No regulamento.gov.ru, dois projetos interessantes apareceram e já foram aprovados em 25 de junho de 2018, após o término da discussão pública:
- Projeto de lei federal sobre a introdução de emendas a certos atos legislativos da Federação Russa (em relação à especificação dos princípios de processamento de dados pessoais em sistemas de informações estaduais)
- Projeto de lei federal “Emendas ao artigo 13.11 do Código da Federação Russa sobre Infrações Administrativas”
O interessante desses projetos é que eles farão alterações na Lei Federal 152 "Sobre Dados Pessoais" e no "Código Administrativo", que já é sugestivo.
Então, não vamos inventar nada, mas simplesmente citar:
"1. A parte 5 do artigo 6º é complementada com os seguintes parágrafos:
“Um operador que confia o processamento de dados pessoais a outra pessoa é responsável por exercer o controle adequado sobre as ações de outra pessoa, de acordo com a legislação da Federação Russa.
O procedimento para o operador monitorar as ações de uma pessoa que processa dados pessoais em seu nome é estabelecido pelo operador de forma independente. ”
Ou seja, se você é um operador do PD e, ao mesmo tempo, confia o processamento do PD a outra pessoa, também deve exercer algum tipo de controle adequado sobre a pessoa encarregada do processamento do PD. Aqui, é claro, não está totalmente claro, mas quem permitirá que você mergulhe nos mesmos documentos? Subir para sistemas de informação?
Outra questão, para o parágrafo abaixo, ninguém desenvolveu a ordem de controle, o operador deve instalá-lo ele mesmo! Além disso, a ordem deve ser "adequada" e quem deve avaliar isso?
Colocamos a questão em um plano diferente - os recursos humanos que serão necessários para esse controle. I.e. uma pessoa que veio para o 1C, por exemplo, para um
provedor de SaaS , bem, para que seja mais rápido / fácil / mais barato lá, agora deve ter uma pessoa que desenvolverá um "Procedimento para o operador controlar as ações da pessoa ..." e depois implementá-lo? Por outro lado, mil de seus clientes recorrerão imediatamente ao provedor de SaaS, que desejará exercer cada um de seus direitos de “controle adequado”. Quantos recursos adicionais serão necessários para isso?
Em geral, alguns quebra-cabeças. Também nos lembramos do "CAO", que também está sendo alterado? Talvez citemos quase todo o texto:
O artigo 13.11 do Código de Ofensas Administrativas da Federação Russa (Legislação Coletada da Federação Russa, 2002, nº 1, artigo 1; 2007, nº 26, artigo 3089; 2017, nº 7, artigo 1032) deve ser complementado com as partes 8 e 9 do seguinte conteúdo:
"8. Incumprimento por parte do operador da obrigação, nos termos da legislação da Federação Russa, em matéria de dados pessoais, de exercer controle adequado sobre as ações de uma pessoa que processa dados pessoais em nome do operador,
implica uma advertência ou uma multa administrativa aos cidadãos no valor de mil a dois mil rublos; para funcionários - de três mil a seis mil rublos; para empreendedores individuais - de cinco mil a dez mil rublos; para pessoas jurídicas - de dez mil a trinta mil rublos.
9. Violação por uma pessoa que processa dados pessoais em nome do operador dos requisitos da legislação da Federação Russa no campo de dados pessoais -
implica a aplicação de uma multa administrativa ao operador que confiou a esta pessoa o tratamento de dados pessoais: aos cidadãos no valor de três mil a cinco mil rublos; para funcionários - de cinco mil a quinze mil rublos; para empreendedores individuais - de dez mil a vinte mil rublos; para pessoas jurídicas - de quinze mil a trinta mil rublos. ”
Como se costuma dizer, olá para os operadores! - até 30 mil de multa.
Manipuladores - a quantidade é a mesma.
A esperança morre por último, e é muito cedo para gerar pânico; pode se resumir a um diálogo entre o operador e o manipulador:
- Você está seguindo?
Sim!
- O controle adequado acabou.Os interessados em ler os textos completos desses projetos podem encontrá-los nos links:
Aqui você pode baixar nosso Livro Branco sobre a Lei Federal Nº 152 .Este é um livro que foi publicado para ajudar a eliminar confusões com relação ao processamento de dados pessoais e descrever claramente o processo de obtenção de informações pessoais IP de acordo com a lei russa. O tópico se desdobra do zero. Isso ajuda a atender às necessidades de uma ampla gama de leitores.