Undang-undang Rusia dan internasional di bidang perlindungan data pribadi

Dalam publikasi sebelumnya , kami memeriksa konsep dasar dan paradigma keamanan informasi, dan sekarang kami akan beralih ke analisis undang-undang Rusia dan internasional yang mengatur berbagai aspek perlindungan data, karena tanpa pengetahuan tentang peraturan perundang-undangan yang mengatur bidang yang relevan dari aktivitas perusahaan, adalah benar untuk membangun sistem manajemen risiko dan berorientasi bisnis keamanan informasi tidak mungkin. Hukuman, serta kerusakan reputasi dari ketidakpatuhan terhadap standar legislatif dapat membuat koreksi signifikan terhadap fungsi dan rencana pengembangan organisasi: kita tahu bahwa, misalnya, kegagalan untuk mematuhi standar perlindungan informasi dalam sistem pembayaran nasional dapat mengakibatkan pencabutan lisensi dari organisasi keuangan, dan ketidakpatuhan terhadap persyaratan lokal pengumpulan utama dan pemrosesan data pribadi dapat menyebabkan pemblokiran akses ke situs web perusahaan. Kegagalan untuk mematuhi standar keselamatan infrastruktur informasi penting secara umum dapat mengakibatkan hukuman penjara hingga 10 tahun. Tentu saja, ada sejumlah besar undang-undang dan peraturan yang berlaku, jadi dalam artikel ini dan dua artikel berikutnya kita akan fokus pada perlindungan data pribadi, perlindungan objek infrastruktur informasi penting dan keamanan informasi organisasi keuangan.

Jadi, dalam seri hari ini - data pribadi, ayo pergi!



Pertama-tama, perlu untuk berbicara tentang dokumen mendasar yang mengatur prosedur untuk bekerja dengan berbagai informasi di Federasi Rusia, termasuk dan dengan data pribadi - kita berbicara tentang Undang-Undang Federal No. 149 "Tentang Informasi, Teknologi Informasi, dan Perlindungan Informasi" tanggal 07.27.2006. Dokumen ini berisi konsep dasar dan definisi yang digunakan dalam semua tindakan hukum yang terkait dengan perlindungan informasi, dan juga, antara lain, memperkenalkan konsep kategori informasi (informasi publik dan informasi distribusi terbatas) dan jenis informasi (didistribusikan secara bebas, disediakan berdasarkan perjanjian, tunduk pada distribusi sesuai dengan hukum, informasi akses / distribusi terbatas dan dilarang untuk distribusi). Secara khusus, data pribadi diklasifikasikan sebagai informasi terbatas, dan sesuai dengan Pasal 9, Klausul 2 Undang-undang ini, kerahasiaan informasi tersebut adalah wajib, sebagai akibatnya negara menetapkan norma dan aturan wajib untuk pemrosesannya. Sayangnya, tidak dengan semua jenis informasi dengan distribusi terbatas ada kepastian yang sama - misalnya, hingga hari ini tidak ada klasifikasi legislatif dari jenis rahasia, hanya beberapa dari mereka yang dapat dibedakan: negara, komersial, pajak, perbankan, audit, medis, notaris, rahasia pengacara, rahasia komunikasi, investigasi, proses hukum, informasi orang dalam, dll. Selain informasi distribusi terbatas, dalam 149- (Pasal 8, Klausa 4) ada juga pengelompokan jenis informasi, akses yang, sebaliknya, tidak dapat dibatasi - misalnya, tindakan hukum pengaturan, informasi tentang kegiatan badan-badan negara, keadaan lingkungan, dll. .d.

Standar Rusia untuk perlindungan data pribadi

Beralih ke pertimbangan masalah perlindungan data pribadi, harus dicatat bahwa mereka tetap tajam selama beberapa tahun terakhir dan naik di kantor-kantor tertinggi baik di Rusia dan luar negeri, karena mereka menyangkut kita masing-masing, terlepas dari kewarganegaraan atau posisi.

Keamanan data pribadi, dalam interpretasi privasi asing, berakar dalam memastikan hak dan kebebasan warga negara-negara maju yang tidak dapat dicabut - misalnya, di beberapa negara Eropa, masalah menunjukkan nama dan nama keluarga orang yang tinggal di dekat kotak surat dan bel pintu cukup kontroversial. Dengan kemajuan teknologi informasi, perlindungan data pribadi menjadi semakin relevan. Beginilah "Konvensi Dewan Eropa No. 108 tentang Perlindungan Individu dengan Pemrosesan Data Pribadi Otomatis" muncul, ditandatangani pada 1981 dan diratifikasi oleh Federasi Rusia pada 2001. Sudah pada waktu itu, meletakkan dasar internasional untuk pemrosesan data pribadi yang sah, yang masih berlaku saat ini: penggunaan data pribadi hanya untuk tujuan tertentu dan dalam periode tertentu, redundansi dan relevansi data pribadi yang diproses dan kekhasan transfer lintas-batas mereka, perlindungan data dijamin hak warga negara - pemegang data pribadi. Dalam dokumen yang sama, definisi data pribadi diberikan, yang kemudian "bermigrasi" ke edisi pertama Undang-undang Federal No. 152 "Tentang Data Pribadi" tertanggal 27 Juli 2006: "data pribadi" berarti informasi apa pun tentang orang alami yang spesifik atau dapat diidentifikasi. Tujuan ratifikasi Konvensi ini adalah untuk memenuhi persyaratan peraturan internasional pada saat Rusia masuk ke WTO (Organisasi Perdagangan Dunia), yang berlangsung pada tahun 2012.

Pekerjaan bersama negara-negara pihak pada Konvensi berlanjut hingga hari ini. Jadi, pada akhir 2018, Federasi Rusia bersama-sama dengan negara-negara peserta lainnya menandatangani " Protokol No. 223 tentang Amandemen Konvensi Dewan Eropa tentang Perlindungan Data Pribadi", yang memperbarui Konvensi dalam hal memenuhi tantangan saat ini: perlindungan data biometrik dan genetika, hak-hak baru individu dalam konteks pengambilan keputusan algoritmik oleh kecerdasan buatan, persyaratan perlindungan data sudah pada tahap merancang sistem informasi, kewajiban untuk memberi tahu atasan resmi tentang gan tentang kebocoran data. Warga negara sekarang memiliki kesempatan untuk menerima perlindungan yang memenuhi syarat pada data pribadi mereka dari penyelia, dan perusahaan-perusahaan Rusia yang dipaksa untuk memenuhi persyaratan GDPR Eropa (Peraturan Perlindungan Data Umum, kita akan membicarakannya nanti) tidak akan dipaksa untuk menerapkan langkah-langkah perlindungan tambahan, karena Kepatuhan terhadap ketentuan Konvensi berarti bahwa pihak negara menyediakan rezim hukum yang memadai untuk pemrosesan data pribadi.

Jadi, pada tahun 2006, 152- “Tentang data pribadi” diadopsi, yang tidak hanya mengulangi persyaratan dari Konvensi, tetapi juga memperkenalkan definisi dan persyaratan tambahan mengenai pemrosesan data pribadi (selanjutnya - PD). Seiring waktu, Undang-Undang Federal diamandemen, yang utamanya diperkenalkan 261- tanggal 07/25/2011 dan 242- tanggal 07/21/2014. Hukum pertama memperkenalkan perubahan signifikan pada postulat dasar perlindungan PD, dan yang kedua melarang pemrosesan utama PD di luar wilayah Federasi Rusia. Perhatikan bahwa badan negara yang berwenang untuk melindungi hak-hak subjek PD adalah Layanan Federal untuk Pengawasan Komunikasi, Teknologi Informasi dan Komunikasi Massal (Roskomnadzor), yang melapor kepada Kementerian Pengembangan Digital, Telekomunikasi dan Komunikasi Massal Federasi Rusia.

Dalam Pasal 152-FZ, langkah-langkah untuk memastikan keamanan data pribadi dibahas dalam pasal 19, yang juga menyatakan bahwa operator harus memastikan tingkat keamanan yang ditetapkan oleh Keputusan Pemerintah No. 1119 tanggal 1 November 2012, yang dipahami sebagai serangkaian persyaratan yang menetralkan ancaman keamanan tertentu. Untuk mensimulasikan ancaman ini, mis. membangun model ancaman (selanjutnya - MU) dan model pelanggar, seseorang harus mengandalkan tindakan hukum pengaturan berikut ini:

• mendokumentasikan " Model dasar ancaman terhadap keamanan data pribadi ketika diproses dalam sistem informasi data pribadi ", yang dikembangkan dan disetujui oleh FSTEC Rusia pada 2008;
• Rekomendasi metodologis dari Layanan Keamanan Federal Federasi Rusia 2015 untuk mengidentifikasi risiko keamanan untuk PD, yang ditujukan untuk badan pemerintah dan operator yang menggunakan alat perlindungan informasi kriptografi dan mengembangkan UM yang sesuai.

Selain itu, FSTEC Rusia pada 2015 mengembangkan proyek "Metode untuk mengidentifikasi ancaman terhadap keamanan informasi dalam sistem informasi", yang, setelah disetujui, akan dapat memandu operator sistem informasi negara dan perusahaan swasta. Perlu dicatat bahwa sistem informasi negara (selanjutnya disebut GOSIS) didefinisikan dalam 149-FZ (Pasal 13, Klausa 1) sebagai sistem informasi federal dan sistem informasi regional yang dibuat berdasarkan undang-undang federal, hukum entitas konstituen Federasi Rusia, dan tindakan hukum badan-badan negara untuk menjalankan kekuasaan badan-badan negara dan memastikan pertukaran informasi antara badan-badan ini, serta untuk tujuan lain yang ditetapkan oleh hukum federal.

Pasal 5 dalam 152-FZ berbicara tentang kewajiban badan-badan negara untuk mengembangkan UM khusus industri di bidang tanggung jawab mereka. MU tersebut dikembangkan, misalnya, di Bank Sentral Federasi Rusia (pertama dalam bentuk RS BR IBBS-2.4, kemudian dalam bentuk Undang-undang Bank Rusia No. 389-U ), Kementerian Telekomunikasi dan Komunikasi Massal Federasi Rusia (“ Model ancaman dan pelanggar keamanan data pribadi yang diproses dalam standar ISPD industri ”dan“ Model ancaman dan pelanggar keamanan PDN diproses dalam ISPD khusus industri ”), oleh Kementerian Kesehatan Federasi Rusia (“ Model ancaman IP medis khas dari institusi medis tipikal ”).

Dalam 152-, kewajiban untuk memastikan keamanan data pribadi diberikan kepada operator sistem informasi pribadi (selanjutnya - ISPD) atau kepada orang yang memproses data pribadi atas nama operator (yang disebut "prosesor"). PP-1119 memberikan langkah-langkah perlindungan organisasi dan teknis khusus yang harus diambil oleh operator (atau prosesor) untuk memastikan tingkat keamanan yang sesuai untuk PD, sedangkan pilihan level tergantung pada kategori PD yang diproses (mis., Tipe ISPD), kategori dan jumlah subjek PD dan jenis ancaman aktual.

Kategori PD dapat menjadi khusus (memproses informasi tentang aspek-aspek penting kehidupan subjek PD, seperti status kesehatan, afiliasi nasional / ras, kepercayaan politik dan agama), biometrik (memproses PD, mengkarakterisasi karakteristik fisiologis dan biologis), publik (PD diperoleh dari sumber-sumber publik ), lainnya.

Ancaman aktual bisa dari tipe 1 (ancaman menggunakan kemampuan yang tidak dideklarasikan dalam perangkat lunak sistem relevan untuk ISPD), dari tipe 2 (ancaman menggunakan kemampuan yang tidak diumumkan dalam perangkat lunak aplikasi relevan), dari tipe ke-3 (ancaman di atas tidak relevan).

Pilihan tingkat keamanan (selanjutnya - KM) data pribadi tergantung pada karakteristik ISPDn di atas (kategori PD yang diproses dan jenis ancaman yang relevan dengan ISPD), serta pada kategori entitas (karyawan operator atau orang lain) dan jumlah entitas yang PDN-nya diproses (lebih atau kurang dari 100.000 entri). USG maksimum adalah tanggal 1, minimum adalah tanggal 4.

PP-1119 menawarkan daftar langkah-langkah perlindungan PD yang agak ringkas, karena langkah-langkah keamanan rinci ditentukan oleh FSTEC Rusia: Pesanan No. 21 dari 02/18/2013 menyetujui komposisi dan konten tindakan organisasi dan teknis untuk memastikan keamanan PD, dan Pesanan No. 17 dari 02/11/2013 mengatur persyaratan untuk perlindungan informasi di Institut Negara Informasi Negara, termasuk perlindungan PD di dalamnya. Selain itu, Layanan Keamanan Federal Federasi Rusia juga mengeluarkan Pesanan No. 378 tanggal 10 Juli 2014, yang berisi uraian tentang langkah-langkah keamanan PD saat menggunakan alat perlindungan informasi kriptografis (selanjutnya - CIP).

Pertimbangkan Pesanan Pertama No. 21 . Dokumen ini didedikasikan untuk langkah-langkah perlindungan PD untuk IP non-negara dan berisi daftar tindakan khusus untuk memastikan satu atau lain KP PD. Dalam klausa 4, operator IP non-negara diberikan pengecualian dalam bentuk izin untuk tidak menggunakan SIS bersertifikat jika tidak ada ancaman aktual yang mereka tutup, dan klausa 6 dokumen menetapkan interval tiga tahun untuk menilai efektivitas tindakan yang diterapkan. Pesanan No. 21, serta Pesanan No. 17, menawarkan algoritma yang sama untuk memilih dan menerapkan langkah-langkah keamanan: pertama, tindakan dasar dipilih berdasarkan ketentuan dari Pesanan yang relevan, kemudian serangkaian tindakan dasar yang dipilih diadaptasi, tidak termasuk langkah-langkah "dasar" yang tidak relevan tergantung dari fitur sistem informasi dan teknologi yang digunakan. Kemudian, serangkaian tindakan dasar yang diadaptasi ditentukan untuk menetralisir ancaman saat ini dengan tindakan yang sebelumnya tidak dipilih, dan akhirnya, perangkat dasar yang diadaptasi yang diperbarui dilengkapi dengan langkah-langkah yang ditetapkan oleh dokumen hukum resmi lainnya yang berlaku.

Pesanan No. 21 dalam ayat 10 berisi komentar penting tentang kemampuan operator untuk menerapkan langkah-langkah kompensasi ketika tidak mungkin untuk menerapkan langkah-langkah teknis atau jika tidak layak secara ekonomi untuk menerapkan langkah-langkah dari set dasar, yang memberikan beberapa fleksibilitas ketika memilih yang baru dan membenarkan penggunaan peralatan pelindung yang sudah diterapkan untuk memastikan keamanan data pribadi. Jika operator menggunakan SZI bersertifikat, regulator dalam ayat 12 dari Pesanan membuat persyaratan untuk kelas SZI bekas dan untuk peralatan komputer (selanjutnya - CBT).

Firewall bersertifikat, sistem deteksi intrusi, alat perlindungan anti-virus informasi, alat boot terpercaya, alat kontrol media mesin lepasan, sistem operasi sesuai dengan yang baru-baru ini diperkenalkan (2011-2016) pengklasifikasi FSTEC dari Rusia dapat memiliki kelas dari 1 (level dukungan maksimum) perlindungan) ke 6 (level minimum). CBT dapat diklasifikasikan pada tujuh level sesuai dengan dokumen pedoman Rusia FSTEC. Persyaratan juga diberlakukan untuk mengontrol tidak adanya kemampuan yang tidak dideklarasikan dalam perangkat lunak SZI - ada empat tingkat kontrol. Daftar SIS bersertifikat saat ini terdapat dalam daftar negara alat keamanan informasi bersertifikat.

Dalam Pesanan No. 21, kelompok langkah-langkah berikut untuk memastikan keamanan PD diindikasikan, yang harus diterapkan tergantung pada tingkat perlindungan PD yang diperlukan:

• Identifikasi dan otentikasi subyek akses dan objek akses
• Kontrol akses subjek akses untuk mengakses objek
• Batasi lingkungan perangkat lunak
• Perlindungan pembawa mesin PD
• Pencatatan peristiwa keamanan
• Perlindungan antivirus
• Deteksi intrusi
• Pemantauan (analisis) PD keamanan
• Memastikan integritas IP dan PD
• Memastikan ketersediaan PD
• Melindungi lingkungan virtualisasi
• Perlindungan sarana teknis
• Perlindungan IP, artinya, sistem komunikasi dan transmisi data
• Deteksi dan respons insiden
• Manajemen konfigurasi sistem perlindungan IS dan PD.

Pesanan No. 17 menetapkan persyaratan untuk memastikan keamanan informasi dari akses terbatas ke GISIS, sementara paragraf 5 menekankan bahwa ketika memproses PD di GOSIS, PP-1119 harus dipandu. Perintah ini mewajibkan operator GOSIS untuk hanya menggunakan SZI bersertifikat dan menerima sertifikat lima tahun kepatuhan dengan persyaratan perlindungan informasi. Dokumen ini mengasumsikan bahwa operator mengambil langkah-langkah berikut untuk memastikan perlindungan informasi (selanjutnya - ZI): pembentukan persyaratan untuk ZI; pengembangan, implementasi dan sertifikasi sistem IP IP; menyediakan ZI selama operasi dan selama dekomisioning. Klausul 14.3 dari Ordo berbicara tentang perlunya menciptakan model ancaman dan menyarankan menggunakan Bank Data Ancaman Keamanan Informasi Rusia ( BDU ) FSTEC, yang kami bicarakan dalam publikasi sebelumnya . Untuk GOSIS, kelas keamanan didirikan (dari maksimum 1 ke minimum 3), yang tergantung pada tingkat signifikansi informasi yang diproses dan skala sistem, di mana tingkat signifikansi tergantung pada tingkat kemungkinan kerusakan pada properti keamanan (kerahasiaan, integritas, ketersediaan) dari informasi yang diproses dalam GISIS , dan skala sistem dapat berupa federal, regional atau objek.

Dalam GISIS perlindungan kelas 1, perlindungan harus diberikan dari tindakan pelanggar yang berpotensi tinggi, dalam GISIS kelas 2 - dari pelanggar dengan potensi yang tidak lebih rendah dari basis yang diperkuat (dalam NOS potensi mereka disebut "rata-rata", dan dalam konsep Metodologi untuk menentukan ancaman keamanan) informasi dalam IS - "basic meningkat"), di GISIS kelas 3 - dari pengganggu dengan potensi tidak lebih rendah dari dasar (di NLD potensi ini disebut "rendah"). Karena untuk memastikan IS dalam GosIS, hanya diperbolehkan menggunakan SZI bersertifikat, paragraf 26 dari Order No. 17 menjelaskan kelas SZI, SVT yang dapat diterima, dan tingkat kontrol tidak adanya NDV, tergantung pada kelas GISIS. Dalam ayat 27, koneksi dibuat antara kelas keamanan GISIS dan tingkat keamanan PD diproses di dalamnya: kepatuhan dengan persyaratan langkah-langkah ZI untuk GISIS kelas 1 disediakan oleh 1, 2, 3 dan 4 tingkat keamanan PD, untuk kelas 2 - 2, 3 dan 4 ultrasound, untuk kelas 3 - 3 dan 4 ultrasound.

Langkah-langkah keamanan informasi di Sistem Informasi Negara hampir sepenuhnya bersamaan dengan langkah-langkah dari Pesanan No. 21 yang dijelaskan di atas, kecuali tidak adanya indikasi deteksi insiden dan manajemen konfigurasi.Tindakan ini dilakukan setelah pembangunan sistem keamanan, pada tahap pengoperasian Sistem Informasi Negara yang disertifikasi, bersama dengan pengelolaan sistem keamanan informasi dan kontrol untuk memastikan tingkat keamanan informasi dalam Sistem Informasi Negara.

Selain Pesanan No. 17, ketika menerapkan langkah-langkah ZI yang tepat, orang juga dapat dipandu oleh dokumen metodologis dari FSTEC Rusia " Tindakan Perlindungan Informasi dalam Sistem Informasi Negara, " yang merinci komposisi dan isi dari semua tindakan.

Ordo Dinas Keamanan Federal Federasi Rusia No. 378menetapkan standar untuk penggunaan salah satu dari enam kelas sistem perlindungan informasi kriptografi untuk perlindungan data pribadi: KS1 (minimum), KS2, KS3, KV1, KV2, KA1 (maksimum). Kelas perlindungan informasi kriptografi dipilih tergantung pada tingkat keamanan yang diperlukan dari PD dan pada jenis ancaman yang sebenarnya. Terlepas dari kenyataan bahwa kelas perlindungan informasi kriptografi menetralisir ancaman yang berasal dari jenis penyusup tertentu dengan tingkat potensi tertentu (hanya ada 6 jenis penyusup, dari H1 hingga H6, mereka didefinisikan dalam model pelanggar), Ordo ini mengikat kelas perlindungan informasi kriptografi dengan tingkat keamanan data pribadi. , dan tidak dengan kemungkinan penyerang. Selain menjelaskan kelas-kelas yang diperlukan perlindungan informasi kriptografi, dokumen ini berisi persyaratan administrasi untuk operator, seperti mengatur akses ke tempat (keamanan fisik - kunci pengunci, bilah), memastikan keamanan media PD, persetujuan daftar orang,yang memiliki akses ke PD.

Standar internasional untuk perlindungan data pribadi

Jika di Rusia perselisihan mengenai penegakan 152- dan anggaran rumah tangga yang relevan tidak berhenti, maka di Uni Eropa 3 tahun terakhir telah bekerja untuk menerapkan dan mematuhi GDPR ( Peraturan Perlindungan Data Umum , Peraturan Perlindungan Data Umum ). Dokumen ini, dari saat adopsi pada April 2016 hingga tanggal berlakunya pada 25 Mei 2018, serta saat ini, menimbulkan banyak pertanyaan dan perselisihan, karena menyangkut sejumlah besar warga dan perusahaan di seluruh dunia.

Pendahulu GDPR di Uni Eropa adalah Arahan Parlemen Eropa dan Dewan Uni Eropa 95/46 / EC pada 24 Oktober 1995 "Tentang perlindungan individu dalam pemrosesan data pribadi dan sirkulasi bebas data tersebut". Setelah adopsi GDPR, hak-hak subyek PD meningkat secara signifikan, dan kewajiban operator dan hukuman atas ketidakpatuhan mereka meningkat secara signifikan.

Definisi PD dalam GDPR itu sendiri tidak jauh berbeda dari apa yang diadopsi dalam Konvensi Dewan Eropa dan dari definisi serupa dalam 152-FZ domestik: data pribadi dalam kerangka GDPR berarti setiap informasi yang berkaitan dengan orang yang diidentifikasi atau diidentifikasi (subjek data pribadi). Orang yang dapat diidentifikasi adalah orang yang dapat diidentifikasi, secara langsung atau tidak langsung, khususnya menggunakan pengidentifikasi seperti nama, nomor identifikasi, data lokasi, pengenal online atau menggunakan satu atau lebih faktor khusus untuk fisik, fisiologis, status genetik, mental, ekonomi, budaya atau sosial orang itu. Dengan demikian, definisi PD tidak hanya mencakup karakteristik biasa, tetapi juga alamat IP,pengidentifikasi cookie yang ditetapkan oleh pengguna, data geolokasi pengguna, dan atribut teknis lainnya.

Istilah baru yang penting dalam GDPR adalah "profiling", yang berarti segala bentuk pemrosesan otomatis data pribadi untuk mengevaluasi aspek-aspek tertentu seseorang, khususnya untuk menganalisis atau memprediksi kapasitas kerja seseorang, situasi material, kesehatan, preferensi pribadi, minat , perilaku, lokasi atau pergerakan.

Seperti pada 152-FZ, GDPR menggunakan konsep seperti "pemrosesan data pribadi", "prosesor", "operator" (pengontrol bahasa Inggris), "pemrosesan lintas batas", "nama samaran" (depersonalisasi) dan istilah universal serupa.

Ruang lingkup aturan GDPR berlaku untuk semua operator yang memproses data pribadi warga negara UE dan warga negara lainnya yang berada di UE. Selain itu, operator mungkin tidak memiliki kantor perwakilan di UE, dan sistem otomatisnya juga dapat ditempatkan di luar UE. Contoh mengenai perusahaan operator dari Federasi Rusia:

• sebuah bank Rusia harus mematuhi standar GDPR ketika memproses data pelanggannya, warga negara Federasi Rusia, ketika mereka berada di UE;
• toko online dengan registrasi di Federasi Rusia yang menyediakan layanan / produk termasuk kepada warga negara UE, menggunakan pengidentifikasi cookie dan / atau analisis perilaku pengguna di situs webnya dengan antarmuka dalam bahasa UE, juga tunduk pada standar GDPR;
• anak perusahaan dari perusahaan Rusia yang beroperasi di UE.

Standar GDPR didasarkan pada enam prinsip dasar:

• , — , (.. privacy policy);
• — , , ;
• — , ;
• — , ;
• — ;
• — , , , , , .

Dokumen ini tidak memberi operator dengan instruksi perlindungan terperinci, memberi mereka kebebasan untuk memilih tindakan dan teknik. Misalnya, Anda harus, jika memungkinkan, mengenkripsi PD selama penyimpanan, transmisi dan pemrosesan, serta menggunakan algoritma pseudonimisasi. Ini diharapkan dapat mengurangi potensi kerusakan jika terjadi kebocoran, tetapi GDPR tidak menyediakan kondisi khusus untuk penerapan tindakan perlindungan ini. Dalam hal ini, pendekatan Eropa berbeda dari pendekatan Rusia, di mana otoritas negara secara jelas mengatur langkah-langkah perlindungan dan persyaratan untuk penerapannya, tidak berharap untuk kehati-hatian operator - dan, harus disesalkan, sangat dibenarkan.

Selain prinsip-prinsip yang diuraikan di atas, norma-norma berikut juga ada dalam GDPR:

• , , , .. , , , ( );
• (.. Data Protection Impact Assessment);
• - , , , ;
• (privacy by design, .. ) (privacy by default, .. );
• — , ;
• (Data Privacy Officer) , :
  
  
  • / ( , , , , , , );
• 72- (supervisory authority, Data Protection Authority — ) GDPR- , .. , , , .

Pada Juli 2016, perjanjian Perlindungan Privasi Privasi EU-AS Shield diperkenalkan . Perjanjian ini adalah kerangka kerja yang mendefinisikan pendekatan perusahaan komersial untuk pertukaran data pribadi yang aman antara Uni Eropa dan Amerika Utara. Tujuan dari perjanjian semacam itu adalah untuk membawa standar GDPR untuk perlindungan PD di UE dan metode untuk memastikan keselamatan mereka di AS. Pendahulu dari kerangka kerja ini adalah perjanjian Safe Harbor Privacy Principles .(“Prinsip Safe Harbor untuk Perlindungan Data Pribadi”), yang berlaku mulai tahun 2000 hingga 2015 dan menegaskan bahwa metode untuk memastikan keamanan data pribadi di AS mematuhi European Directive 95/46 / EC “Tentang perlindungan individu dalam pemrosesan data pribadi dan secara gratis penanganan data tersebut. " Perjanjian ini dikritik karena fakta-fakta yang terungkap dari akses permanen yang disengaja ke data pribadi warga negara Eropa oleh pemerintah AS, khususnya, Badan Keamanan Nasional. Hal ini dianggap oleh Pengadilan Eropa, yang memerintah di Oktober 2015 keputusanketidakabsahan Prinsip Safe Harbor. Dengan demikian, saat ini, perusahaan AS yang ingin memproses data pribadi warga negara UE harus mematuhi Privacy Shield UE-AS. Konfirmasi kepatuhan dilakukan dalam bentuk sertifikasi mandiri sukarela di Departemen Perdagangan AS. Perusahaan operator harus mematuhi persyaratan dasar berikut , yang menegaskan tingkat perlindungan PD yang memadai untuk warga negara UE:

• memberi tahu subjek tentang pemrosesan data pribadi mereka, yang mencakup indikasi perlindungan data pribadi sesuai dengan Privacy Shield dalam kebijakan perusahaan untuk perlindungan data pribadi (Kebijakan Privasi), pemberitahuan data pribadi tentang hak-hak mereka dan pengingat kewajiban perusahaan itu sendiri jika menerima permintaan yang sah untuk penyediaan PD oleh otoritas negara;
• , 45 , , , Data Protection Authorities ( );
• , Privacy Shield;
• , ;
• , :
  
  
  1. , , — (.. Notice and Choice Principles), ( , , );
  2. , , .. , — , , , — ;
• Privacy Shield;
• , Privacy Shield.
• , , Privacy Shield, , , 152-.

1. Denda yang dituntut karena melanggar undang-undang Rusia tentang perlindungan data pribadi diatur oleh Art. 13.11 Kode Administratif, yang mengatur tujuh pelanggaran yang diperkenalkan pada Juli 2017. Misalnya, bagian 1 artikel 13.11 dari Kode Administratif Federasi Rusia menghukum operator untuk memproses data pribadi dalam kasus-kasus yang tidak ditentukan oleh hukum, atau pemrosesan yang tidak sesuai dengan tujuan pengumpulan data pribadi, dalam jumlah hingga 50 ribu rubel. Bagian 2 dari Seni. 13.11 dari Kode Administratif Federasi Rusia menetapkan hukuman untuk memproses PD tanpa persetujuan dari subjek atau untuk pelanggaran dalam proses mendapatkan persetujuan tersebut, dalam jumlah hingga 75 ribu rubel. Selain itu, kegagalan untuk mematuhi aturan tentang pelokalan basis data PD di wilayah Federasi Rusia merupakan pelanggaran Pasal 1242-FZ dan Pasal 15,5 dari 149-FZ, yang mengancam untuk memblokir akses ke sumber daya web pelanggar-perusahaan berdasarkan keputusan pengadilan.

Harus diingat bahwa denda dapat dikenakan untuk setiap fakta pelanggaran norma legislatif. Selain itu, sebuah RUU baru-baru ini telah diajukan ke Duma Negara , yang menyiratkan pengenalan dua pelanggaran baru di bidang perlindungan PD - anggota parlemen mengusulkan untuk mengenakan jutaan denda karena kegagalan untuk mematuhi 242-FZ, mis. karena menolak untuk melokalkan basis data PD Rusia di wilayah Federasi Rusia, serta karena pelanggaran berulang terhadap persyaratan lokalisasi.

2. Denda yang dikenakan oleh regulator Eropa untuk ketidakpatuhan dengan GDPR dalam kasus pelanggaran berjumlah 10 juta euro atau 2% dari omset tahunan global perusahaan, dan dalam kasus yang signifikan, hingga 20 juta euro atau 4% dari omset tahunan global. Pada saat yang sama, statistik yang mengecewakan telah diringkas selama tahun persyaratan GDPR: lebih dari 200.000 cek telah dilakukan terhadap operator, dan jumlah total denda lebih dari 56 juta euro, sementara 50 juta euro adalah jumlah denda yang dikenakan oleh raksasa internet Google oleh regulator Perancis oleh regulator Perancis area perlindungan

3. Denda yang dibebankan oleh Komisi Perdagangan Federal AS untuk perusahaan yang tidak mematuhi prinsip-prinsip Privacy Shield hingga $ 40 ribu untuk pelanggaran, ditambah $ 40 ribu untuk setiap hari berikutnya pemrosesan data pribadi secara ilegal setelah pelanggaran ditemukan.

Prosedur pemeriksaan oleh Roskomnadzor

Roskomnadzor, badan negara resmi dalam negeri untuk melindungi hak-hak subyek PD, memiliki hak untuk memeriksa badan hukum dan pengusaha perorangan untuk kepatuhan mereka dengan ketentuan Undang-Undang Rusia di bidang perlindungan PD. Pada saat yang sama, inspeksi dilakukan baik oleh Kantor Pusat (rencana inspeksi dan laporan kegiatan dipublikasikan di situs resmi ) dan oleh Departemen Distrik Federal (misalnya, rencana kegiatan dan laporan selama 10 tahun terakhir diposting di situs Roskomnadzor Kantor Distrik Federal Pusat). Inspeksi Roskomnadzor diatur oleh Keputusan Pemerintah Federasi Rusia No. 144tanggal 13 Februari 2019 “Atas Persetujuan Peraturan Organisasi dan Implementasi Kontrol Negara dan Pengawasan Pemrosesan Data Pribadi”. Sesuai dengan Resolusi ini, inspeksi dijadwalkan (praktek telah menunjukkan bahwa regulator memeriksa kelompok perusahaan yang disatukan oleh atribut yang sama, misalnya, berdasarkan bidang kegiatan), serta tidak terjadwal: semuanya dapat dilakukan atas nama Presiden, Pemerintah Federasi Rusia atau dengan keputusan Kepala Roskomnadzor dalam kerangka audit jaksa, dalam kasus kegagalan untuk mematuhi peraturan regulator sebelumnya, serta dalam kasus keluhan dari subyek PD. Dalam hal ini, inspeksi yang tidak terjadwal hanya dapat dilakukan di tempat, dan yang dijadwalkan dapat berupa film dokumenter dan di tempat. Saat memeriksa, regulator memeriksa dokumen peraturan internal tentang pemrosesan PD, memeriksa lokasi penyimpanan PD,mengharuskan untuk menunjukkan pemrosesan PD dalam sistem informasi. Sebagai aturan, dalam kasus kekurangan, regulator memerintahkan penghapusan pelanggaran pada waktu yang tepat, dan denda karena kurangnya dasar hukum untuk memproses data pribadi (misalnya, karena kurangnya fakta yang terdokumentasi dari persetujuan oleh individu pribadi), untuk perbedaan antara tujuan pemrosesan dan volume data pribadi, karena kurangnya yang diperlukan. pemberitahuan dan kebijakan di situs web operator, tergantung pada pengumpulan PD di atasnya.karena tidak adanya pemberitahuan dan kebijakan yang diperlukan di situs web operator, tunduk pada pengumpulan PD di atasnya.karena tidak adanya pemberitahuan dan kebijakan yang diperlukan di situs web operator, tunduk pada pengumpulan PD di atasnya.