Em 8 de novembro de 2018, foi realizada em Moscou a 9ª conferência internacional “Proteção de dados pessoais” , organizada com o apoio do Ministério das Comunicações da RF e de Roskomnadzor. Entre os palestrantes da conferência (a lista completa pode ser encontrada no site da conferência - https://zpd-forum.com/ru ), é claro, havia representantes de Roskomnadzor: Alexander Zharov, Alexander Pankov, Antonina Priezzheva e Yuri Kontemirov.
Um tópico importante da conferência foi o desenvolvimento de regulamentação legal internacional para a proteção de dados pessoais (PD) no exemplo do RGPD e da Convenção Modernizada do Conselho da Europa Nº 108. Participantes estrangeiros participaram da discussão, incluindo representantes das autoridades autorizadas de proteção de dados do Azerbaijão, Bulgária, Bósnia e Herzegovina, Hungria, Itália, Jordânia, China, Sérvia e República da África do Sul.
Os representantes de Roskomnadzor lembraram que a Rússia estava entre os primeiros países que assinaram a Convenção ETS-108 do Conselho da Europa, e nosso país também participou da preparação de uma nova versão do texto da Convenção. Foi declarado que a modernização da diretiva não implicaria grandes mudanças na organização da proteção de dados pessoais na Rússia, e a assinatura da Convenção modernizada permitiria que a Rússia fosse incluída na lista de países que cumprem o RGPD.
No entanto, um dos resultados mais importantes da assinatura da Convenção pela Rússia será que os operadores russos terão a obrigação de notificar vazamentos de dados pessoais e a responsabilidade por sua não conformidade. Também foi dito sobre os planos de criar um recurso no qual os cidadãos possam revogar seu consentimento anterior ao processamento de seus dados pessoais.
Yuri Kontemirov, em seu discurso, disse que Roskomnadzor supervisiona o cumprimento da legislação sobre dados pessoais em geral, incluindo as normas de todas as leis relacionadas ao processamento de DP. Ao mesmo tempo, em 2018, todos os departamentos territoriais de Roskomnadzor criaram juntos 98 protocolos sobre infrações administrativas no campo de dados pessoais, qualificados de acordo com o artigo 13.11 do Código de Ofensas Administrativas da Federação Russa, conforme alterado. Por exemplo, sob o artigo 19.7 do Código Administrativo da Federação Russa (falha em notificar sobre o processamento ou não receber uma resposta a uma solicitação), cerca de 7000 protocolos são compilados por ano.
Como já se sabe, a legislação sobre dados pessoais, em conjunto com o Decreto do Governo da Federação Russa nº 687, rege qualquer processamento de dados pessoais, incluindo os não automatizados na íntegra. Ao mesmo tempo, Yuri Kontemirov esclareceu que a capacidade legal em relação aos dados pessoais de seus participantes ocorre aos 14 anos de idade e não haverá reivindicações para consentir com o processamento de dados pessoais assinados independentemente por uma criança de 14 anos ou mais. Além disso, Y. Kontemirov observou claramente que é possível assinar o consentimento para processamento em formato eletrônico por qualquer assinatura eletrônica prevista na Lei Federal “Sobre Assinatura Eletrônica”, e não apenas qualificada.
Também foi esclarecido separadamente que os formulários padrão que inserem dados pessoais neles, se eles forem desenvolvidos pelo operador de forma independente, devem cumprir os requisitos do parágrafo 7 do Decreto do Governo da RF de 15 de setembro de 2008 N 687 “Ao aprovar o Regulamento sobre as peculiaridades do processamento de dados pessoais, realizada sem o uso de automação ”, somente se eles forem criados pelo operador de forma independente.
O § 7 do Regulamento N 687 tem a seguinte redação:"7 Ao usar formulários padrão de documentos, a natureza das informações nas quais implica ou permite a inclusão de dados pessoais neles (a seguir denominado formulário padrão), as seguintes condições devem ser atendidas:
a) o formulário ou documentos padrão a ele associados (instruções para preenchimento, cartões, registros e revistas) devem conter informações sobre a finalidade do processamento de dados pessoais realizados sem o uso de ferramentas de automação, o nome (nome) e o endereço do operador, sobrenome, nome, nome do meio e endereço do assunto dos dados pessoais, fonte dos dados pessoais, tempo de processamento dos dados pessoais, lista de ações com dados pessoais que serão executadas no processo de processamento, descrição geral do método utilizado pelo operador um conjunto de dados pessoais;
b) o formulário padrão deve incluir um campo no qual o sujeito dos dados pessoais possa marcar seu consentimento no processamento de dados pessoais, realizado sem o uso de automação, - se necessário, obter consentimento por escrito para o tratamento de dados pessoais; c) o formulário padrão deve ser elaborado de forma que cada um dos titulares de dados pessoais contidos no documento tenha a oportunidade de se familiarizar com seus dados pessoais contidos no documento sem violar os direitos e interesses legítimos de outros titulares de dados pessoais;
d) o formulário padrão deve excluir a combinação de campos destinados à entrada de dados pessoais, cujos objetivos de processamento obviamente não são compatíveis. ”
Porém, nos formulários desenvolvidos pelos órgãos estatais e órgãos governamentais de fundos extra-orçamentários no âmbito de sua autoridade, conforme declarado na conferência, esses requisitos não se aplicam. Ao mesmo tempo, o número de telefone ou o sinal do carro do estado por si mesmos (sem referência a um assunto específico do PD) não são dados pessoais.
A representante da FSTEC Elena Torbenko afirmou que a abordagem do Pedido nº 239 sobre a segurança do KII sobre a possibilidade de avaliar a conformidade dos meios de proteção de informações na forma de teste e aceitação pode ser aplicada à construção de um sistema de proteção contra DP, mas o proprietário do sistema deve estar ciente da responsabilidade pela qualidade e validade de tal avaliação. O representante da FSB A. Bodrov observou que a FSB ainda considera aceitável apenas a avaliação da conformidade sob a forma de certificação em seu sistema. A certificação do software aplicativo usado para processar dados pessoais não é necessária se não houver funções de proteção contra ameaças atuais. Mas qualquer cliente tem o direito de solicitar essa certificação do fornecedor ou contratado, se considerar necessário.
Além disso, a cerimônia de assinatura do Código de Boas Práticas (Código de Atividades Éticas (Trabalho) na Internet) foi realizada na conferência "Proteção de Dados Pessoais". A Câmara de Comércio e Indústria da Rússia, Delovaya Rossiya LLC, Opora Rossii LLC, Universidade Estadual de Moscou em homenagem a M.V. Lomonosov, bem como representantes de empresas estrangeiras - a Associação de Empresas Europeias, a Câmara de Comércio Americana na Rússia e a Câmara de Comércio Russo-Alemã.
O artigo foi preparado com base nos materiais https://emeliyannikov.blogspot.com e https://zpd-forum.com/en .