Das neue Gesetz "Über personenbezogene Daten" verstehen: imaginäre und reale Risiken

2024 Autor: Malcolm Clapton | [email protected]. Zuletzt bearbeitet: 2023-12-17 03:51

Am 1. September treten Änderungen des Gesetzes "Über personenbezogene Daten" in Kraft. Bis zu einem gewissen Grad werden sie alle Bürger Russlands betreffen. MakRadar kontaktierte eine Reihe russischer Anwälte und Vertreter von Internetunternehmen und fand alle Nuancen dieses Gesetzes heraus.

Die Änderungen selbst sind klein, nehmen nur eineinhalb Seiten eines Standard-A4-Blatts ein und können von jedem direkt gelesen werden. Zwei wesentliche Neuerungen:

• Ab dem 1. September müssen alle juristischen Personen, die mit personenbezogenen Daten von Russen arbeiten, Datenbanken auf dem Territorium der Russischen Föderation speichern - auf ihren eigenen oder gemieteten Servern.
• Das automatisierte Informationssystem „Register der Verletzer der Rechte von Personen personenbezogener Daten“wird erstellt.

Personenbezogene Daten - alle Informationen, die sich auf eine bestimmte Person beziehen. Dies können Name, Vorname, Vatersname, Jahr, Monat, Geburtsdatum und -ort, Adresse, Familie, sozialer Status, Vermögensstand, Bildung, Passdaten, Beruf, Einkommen und andere Informationen sein.

Schauen wir uns an, was das oben erwähnte "Register …" ist, welche Risiken das Gesetz für Vertreter der Internetbranche birgt, wie viel es für Unternehmen "kostet", das Gesetz einzuhalten und welche Verantwortung die Zuwiderhandelnden tragen.

Was ist das "Register der Verletzer der Rechte von Personen personenbezogener Daten"

Dieses Register enthält die Namen von Websites und Seiten im Internet, auf denen personenbezogene Daten rechtswidrig verarbeitet werden. Es kann absolut jede Website sein: Online-Shops, Hotels, Fluggesellschaften, Medien und andere. „Da das Gesetz nicht vorschreibt, bei welchen Verstößen die Seiten in dieses Register aufgenommen werden, ist davon auszugehen, dass ein Verstoß gegen das Gesetz über personenbezogene Daten ein solcher Verstoß sein kann“, sagt Daria Sukhik, Senior Associate von Team 29. - Das Verfahren zur Führung des Registers wird von der Regierung der Russischen Föderation festgelegt. Bemerkenswert ist, dass eine Site oder eine Seite nur aufgrund eines in Kraft getretenen Gerichtsbeschlusses in dieses Register eingetragen werden kann, der einen Rechtsverstoß bei der Verarbeitung personenbezogener Daten feststellte."

Verarbeitung personenbezogener Daten - Vorgänge mit personenbezogenen Daten, wie zum Beispiel: Erhebung, Sammlung, Speicherung, Klärung, Aktualisierung, Änderung, Verwendung, Verbreitung, Übertragung, Entpersönlichung, Sperrung und Vernichtung.

Wer fällt unter das Gesetz

Fernabsatzunternehmen, Transportunternehmen, Reiseveranstalter und Buchungssysteme, Personalvermittlungsagenturen, Telekommunikationsanbieter, Banken und Zahlungssysteme. Laut dem Treffen zwischen RAEC, der Russisch-Britischen Handelskammer, und Roskomnadzor im Juli sind mehr als 54 % der IT-Unternehmen bereit, alle gesetzlichen Anforderungen zu erfüllen, weitere 27 % sagten, sie seien teilweise bereit, 19 % waren es nicht komplett fertig. Als Hauptschwierigkeiten bei der Umsetzung des Gesetzes wurden finanzielle Probleme und mangelnde technische Kapazitäten genannt.

Hauptrisiken für das Geschäft

„Wir sehen keine wesentlichen Risiken für das Geschäft“, sagt Senior Legal Counsel der OZON Group. Yana Barash … "Die Bestimmungen zur grenzüberschreitenden Übermittlung personenbezogener Daten bleiben von den Änderungen unberührt, daher wird die Übermittlung personenbezogener Daten russischer Staatsbürger an ausländische Dienstleister weiterhin möglich sein." Kirill Mityagin, Partner von Nevsky IP Law, glaubt: „Das Hauptrisiko besteht darin, die gesetzlichen Anforderungen an die Betreiber und die Regeln für die Verarbeitung personenbezogener Daten nicht zu verstehen. Reichen Sie beispielsweise keine Anzeige über die Aufnahme in das Roskomnadzor-Register ein (zum 31. Juli 2015 gibt es mehr als 330 Tausend Betreiber im Register) oder begehen Sie keine Verstöße bei der Verarbeitung personenbezogener Daten, die den Beginn von zivilrechtlichen, verwaltungsrechtliche und sogar strafrechtliche Verantwortlichkeit."

Potenzielle Bedrohungen für normale Internetnutzer

Die Hauptbedrohung für den durchschnittlichen Benutzer besteht darin, dass seine Lieblingsressource die Kosten für den Schutz personenbezogener Daten möglicherweise nicht tragen kann und geschlossen wird. „Die Einhaltung der Gesetze verteuert unser Projekt um 45%“, sagt der Geschäftsführer des Dienstes. Oleg Gribanov … - Dies sind unvermeidliche Kosten, wenn wir das Gesetz einhalten wollen, und wir werden es in keinem Fall verletzen. Ich kann nicht sagen, wie viel wir für den Kauf und die Miete von Servern und die Ausbildung von Personal für die Arbeit ausgeben werden, dies ist ein Geschäftsgeheimnis “. "Heutzutage können Server zu Preisen zwischen 40 und 600 Tausend Rubel gekauft werden, aber ein mehr oder weniger hochwertiges Produkt kostet definitiv mehr als hunderttausend, außerdem hängt die Wahl von der Menge der gespeicherten Daten ab." erklärt Alexander Trifonov, Chefexperte des Rechtsdienstes. - Es besteht auch die Möglichkeit, einen Server zu mieten, Angebote beginnen bei fünf bis sechstausend Rubel, so dass eine solche Budgetoption für Unternehmen geeignet ist, die nicht bereit sind, sofort mehrere Hunderttausend auszugeben."

Der Schutz personenbezogener Daten ist eine Reihe von administrativen Maßnahmen und technischen Schutzmethoden, um der unbefugten Verwendung personenbezogener Daten entgegenzuwirken.

Verantwortung für die Nichteinhaltung des Gesetzes "Über personenbezogene Daten"

Die Nichteinhaltung des Datenschutzrechts wird straf- und verwaltungsrechtlich verfolgt. „Für den illegalen Zugriff auf rechtlich geschützte Computerinformationen ist die Haftung nach Art. 272 des Strafgesetzbuches der Russischen Föderation, - sagt der Geschäftsführer der Firma "YurPartner" Anton Tolmachev … „Aber das ist schwere Artillerie. Häufiger ist ein Verstoß gegen das Gesetz "Über personenbezogene Daten" eine Ordnungswidrigkeit, beispielsweise gemäß Artikel 13.14 des Verwaltungsgesetzbuchs der Russischen Föderation "Offenlegung von Informationen mit eingeschränktem Zugang" oder Artikel 13.12 "Verstoß gegen Informationsschutzvorschriften".." „Jetzt trägt das Unternehmen die administrative Verantwortung für die Verletzung des Verfahrens zur Verarbeitung personenbezogener Daten in Form einer Geldstrafe von 5 bis 10 Tausend Rubel (Artikel 13.11 des Gesetzes über Ordnungswidrigkeiten der Russischen Föderation) und für die Verletzung von Informationsschutzanforderungen - von 10 bis 15 Tausend Rubel (Teil 6 von Artikel 13.12 des Verwaltungsgesetzbuches RF) ", - erklärt Kirill Mityagin, Partner von Newsky IP Law.

Die Staatsduma der Russischen Föderation plant, das Verwaltungsgesetzbuch zu ändern. Die Mindeststrafe beträgt 50.000 Rubel und die Höchststrafe 300.000 Rubel.

Erfahrungen anderer Länder beim Schutz personenbezogener Daten

In den EU-Ländern ist der Schutz personenbezogener Daten durch die Richtlinie 95/46 / EG (1995) und eine Reihe nachfolgender Dokumente geregelt, aber nach dem Fall Snowden wurde klar, dass die Gesetzgebung im Bereich des Schutzes personenbezogener Daten eine größere Veränderung. Die EU-Länder schaffen jetzt eine Datenschutz-Grundverordnung. Es umfasst Konzepte wie: Verarbeiter und Empfänger personenbezogener Daten, persönliche Kennung, Online-Kennung. Es wird das Konzept der „sensiblen Daten“eingeführt, das humangenetische und biometrische Daten und vieles mehr umfasst.

Zusammenfassung

Fast alle Länder der Welt sind mittlerweile an einer Gesetzesänderung im Bereich der Regulierung der Verarbeitung und des Schutzes personenbezogener Daten beteiligt. Dass Russland an vorderster Front steht, ist nichts weiter als ein Zufall. Die Besonderheit des russischen Ansatzes ist jedoch immer „das Gesetz des Staates“, während es in westlichen Ländern die Menschenrechte sind. Daher die Befürchtungen, dass das neue Gesetz in erster Linie geschaffen wurde, um das Handeln der Bürger zu kontrollieren und nicht um ihre persönlichen Daten zu schützen.