungan data pribadi, termasuk persyaratan untuk pemberitahuan pelanggaran perlindungan data (Pasal 42), anonimisasi data sebagai pengecualian terhadap persyaratan untuk menginformasikan dan mendapatkan persetujuan (Pasal 42), serta tentang hak individu untuk meminta dari operator jaringan untuk mengubah atau menghapus data pribadinya jika informasi tentangnya salah atau digunakan untuk tujuan yang tidak konsisten dengannya (Pasal 43).

Masalah utama perlindungan PD di Tiongkok meliputi:

  • kurangnya badan yang berwenang untuk perlindungan PD;
  • tidak adanya undang-undang khusus tentang PD;
  • kurangnya kerangka kerja konseptual tunggal (well, ini juga tidak berjalan mulus dengan kami);
  • aturan dasar untuk melindungi PD terkandung dalam tindakan hukum yang bersifat penasehat (mis., Panduan);
  • kurangnya pemberitahuan tentang pemrosesan PD dan daftar operator yang terlibat dalam pemrosesan PD.

Perlindungan PD di Brasil


Konstitusi Brasil melindungi martabat manusia, privasi, dan privasi korespondensi. Seperti halnya di China, tidak ada hukum umum tentang perlindungan PD dan ketentuan tentang perlindungan PD dimuat dalam tindakan hukum terpisah.

Hukum Internet Brasil (Marco Civil da Internet) dari 04.23.2014.:

  • Ini menetapkan prinsip-prinsip umum untuk menggunakan Internet, hak dan jaminan pengguna, kewajiban penyedia dan aturan untuk penyediaan layanan di Internet.
  • Undang-undang berisi sejumlah besar peraturan tentang perlindungan privasi dan data pribadi.
  • Untuk memproses AP di Internet, Anda harus mendapatkan persetujuan sukarela dan berdasarkan informasi dari pengguna.
  • Pemrosesan PD hanya diizinkan untuk tujuan tertentu, yang ditunjukkan dalam perjanjian pengguna atau dalam aturan untuk menggunakan layanan Internet

Adapun lokalisasi PD. Awalnya, rancangan undang-undang berisi persyaratan untuk penyimpanan PD warga negara Brasil di negara bagian. Dalam edisi-edisi berikutnya, ketentuan tersebut dikecualikan, tetapi hak Presiden diperkenalkan untuk mengeluarkan keputusan tentang masalah ini. Dalam versi final undang-undang yang diadopsi, masalah lokalisasi data tidak diangkat. Pengecualian persyaratan ini dari undang-undang adalah hasil dari lobi oleh perusahaan internasional dan Amerika Serikat.

Yang menarik adalah keputusan dalam UU tentang masalah yurisdiksi (Pasal 11). Aturan umum adalah sebagai berikut:

Penyedia internet dan penyedia aplikasi Internet diharuskan untuk mematuhi undang-undang Brasil, termasuk perlindungan PD, jika setidaknya salah satu dari pengumpulan, penyimpanan, atau pemrosesan PD berlangsung di dalam wilayah negara bagian Brasil.

Tetapi ada ketentuan tambahan:

  1. Aturan umum berlaku untuk PD yang dikumpulkan di Brasil dan konten komunikasi jika setidaknya salah satu terminal berada di Brasil
  2. Aturan umum berlaku bahkan ketika kegiatan tersebut dilakukan oleh badan hukum asing, dengan ketentuan bahwa:
a) badan hukum asing memberikan layanan kepada orang yang jumlahnya tidak terbatas di Brasil;
juga
b) setidaknya salah satu dari orang-orang yang termasuk dalam kelompok perusahaan asing didirikan di Brasil.

Perlindungan PD di Brasil, masalah utama:

  • kurangnya badan yang berwenang untuk perlindungan PD;
  • tidak adanya undang-undang khusus tentang PD;
  • kurangnya definisi terpadu dari data pribadi;
  • kurangnya definisi kategori khusus PD (data pribadi yang sensitif);
  • kurangnya perlindungan PD di industri dan bidang tertentu, dengan pengecualian Internet;
  • kurangnya pemberitahuan tentang pemrosesan PD dan Daftar operator yang terlibat dalam pemrosesan PD.

Perlindungan PD di India


Bagian 21 Konstitusi India menjamin setiap orang hak untuk hidup dan kebebasan pribadi.

Tidak ada hukum umum khusus tentang perlindungan PD di India.

Undang-Undang Teknologi Informasi 2000 memuat artikel khusus tentang perlindungan kategori khusus data pribadi (Pasal 43A). Operator PD wajib menerapkan tindakan yang diperlukan untuk melindungi PD dan bertanggung jawab atas kerusakan yang disebabkan karena kebocoran data.

Ada "Aturan tentang praktik dan prosedur untuk memastikan keamanan kategori khusus data dan informasi pribadi" yang diadopsi pada 2011. Menurut mereka:

Data pribadi - setiap informasi yang berkaitan dengan seseorang dan yang, bersama dengan informasi lain yang dipegang oleh operator data pribadi, dapat mengidentifikasi individu ini.

Kategori khusus PD meliputi (paragraf 3 Peraturan):

  • kata sandi
  • informasi keuangan (termasuk rekening bank dan detail kartu kredit);
  • data kesehatan;
  • orientasi seksual;
  • data biometrik.

Lokalisasi kategori khusus PD. Menurut aturan 7, transfer lintas batas PD warga negara India hanya dapat diizinkan jika diperlukan untuk memenuhi kontrak antara badan hukum dan subjek PD atau ketika subjek telah memberikan persetujuannya untuk transfer data.

Aturan untuk melindungi kerahasiaan dan data pribadi tercantum dalam beberapa undang-undang industri di India, termasuk asuransi dan hukum perbankan.

Masalah utama perlindungan PD di India:

  • kurangnya badan yang berwenang untuk perlindungan PD;
  • tidak adanya undang-undang khusus tentang PD;
  • kurangnya pemberitahuan tentang pemrosesan PD dan Daftar operator yang terlibat dalam pemrosesan PD.

Kesimpulan


Berbeda dengan Federasi Rusia, undang-undang dan praktik melindungi PD dari negara-negara BRICS lainnya masih tertinggal. Pada saat yang sama, dalam beberapa tahun terakhir di semua negara BRICS telah diamati:

  • minat dalam pengembangan sistem perlindungan PD sehubungan dengan ancaman informasi baru dari era digital
  • adopsi peraturan baru
  • pengantar atau rencana untuk membentuk badan resmi khusus untuk perlindungan mata pelajaran PD
  • berusaha untuk menerapkan praktik terbaik dan prinsip serta standar internasional

Kami berharap Rusia akan terus meningkatkan sistem legislasi, memperkenalkan praktik terbaik, dan menghindari tindakan penghalang yang tidak perlu.

Source: https://habr.com/ru/post/id412737/

More articles:


All Articles