개인 데이터에 관한 연방법이 공식적으로 발표된 날짜입니다. 개인정보 보호

알렉세이 콘드라토프
공동 창립자 겸 이사 법무 부서서비스 홈페이지, 개인정보 보호 분야 전문기업, 법적 지원스타트업과 사법적 보호사업.

교육: 법학부포메라니안 주립 대학. 이전에는 Iski Online에서 CEO로 근무했습니다.

2017년 7월 1일부터 다음과 같이 변경됩니다. 러시아 코드행정 위반. 법률 No. 152-FZ "개인 데이터 보호에 관한" 위반에 대한 처벌 금액이 인상되었으며 일부 문구가 변경되었습니다. 새로운 규칙으로 인해 많은 웹사이트 소유자는 자신의 리소스가 법을 준수하는지 걱정하게 되었습니다. 그것을 알아 내려고 노력합시다.

약간의 배경 정보부터 시작해 보겠습니다. 152-FZ - 러시아 최초 현대법개인 데이터에 대해. 2000년부터 개발을 시작해 2006년 7월 27일부터 시행됐다. 법의 주요 조항은 어떤 목적으로든 자신에 관한 정보 처리에 대한 개인의 의무적 동의였습니다. 152-FZ를 개발하는 동안 개인 데이터 주체와 개인 데이터 운영자라는 두 가지 새로운 용어가 도입되었으며, 이 용어는 오늘날에도 여전히 법에서 사용됩니다. 대상은 특정 정보를 이용하여 신원을 확인할 수 있는 사람인 것으로 추측하기 쉽습니다. 운영자는 주체의 개인 데이터에 접근할 수 있는 개인이거나 법인일 수 있습니다. 마지막 정의이는 우리에게 매우 중요하므로 좀 더 자세히 살펴보겠습니다.

법률 152-FZ에 따르면 누가 개인 데이터 운영자로 간주됩니까?

장기 국가 권력그리고 지방자치단체, 법원, 교육 및 의료기관, 고용주, ​​개인 서비스를 제공하는 모든 회사 및 조직: 은행, 법률 회사, 운영자 이동통신, 건설 회사, 인터넷 리소스는 다양한 수준으로 사람들의 개인 정보에 접근할 수 있기 때문에 모두 개인 데이터의 운영자입니다.

귀하의 사이트에는 어떤 개인 사용자 데이터가 포함될 수 있나요?

대부분의 경우 개인 데이터(PD)는 다음과 같이 이해됩니다.

• 성,
• 나이,
• 출생지,
• 사진,
• 거주지 주소,
• 전화 번호.

개인 데이터에는 다음 정보도 포함됩니다.

• 결혼상태에 대해,
• 종교적, 철학적, 정치적 견해,
• 친밀한 삶,
• 건강 상태.

익명화된 개인 데이터 및 자동으로 수집되는 정보:

• 이메일,
• IP 주소,
• 위치정보,
• 쿠키.

사이트에는 어떤 형태의 개인정보 수집이 있나요?

• 등록 양식.
• 주문 양식.
• 형태 피드백.
• '콜백 요청' 버튼.
• 이메일 뉴스레터 구독 양식입니다.

2017년 7월 1일 변경 후 벌금 금액

품번	가능한 위반	벌금액수
행정범죄법 제13.11조 1부	사이트 방문자에게 문서 스캔을 요청합니다. 고객의 동의 없이 SMS, 이메일을 배포하는 행위. 사이트의 양식에 데이터를 입력하는 목적과 관련하여 사용자에게 잘못된 정보를 제공합니다.	물리적인 경우 명 - 최대 3조 법인의 경우 명 - 최대 50t.r.
제13.11조 행정범죄법	IP 주소 및 쿠키를 포함한 모든 개인 데이터를 처리, 수집 및 저장합니다. 전자 서명사용자. 문서 "개인정보 보호정책" 및 " 사용자 계약». 초안 작성 오류로 인해 발생할 수 있는 법적 요구 사항을 준수하지 않는 문서입니다. 사용자가 사이트를 처음 방문할 때 면책 조항이 없습니다.	물리적인 경우 명 - 최대 5조 법인의 경우 명 - 최대 75 tr.
행정법 제13.11조 제3부	결석 무료 이용각 사이트 방문자의 개인정보 보호정책을 참조하세요.	물리적인 경우 명 - 최대 1.5조 개인 기업가의 경우 - 최대 10tr. 법인의 경우 명 - 최대 30 tr.
행정법 제13.11조 제4부	사용자의 요청에 대해 거부, 무시 또는 거짓말을 하는 행위 전체 정보그의 개인 데이터가 어떻게 저장되고 처리되는지에 대해.	물리적인 경우 명 - 최대 2조 개인 기업가의 경우 - 최대 15조 법인의 경우 명 - 최대 40tr.
행정법 제13.11조 5부	사용자의 요청에 따라 PD를 공개 액세스에서 제거하는 것을 거부합니다. 기타 정보주체의 동의철회권을 침해하는 행위 개인 데이터 처리.	물리적인 경우 명 - 최대 2조 개인 기업가의 경우 - 최대 20tr. 법인의 경우 명 - 최대 45조
제6부 행정 위반 규정 13.11조	해커 공격, 제3자에 의한 데이터베이스 해킹, 사용자 개인정보 유포.	물리적인 경우 명 - 최대 2조 개인 기업가의 경우 - 최대 20tr. 법인의 경우 명 - 최대 50 tr.

범죄를 저지르면 벌금이 추가됩니다. 추가 조치자원 차단 및 위반자 체포를 포함한 처벌.

어떻게 작동하나요?

위반 사항을 확인하기 위해 Roskomnadzor는 예정된, 예정되지 않은(시민의 요청에 따라) 현장 검사 및 문서(문서 요청 시) 검사를 실시합니다. 예를 들어, 2016년 조사 중 탐보프 시는 법률 사무소» 없이 피드백 양식을 게시하면 벌금이 부과됩니다. 첨부서류, 그리고 2017년 겨울에는 아스트라한의 몇몇 현장에서 유사한 위반으로 벌금이 부과되었습니다.

벌금 및 웹사이트 차단을 피하는 방법: 5단계

1. 데이터베이스를 다음으로 마이그레이션 러시아 서버. 이는 법률 N149-FZ "정보에 관한" 요구 사항입니다. 정보 기술정보 보호에 관한 것입니다." 법률을 위반하면 자원이 차단될 수 있습니다. 예를 들어 사업 회사가 러시아에서 활동을 중단했습니다. 소셜 네트워크링크드인.
2. "개인정보 처리방침"과 "이용약관"이라는 두 가지 문서를 작성합니다. 그것을 참고 공모개인정보 보호정책 문서를 대체합니다. 문서에 사실과 내용이 포함되지 않는 것이 매우 중요합니다. 법적 오류. 이 일을 맡기는 것이 가장 좋습니다 전문 변호사. 법 제9조에서는 가상문서는 다음의 문서와 동일하다고 규정하고 있습니다. 종이에, 그래서 안돼 실제 문서필요하지 않습니다.
3. 개인 데이터 처리에 동의하는 양식과 사이트의 개인 데이터 수집을 위한 모든 필드에 필수 확인란을 연결합니다.
4. 사이트의 모든 사용자가 "개인 데이터 처리 정책"이 포함된 페이지를 읽을 수 있는지 확인하십시오.
5. 종이를 보내고 이메일 알림로스콤나조르에게 정해진 형태로– Roskomnadzor 웹사이트에서 찾을 수 있습니다. 법 제22조에 따라 이 단락은 필수입니다.

당신이 의심한다면 법적 역량또는 형식적인 절차에 많은 시간을 소비하고 싶지 않다면 문제에 대한 더 간단하고 실용적인 해결책인 서비스가 있습니다. 이는 귀하의 웹사이트와 비즈니스를 위한 간단하고 저렴하며 빠른 솔루션입니다.

우리가 제공하는 제안 중에서 귀하에게 꼭 맞는 것을 확실히 선택할 수 있을 것입니다. 문제 해결을 미루고 싶지 않다면 지금 바로 해결할 수 있습니다. 신흥 법적 문제지원팀에 전화하여 문의하실 수 있습니다. 8 800 100 43 45 또는 아래 댓글 양식에 기재해주세요.

개발과 함께 디지털 기술많은 조직이 고객 개인 데이터를 저장하고 처리하는 문제에 직면해 있습니다. 통과된 법률개인 데이터에 대한 보호는 개인 정보가 다양한 정부 및 상업 구조에서 저장되거나 사용되는 순간 시민의 권리와 자유를 보장하기 위한 것입니다.

연방법 152 FZ의 간략한 개요

법은 개인 데이터를 정의하며, 이는 개인을 식별하는 데 도움이 되는 일련의 정보입니다.

이러한 유형의 정보는 다음과 같습니다.

• 성명;
• 생년월일
• 주소 ;
• 소득에 관한 정보;
• 사회적 지위에 관한 정보;
• 개인 전화번호
• 교육에 관한 정보;
• 은행 세부정보;
• 계정 접근 데이터;
• 개인 서신;
• 생체인식 지표.

모든 양식에는 다음 정보가 포함되어야 합니다.

• 성명;
• 전체 주소;
• 신분증 번호;
• 발행일;
• 신분증을 발급한 당국;
• 운영자의 성명;
• 등록 주소
• 처리 목적 개인정보;
• 처리 대상이 되는 개인정보 목록
• 제공된 정보를 사용하여 수행할 모든 작업 목록
• 처리 계약 기간
• 계약을 철회하는 방법;
• 주제의 서명과 이니셜.

주체가 무능력한 경우 그의 법적 대리인은 처리를 위해 그의 개인 데이터를 제공할 수 있습니다.

위반에 대한 책임

많은 법률에는 개인 데이터 처리 및 배포 위반에 대한 조항이 포함되어 있습니다. 위반자에 대한 영향의 주요 척도는 지불입니다. 금전적 벌금. 그러나 각각의 나열된 법률다른 제재도 있습니다.

행정 위반 코드	위에서 이미 언급했듯이 혁신은 행정 위반에 대한 벌금 규모에 영향을 미칩니다. 최소 금액벌금은 1,500 루블입니다. 개인용. 가장 큰 금액이 될 것입니다. 법인 75,000 루블에 달합니다.
형법	다음과 같은 데이터 수집 또는 배포의 불법 처리에 대한 형법: 에 대한 정보 은둔; 개인 또는 가족의 비밀; 개인 서신. 책임은 최대 300,000 루블의 벌금 형태로 제공됩니다. 강제 노동또는 최대 4년의 징역.
민법	피해를 입은 주체는 자신의 개인정보 처리 위반과 관련하여 발생한 정신적, 육체적 피해 및 손실에 대한 보상을 법원에 청구할 수 있습니다. 법원은 보상 금액을 독립적으로 결정하지만 이 금액에는 제한이 없습니다.
노동법	이를 위반한 경우, 근로자는 고용주로부터 견책 또는 견책을 받을 수 있습니다. 발생한 피해 정도에 따라 해당 직원은 해고될 수 있습니다. 머리에는 모든 권리직원을 해고하다 자신의 주도권, 법률에 의해 보호되는 비밀이나 다른 직원의 개인정보와 관련된 정보를 공개한 경우.

비디오: 러시아 연방의 개인 데이터에 관한 법률: 사용자 보호 또는 완전한 통제?

안에 다시 한 번개인정보 처리에 대한 책임을 강화합니다. 2017년 7월 1일부터 러시아 연방 행정범죄법 제13.11조의 새로운 버전이 발효됩니다. 위반 목록이 더욱 상세해졌고 벌금 규모도 최대 75,000루블까지 크게 늘어났습니다. 위반으로부터 자신을 보호하는 방법에 대한 기사를 읽어보십시오.

개인정보 침해에 대한 책임

변경 사항은 직원 및 개별 계약자의 개인 데이터 처리에 관여하는 모든 고용주에게 예외 없이 영향을 미칩니다. 또한 개정안은 개인의 개인 데이터와 상호 작용하는 거의 전체 비즈니스 커뮤니티(예: 방문자의 개인 데이터를 수집하는 웹 사이트 소유자)에 적용된다고 말할 수 있습니다. 7월 1일부터 입법자는 행정범죄법 제13.11조(2017년 2월 7일자 연방법 No. 13-FZ)를 개정합니다.

• 법인의 경우 - 5,000 ~ 10,000 루블;
• 공무원의 경우-500 ~ 1,000 루블.

아래 표에는 2017년 7월 1일부터 위반 사항 목록과 이에 대한 새로운 벌금 금액이 나와 있습니다.

위반 유형	벌금액수
	법인의 경우	공무원을 위한
그렇지 않은 경우의 개인정보 처리 법률로 규정, 또는 개인 데이터 수집 목적과 양립할 수 없는 처리*.	30,000 ~ 50,000 루블.	5,000에서 10,000 루블.
처리를 위해 개인정보 주체의 서면 동의 없이 개인정보를 처리하는 행위*	15,000 ~ 75,000 루블.	10,000에서 20,000 루블.
개인정보 주체의 처리에 대한 서면 동의에 반영된 정보 구성 요건을 위반하여 개인정보를 처리하는 행위	15,000 ~ 75,000 루블.	10,000에서 20,000 루블.
개인 데이터 처리, 저장 및 제공 분야에 대한 법적 요구 사항을 운영자가 위반한 경우	15,000에서 50,000 루블.	3,000 ~ 10,000 루블.

*제공되지 않은 경우 형사 책임

개인 데이터 분야의 행정 범죄 사건을 개시하는 권한은 검사에서 Roskomnadzor로 이관되었습니다. 공소시효 행정적 책임- 위반일로부터 3개월(러시아 연방 행정법 제4.5조 1항) 프로토콜 사용 행정 위반 Roskomnadzor의 직원입니다 (러시아 연방 행정법 위반 조항 58, 2 부, 28.3 조).

또한 노동 감독관은 노동법에 규정된 개인 데이터 작업 규칙을 위반한 경우(예: 회계사가 직원의 정보를 불법적인 목적으로 사용하거나 분실한 경우) 처벌할 권리가 있습니다. 처벌 - 1000 ~ 5000 루블의 벌금 반복 위반-10,000 ~ 20,000 루블의 벌금. 또는 1년에서 3년 사이의 자격 박탈(러시아 연방 행정법 제5.27조 1, 2항).

개인 데이터에 대한 책임 제한 법령 노동법- 위반일로부터 1년(러시아 연방 행정법 제4.5조 1항) 행정적 책임 외에도 개인 데이터 처리 분야의 위반은 징계, 재정적, 심지어 형사적 책임까지 초래할 수 있습니다.

실습 상황: 7월 1일부터 변경되는 사항

예시 1. 공식적인본인의 동의 없이 계약에 따른 급여, 상여금, 보수를 공개하고 채무자의 데이터를 법률 사무소작곡하다 주장 진술또는 그 사람의 진술서 사본을 다른 진술서 샘플과 함께 스탠드에 샘플로 올려 놓았습니다. 2017년 7월 1일부터 Roskomnadzor 검사관은 해당 개인의 서면 동의 없이 개인 데이터를 공개하는 등의 위반을 인정했습니다. 서면 동의, 위반 사항이 발행되어 다음에 대한 해결책이 발행됩니다. 행정 위반벌금을 부과하십시오 : 기관의 경우-15,000 ~ 75,000 루블, 공무원의 경우-10,000 ~ 20,000 루블. (러시아 연방 행정법 위반 조항 13.11의 2부).

예시 2.회계사가 직원에게 급여 명세서, 증명서, 정보를 제공하지 않았습니다. 보험 경험개인에 대한 개인 정보가 포함된 기타 문서. 2017년 7월 1일부터 Roskomnadzor 검사관은 이러한 위반을 개인의 개인 데이터를 은폐하는 것으로 분류하고 벌금을 부과합니다. 기관의 경우 20,000~40,000 루블, 회계사의 경우 4,000~6,000 루블입니다. (러시아 연방 행정법 위반 조항 13.11의 4부).

예시 3.공무원은 개인의 새로운 여권 데이터, 은행 정보 또는 기타 변경 정보 처리를 거부했습니다. 이러한 위반에 대해 검사관은 기관에 25,000 ~ 45,000 루블, 공무원에게 4,000 ~ 10,000의 벌금을 부과할 수 있습니다. 루블.

예시 4.해당 공무원이 부주의하게 서류작업을 하고, 테이블 위에 증명서를 방치하거나 직장에서 증명서를 가져가는 등의 이유로 해당 직원의 개인정보가 다른 사람에게 알려지게 된 경우, 급여명세서, 개인 데이터가 포함된 기타 문서 또는 이러한 문서를 분실했습니다. 2017년 7월 1일부터 Roskomnadzor 검사관은 이러한 위반을 개인 데이터를 명확히, 차단 또는 파기하고 벌금을 부과하라는 개인의 요청을 준수하지 않는 것으로 분류합니다. 기관의 경우 - 25,000 ~ 50,000 루블, 회계사의 경우 - 4,000 ~ 10,000 루블. (러시아 연방 행정법 제 13.11조 6항).

실시예 5.해당 공무원은 직원의 이름, 주소, 전화번호 및 기타 데이터를 광고 목적으로 활동하는 조직, 추심 대행사 또는 기타 제3자에게 전송합니다. 2017년 7월 1일부터 Roskomnadzor 검사관은 법률에 의해 제공되지 않고 개인 데이터 수집 목적에 부합하지 않는 경우 개인 데이터 처리와 같은 위반에 대한 자격을 부여하며 해당 기관에 30,000에서 최대 30,000까지의 벌금을 부과합니다. 50,000 루블 및 회계사-5,000에서 10,000 문지름. (러시아 연방 행정법 위반 조항 13.11의 1부).

기타 책임 유형에 대하여

에게 징계 책임기관장은 개인 데이터 작업 규칙을 준수해야 하지만 이를 위반한 직원을 위반한 경우 재판에 회부할 수 있습니다(러시아 연방 노동법 제192조). 을 위한 징계 위반관리자는 직원을 처벌하고, 질책하고, 질책하고 심지어 해고할 수도 있습니다(러시아 연방 노동법 제 192조 1항).

위반으로 인해 기관에 손해가 발생한 경우 직원의 재정적 책임이 발생할 수 있습니다 (러시아 연방 노동법 제 238 조). 예를 들어, 개인정보 처리 책임자는 직원의 개인정보를 인터넷에 유포했고, 이에 대해 고용주를 상대로 다음과 같은 소송을 제기했습니다. 금전적 보상"각각 50,000루블." 이 경우 관리자는 제한된 재정적 책임과 전체 재정적 책임을 모두 부과할 수 있습니다.

가장 끔찍한 유형의 책임은 범죄입니다. 이후에 올 수도 있다 불법 행위:

• 직원의 개인 또는 가족 비밀을 구성하는 사생활에 관한 정보를 직원의 동의 없이 수집 또는 유포하는 행위
• 직원에 관한 정보 배포 대중 연설, 공개적으로 표시된 작품 또는 미디어.

개인정보를 보호하는 방법

개인 데이터를 보호하고 이에 대한 접근을 제한하기 위해 고용주는 높은 품질과 데이터를 보장해야 합니다. 현대 시스템그들의 보호. 정확히 어떻게 해야 하나요?

각 고용주는 이 문제를 독립적으로 결정합니다. 공무원은 처리 중 개인 데이터의 보안을 보장하기 위한 조치를 승인했습니다(2006년 7월 27일 법률 No. 152-FZ 제19조 및 요구 사항, 결의로 설립 2012년 11월 1일자 러시아 연방 정부 No. 1119). 공격자는 정보를 파기, 변경, 차단, 복사하여 제3자에게 제공할 수 있습니다. 때로는 나쁜 의도가 없는 사람들이 실수로 무단 액세스를 얻는 경우도 있습니다. 그러나 이것이 개인 데이터 보안에 대한 위협을 배제하는 것은 아닙니다.

데이터베이스의 개인 정보에 대한 무단 접근을 방지하기 위한 조치를 취하십시오.

1. 직원의 컴퓨터 접근을 제한합니다.

2. 개인 비밀번호 시스템을 입력하세요. 주기적으로 변경해야 합니다.

3. 디스크와 기타 저장 매체를 잠긴 캐비닛에 보관하십시오.

4. 정보보호 절차를 확립합니다.

개인 데이터 처리에 관한 규정

고용주는 직원의 모든 개인정보를 자신에게서만 얻을 수 있습니다. 기관은 직원의 업무와 직접적으로 관련되지 않은 정보를 수집할 권리가 없습니다. 따라서 관리자는 직원들에게 종교, 정치적 성향, 성향 등에 관한 정보를 공개하도록 강요해서는 안 됩니다. 생활 조건등. 이 모든 것은 개인 또는 가족의 비밀시민 (러시아 연방 노동법 제 4 항 1 부, 제 86 조, 2006 년 7 월 27 일 제 10 조, 법률 No. 152-FZ).

개인 데이터를 받은 고용주는 이를 직원의 동의 없이 제3자에게 배포하거나 공개하지 않을 것을 약속합니다(2006년 7월 27일 제7조, 법률 No. 152-FZ). 정보유출을 방지하기 위해 보안시스템을 구축하세요. 정보 수신, 처리, 전송 및 저장 절차는 직원의 개인 데이터 작업에 관한 규정 등 현지 법률에 명시되어 있습니다.

규정은 기관장의 승인을받습니다. 직원들에게 서명 조항(러시아 연방 노동법 제86조 8항, 1부, 86조)을 숙지시키십시오. 관리자는 개인 데이터 작업을 담당할 사람을 결정합니다(러시아 연방 노동법 제88조 5항). 실제로 이러한 작업은 직원의 개인 데이터를 가장 자주 다루기 때문에 인사 부서 직원과 회계 담당자에게 급여 회계사에게 맡겨집니다.

직원 동의 없이 데이터 처리

때로는 직원의 동의 없이 개인 데이터를 처리하는 것이 가능합니다. 예를 들어, 단체협약에서 직접 규정한 경우와 지역 행위기관(2012년 12월 14일자 Roskomnadzor의 설명).

또한 법률에 따라 개인정보 처리가 규정되는 경우에는 개인정보 처리에 대한 개인의 동의를 얻을 필요가 없습니다. 이러한 경우에는 다음 기관으로의 정보 전송이 포함됩니다.

• 러시아 연방 연금 기금(1996년 4월 1일자 법률 No. 27-FZ 제9조);
• 세무 조사관(러시아 연방 조세법 제24조);
• 군사위원회(1998년 3월 28일자 법률 No. 53-FZ 제4조);
• 기타 기관(예: 법원, 검찰청, 근로감독등.).

또한, 개통 및 서비스 시 개인정보를 은행으로 전송하기 위해 직원의 동의를 요구하지 않습니다. 결제 카드급여의 경우:

• 릴리스 계약이 체결된 경우 은행 카드직원과 직접 체결되었으며 계약에는 직원의 개인 데이터를 은행으로 이전하는 것이 명시되어 있습니다.
• 조직이 계약을 체결할 때 직원의 이익을 대표하기 위해 위임장을 발행한 경우 신용 기관은행 카드 발급 및 후속 유지 관리
• 적절한 보상 형태와 체계가 규정되어 있는 경우 단체협약기관 (2012년 12월 14일자 Roskomnadzor 설명의 4항 10항).

개인 데이터에는 명확하게 식별하기에 충분한 모든 정보가 포함됩니다. 개인그리고 그에 대한 정보를 얻으세요 추가 정보. 개인 데이터를 다루는 모든 조직은 정보 시스템을 보호하고 이러한 시스템이 법적 요구 사항을 준수하는지 확인하는 문서를 확보해야 합니다.

정의

• 개인 데이터- 직접 또는 간접적으로 식별되거나 식별 가능한 개인(개인 데이터의 대상)과 관련된 모든 정보
• 개인정보 운영자- 정부 기관, 지방자치단체, 독립적으로 또는 다른 사람과 공동으로 개인 데이터 처리를 조직 및/또는 수행할 뿐만 아니라 개인 데이터 처리 목적, 처리할 개인 데이터의 구성, 조치( 개인 데이터로 수행되는 운영)
• 개인정보 처리- 자동화 도구를 사용하거나 그러한 수단을 사용하지 않고 개인 데이터에 대해 수집, 기록, 체계화, 축적, 저장, 명확화(업데이트, 변경), 추출, 사용, 개인 데이터의 전송(배포, 제공, 액세스), 개인화, 차단, 삭제, 파기.

러시아에 이 법이 필요한 이유는 무엇입니까?

개인정보보호법을 제정한 이유는 개인정보 보호에 대한 장벽을 제거해야 하기 때문입니다. 국제 무역유럽연합 국가들과 함께. 거래 시 종종 필요한 개인 데이터의 교환은 전송 및 수신된 정보에 대한 적절한 보호를 제공할 수 있는 국가 간에만 가능합니다. 비교를 위해 노르웨이와 프랑스에서는 19세기 말에 유사한 법률이 도입되었습니다. 2005년 가을 주 두마개인 데이터의 자동 처리와 관련된 개인 보호에 관한 유럽 평의회 협약을 비준했습니다.

법률에 따라 개인 데이터가 저장되고 처리되는 각 정보 시스템에는 해당 데이터의 보호가 보장되는 등급이 지정되어야 합니다. 또한 정보 시스템은 표준이거나 특별할 수 있으며, 후자는 운영을 위해 필수 라이센스가 필요합니다. 예를 들어, 특수 시스템은 건강 상태에 대한 정보를 포함하는 시스템과 다음을 생성하는 결정이 내려지는 시스템으로 간주됩니다. 법적 결과. 즉, 만약 그러한 데이터가 정보 시스템, 또는 그 분석 및 처리는 개인정보 주체의 생명이나 건강에 영향을 미칠 수 있습니다. 특수 정보 시스템의 클래스는 규제 기관의 규제 및 방법론 문서에 따라 개인 데이터 보안에 대한 위협 모델을 기반으로 결정됩니다.

법이 어떻게 승인되고 변경되었는지

개인정보의 해외 서버 이전을 제한할 예정

2015년 9월 1일, 연방법 제 242호에 명시된 조항이 러시아에서 발효되었습니다. 이는 개인 데이터 운영자가 러시아 연방 영토에 위치한 데이터베이스를 사용하여 러시아인의 개인 데이터를 처리하고 저장하도록 의무화하는 것입니다. 이 조항에 사용된 특정 용어와 공식이 허용한다는 사실로 인해 다양한 해석, 방송통신부가 이에 대한 설명을 준비했습니다. 설명 목록은 다음에서 확인할 수 있습니다.

2006-2010

2006년 7월, 연방법 No. 152-FZ "개인 데이터에 관한"이 채택되었습니다. 이 법은 2007년 1월부터 시행됐다.

법을 준수하는 데 방해가 되는 것은 무엇입니까?

첫째, 기술적인 문제가 심각한 장애이다. 암호화(암호화) 수단 사용 의무가 해제되었음에도 불구하고 새 버전법에 따라 운영자는 시스템 등급에 따라 일련의 기술적, 조직적 보호 조치를 사용해야 합니다. 또한 적절한 보호를 조직하기 위해 대부분의 경우 회사는 차량을 거의 완전히 갱신해야 합니다. 기술적 수단. 전문 기업이거나 적절한 직원을 보유한 회사는 계약자 및 직원에 대한 개인 데이터를 포함하여 기업 정보를 보호하기 위해 보안 시스템을 독립적으로 구현할 수 있습니다. 어떤 이유로든 보안 문제를 자체적으로 처리하고 싶지 않은 다른 회사는 전문 기업. 그러나 궁극적으로 보호 장비의 선택은 비용을 지불하는 사람의 몫이며 경제와 안보의 전쟁은 불가피합니다. 연방법 152의 공식 요구 사항을 충족한다고 해서 보장되는 것은 아닙니다. 진정한 보호 기밀 정보, 개인 데이터를 포함하여 유출 및 기타 내부 위협으로부터 보호됩니다.

둘째, 인증에 문제가 있습니다. 실제로 법률의 관점에서 볼 때 초점은 보안 자체가 아니라 표준에 정의된 대로 개인 데이터를 보호하기 위한 조치를 준수하는 데 있습니다. 그리고 일부 회사는 라이선스 비용에만 국한할 수도 있습니다. 이미 지금까지 처음으로 10개 회사를 거쳐왔습니다. 검색 엔진정보 보안 분야 아웃소싱에 종사하는 사람들은 대부분 보안 시스템 개발에 중점을 두지 않고 라이센스 취득을 위한 문서 수집 지원에 중점을 두고 있음을 알 수 있습니다.

법의 성공적인 시행을 가로막는 세 번째 중요한 문제는 사업자 시장의 불균형입니다. 실제로는 다양한 데이터 소스에 대한 보안 요구 사항을 구별하는 것이 필요합니다. 이러한 상황에서 데이터 운영자는 눈 먼 새끼 고양이와 비슷할 수 있습니다. 정보를 보호하기 위한 모든 다양한 방법과 방법은 규제 기관에 의해 한 곳으로 가져오고 시장의 기존 협회는 좁은 범위의 회사 문제를 해결하고 다른 사람의 이익을 방어하지 않습니다. 시장 참가자 전체.

개인정보 보호

사건의 연대기

2017

페이스북과 트위터는 러시아 법률을 준수할 예정이다.

크기가 큰 미국 기업 Facebook과 Twitter는 개인정보법의 요구 사항을 준수합니다. 2017년 11월 Izvestia는 소식통을 인용하여 Facebook이 러시아 대표 사무소를 설립할 계획이고 Twitter는 러시아인의 개인 데이터가 담긴 서버를 러시아 연방 영토로 이전할 계획이라고 보도했습니다.

러시아 통신매스커뮤니케이션부는 개인정보 처리에 대한 동의 절차를 강화하고자 합니다.

관계자는 “우리 국민들이 명확한 이해 없이 이런 동의를 하는 경우가 많다”고 강조했다. 법적 결과그리고 가능하다 추가 사용" 이러한 이유로 보건복지부는 법률의 틀 내에서 절차 자체와 개인정보 처리에 대한 동의 절차를 모두 개선하기 위한 조치를 취했습니다. 게다가 Sokolov가 지적했듯이, 지금은창조의 가능성 주 자원, 개인 정보 사용을 통제하기 위해 개인 정보 처리에 대한 시민의 동의 기록을 보관합니다.

통신매스컴부도 제공 입법 수준개인 데이터 처리, 익명화된 개인 데이터 배열 및 사물 인터넷 결과에 대한 법적 규제에 대한 접근 방식을 차별화하고 개발합니다. 공식 노트: “가장 많이 논의되는 문제 중 하나는 소위 말하는 문제입니다. 현행법이 내용이나 의미가 유사한 개념을 포함하지 않지만 사전 정의된 특정 목표를 달성하기 위해 개인 데이터 처리가 허용되며 그 후에는 개인화 또는 파기될 수 있음을 설정합니다. 따라서 인터넷 서비스에는 개인 식별이 불가능한 익명화된 개인 데이터가 막대하게 축적됩니다. 또한, 사물인터넷의 급속한 발전으로 인해 다양한 유형카운터, 센서, 가전제품개인 데이터로 분류될 수 없는 상당량의 다른 유형의 데이터를 생성합니다. 이를 고려하여 입법 차원에서 경계 문제를 해결하고 개발할 필요가 있습니다. 다양한 접근법개인 데이터 처리, 익명화된 개인 데이터 배열 및 사물 인터넷 결과에 대한 법적 규제. 우리의 제안은 2017년 상반기에 준비될 것입니다."

러시아인의 개인 데이터 처리를 감독하는 권한은 RKN에 부여됩니다.

시장 참여자들은 이번 조치가 업계 전체에 긍정적인 영향을 미치겠지만 분명히 충분하지 않으며 여전히 너무 보수적이라고 주장한다.

정부 법령은 정보 시스템에서 개인 데이터를 처리할 때 개인 데이터 보호 수준과 각 수준의 요구 사항을 4가지 수준으로 설정합니다. 정보 시스템은 해당 정보 시스템에서 처리하는 개인 데이터의 유형(특수 데이터, 생체 데이터, 공개 데이터 등)에 따라 특정 보안 수준이 지정됩니다. 현재 위협(1차, 2차, 3차) 정보시스템이 처리하는 개인정보주체의 수 및 운영직원에 대한 개인정보의 처리 여부.

또한 이 결의안은 법적 요구 사항 준수 여부를 평가하는 절차를 통과한 정보 보안 도구를 사용해야 한다는 요구 사항을 설정합니다. 러시아 연방정보 보안 분야에서 현재의 위협을 무력화하기 위해 그러한 수단의 사용이 필요한 경우.

이 문서를 통해 개인 데이터를 처리하는 정보 시스템 운영자는 개인 데이터에 필요한 보호 수준을 결정할 수 있으며, 이는 향후 무단 또는 우발적인 액세스, 파기로부터 개인 데이터를 보호하기 위해 필요하고 충분한 조치를 결정하는 절차를 크게 단순화할 것입니다. , 개인 데이터의 수정, 차단, 복사, 배포 및 기타 불법 행위.

Microtest 회사 Sergei Borisov의 시스템 통합 부서의 주요 정보 보안 엔지니어에 따르면 새로운 정부 법령으로 인해 숫자가 줄었습니다. 필수 요구 사항이전 문서의 34에 비해 최대 14입니다. “그러나 제 생각에는 새로운 결의안이 기업의 삶을 더 쉽게 만들지는 못했습니다.”라고 Sergei Borisov는 말했습니다. - 가장 부담스러운 요구 사항인 정보 보안 시스템 인증의 필요성은 모든 ISPD에 여전히 필수 사항입니다."

“다음 요점은 ISPD 분류입니다.”라고 그는 계속했습니다. - 이전에는 운영자가 표를 기반으로 표준 ISPD를 분류하거나 위협 모델의 결과를 기반으로 특수 ISPD를 분류하도록 선택할 수 있었다면 이제는 선택의 여지가 없습니다. 보안 수준은 항상 위협의 관련성에 따라 결정됩니다. 운영자가 스스로 결정할 수 없을 것 같습니다. 연락해야합니다. 상위 조직아니면 컨설턴트에게."

세르게이 보리소프(Sergei Borisov)는 새로운 결의안의 또 다른 문제를 대부분의 법적 의미가 상실된 것으로 보고 있습니다. FSTEC 문서취소된 결의안에 따라 개발된 R 및 FSB R. "새 문서가 없으면 보안 수준을 설정하는 것조차 불가능합니다. 즉, PP No. 1119는 여전히 쓸모가 없습니다."라고 Borisov는 결론지었습니다.

Sergey Borisov는 새 정부 법령에서 다음과 같은 사실로 인해 기업의 개인 데이터 보호 비용이 증가할 가능성이 있다고 봅니다. 최대이전에는 가치가 거의 없다고 간주되었던 데이터가 이제 더 많은 가치가 필요한 다른 범주로 전송되었습니다. 높은 수준보호.

전문가 러시아협회전자 통신은 현재 개인 데이터에 관한 법률이 고려되지 않는다고 확신합니다. 현대 수준인터넷의 발달로 인해 전자상거래의 발전이 크게 둔화되고, 클라우드 서비스러시아 연방에서.

RAEC는 계속해서 부서 간 조직의 창설을 주장하고 있습니다. 실무 그룹인터넷 업계 대표, 전문가 등이 참여하여 정보 보안, 러시아 연방 통신 및 매스커뮤니케이션부, 러시아 연방 경제 개발부, FSB, FSTEC, Roskomnadzor 대표는 입법 및 변경 사항에 대한 업계 입장을 보다 명확하게 공식화하기 위해 노력하고 있습니다. 특히, 국제법및 표준 기존 문서그리고 결의안.

2011

주택법 및 개인정보

2011년 6월 16일, 2011년 6월 4일자 연방법 No. 123-FZ "러시아 연방 주택법 개정 및 특정 입법 행위러시아 연방", 제5조는 2006년 7월 27일 연방법 No. 152-FZ "개인 데이터에 관한"에 또 다른 참신함을 도입했습니다.

연방법 제 152조 제6조 2부는 다음 내용을 포함하는 새로운 단락으로 보완되어 조정되었습니다.

“5.1) 관리 조직, 주택 소유자 협회, 주택협동조합, 주택 건설 협동 조합 또는 기타 전문 소비자협동조합, 러시아 연방 주택법에 따라 관리하는 아파트 건물, 또는 아파트 건물의 건물 소유자와 함께 있는 사람 직접 통제서비스 제공 및/또는 유지 보수 작업 수행에 대한 계약을 체결한 아파트 건물 공동 재산이 건물에 있는 사람 또는 직접 관리하는 아파트 건물의 소유자 또는 주거용 건물의 소유자가 조항에 대해 계약을 체결한 사람 유용, 또는 아파트 건물의 소유자, 주거용 건물 소유자, 주 또는 지방 자치 단체의 주거용 건물 임차인과 합의를 수행하기 위해 계약을 기반으로 종사하는 사람 주택 재고아파트 건물의 공동 재산의 유지 관리 및 수리를 위해 주거용 건물그리고 유틸리티;..."

위 단락에는 개인 데이터 운영자가 개인 데이터를 처리하기 위해 주체의 동의를 얻을 필요가 없는 여러 상황이 추가되었습니다.

한편으로, 이 수정안은 논리적으로 새로운 조항에 적합합니다. 법적 제도수준의 아파트 관리 연방 법률관련 참가자의 권리와 의무를 설정합니다. 섭외이러한 관계의 세부 사항을 결정합니다. 개인정보에 관한 법률의 관점에서 볼 때, 문제의 변경은 개인정보에 근본적인 변화를 가져오지 않습니다. 기존 정권개인 데이터의 처리 및 보호를 규제하지만 아파트 건물을 관리하고 유틸리티 서비스를 제공하고 부동산 소유자에게 지불하는 수많은 조직의 생활을 어느 정도 단순화합니다.

반면에 또 다른 예외가 나타나면 개인 데이터 처리에 대한 주체 동의 제도 규범의 무결성과 적용 가능성에 대한 슬픈 생각으로 이어집니다. 수정안에는 동의를 얻을 필요가 없다는 조건이 명확하게 명시되어 있습니다. 개인 데이터 처리는 규칙과 관련하여 발생합니다. 주택법러시아 연방 또는 해당 조항과 관련하여 관련 계약. 그러나 위의 조건은 실제로 연방법 152조 6조 2항 1항과 2항의 내용과 중복됩니다. 따라서 입법자는 규제 수준에서 내려갑니다. 전형적인 상황(예: 계약 조항 이행과 관련된 개인정보 처리) 규제 수준까지 특정 상황 (계약관계주택 및 공동 서비스 분야). 또한 개인 데이터 처리에 대한 주체의 동의 제도에 대한 기타 규범의 의미와 가치가 평가 절하됩니다(특히 연방법 제152조 제6조 제2부의 단락 1 및 2). .

연방법 초안 "러시아 연방의 특정 입법법 개정에 관한"No. 535056-5

연방법 초안 "러시아 연방의 특정 입법법 개정에 관한"No. 535056-5는 러시아 연방 법률이 연방법 No. 210-FZ 제7조 2항의 조항을 준수하도록 제안합니다. 2011년 7월 1일부터 시행되는 "국가 및 지방자치단체 서비스 제공 조직". 에 따르면 지정된 규범, 제공하는 기관 정부 서비스, 시 서비스를 제공하는 기관은 신청자에게 주 기관, 기관이 처분할 수 있는 문서 및 정보를 제공하도록 요구할 권리가 없습니다. 지방 정부.

위 법안의 1조 2항에는 국가 또는 지방자치단체 서비스 제공과 관련하여 신청자 및 기타 개인의 개인 데이터를 처리하는 절차 및 조건이 명시되어 있습니다. 특히 Art에 안치하는 것이 제안되었습니다. 연방법 7 "주 및 지방 자치 단체 서비스 제공 조직에 관한"표준은 다음과 같습니다. "처리를 위해 정부 기관, 지방자치단체 및 제공에 관련된 단체 부분적으로 제공주 및 시 서비스 연방법 제1조 1항, 해당 기관 및 조직이 사용할 수 있는 개인 데이터, 신청자의 요청에 따라 주 또는 시 서비스를 제공하는 기관(조직)에 해당 개인 데이터를 제공하는 것에 대한 동의 2006년 7월 27일자 연방법 No. 152-FZ "개인 데이터에 관한" 제6조 2부 1항의 요구 사항에 따라 요청이 처리되는 경우 개인 데이터 주제는 필요하지 않습니다.

국가 제공을 위해 기관 (조직)에 대한 신청자의 요청 또는 지방자치단체 서비스이는 해당 기관(조직)이 관련 국가 또는 지방자치단체 서비스를 제공할 목적으로 자신의 개인 데이터를 처리하는 데 해당 신청자의 동의와 동일합니다.

주 또는 시립 서비스 제공에 신청자가 아닌 다른 사람에 대한 문서 및 정보 제공이 필요한 경우 주 또는 시립 서비스를 신청할 때 신청자는 해당 사람을 대신할 권한을 확인하는 문서를 추가로 제출합니다. (그들의 법정대리인), 해당 개인(법정 대리인)의 개인 데이터 처리에 대한 동의를 표명합니다.”