「個人データに関する」法律あなたが知りたいが、尋ねることを恐れていたすべて

2015年9月に、個人データに関する連邦法が大幅に変更されました。 これらすべてがRunetの現実でどのように機能するかを理解するために、これらを注意深く検討します。 私たちの弁護士は、変更の発効前にPDについて何度も話をしました。 そして今、時代が到来し、かつては理論で議論されていたすべてのものが運用されています。 残念ながら、私たちはまだ国の主要なチャネルに関するレポートで突破口を開いていないため、私たちに残されていることはすべてここに書くことです。 それでは始めましょう。







もちろん、個人データを収集するとき(PDと略され、これが事実である理由は誰にもわかりませんが、何を使用するのか)、インターネットまたはオフラインで、オペレーターは記録、体系化、保管、および明確化を確保する必要があるという事実から始める必要がありますロシア連邦の領土にあるデータベースを使用したロシア連邦市民の個人データ。 この質問は、すでにウェブ上で多くの騒ぎを引き起こしています。 そして誰もが、市民の個人データベースを備えたサーバーをロシアの領土に置くべきだと何度も議論しています。 この点で、多くの質問と噂が起こり、もちろん「ダック」もありました。 市民は次のように自問しました。「これほど多くの高品質のサーバーはどこで入手できますか? しかし、競争の欠如は、国内のサーバーですでに「非常に」状況を悪化させますか?」 本当です。 しかし、私たちは今それについて話していません。



誰がオペレーターと見なされるべきですか? 前と同様に、これはPD処理を組織または実行する法人または自然人です。 しかし、このPDNの背後に正確に隠されているものは何ですか? また、これは特定の個人に直接または間接的に関連する情報です(つまり、個人データは、氏名とパスポート番号だけでなく、この人の電話番号と電子メールとも考えられます)。

ロシアでの市民のデータのストレージのローカライズに関するこの混乱はすべて、立法上の目新しさです。 したがって、法律は幾分矛盾しています。 たとえば、その規定は広範かつ曖昧に解釈される可能性があり、最も重要なことには、新しい規範が実際にどのように機能するかが明確ではありません。

主要な障害は神秘的」に見えます- 「個人データデータベースは海外に保管すべきではありません」が、法律は個人データを他国(PDの被験者の権利を適切に保護できる)に転送する可能性を示しています。 そして、この要件はロシアの企業にのみ適用され、外国の法域には適用されないようです。 つまり、ロシアに個人データを保存する要件は、海外で登録され、ロシア連邦市民の個人データを収集する組織には適用されるべきではありません。 通信省とマスメディアは私たちの助けを借りて、インターネット上で活動を行う場合、地理的境界を明確に定義することは不可能であると説明しました。

もちろん、広範な解釈と基準を提案した法律が選択的に適用され、「個人データに関する」連邦法が外国のインターネットリソースに向けられ、その活動もロシアの領土(オンラインストア)にも向けられることを除外することはできません、市場、プラットフォームなど)。個人データに関するロシアの法律の要件が守られていない場合、ロシア連邦の領土でブロックされる可能性があります。 この問題をめぐって 、ソーシャルネットワークで主流が騒がしくなりました。 人々はFBで友達を失い、Twitterでフォロワーを失うことをひどく恐れています。 それらは理解できますが、私たちは再び主要なものから気をそらされます。



通信省とマスメディアは、ロシア連邦にすべての個人データを保存する義務があるリソースの兆候を世界と共有しました。

Roskomnadzorは2つの主要な基準を使用します。

  1. ロシア連邦またはロシア連邦の構成エンティティ(.ru、.rf、.suなど)に関連付けられたドメイン名の使用。
  2. ウェブサイトのロシア語版の入手可能性。 さらに、ルーブルで和解する可能性、ロシアのそのようなインターネットサイトで締結された契約を履行する可能性、またはロシア語の広告の使用があります。


ところで、規制当局は、特に外国のサービスを扱う国内企業に強い目を向ける可能性が高いです。



続けましょう。 「個人データに関する」連邦法第18条のテキストから、

PDを収集する場合、オペレーターは、ロシア連邦の領土にあるデータベースを使用して、ロシア連邦の市民の個人データを確実に保存する義務があります。


そして、これは、そのようなデータの収集を組織化した結果として取得された個人データであり、偶発的な接触の結果としてではなく、ロシア連邦での保管の対象となります。 したがって、たとえば、ある組織の宅配業者などの連絡先を作業プロセス中に転送しても、個人データの収集にはなりません。 特定の会社の従業員との個人的な会議で名刺を受け取った場合、CRMでこのデータを記録し、さらにメーリングリストに含めて、すみませんが、これはすでにPD処理と見なすことができます。 ただし、ここの法律は正確な表現を提供しておらず、司法慣行はまだありません。 したがって、この質問を長時間、退屈に議論することは可能ですが、それでも正確な答えには至りません。 したがって、あなたと一緒に、上からの説明を待ちます。



「個人データに関する」連邦法の条項を個別に検討することは不可能です。 簡単な例:第18条の個々のPD処理プロセスをローカライズする要件がアートと一緒に考慮される場合。 国境を越えたデータ転送に関する12、第3条「外国への個人データの外国への転​​送:外国の国家機関、外国の個人または外国の法人へ」の定義を考慮しながら、合計で次のようになります:市民PD、最初にロシア連邦の領土のデータベースに入力され、そこで更新された(「プライマリデータベース」)、後で海外にあるデータベース(「セカンダリデータベース」)に転送できます。 その管理者。 もちろん、これはすべて、国境を越えたデータ転送に関する規定に従って行われなければなりません。







次に申し上げたいのは、 「個人データの対象者の権利の侵害者の登録」です (Roskomnadzorのポータルの名前の上にある写真)。これには、法律に違反して個人データを処理するリソースに関するデータが含まれます。 当分の間、PDの被験者またはRoskomnadzorのいずれかによって提出された申請に基づく裁判所の決定によってのみ、登録簿に登録することが可能です。 対策として、オペレーターのサイトへのアクセス制限が選択されました。 そして、この措置を実施するには、規制された命令がなければなりません。 Roskomnadzorはそれ自体を待たせず、「レジストリ-ホスティングプロバイダー」スキームに従ってそのような注文をすでに承認しています。

そのまま持ってきます:

  1. 個人データの分野におけるロシア連邦の法律違反に関する通知をホスティングプロバイダーに送信する。
  2. レジストリオペレーターのホスティングプロバイダーによる、ドメイン名またはインターネットサイトのページインデックスに関する情報の除外要求、レジストリからの個人データサブジェクトの権利を侵害して処理された情報を含むサイトの識別を可能にするネットワークアドレスの送信。
  3. レジストリオペレーターによるホスティングプロバイダーへの、ウェブサイトのドメイン名またはページインデックスのレジストリからの除外に関する通知、およびネットワークアドレスの転送。
  4. ホスティングプロバイダーからレジストリオペレーターに、レジストリのフレームワーク内で相互作用を整理するために必要な情報を受け取る。


次に、プロバイダーはレジストリから次の情報を取得できます:ドメイン名、ネットワークアドレス、情報が違反で処理されるサイトのページ、司法行為のケース番号および採用日、情報リソースのどのデータがレジストリに含まれていたかに基づいて。



それだけです。



ロシア連邦の領土にある貯蓄銀行のデータにお金を入れておき 、個人データを収集して処理するたびにユーザーの同意を求めることを忘れないでください。 そうでなければ、たとえあなたがバリにいるとしても、Roskomnadzorはあなたを見つけます。



All Articles