2006年7月27日、個人データに関する法律が採択されました。 その採択は、ロシアによる 「個人データの自動処理に関する個人の保護に関する欧州評議会条約」の批准に関連していました。 この法律は、この条約で説明されている個人データの保護に関する要件を確立するために策定されました。 立法者によると、法律が施行される前に作成されたコンピューターシステムは、2010年1月1日までにその要件に合わせる必要がありました。 しかし、この期間が近づくと、多くのコンピューター所有者がこれに対処できないことがますます明らかになりました。 したがって、「Xデー」までほとんど残っていなかった2009年の終わりに、2011年1月1日まで、まだシフトされていました。 そして、この期限までに少しでも残ったとき、法の「本格的な」発効は再び延期され、現在はわずか6ヶ月間です。
すでにこの法律に脅かされている多くのサイト所有者は、どうにかして彼のすべてを見通す目から逃れる機会を探し始めたと思います。 6月に議員が別の同様の操作を行う可能性がありますが、これは期待する価値はありません。 この法律が私たち全員を脅かすものをもっとよく見てみましょう。
PDとは?
まず、用語を定義しましょう。 法律の「 情報システム 」では、「 データベースに含まれる個人データの全体、および自動化ツールを使用して、またはそのようなツールを使用せずに個人データを処理できる情報技術および技術的手段 」と理解されています 。 この紛らわしい表現は、個人データが処理される通常のコンピューターを隠します。 法律におけるそのような「 データ 」とは、「そのような情報に基づいて決定または決定された特定の人物に関する情報」を意味します。
法律は個人データ「姓、名、ミドルネーム、年、月、生年月日、出生地、住所、婚ital、社会、財産の状態、教育、職業、収入」を直接参照していますが、法律の情報リストは網羅的ではありません。 簡単に言えば、「 個人データ 」とは、 個人を識別するために使用できる情報です。 そしてまさにこれは法律の最大の問題の一つです。実際、そのような定義は非常に広く解釈されます。 データに基づいて個人を特定できるかどうかは、このデータのタイプではなく、その量によって決まります。 たとえば、他の人の十分に大きな配列で人を見つける必要がある場合、名前と姓だけでは識別に十分ではない可能性があります。インターネット上で自分の同名の同名を検索し、自分で確認することができます。 同時に、学校の授業について話している場合は、名前と姓で十分です。 「識別」はありません。常に特定の量のデータに基づいて、特定の状況で実行されます。 法律は、抽象的な「個人データ」で運営されており、これを完全に考慮していません。 したがって、違反に対する制裁を受ける可能性は、検査官の主観的な意見に依存します。
実際には、法律で直接指定されている情報のカテゴリが「個人データ」に追加されることのみを確認できます。 状況に応じて、それ以外はすべてPDと見なされる場合と見なされない場合があります。 ニュアンスをもう1つ覚えておく価値があります。他の人のデータに関するすべての言及がPDの法律に違反しているわけではありません。 規則自体は「 自動データ処理 」について述べており、法律の最初の記事では、「自動ツールを使用して 、またはそのようなツールを使用せずに、そのような手段を使用しない個人データの処理が実行されたアクション(操作)の性質と一致する場合に実行されるアクションに影響が及ぶ」自動化ツールを使用して個人データを使用します。」 これはしばしば忘れられがちな非常に重要なポイントです。個人データを伴うアクションは法律の規制に該当せず、その十分に大きい配列の処理に関連するアクションのみに該当します。
自動化を使用しない処理に関しては、多くの人からのデータを使用してアクションが実行される場合、法律によって規制されています。 この場合、さまざまな種類のファイルキャビネット、リストなどが法律の規制に該当します。
「オペレーター」とは誰ですか?
法律の用語での「演算子」は、他の人のデータの処理に携わっている人または組織と呼ばれます。 つまり、ユーザー名を使用して登録されているサイトを立ち上げた場合、それがすべてであるようです...法律の規制の下で。 ところで、法律の採択後に個人データの処理を開始した場合、最初に書いた「7月まで」という用語はあなたのためではありません。 これは、法律の第25条により、発効前にこれを行った人々に対してのみ確立されています。 最初から要件を満たす必要がありました。
私たちのオペレーターがまずしなければならないことは、法律、通信、情報技術、マスコミュニケーションの監督のための連邦サービス(略してRoskomnadzor)の遵守を監視する認定機関に通知することです。 サービスのウェブサイトには、このような通知を送信するための特別なオンラインフォームがありますが、通常のメールで送信する必要があるため、ほとんど使用しません。
法律の第9条は、通知を省略できる状況をいくつか規定しています。 すべてのタイプの個人データから姓、名、および家父のみが処理される場合、これは実行できません。これは場合によっては十分です。 一般的なCMSに基づいて構築されたほとんどのフォーラムおよびサイトは、一般に、ユーザー名とパスワードのみを保存しますが、これらは「個人データ」ではありません。 したがって、制限することをお勧めします。
ただし、ソーシャルネットワークの時代では、ユーザーはサイトにますます多くのデータを残す必要があります。 そして、そのようなサイトの所有者は、「被験者」から同意を得るという形で次の障害に直面しています。 データ主体(つまり、このデータが関係する人)の同意を書き、口頭で伝えることができます。 書面では、特定のケースのリストで同意を取得する必要があります。データを公開されているリストに含める( 第8条 )。 たとえば、人種、政治的見解などに関する特別なカテゴリのデータを処理するため(第10条 )。 生体認証データの処理( 第11条 ); データを海外に転送する場合( 第12条 ); 彼の権利と自由に影響する彼のデータの自動処理中に主題に関する決定を下したことに対する( 第16条 )。 さらに、法律は他のケースを規定する場合があります。 さらに、PDの法律(Art。9)は、そのような書面に関する追加要件を定めています。同意には、同意を与える人の手書きまたは電子署名が含まれている必要があります。 したがって、それを受け取るために、民法によって確立された書面による取引の通常の手順は、契約の条件が別の文書に記載されている場合は適用されず、何らかのアクションを実行することでそれらとの合意を表すことができます。
したがって、すべてのユーザーにユーザーデータを表示するか、十分な数のユーザーにデータの表示を許可するソーシャルネットワークの所有者は、法律に違反します。 彼らは「紙」の同意も電子署名もしていません...彼らは昨年7月以来、ごく最近にそれを侵害し始めました。それから法律の対応する改正が導入されました。 そして、この要件を満たすことを避けることは不可能に思えます。 一般に、サイトの所有者はこの場所をあきらめ、コンピューターが満たす必要がある要件の説明に到達せず、一定量の貴重な神経細胞を節約します(主に、自分がどのくらい支払います)。
個人データを保護する必要がある方法は、個人データ情報システムの情報を保護する方法と方法に関する規則に記載されています。 すべてのコンピューターシステムは4つの「クラス」に分けられますが、そのうちの1つ、4つ目は、所有者の裁量で保護装置が適用されます。 分類手順はFSTEC の順序によって承認され、システムが割り当てられるクラスは、処理されるデータの量、そのタイプ、およびその他の要因によって異なります。 「第4クラス」には、匿名化された、または公開されている個人データの処理のみが行われるシステムが含まれ、その漏えいによって被験者が損害を受けることはありません。
ただし、入力したデータが一般に公開されることをユーザーに警告するだけで保護対策を回避できると考えた場合は、すぐにそれを忘れてください。 データ収集の段階、つまりユーザーからデータを受け取る段階では、それらはまだ公開されていません。つまり、データを収集するシステムを「第4クラス」に割り当てることはできません。 データの非個人化は、最も一般的に使用される保護の保存方法の1つに基づいていますが、データが入力されたコンピューターのみが認証されます。 次に、各レコードに識別子が割り当てられ、他のすべてのコンピューターが機能します。これらのコンピューターは、保護が不要な「4番目のクラス」に割り当てられます。
そして、コントローラーは誰ですか?
個人データに関する法律は、事業者に対して非常に厳しいものでした。 西洋では、この分野の規制に対するまったく異なるアプローチが採用されています。オペレーターがデータ漏洩を起こした場合、彼は罰せられ、困難になります。 しかし、彼がこのデータを処理する方法は彼の問題です。 ロシアのアプローチは正反対です:彼らは可能なすべてを規制しようとしていますが、PDとの作業手順に違反するための行政犯罪法の第13条11に基づく管理責任に違反するものはありません(法人には最大10,000ルーブルの罰金)。 したがって、ロシアでは、「個人データについて」などの悪意に満ちた、通常の法律さえも遵守しないという伝統に輝いており、人々はロシアでさらに戦っている:彼らは単にそれを無視し、急流ユーザーとの類推によって誰も罰しないことを望んでいる
確かに、より多くのtorrentユーザーが存在し、それぞれが苦しむ可能性はそれぞれ低くなっています。 しかし、あなたのサイトが外国のホスティング業者のどこかにある場合、ほとんどの場合、Roskomnadzorの手はそれに到達しません。 ただし、サイト所有者に説明責任を持たせようとする最近の試みの1つは、コントローラー自体が法律をあまりよく知らないことを示しています。 1月下旬と2月上旬に、 2件の裁判が行われました。原告はRoskomnadzorの代表者であり、被告は全ロシア系図ツリーサイトSergey Kotelnikovの所有者でした。
訴訟自体は、6人の個人データを見つけたサイトの訪問者の1人の苦情に対して提出されました。 その過程で、Roskomnadzorは不特定多数の人々の利益のために行動し、その時までにサイトに投稿されていた個人データを破壊することを要求しました。 この情報は親relativeを検索するために公開されたもので、サイト自体はロシア最大の家系図リソースです。 当然、ユーザーは不満でした。 KotelnikovとRoskomnadzorとの交渉の過程で、彼らは、データが投稿されたときに、ユーザーが公開されたという事実に同意するという条件を含む、和解契約を締結することさえ計画していました。
現在の電子署名の配布では、このタスクは明らかに不可能でした。 しかし、裁判所はよりシンプルになりました。彼は申請を考慮しませんでした。 裁判所の判決では、Roskomnadzorは単に不特定多数の人々の利益を主張する権利を持たないと述べています。特定の「個人データ主体」の利益のみを保護することができます。この権利はPD法第23条で与えられています。 実際、「個人データ」が特定の人物に関連する情報である場合、そのような人物の「不定円」は原則として存在できません。 したがって、この「センセーショナルな」訴訟は、コントローラーの弱点の1つを明らかにしました。すべてのユーザーからのすべてのデータをサイトから削除することを要求する権利がないため、法律は特定の個人の利益のためにのみ行動することを許可しています。
「個人データについて」法律から隠すことは可能ですか?
All Articles