GDPRに関する「かかし」

2018年5月に、一般データ保護規則（ 2016年4月27日のEU規則2016/679またはGDPR-一般データ保護規則）によって確立された個人データの処理に関する更新された規則がヨーロッパで施行されます。



（EU内外で）欧州諸国の国民の個人データを処理するすべての企業は、この文書の要件に従う必要があります。 新しいGDPRルールの範囲は、EUの28か国すべてに適用されます。 この文書は、欧州諸国の個人データ保護に関する既存の法律に置き換わるものです。 新しいGDPR規則が域外に適用されることを考えると、EUに存在するロシア企業には、その遵守が必須になります。 つまり、EU加盟国の少なくとも1人の市民の個人データを収集および処理するロシアのビジネスの場合です。



企業およびクラウドランドスケープの情報セキュリティ管理の認定スペシャリストであるアレクサンダーボドリックによると 、GDPRには多くの要件が含まれています。たとえば、すべての個人データの移植性（データの移植性）が全国的に数十億ドルになることを保証するだけです。 ロシアのビジネスには代替手段があるように思えます-EU市民にロシアでのサービスを提供しないでください。しかし、少なくとも2つのクラスのロシア企業は間違いなくGPDRの対象となります。

• ヨーロッパにオフィスを持つエネルギーおよび金融の巨人。
• インターネット企業は、GPDRがEU市民の活動の監視にまで及ぶため、広告ネットワークによるCookieの平凡な使用により、ロシアのインターネット業界はすでにGDPRの対象となっています。

GDPRリスクの重要性を理解するために、アレキサンダーは、GDPRに該当する可能性が高いロシア経済の10大企業、Yandex（インターネット会社）、Alfa-Bank（ヨーロッパの投資銀行資産）、Gazprom （東ヨーロッパのガソリンスタンド）、Sberbank（Sberbankヨーロッパを保有する銀行）、VTB（東ヨーロッパの銀行）、Lukoil（東ヨーロッパの資産）、Rosneft（ヨーロッパの資産）、Russian Railways（ヨーロッパの代表事務所、オンラインチケット販売）、アエロフロート（ヨーロッパの代表オフィスおよびオンラインチケット販売） o）、InterRAO（ヨーロッパの資産）。 RBC 500の格付けによると、彼らの総収入は20.145兆に達しました。 ルーブル、それぞれ、GDPRリスクの合計は806億ルーブルです。

「GDPR規範は、特にヨーロッパ諸国と何らかの形で協力する人々に関係します。 これらは、金融会社、テクノロジー、メディア、通信会社、製薬、輸送、オンラインストアです」と、ティムールアイトフ、プログラム製品企業グループの副総裁、RF CCIの支払いと情報セキュリティに関する小委員会の副会長です。



「たとえば、約200万の個人アカウントが登録されているプラ​​トンシステムは、GDPRの対象となります。 欧州経済地域の国々で商品やサービスを提供しようとする人々も注目を浴びます：彼らはヨーロッパ言語を使用してそれらを説明し、EEAで顕著な（積極的な）マーケティングを行い、ヨーロッパ人の行動を監視し、予測を準備し、好みを特定するために分析しますなど。」

GDPRのテキストと公式の説明

• 公式テキストは24のヨーロッパ言語であり、英語ですが、ロシア語はありません（ リンク ）
• 簡単な説明（概要）（ リンク ）
• 質問と回答（ リンク ）
• 欧州委員会のインフォグラフィック/簡単な説明（ リンク ）
• EUデータ保護当局（ リンク ）
• 欧州データ保護監督者（ リンク ）
• 適切なレベルのデータ保護を提供している国のリスト（ リンク ）

この問題の詳細な調査については、「EUの個人向けオンラインサービスを提供するロシアの個人データオペレーター （通信会社、インターネット会社） のビジネスに対する欧州連合の一般データ保護規則（GDPR）の考えられる結果および影響の分析 」に精通することをお勧めしますロシア研究所における現在の効果的な規制の背景。「インターネット研究所から。 重要な特徴は、元のソースでドキュメントを研究する能力ですが、ロシア連邦外務省の外交アカデミーの教授であるD.Y.N.、国際私法学部長のM.B.カセノバによって作成されたロシア語への翻訳があります（付録を参照）。



Roskomnadzorからの声明もあります、私は引用します：

「2018年、個人データの対象者の権利の保護のための認定機関に基づく諮問委員会は、「非個人化」データの法的地位に関する提案、およびデジタルエコノミープログラムの実施に関連する個人データに関する法律の可能な調整に関する提案を提出する予定です。



関連する決定は、ロスコンナゾールで開催された2017年の最後の会議で評議会によって行われました。



会議中、諮問委員会のメンバーは、一般データ保護規則（GDPR）に定められている欧州連合の新しい要件について議論し、個人データの処理手順を確立しました。 11月のVIII国際会議「個人データの保護」で、Roskomnadzor Alexander Zharovの長は、ロシア連邦はEUとの国際条約の締約国ではないため、個人データの保護に関する欧州連合規制の要件はロシアで活動するロシアの事業者には適用されないと指摘しました。 個人データの処理に関する一般に認められた国際原則に従って、この分野のロシアの法律のみが適用されます。

GDPR要件とコンプライアンス違反の結果

新しい汎ヨーロッパ個人データ規制（GDPR）は、いくつかの責任を含む、個人データの保護を管理する規則にいくつかの変更を導入しています。

• 計画段階で個人データを保護するためのルール（ITソリューションなど）を考慮します。
• 個人データの処理を文書化します。
• プライバシーの確保に関連するリスクの評価を実施する。
• 個人データのセキュリティに関連するインシデントの個人データ保護の分野の監督者に通知する。

個人データの処理に対する一般的なアプローチは、6つの基本原則の形式で定式化されています。

1. 合法性、正義、透明性。 個人データは、合法的、公正かつ透過的に処理されなければなりません。 個人データの処理の目標、方法、範囲に関する情報は、できるだけアクセスしやすくシンプルなものにする必要があります。
2. 目標の制限。 データは、会社が指定した目的（オンラインサービス）専用に収集および使用する必要があります。
3. データの最小化。 処理目的に必要な量を超える個人データを収集することはできません。
4. 精度。 不正確な個人データは、（ユーザーの要求に応じて）削除または修正する必要があります。
5. ストレージ制限。 個人データは、処理の目的に必要な期間以上データ主体を特定できない形式で保存する必要があります。
6. 整合性と機密性。 ユーザーデータを処理する場合、企業は個人データを不正または違法な処理、破壊、損傷から保護する必要があります。

新しいGDPR規制の要件を順守しなかった場合、個人データ保護の分野の監督者による2,000万ユーロの罰金または会社の年間売上高の最大4％が科せられる可能性があります。



罰金が適用されない場合があります。 それは効果的で、比例的かつ啓発的でなければならず、他の手段に加えて、またはその代わりに課すことができます。

GDPR規制の規範との衝突の可能性を考慮した、現在のロシアの法律の要件

現在、現在のロシアの法律の規制要件とGDPR規制の規範との間の潜在的な対立を分析するのは時期尚早であると思われます。 これは主に、WP29によるGDPR規制の適用のために、多くの説明およびポリシー文書が採用されることが予想されるという事実によるものです。 第二に、EU加盟国におけるGDPR規制の直接的な効果にもかかわらず、加盟国は国内法を「移行規定」を含むGDPR規制の要件に「変換」する義務があります。 第三に、2018年5月以降、全国の法執行機関（司法、行政）の実践が具体化され始めます。 さらに、 GDPRは、欧州連合司法裁判所（欧州司法裁判所）によって直接適用され、2018年5月以降、司法裁判所の慣行も形になり始めます。



個人データの分野での関係の規制における現在のロシアの法律では、システム形成法は、連邦法第242-by2015（以下「個人データに関する連邦法」）によって改正された2006年7月27日付けの「個人データに関する」連邦法152-です。 "）。 この点で、GDPRと個人データに関するロシア連邦連邦法は、空間、人、時間の面で異なる影響を与えるという事実に注意を払うことをお勧めします。



一般に、GDPR規制と個人データの領域を管理するロシアの法律には、独立した領土および「管轄」の適用範囲があると言えます。 同時に、規制アプローチのいくつかの共通性は、それらの「調和」に関して結論を​​出す理由を与えません。



実際には、EUのユーザーを対象とした個人データの分野に関連する活動を行い、EUのカウンターパーティと契約上の義務を負うロシア企業にとって、これは「二重の負担」を意味します。

専門家によると、どのアプローチを選択すべきですか？

GDPR要件に従って個人データの処理と保存を調整する慣行の形成は初期段階であるため、個人データの処理と保存の分野におけるロシアの法律の要件の遵守の問題を解決することをお勧めします（152-および242-）。 ロシア連邦の法律によれば、オペレーターに代わって個人データを処理する責任者を引き付けることが許可されています。 欧州の立法者は、データ管理者とデータ処理者の概念も分離しています。 したがって、GDPRによれば、個人データも保存されているクラウドがデータプロセッサになり、PDオペレーターがコントローラーになります。



152-および242-の下で個人データ保護の分野で必要なすべてが行われた場合、GDPR規格への適応プロセスを開始する必要があります。

「まず、ITディレクターがカラフルなホラーストーリーを書いて、それを経営陣に送信すると便利です」とAitov氏は推奨しています。 GDPR規格への適応は、巨大で長期的な作業であり、IT、情報セキュリティ、企業弁護士のサービスに該当します。

ヨーロッパ人はGDPRを後戻りするつもりはなく、多額の罰金が偶然発生しました。 世界の状況は単純ではありません。GDPRの一部の理由は、とりわけ、国内の大企業の代表者を「罰する」ために使用できます。誰も競争をキャンセルしていません。 ただし、あらゆる規模の企業でトラブルが発生する可能性があります。



便利なリンクとソース：

https://internetinstitute.ru

rkn.gov.ru

https://www.pwc.ru

https://habrahabr.ru