אלכסנדר אנטיפוב
רוסקומנדזור הציע הצעה לפתח ולחוקק תקנים מחייבים לעבודה עם נתונים אישיים, אשר כל המשתתפים בהפצת נתונים אלה יצטרכו לעמוד בהם. כך דיווח נציג המחלקה בראיון ל-RBC מציינים כי היוזמה עדיין בשלב ההצעה. לפי ההסברים של רוסקומנדזור, ארגונים יוכלו לאסוף רק את הנתונים הדרושים לביצוע משימות ספציפיות, ואיסוף כזה יתאפשר אך ורק על בסיס החוק, ולא בהסכמת האזרחים, כפי שקורה כעת.
במקום לקבל נתונים ישירות מאזרחים, ארגונים יוכלו לפנות לגופים מורשים במידת הצורך כדי לבצע את תפקידיהם. נציג הסוכנות גם ציין כי כיום נתונים אישיים נאספים לעתים קרובות "למקרה", ללא מטרה ברורה לשימוש בהם. מפעיל נתונים אישיים הוא כל אדם או ארגון המעבדים נתונים כאלה. לְפִי ראש ועדת הדומא הממלכתית למדיניות מידע אלכסנדר חינשטיין, ברוסיה יש יותר מ-5 מיליון ישויות משפטיות, כולל יזמים בודדים, המעבדים נתונים אישיים. עם זאת, כפי שציין חינשטיין, לא כולם יכולים לספק הגנה אמינה על נתונים אלה. לעניין זה, המשנה מוצע
ליצור מוסד של מפעילים מהימנים שיכולים לאחסן נתונים אישיים עבור אותם ארגונים שאינם יכולים לעשות זאת בעצמם. מפעילים מהימנים יהיו בשליטת המדינה, ומשתתפים אחרים בשוק יוכלו לגשת לנתונים המאוחסנים בערוצים מאובטחים, הוא הסביר. נתונים אישיים, על פי החקיקה הרוסית, מחולקים למספר קטגוריות: נתונים כלליים (שם מלא, תאריך לידה, כתובת), נתונים מיוחדים (לדוגמה, גזע, דת, מידע בריאותי), נתונים ביומטריים (טביעות אצבע, DNA) ואחרים , כגון מיקום וחברות בארגון. כיום, הבסיס העיקרי לאיסוף נתונים הוא הסכמת המשתמש, אם כי קיימת גם אפשרות לאיסוף נתונים על בסיס חקיקה או למילוי התחייבויות חוזיות.
קיימות סנקציות חמורות על הפרת הכללים לעיבוד נתונים אישיים. קנסות ליחידים יכולים להגיע ל-300 אלף רובל, ולישויות משפטיות – עד מיליון רובל. הוא גם קובע אחריות פלילית, עד מאסר של עד חמש שנים. בשנת 2024, הדומא הממלכתית תשקול תיקונים שעלולים לחזק את האחריות המנהלית והפלילית לדליפות נתונים אישיים, מה שכבר גרם לביקורת מצד נציגי עסקים.
להצעה של רוסקומנדזור להנהיג תקנים מחייבים לעבודה עם נתונים אישיים יכולה להיות השפעה משמעותית על הקהילה העסקית. על פי כללי התקינה הקיימים ברוסיה, התקנים הלאומיים הם וולונטאריים, ורק אלה הכלולים בתקנות הטכניות יכולים להיות חובה. על מנת שסטנדרטים חדשים לעיבוד נתונים אישיים יהפכו לחובה, יהיה צורך לתקן את החקיקה או ליצור תקנות טכניות מיוחדות.
בנוסף, לרוסקומנדזור, בהיותה רשות מפקחת, אין סמכות לפתח תקנים כאלה, מה שמרמז על הצורך לערב גופים מוסמכים אחרים ליצירת ויישום תקנים מתאימים. נציגי תעשיית ה-IT מציינים את המורכבות של גישה אוניברסלית לעיבוד נתונים. חברות שונות עובדות עם נפחים וסוגי מידע שונים לחלוטין: מחנויות מקוונות קטנות ועד ענקיות טכנולוגיה גדולות המשרתות מיליוני משתמשים. איחוד תקנים עבור משתתפי שוק שונים כל כך יכול להוביל לבעיות בהחדרת שירותים חדשים ולהגביל את היכולת של עסק לעבוד עם נתונים.
בנוסף, הכנסת תקנים מחייבים עלולה לסבך משמעותית את עבודתן של חברות ולהגדיל את העלויות שלהן כדי לעמוד בדרישות חדשות. זה עשוי להשפיע במיוחד על עסקים קטנים ובינוניים, שאולי אין להם מספיק משאבים כדי לספק את הרמה הנדרשת של הגנת מידע. עם זאת, היוזמה של Roskomnadzor ליצור תקני עיבוד נתונים משתלבת במגמה העולמית של חיזוק ההגנה על נתונים אישיים. הכנסת כללים מחמירים יותר, הדומים לאלה הנהוגים בחקיקה האירופית (GDPR), יכולה להוביל להפחתת הסיכונים של דליפות נתונים ולהגברת השקיפות בפעילות החברות.
חשוב לקחת בחשבון שהתאמה לכללים החדשים תדרוש זמן ומאמץ מצד העסק. צמצום כמות הנתונים הנאספים יכול להיות מאתגר במיוחד, מכיוון שהוא דורש הערכה מדוקדקת של הנתונים הדרושים לצרכים עסקיים ספציפיים.
התוכן שלנו מתרחב, מהר יותר מהיקום. פיצוץ גדול של ידע כל יום בטלפון שלך!
הירשמו לפני שנחרוג לאופק האירועים 😊
