Zapraszam na małą wycieczkę do Rosji, aby przyjrzeć się temu, jak działa rosyjski system ochrony danych. Czym i jak bardzo różni się od systemu europejskiego? Czy oba systemy mają punkty wspólne?
Przyczyny uchwalenia przepisów chroniących prywatność Rosjan
Podobnie jak w Polsce, podstawą prawa do prywatności Rosji jest Konstytucja (przyjęta w 1993 roku). W art. 24 Konstytucji wskazano, że gromadzenie, przechowywanie i rozpowszechnianie informacji na temat prywatnego życia jednostki, bez jej zgody jest zabronione. Jest to standardem w większości państw.
Warto mieć na uwadze, że konstytucja była uchwalana zaraz po upadku ZSRR. Federacja Rosyjska chciała postawić na nową jakość. Wolną od czekistów oraz państwa w którym służby specjalne na masową skalę inwigilują obywateli.
Ważną przyczyną prawną uchwalenia ustawy była Konwencja Rady Europy z dnia 28 stycznia 1981 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Konwencja ta została ratyfikowana przez Komitet Ministrów w dniu 15 czerwca 1999 roku, a podpisana w Strasburgu w dniu 7 listopada 2001 r. Potrzeba doprecyzowania przepisów konstytucyjnych nastąpiła w czasie gdy rewolucja informatyczna trwała w najlepsze. Szybkość życia zmieniała się w postępie geometrycznym.
Legislatorzy mieli przed sobą dwa wyjścia: albo wypracować własne, całkowicie nowe standardy albo przyjrzeć się standardom już funkcjonującym w innych krajach. A gdzie kładzie się największy nacisk na ochronę danych osobowych obywateli? Oczywiście w Unii Europejskiej.
Co więc zrobili prawnicy rosyjscy? Przyjrzeli się przede wszystkim dyrektywom unijnym. Dlaczego? Władzie Rosji w stopniu jeszcze większym niż władze Unii obawiały się transferowania danych obywatelido USA. Taka sama obawa (ale w większym stopniu ze względu na rywalizację Rosji oraz USA) towarzyszyła rosyjskim autorom ustawy. Obawy te stały się bezpośrednią przyczyną uchwalenia ustawy oraz wypracowania własnego standardu.
Rosyjska ustawa o danych osobowych
Przełomowym momentem było uchwalenie Ustawy Federalnej Federacji Rosyjskiej z dnia 27 lipca 2006 Dz. Ust. 152-FZ „O danych osobowych”. Reguluje ona większość istotnych elementów i stanowi kręgosłup systemu ochrony danych w Rosji.
Analizując treść, a zwłaszcza definicje widoczne stają się inspiracje europejskie. Przykładowo w rosyjskiej ustawie dane osobowe to wszelkie informacje odnoszące się bezpośrednio lub pośrednio do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Czy nie jest to więc definicja zbliżona do tej znanej nam z polskiej ustawy? Dalej: dane osobowe wrażliwe znane są jako specjalna kategoria danych osobowych. Rosyjska ustawa przewiduje, że przetwarzanie szczególnych kategorii danych osobowych dotyczących pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, zdrowia, życia seksualnego, jest zabronione(…). Czy nie jest to więc taka sama redakcja (przez negację) jak ta zawarta w art. 27 Uodo (Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, …).
Przyjęta definicja jest węższa od naszej, ale inspiracja prawem unijnym jest nader oczywista. Rosyjska ustawa osobno wyodrębnia natomiast dane osobowe biometryczne. Stanowi więc pewien krok naprzód w stosunku do unijnej Dyrektywy 95/46/WE.
Dobrze znany nam Administrator Danych Osobowych znany jest w Rosji jako Operator. W rosyjskiej ustawie został zdefiniowany jako dowolny organ państwowy, organ samorządowy, osoba prawna lub fizyczna, która samodzielnie lub wspólnie z innymi podmiotami w sposób zorganizowany przetwarza dane osobowe, a także samodzielnie określa cel oraz zakres przetwarzanych danych osobowych.
Wygląda znajomo? Tak, bo występują takie same elementy jak w naszym prawie: istotna jest szeroka definicja oraz samodzielne określenie celu (zakresu) zbierania danych.
Filary przetwarzania danych w Rosji
Podobnie jak w Unii Europejskiej, Rosja opiera swój system na filarach ochrony danych. Zagłębiając się w rosyjską ustawę utrzymuje się wciąż wrażenie, że są to przeredagowane przepisy europejskie.
Pierwszym z filarów jest zasada legalności przetwarzania danych.
Przepis stanowi, że przetwarzanie danych osobowych powinno odbywać się zgodnie z prawem i sprawiedliwie. Pomimo, że nie pada tam wprost określenie adekwatności, a tym bardziej minimalizmu- znajdujemy podobne zasady, nazwane jednak inaczej. j i . Wskazują one że przetwarzanie danych osobowych powinno być ograniczone do osiągnięcia konkretnych, określonych wcześniej i legalnych celów. Niedozwolone jest przetwarzanie danych osobowych, które są niezgodne z pierwotnymi celami gromadzenia danych osobowych. Przetwarzaniu podlegają jedynie dane osobowe które odpowiadają swoim celom przetwarzania. Przy przetwarzaniu danych osobowych musi być zachowana dokładność danych osobowych (czyli zasada prawdziwości danych), wystarczalności (czyli adekwatności) tam gdzie jest to konieczne do odniesieniu celów przetwarzania danych osobowych.
Ustawa stanowi natomiast że przechowywanie danych osobowych musi odbywać się w formie, która pozwala na identyfikacje podmiotów danych osobowych oraz nie dłużej niż jest to wymagane w celu przetwarzania danych osobowych, chyba, że okres przechowywania danych osobowych został określony przez prawo federalne. Ostatni fragment jest przecież zasadą ograniczenia czasowego!
Znowu nasuwa się refleksja, że zasada adekwatności, prawdziwości danych czy legalizmu są również podstawą polskiego i europejskiego systemu. Oczywiście są również na tyle ważne, że stały się „sercem” zasad RODO!
Kolejnym filarem są zabezpieczenia. Podobnie jak w polskiej ustawie, w Rosji (na poziomie ustawy) wymagane jest aby zabezpieczenia były odpowiednie. Specjalne warunki określone zostały w rozporządzeniach wykonawczych.
Dalej: podobnie jak w Unii Europejskiej podstawą przetwarzania jest wyrażona zgoda na przetwarzanie danych. Zgoda na przetwarzanie danych osobowych powinna być konkretna, osoba udzielająca zgodę musi być poinformowana oraz świadoma. Zgoda może być udzielona w dowolny, możliwy do potwierdzenia sposób, chyba że ustawa federalna stanowi inaczej. Tym nie mniej obowiązek udowodnienia uzyskania zgody ciąży na operatorze.
W niektórych przypadkach, uzyskanie zgody możliwe jest wyłącznie w wersji pisemnej- przypadki te muszą być określone w ustawie federalnej.
Aneksja Krymu a przetrzymywanie danych
Wydarzenia geopolityczne lat 2014-2016 nałożyły na siebie: kryzys na Ukrainie i aneksję przez Federację Rosyjską Krymu, rewelacje Snowdena na temat Facebooka i kolejne, podobne informacje przekazywane przez WikiLeaks na temat ochrony danych osobowych w USA.
Kreml poczuł się zaniepokojony o bezpieczeństwo danych własnych obywateli i wpływCIA na rosyjskich urzędników- poprzez wykorzystywanie ich danych z portali społecznościowych. W sytuacji, gdy relacje ze Stanami Zjednoczonymi uległy drastycznemu ochłodzeniu- Duma (niższa izba parlamentu) postanowiła jeszcze bardziej ograniczyć możliwości przetwarzania danych obywateli Federacji poza jej granicami.
W dniu 1 września 2015 roku weszła w życie poprawka, która przewiduje, że operator, który przetwarza dane osobowe obywateli Federacji Rosyjskiej musi przechowywać je na serwerze, który znajduje się na terytorium Rosji. (art. 18 ust. 5 Zbierając dane osobowe, w tym poprzez sieć informacyjną i telekomunikacyjną „Internet”, operator jest zobowiązany do zapewnienia zapisu, systematyzacji, gromadzenia, przechowywania, wyjaśniania (aktualizacji, modyfikacji) danych osobowych obywateli Federacji Rosyjskiej z wykorzystaniem baz danych na terytorium rosyjskim Federacji, z wyjątkiem przypadków wskazanych w ustawie…). Nieprzestrzeganie tego przepisu może spowodować blokadę strony. Do najbardziej medialnego przypadku doszło gdy zablokowano strony LinkedIn. Służba Roskomnadzoru zamknęła już wiele stron (dokładnie 68877 stan na dzień 15-04-2017 r.) z różnych przyczyn: zazwyczaj są to strony kasyn działających online oraz internetowych domów publicznych, które nie przestrzegają pozostałych ustaw.
Pełna lista dostępna jest pod adresem: https://reestr.rublacklist.net/. Jest to więc znacząca różnica od pierwowzoru europejskiego: o ile Komisja starała się (i stara się) w drodze consensusu wypracować optymalny standard ochrony danych (tj. wymóc takie zabezpieczenia na gigantach z Doliny Krzemowej) to Rosja bardziej bezkompromisowo, z pozycji władczej stara(ła) się z nimi walczyć. Czytelnikom pozostawiam ocenę, która postawa jest bardziej słuszna.
Roskomnadzor- rosyjski GIODO
Upoważniony organ do ochrony praw podmiotów danych osobowych jest federalnym organem wykonawczym (Роскомнадзор- pełna nazwa to Federalna służba ds. nadzoru łączności, informacyjnych technologii i masowej komunikacji dosł. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Sprawuje on nadzór i kontroluje zgodność przetwarzania danych osobowych z rosyjskim ustawodawstwem w zakresie szeroko rozumianego prawa, w tym danych osobowych. Roskomnadzor przeprowadza u operatorów kontrolę stanu i zgodności z wymaganiami przetwarzania danych osobowych. Podobnie jak polski odpowiednik- przedstawia plan kontroli sektorowych, nakłada kary oraz popularyzuje wiedzę z zakresu ochrony danych osobowych. Ze względu na obszar kraju- Roskomnadzor posiada swoje oddziały. Dane teleadresowe tych oddziałów znajdują się na stronie: http://www.rkn.gov.ru/
Uwaga! Chcę podkreślić, że Roskomnadzor wyczulony jest na kwestie przetrzymywania danych osobowych Rosjan na serwerach znajdujących się w Rosji! W samym tylko 2015 roku zablokowano 29 stron które nie zastosowały się do zaleceń kontrolerów, a przetwarzały one łącznie 45 mln rekordów!
W 2016 roku sprawdzeniem sektorowym objęte były sklepy internetowe w zakresie przestrzegania przepisów ustawy, a zwłaszcza w aspekcie powierzania danych osobowych, adekwatności przetwarzania danych oraz posiadania serwerów na terytorium Rosji.
W ramach działalności edukacyjnej w kwietniu 2017 r. urząd ten prowadził konkurs na plakaty (które rozwieszał np. po Moskwie) pt. Chroń swoje dane osobowe. Ponadto w I kwartale 2017 r. urząd badał spoty Wifi- pod kątem identyfikowania użytkowników.
Źródło: Roskomnadzor- konkurs oraz akcja reklamowa.
W 2016 r. Roskomnadzor przeprowadził 3,5 tysiąca kontroli, w 2015 było ich około 1000. W 2017 r. liczba kontroli ma zostać zwiększona o 12 %. Lista podmiotów (głównie przedsiębiorstw), które objęte są planowanym kontrolą jest dostępna na stronie urzędu. W większości są to więc kontrole zapowiedziane.
Urząd przeprowadza również ponad 100 kontroli pozaplanowych rocznie. W 2015 roku: prawie 41 % kontroli objęły urzędy (krajowe i samorządowe), 16% małe przedsiębiorstwa, 13% mikroprzedsiębiorstwa, 12% organizacje NGO, 11% to wielki biznes. Najczęstszym naruszeniem była niepełne lub niepoprawne zgłoszenie Operatora w Roskomnadzorze. Do popularnych naruszeń należało przechowywanie danych w źle przygotowanym miejscu, złe przygotowanie ewidencji osób upoważnionych do przetwarzania, przetwarzanie bez podstawy prawnej lub brak pisemnych zgód na przetwarzanie w przypadku gdy są one wymagane prawem. Na podstawie odbytych kontroli przesłano do sądów ponad 7000 protokołów o naruszeniu danych oraz nałożono kary w łącznej wysokości 10,5 mln rubli (ok 745, 5 tys. zł). Państwu również pozostawiam ocenę, czy jest to liczba duża oraz czy należy uznać, że jest to organ opresyjny?
Bardzo istotne jest, że rośnie również ilość skarg na przetwarzanie danych osobowych- w 2015 r. było to 33 327 skarg, gdy w 2014- 20 132, a w 2013- 10016. Wszystko wskazuje więc na to, że wzrasta świadomość ochrony danych osobowych wśród obywateli. Sektorowo przedstawia się to następująco: 14710 skarg wpłynęło na sektor bankowy, 3574- strony internetowe, 1425- spółdzielnie mieszkaniowe.
źródło: Roskomnadzor (konferencja)
Od teorii do praktyki: jak rozpocząć przetwarzanie danych osobowych w Rosji?
W takim razie jak rozpocząć działanie przedsiębiorstwa w Rosji? Warto skorzystać z odpowiedzi, które dostarcza Roskomnadzor. W dniu 13 kwietnia 2017 roku organ ten wydał Przewodnik po usługach publicznych dla osób prawnych. Przed rozpoczęciem przez operatora przetwarzania danych osobowych operator przedkłada Roskomnadzorowi zawiadomienie o zamiarze przetwarzania danych. Bez zgłoszenia do organu może być przetwarzane dane określone w ustawie (np. dane związane z zatrudnieniem). Czy znamy to z polskiej ustawy? Tak, jest to wyjątek który przewiduje art. 43UODO (z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: (…)przetwarzanych w związku z zatrudnieniem u nich).
Powiadomienie o danych osobowych przekazane jest Roskomnadzorowi. Rejestr zawiera już 370 tys. podmiotów i dostępny jest online: https://rkn.gov.ru/personal-data/register/ Zgłoszenie odbywa się na urzędowym formularzu i może zostać dokonane zarówno w wersji papierowej jak i elektronicznej.
Przetwarzając dane osobowe należy również przygotować stosowną dokumentację. Szczegółowe wymogi zawierają rozporządzenia:
– Postanowienie o Zatwierdzeniu Wymagań Ochrony Danych przy ich przetwarzaniu w systemach informatycznych (dosł. Постановление П-1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»),
– Postanowienie o szczególnych wymaganiach przetwarzania danych w sposób niezautomatyzowany (dosł. Постановление П-687 «Об особенностях обработки ПДн, осуществляемой без средств автоматизации»)
W praktyce wymagane jest 16 dokumentów takich jak: lista danych osobowych (nasz odpowiednik wewnętrznego rejestru zbioru danych osobowych), ewidencja osób upoważnionych do przetwarzania danych, zasady przetwarzania danych (cele i warunki przetwarzania, zabezpieczenia danych osobowych), tzw. Instrukcja przetwarzania danych (odpowiednik naszej Polityki Bezpieczeństwa Danych Osobowych), wyznaczenie stref przetwarzania danych ich zabezpieczeń oraz osób, które mogą tam wchodzić, zasady przeprowadzania audytów itd. Czy nie są to więc bliźniacze odpowiedniki wymaganej przez nasze przepisy dokumentacji?
Odpowiedzialność
Poza wskazanym już blokowaniem stron rosyjskie prawo przewiduje odpowiedzialność administracyjną, karną, cywilną oraz dyscyplinarną.
Przykładowo niezłożenie do uprawnionego organu zawiadomienia o zamiarze przetwarzania danych osobowych jest wykroczeniem administracyjnym. Odpowiedzialność kształtuje się różnie od – 100 rubli do 300 rubli (7-21 zł) od osób fizycznych do 5000 rubli (355 zł) dla osób prawnych. Jak widać kary nie są wysokie.
Ponieważ kary okazały się fikcją, już od 1 czerwca 2017 r., wchodzi w życie ustawa przewidująca zwiększenie kar dla osób naruszających obowiązki operatora. Najwyższa kara jaka grozi sprawcy przetwarzania danych osobowych bez wyraźnej pisemnej zgody podmiotu, gdy jest to wymagane przez ustawę o danych osobowych, wynosić będzie 75 tys. RUB (ok 5325 zł).
Innym naruszeniem jest bezprawna odmowa dostępu do danych osobowych obywatelowi lub adwokatowi w związku z wykonywaniem jego obowiązków, niesie za sobą karę od 1000 do 3000 rubli (od 71- 210 zł).
Naruszenie przepisów o zbieraniu danych osobowych, przechowywaniu czy wykorzystywania danych osobowych opatrzone jest sankcją od 5000 do 10000 rubli (355- 710 zł).
Ponadto nielegalne zbieranie lub rozpowszechnianie informacji o życiu prywatnym osób fizycznych, które związane są z jego sferą osobistą lub stanowią tajemnicę rodzinną. Zagrożone jest karą 200 tys. rubli (14200 zł) lub wynagrodzenia z 18 miesięcy pracy (lub innych dochodów), albo pracami społecznymi w zakresie 360 godzin w roku, lub pracami wychowawczymi przez okres jednego roku, pracami społecznymi w okresie 2 lat, zakazu prowadzenia określonej działalności przez okres 2 lat, aresztem do 4 miesięcy, pozbawieniem wolności na okres do 2 lat z zakazem wykonywania określonej działalności gospodarczej, lub zakazem wykonywania określonej działalności w okresie do 3 lat. Dostęp osób nieuprawnionych do danych zagrożony jest analogiczną karą. Przewidzianych przewinień oraz rodzajów kar jest oczywiście więcej.
Rosyjski program typu LEX przy przepisie dotyczącym odpowiedzialności za naruszenie ustawy o ochronie danych osobowych znajduje 233 orzeczenia.
Plany na przyszłość
Rosyjski ustawodawca, podobnie jak europejski zdaje sobie sprawę, że ochrona danych osobowych staje się coraz istotniejszą kwestią do rozwiązania. Dlatego przewiduje się zaostrzenie kar za naruszenie przepisów dot. danych osobowych. Analizy wykonywane przez firmy consultingowe pokazują, że w zakresie ochrony danych jest jeszcze wiele do zrobienia. Działalność organu Roskomnadzoru przypomina trochę sytuację w Polsce kilka (naście) lat temu- z jednej strony jako społeczeństwo czuliśmy, że należy chronić naszą prywatność, z drugiej strony jako administratorzy danych nie zawsze chroniliśmy je w sposób należyty. U Rosjan potrzeba ta cały czas rośnie!
Rosyjski system ochrony danych osobowych wystartował później- mniejsza jest świadomość Rosjan ochrony danych, ale statystyki pokazują, że cały czas się to poprawia. Statystyczny Rosjanin kilka lat temu nie wiedział co to są dane osobowe- dzięki wielu akcjom informacyjnym w tym Roskomnadzoru ludzie coraz lepiej zdają sobie sprawę na ile jest to ważne, a sądząc po rosnącej ilości skarg system ten będzie się rozwijał i poprawiał.
Podsumowanie
Rosyjski system ochrony danych jest podobny do europejskiego ale nie identyczny. Jest wzorowany na doświadczeniach unijnych, ale odróżnia się również w sposób zauważalny. Pojęcia są zbieżne, filary są takie same. System ten jednak potrafi być opresyjny i działa wyrywkowo. Jeśli polski przedsiębiorca pragnie rozpocząć działalność w Rosji, zwłaszcza przez e-commerce powinien mieć ochronę danych osobowych Rosjan na względzie.
Źródło: http://www.national-geographic.pl/fotografia/to-sie-nazywa-ochrona-danych-osobowych
1 Odpowiedź
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Bardzo dziękuję za ciekawy i wyczerpujący artykuł.