Na publicação
anterior , examinamos os conceitos básicos e o paradigma da segurança da informação e agora passaremos para a análise da legislação russa e internacional que rege vários aspectos da proteção de dados, uma vez que, sem o conhecimento das regras legislativas que regem as áreas relevantes da atividade da empresa, é correto criar um sistema de gerenciamento orientado a negócios e riscos. segurança da informação é impossível. Penalidades, bem como danos à reputação decorrentes da não conformidade com os padrões legislativos podem fazer uma correção significativa nos planos de funcionamento e desenvolvimento da organização: sabemos que, por exemplo, o não cumprimento dos padrões de proteção de informações no sistema nacional de pagamentos pode resultar na revogação da licença da organização financeira e no não cumprimento dos requisitos localmente a coleta e o processamento primário de dados pessoais podem levar ao bloqueio do acesso ao site da empresa. O não cumprimento dos padrões de segurança da infraestrutura de informações críticas em geral pode resultar em prisão por até 10 anos. Obviamente, há um grande número de leis e regulamentos aplicáveis; portanto, neste e nos próximos dois artigos, focaremos na proteção de dados pessoais, na proteção de objetos críticos da infraestrutura de informações e na segurança das informações das organizações financeiras.
Então, na série de hoje - dados pessoais, vamos lá!
Antes de tudo, é necessário falar sobre o documento fundamental que rege o procedimento para trabalhar com várias informações na Federação Russa, incluindo e com dados pessoais - estamos falando
da Lei Federal nº 149 "Sobre informações, tecnologias da informação e proteção de informações", datada de 27.7.2006. Este documento contém os conceitos e definições básicos usados em todos os atos legais regulamentares relacionados à proteção da informação e, além de outras coisas, apresenta o conceito de categoria de informação (informação pública e informação de distribuição limitada) e tipo de informação (distribuída livremente, fornecida com base em contrato, sujeito a distribuição de acordo com a lei, informações de acesso / distribuição limitados e proibido para distribuição). Em particular, os dados pessoais são classificados como informações restritas e, de acordo com o Artigo 9, Cláusula 2 desta Lei, a confidencialidade dessas informações é obrigatória, como resultado do qual o estado estabelece normas e regras obrigatórias para seu processamento. Infelizmente, não com todos os tipos de informações de distribuição limitada, há uma certeza semelhante - por exemplo, até hoje não há classificação legislativa de tipos de segredos, apenas alguns deles podem ser distinguidos: estado, comercial, tributário, bancário, auditoria, médico, notarial, advogado, segredo, segredo comunicações, investigações, procedimentos legais, informações privilegiadas etc. Além das informações de distribuição limitada, no artigo 149- (Artigo 8, Cláusula 4), também existe um classificador de tipos de informações cujo acesso, pelo contrário, não pode ser limitado - por exemplo, atos legais regulamentares, informações sobre as atividades de órgãos estatais, o estado do meio ambiente, etc. .d.
Normas russas para a proteção de dados pessoais
No que diz respeito à consideração de questões de proteção de dados pessoais, deve-se notar que elas permaneceram invariavelmente acentuadas nos últimos anos e cresceram nos mais altos escritórios na Rússia e no exterior, uma vez que dizem respeito a cada um de nós, independentemente da nacionalidade ou posição.
A segurança dos dados pessoais, na interpretação estrangeira da privacidade, está enraizada na garantia dos direitos e liberdades inalienáveis dos cidadãos dos países desenvolvidos - por exemplo, em alguns países europeus, a questão de indicar o nome e o sobrenome daqueles que moram perto de caixas de correio e campainhas era bastante controversa. Com o advento da tecnologia da informação, a proteção de dados pessoais tornou-se ainda mais relevante. Foi assim que surgiu a “Convenção nº 108 do Conselho da Europa sobre a proteção de indivíduos com processamento automático de dados pessoais”, assinada em 1981 e ratificada pela Federação Russa em 2001. Já naquele momento, lançou as bases internacionais para o processamento legítimo de dados pessoais, ainda aplicável hoje: o uso de dados pessoais apenas para determinados fins e dentro de certos períodos, a redundância e relevância dos dados pessoais processados e as peculiaridades de sua transferência transfronteiriça, garantia de proteção de dados direitos de um cidadão - detentor de dados pessoais. No mesmo documento, é dada a própria definição de dados pessoais, que "migra" para a primeira edição da
Lei Federal nº 152 doméstica "Sobre dados pessoais" de 27 de julho de 2006: "dados pessoais" significa qualquer informação sobre uma pessoa singular específica ou identificável. O objetivo da ratificação desta Convenção era cumprir os requisitos regulamentares internacionais após a entrada da Rússia na OMC (Organização Mundial do Comércio), que ocorreu em 2012.
O trabalho conjunto dos países partes na Convenção continua até hoje. Assim, no final de 2018, a Federação Russa, juntamente com outros países participantes, assinou o “
Protocolo nº 223 sobre alterações à Convenção do Conselho da Europa sobre Proteção de Dados Pessoais”, que atualiza a Convenção em termos de resposta aos desafios atuais: proteção de dados biométricos e genéticos, novos direitos indivíduos no contexto da tomada de decisão algorítmica por inteligência artificial, requisitos de proteção de dados já na fase de projeto de sistemas de informação, a obrigação de notificar o supervisor autorizado sobre gan sobre vazamentos de dados. Os cidadãos agora têm a oportunidade de receber proteção qualificada de seus dados pessoais por parte do supervisor, e as empresas russas forçadas a cumprir os requisitos do GDPR europeu (Regulamento Geral de Proteção de Dados, falaremos sobre eles mais adiante) não serão obrigadas a aplicar medidas adicionais de proteção, uma vez que O cumprimento das disposições da Convenção significa que o país-parte fornece um regime legal adequado para o processamento de dados pessoais.
Assim, em 2006, foi adotado o 152- “Sobre dados pessoais”, que não apenas repetiu amplamente os requisitos da Convenção, mas também introduziu definições e requisitos adicionais em relação ao processamento de dados pessoais (doravante - DP). Com o tempo, a Lei Federal foi alterada, sendo que as principais foram introduzidas em 261 a 25/07/2011 e 242 a 21/07/2014. A primeira lei introduziu mudanças significativas nos postulados básicos da proteção contra DP, e a segunda proibiu o processamento primário de DP fora do território da Federação Russa. Observe que o órgão estadual autorizado para proteger os direitos dos sujeitos da DP é o Serviço Federal de Supervisão de Comunicações, Tecnologias da Informação e Comunicações de Massa (Roskomnadzor), subordinado ao Ministério do Desenvolvimento Digital, Telecomunicações e Comunicações de Massa da Federação Russa.
No artigo 152-FZ, as medidas para garantir a segurança dos dados pessoais são tratadas no artigo 19, que também estabelece que os operadores devem garantir níveis de segurança estabelecidos pela Decisão do Governo nº 1119, de 11/01/2012, que é entendida como um conjunto de requisitos que neutralizam certas ameaças à segurança. Para simular essas ameaças, ou seja, Na construção de um modelo de ameaça (doravante - MU) e um modelo do infrator, deve-se confiar nos seguintes atos legais regulatórios:
Além disso, o FSTEC da Rússia em 2015 desenvolveu o projeto “Métodos para identificar ameaças à segurança da informação em sistemas de informação”, que, após sua aprovação, poderá orientar os operadores de sistemas de informação estatais e empresas privadas. Deve-se observar que os sistemas de informação estaduais (doravante referidos como GOSIS) são definidos em 149-FZ (Artigo 13, Cláusula 1) como sistemas federais de informação e sistemas regionais de informação criados com base em leis federais, leis de entidades constituintes da Federação Russa e atos legais órgãos estaduais, a fim de exercer os poderes dos órgãos estaduais e garantir a troca de informações entre esses órgãos, bem como para outros fins estabelecidos pelas leis federais.
O artigo 5 do 152-FZ fala da obrigação dos órgãos estaduais de desenvolver MUs específicas do setor em sua área de responsabilidade. Tais MUs foram desenvolvidos, por exemplo, no Banco Central da Federação Russa (primeiro na forma de RS BR IBBS-2.4, depois na forma da
Portaria no 389-U do
Banco da Rússia ), no Ministério das
Telecomunicações e de Comunicação em Massa da Federação Russa (“
Modelo de ameaças e violador de segurança de dados pessoais processados em padrão ISPD da indústria ”e“
Modelo de ameaças e violação de segurança PDN processado em ISPD especial da indústria ”), pelo Ministério da Saúde da Federação Russa (“
O modelo de ameaças de um IP médico típico de uma instituição médica típica ”).
Em 152-, a obrigação de garantir a segurança dos dados pessoais é atribuída ao operador do sistema de informações pessoais (doravante - ISPD) ou à pessoa que processa os dados pessoais em nome do operador (o chamado "processador"). O PP-1119 fornece medidas organizacionais e técnicas de proteção técnica que devem ser tomadas pelo operador (ou processador) para garantir o nível apropriado de segurança para PD, enquanto a escolha do nível depende da categoria de PD processada (ou seja, tipo ISPD), categoria e número de sujeitos de PD e tipo de ameaças reais.
As categorias de DP podem ser especiais (processamento de informações sobre aspectos críticos da vida do sujeito da DP, como status de saúde, afiliação nacional / racial, crenças políticas e religiosas), biométricas (PD de processamento, caracterizando características fisiológicas e biológicas), públicas (a DP é obtida de fontes públicas ), outro.
As ameaças reais podem ser do 1º tipo (ameaças de usar recursos não declarados no software do sistema são relevantes para o ISPD), do 2º tipo (ameaças de usar recursos não declarados no software de aplicativo são relevantes), do 3º tipo (as ameaças acima não são relevantes).
A escolha do nível de segurança (doravante - KM) dos dados pessoais depende das características acima mencionadas do ISPDn (categorias de PDs processados e do tipo de ameaças relevantes para o ISPD), bem como da categoria de entidades (funcionários do operador ou outras pessoas) e do número de entidades cujos PDNs são processados (mais ou menos de 100.000 entradas). O ultra-som máximo é o primeiro, o mínimo é o quarto.
O PP-1119 oferece uma lista bastante concisa de medidas de proteção contra DP, uma vez que o FSTEC da Rússia determina as medidas detalhadas de segurança: o
Pedido nº 21 de 18/02/2013 aprova a composição e o conteúdo das medidas organizacionais e técnicas para garantir a segurança do PD, e o
Pedido nº 17 de 11/11/2013 regula os requisitos para proteção de informações no Instituto Estadual de Informações do Estado, incluindo a proteção da DP neles. Além disso, o Serviço de Segurança Federal da Federação Russa também emitiu o
Pedido nº 378, de 10 de julho de 2014, que contém uma descrição das medidas de segurança de DP ao usar ferramentas de proteção de informações criptográficas (doravante, CIP).
Considere o primeiro pedido nº 21 . Este documento é dedicado às medidas de proteção de PD para IP não estatal e contém uma lista de medidas específicas para garantir um ou outro KP PD. Na cláusula 4, os operadores de IP não estatais recebem uma isenção na forma de permissão para não usar o SIS certificado na ausência de ameaças reais que eles fecham, e a cláusula 6 do documento estabelece um intervalo de três anos para avaliar a eficácia das medidas implementadas. O Pedido nº 21, assim como o Pedido nº 17, oferece o mesmo algoritmo para selecionar e aplicar medidas de segurança: primeiro, as medidas básicas são selecionadas com base nas disposições da Ordem relevante e, em seguida, o conjunto básico de medidas é adaptado, excluindo as medidas “básicas” irrelevantes, dependendo da a partir dos recursos dos sistemas e tecnologias de informação utilizados. Em seguida, o conjunto básico de medidas adaptado é especificado para neutralizar as ameaças atuais com medidas previamente não selecionadas e, finalmente, o conjunto básico adaptado atualizado é complementado com as medidas estabelecidas por outros documentos legais regulamentares aplicáveis.
O pedido no 21 da cláusula 10 contém uma observação importante sobre a capacidade do operador de aplicar medidas compensatórias quando é impossível implementar medidas técnicas ou se não é economicamente viável aplicar medidas do conjunto básico, o que proporciona alguma flexibilidade na escolha de novas e justifica o uso de equipamentos de proteção já implementados para garantir a segurança dos dados pessoais. Se o operador usa SZI certificado, o regulador na cláusula 12 da Ordem estabelece requisitos para as classes de SZI usado e para equipamento de computador (doravante - CBT).
Firewalls certificados, sistemas de detecção de intrusão, ferramentas de proteção antivírus de informações, ferramentas de inicialização confiáveis, ferramentas de controle de mídia de máquina removível, sistemas operacionais de acordo com os classificadores FSTEC da Rússia (2011-2016) recentemente introduzidos (2011-2016) podem ter classes de 1 (nível máximo de suporte proteção) a 6 (nível mínimo). O CBT pode ser classificado em sete níveis, de acordo com o
documento de orientação da FSTEC na Rússia. Também são feitos requisitos para controlar a ausência de recursos não declarados no software SZI - há quatro níveis de controle. A lista atual do SIS certificado está contida no
registro estadual
de ferramentas de segurança da informação certificadas.
No pedido nº 21, são indicados os seguintes grupos de medidas para garantir a segurança da DP, que devem ser aplicados dependendo do nível de proteção exigido pela DP:
• Identificação e autenticação de assuntos de acesso e objetos de acesso
• Controle de acesso de assuntos de acesso para acessar objetos
• Limite do ambiente de software
• Proteção de portadores de máquinas PD
• Registro de eventos de segurança
• Proteção antivírus
• Detecção de intrusão
• Monitoramento (análise) do PD de segurança
• Garantir a integridade do IP e PD
• Garantir a disponibilidade de DP
• Protegendo ambientes de virtualização
• Proteção de meios técnicos
• Proteção de IP, seus meios, sistemas de comunicação e transmissão de dados
• Detecção e resposta a incidentes
• Gerenciamento da configuração dos sistemas de proteção IS e PD.
A Ordem 17 estabelece os requisitos para garantir a segurança das informações de acesso limitado ao GISIS, enquanto o parágrafo 5 enfatiza que, ao processar PDs no GOSIS, o PP-1119 deve ser seguido. O pedido obriga os operadores GOSIS a usar apenas SZI certificado e a receber um certificado de cinco anos de conformidade com os requisitos de proteção de informações. Este documento pressupõe que os operadores adotem as seguintes medidas para garantir a proteção das informações (doravante - ZI): formação de requisitos para ZI; desenvolvimento, implementação e certificação do sistema IP IP; fornecer ZI durante a operação e durante o descomissionamento. A cláusula 14.3 da Ordem fala da necessidade de criar um modelo de ameaça e sugere o uso do Banco de Dados de Ameaças à Segurança de Dados (
BDU ) da FSTEC na Rússia, sobre o qual falamos em uma publicação
anterior . Para GOSIS, é estabelecida uma classe de segurança (do 1º ao 3º mínimo), que depende do nível de significância das informações processadas e da escala do sistema, onde o nível de significância depende do grau de possível dano às propriedades de segurança (confidencialidade, integridade, disponibilidade) das informações processadas no GISIS , e a escala do sistema pode ser federal, regional ou objeto.
No GISIS da 1ª classe de proteção, a proteção deve ser fornecida contra ações de violadores com alto potencial, no GISIS da 2ª classe - de violadores com potencial não inferior à base reforçada (no NOS, o potencial deles
é chamado de "médio" e no rascunho da Metodologia para determinar ameaças à segurança informações no SI - “básico aumentado”), na terceira classe GISIS - de intrusos com um potencial não inferior ao básico (no NLD esse potencial
é chamado de “baixo”). Como para garantir o IS no GosIS, é permitido usar apenas SZI certificado, o parágrafo 26 da Ordem No. 17 descreve as classes aceitáveis de SZI, SVT e níveis de controle da ausência de NDV, dependendo da classe de GISIS. Na cláusula 27, é feita uma conexão entre a classe de segurança GISIS e os níveis de segurança do PD processados: a implementação dos requisitos das medidas ZI para o GISIS da 1ª classe fornece 1, 2, 3 e 4 níveis de segurança do PD, para a 2ª classe - 2, 3 e 4 ultrassom, para a 3ª classe - ultrassom 3 e 4.
As medidas de segurança da informação no Sistema de Informações do Estado coincidem quase completamente com as medidas do Pedido nº 21 descritas acima, exceto pela ausência de indicações de detecção de incidentes e gerenciamento de configurações.
Essas ações são realizadas após a construção do sistema de segurança, na fase de operação do Sistema de Informação Estatal certificado, juntamente com o gerenciamento do sistema de segurança da informação e o controle sobre a garantia do nível de segurança da informação no Sistema de Informação Estadual.Além da Ordem No. 17, ao implementar medidas ZI apropriadas, também é possível orientar-se pelo documento metodológico do FSTEC da Rússia " Medidas de proteção da informação nos sistemas de informação do estado " , que detalha a composição e o conteúdo de todas as medidas.Despacho do Serviço Federal de Segurança da Federação Russa nº 378estabelece padrões para o uso de uma das seis classes de sistemas de proteção de informações criptográficas para a proteção de dados pessoais: KS1 (mínimo), KS1 (mínimo), KS2, KS3, KV1, KV2, KA1 (máximo). A classe de proteção de informações criptográficas é selecionada dependendo do nível de segurança exigido do PD e do tipo de ameaças reais. Apesar de as classes de proteção de informações criptográficas neutralizarem as ameaças originadas de um certo tipo de intruso com um certo nível de potencial (existem apenas 6 tipos de violadores, de H1 a H6, eles são definidos no modelo do infrator), esta Ordem vincula a classe de proteção de informações criptográficas ao nível de segurança dos dados pessoais , e não às possibilidades dos atacantes. Além de descrever as classes necessárias de proteção de informações criptográficas, este documento contém requisitos administrativos para o operador, como organizar o acesso às instalações (segurança física - instalação de fechaduras, barras), garantir a segurança da mídia PD, aprovação da lista de pessoas,quem tem acesso ao PD.Normas internacionais para a proteção de dados pessoais
Se na Rússia as disputas relativas à aplicação do 152- e os estatutos relevantes não cessarem, na União Europeia os últimos 3 anos trabalharão para implementar e cumprir o GDPR ( Regulamento Geral de Proteção de Dados , Regulamento Geral de Proteção de Dados ). Este documento, desde o momento de sua adoção em abril de 2016 até a data de entrada em vigor em 25 de maio de 2018, bem como no momento, levanta muitas questões e disputas, uma vez que diz respeito a um grande número de cidadãos e empresas em todo o mundo.O antecessor do RGPD na União Europeia foi a Diretiva do Parlamento Europeu e do Conselho da União Europeia 95/46 / CE, de 24 de outubro de 1995, “Sobre a proteção de indivíduos no processamento de dados pessoais e sobre a livre circulação desses dados”. Após a adoção do RGPD, os direitos dos sujeitos da DP expandiram-se significativamente, e as obrigações dos operadores e as penalidades por seu não cumprimento aumentaram significativamente.A definição de DP no próprio RGPD não difere muito do que foi adotado na Convenção do Conselho da Europa e de uma definição semelhante no 152-FZ doméstico: dados pessoais no âmbito do RGPD significam qualquer informação relacionada a uma pessoa identificada ou identificável (titular dos dados pessoais). Pessoa identificável significa uma pessoa que pode ser identificada, direta ou indiretamente, em particular usando identificadores como nome, número de identificação, dados de localização, identificador on-line ou usando um ou mais fatores específicos para aspectos físicos, fisiológicos, o status genético, mental, econômico, cultural ou social dessa pessoa. Assim, a definição de DP inclui não apenas as características usuais, mas também o endereço IP,identificadores de cookies definidos pelo usuário, dados de geolocalização do usuário e outros atributos técnicos.Um novo termo importante no GDPR é "criação de perfil", que significa qualquer forma de processamento automatizado de dados pessoais para avaliar certos aspectos de uma pessoa, em particular para analisar ou prever a capacidade de trabalho de uma pessoa, sua situação material, saúde, preferências pessoais, interesses , comportamento, localização ou movimento.Como no 152-FZ, o GDPR usa conceitos como "processamento de dados pessoais", "processador", "operador" (controlador inglês), "processamento transfronteiriço", "pseudonimização" (despersonalização) e termos universais semelhantes.O escopo das regras do RGPD se aplica a todos os operadores que processam dados pessoais de cidadãos da UE e de outros cidadãos localizados na UE. Além disso, o operador pode não ter um escritório de representação na UE e seus sistemas automatizados também podem estar localizados fora da UE. Exemplos de empresas operadoras da Federação Russa:- um banco russo deve cumprir os padrões GDPR ao processar dados de seus clientes, cidadãos da Federação Russa, quando estão na UE;
- uma loja on-line com registro na Federação Russa que fornece serviços / produtos, inclusive para cidadãos da UE, usa identificadores de cookies e / ou análises de comportamento do usuário em seu site com uma interface nos idiomas da UE, também está sujeita aos padrões do RGPD;
- uma filial de uma empresa russa que opera na UE.
Os padrões do GDPR são baseados em seis princípios básicos:- , — , (.. privacy policy);
- — , , ;
- — , ;
- — , ;
- — ;
- — , , , , , .
O documento não fornece aos operadores instruções detalhadas de proteção, dando-lhes a liberdade de escolher medidas e técnicas. Por exemplo, você deve, sempre que possível, criptografar o PD durante o armazenamento, transmissão e processamento, além de usar algoritmos de pseudonimização. Espera-se que isso reduza os possíveis danos em caso de vazamento, mas o GDPR não fornece condições específicas para a aplicação dessas medidas de proteção. Nesse sentido, a abordagem européia difere da russa, na qual as autoridades estatais regulam claramente as medidas de proteção e as condições de sua aplicação, sem esperar a prudência dos operadores - e, deve-se lamentar, é muito justificado.Além dos princípios descritos acima, as seguintes normas também estão presentes no RGPD:- , , , .. , , , ( );
- (.. Data Protection Impact Assessment);
- - , , , ;
- (privacy by design, .. ) (privacy by default, .. );
- — , ;
- (Data Privacy Officer) , :
- 72- (supervisory authority, Data Protection Authority — ) GDPR- , .. , , , .
Em julho de 2016, foi introduzido o contrato de proteção de privacidade UE-EUA . Este acordo é uma estrutura que define as abordagens das empresas comerciais para um intercâmbio seguro de dados pessoais entre a União Europeia e a América do Norte. O objetivo desse acordo é alinhar os padrões do RGPD para a proteção da DP na UE e os métodos para garantir sua segurança nos EUA. O antecessor dessa estrutura foi o acordo dos Princípios de Privacidade Safe Harbor .(“Princípios de porto seguro para a proteção de dados pessoais”), que entrou em vigor de 2000 a 2015 e confirmou que os métodos para garantir a segurança de dados pessoais nos EUA estão em conformidade com a Diretiva Européia 95/46 / EC “Sobre a proteção de indivíduos no processamento de dados pessoais e de graça” manipulação de tais dados. ” O acordo especificado foi criticado por causa dos fatos revelados do acesso permanente e deliberado à DP para cidadãos europeus pelo governo dos EUA, em particular pela Agência de Segurança Nacional. Isto foi considerado pelo Tribunal Europeu, que decidiu em outubro 2015 decisãoa invalidez dos Princípios de Porto Seguro. Assim, atualmente, as empresas americanas que desejam processar dados pessoais de cidadãos da UE devem cumprir o Escudo de Privacidade UE-EUA. A confirmação da conformidade é realizada na forma de autocertificação voluntária no Departamento de Comércio dos EUA. A empresa operadora deve cumprir os seguintes requisitos básicos , confirmando o nível adequado de proteção de sua DP para os cidadãos da UE:- informar os sujeitos sobre o processamento de seus dados pessoais, o que inclui uma indicação da proteção de dados pessoais de acordo com o Escudo de Privacidade na política da empresa para a proteção de dados pessoais (Política de Privacidade), notificação dos dados pessoais de seus direitos e um lembrete das obrigações da própria empresa no caso de receber uma solicitação legítima de fornecimento de PD pelas autoridades estaduais;
- , 45 , , , Data Protection Authorities ( );
- , Privacy Shield;
- , ;
- , :
- , , — (.. Notice and Choice Principles), ( , , );
- , , .. , — , , , — ;
- Privacy Shield;
- , Privacy Shield.
- , , Privacy Shield, , , 152-.
1. As multas cobradas por violação da legislação russa sobre proteção de dados pessoais são reguladas pelo art. 13.11 Código Administrativo, que prevê sete infrações introduzidas em julho de 2017. Por exemplo, parte 1 do artigo 13.11 do Código Administrativo da Federação Russa pune os operadores pelo processamento de dados pessoais em casos não prescritos por lei ou pelo processamento incompatível com a finalidade de coletar dados pessoais, no valor de até 50 mil rublos. Parte 2 do art. 13.11 do Código Administrativo da Federação Russa prevê punição pelo processamento da DP sem o consentimento do sujeito ou por violações no processo de obtenção desse consentimento, no valor de até 75 mil rublos. Além disso, o não cumprimento das regras de localização de bancos de dados de PD no território da Federação Russa é uma violação do artigo 1242-FZ e do artigo 15.5 do 149-FZ, que ameaça bloquear o acesso aos recursos da Web do infrator da empresa com base em uma decisão judicial.Deve-se ter em mente que uma multa pode ser aplicada por cada fato de violação das normas legislativas. Além disso, um projeto de lei foi recentemente apresentado à Duma do Estado , o que implica a introdução de duas novas ofensas no campo da proteção contra DP - os parlamentares propõem a imposição de milhões de multas por não cumprimento da 242-FZ, ou seja, por se recusar a localizar bancos de dados de PD de russos no território da Federação Russa, bem como por violações repetidas dos requisitos de localização.2. As multas aplicadas pelos reguladores europeus por não conformidade com o RGPD em caso de pequenas violações atingem 10 milhões de euros ou 2% do faturamento anual global da empresa e, no caso de significativas, até 20 milhões de euros ou 4% do faturamento anual global. Ao mesmo tempo, estatísticas decepcionantes já foram resumidas durante o ano de requisitos do GDPR: mais de 200.000 cheques foram realizados contra as operadoras e o valor total das multas é superior a 56 milhões de euros, enquanto 50 milhões de euros são a soma da multa imposta pelo gigante da Internet do Google pelo regulador francês áreas de proteção3. As multas cobradas pela Federal Trade Commission dos EUA para empresas que não cumprem os princípios do Escudo de Privacidade são de até US $ 40 mil por violação, mais US $ 40 mil por cada dia subseqüente de processamento ilegal de dados pessoais após a descoberta de violações.Procedimento de inspeção por Roskomnadzor
Roskomnadzor, o órgão estatal nacional autorizado para a proteção dos direitos dos sujeitos da DP, tem o direito de inspecionar entidades legais e empresários individuais quanto ao cumprimento das disposições da legislação russa no campo da proteção contra a DP. Ao mesmo tempo, as inspeções são realizadas pelo Escritório Central (o plano de inspeção e os relatórios de atividades são publicados no site oficial ) e pelos Departamentos dos Distritos Federais (por exemplo, o site do Distrito Federal Central de Roskomnadzor postou planos e relatórios de atividades nos últimos 10 anos). As inspeções de Roskomnadzor são regulamentadas pelo Decreto do Governo da Federação Russa nº 14413 de fevereiro de 2019, “Aprovação das regras para a organização e implementação do controle e supervisão estatal do processamento de dados pessoais”. De acordo com esta Resolução, as inspeções são agendadas (a prática demonstrou que o regulador verifica grupos de empresas unidas por um atributo comum, por exemplo, por área de atividade), além de não programadas: elas podem ser realizadas em nome do Presidente, do Governo da Federação Russa ou por decisão O chefe de Roskomnadzor, no âmbito da auditoria do promotor, em caso de não cumprimento do regulamento anterior do regulador, bem como no caso de reclamações de indivíduos com DP. Nesse caso, as inspeções não programadas podem ser realizadas apenas no local, e as programadas podem ser documentadas e no local. Ao verificar, o regulador examina documentos regulatórios internos sobre o processamento de PD, inspeciona os locais de armazenamento de PD,requer demonstrar o processamento de DP em sistemas de informação. Como regra, em caso de deficiências, o regulador ordena a eliminação de violações dentro dos prazos e multas especificados pela falta de uma base legal para o processamento de dados pessoais (por exemplo, pela falta de fatos documentados de consentimento de indivíduos particulares), pelo não cumprimento das metas de processamento e volume de dados pessoais, pela falta de necessidade notificações e políticas no site da operadora, sujeitas à coleta de PD nele.pela falta das notificações e políticas necessárias no site da operadora, sujeitas à coleta de PD nele.pela falta das notificações e políticas necessárias no site da operadora, sujeitas à coleta de PD nele.