Роскомнадзор о персональных данных в 2021 году
26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон 152-ФЗ в следующем году.
На семинаре прозвучали доклады:
Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.
Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:
- в банковской сфере;
- в ЖКХ;
- в интернете;
- в связи;
- в торговле.
Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы. Здесь полная двухчасовая версия:
Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления чиновников.
Читайте и имейте в виду, что практика в регионах может отличаться. Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2021 году.
GDPR и российские компании
GDPR может применяться к российским компаниям в нескольких случаях:
- Российская компания имеет филиалы на территории Европы.
- Компания из России действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
- Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
- сайт доступен на языках стран ЕС;
- предусмотрены расчеты в евро.
Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.
Будет ли приведено российское законодательство к требованиям GDPR
По словам Контемирова, это дискуссионный вопрос. Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем.
Трудовые отношения
Как передавать персональные данные сотрудников в рамках групп компаний
Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.
Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).
Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.
Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании
Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).
В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.
Порядок уничтожения персональных данных
Терминатор – оператор обработки персональных данныхПорядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.
Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.
Что относится к персональным данным по мнению Роскомнадзора
Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.
Сбор копий документов, содержащих персональные данные
Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.
Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.
Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.
Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.
Являются ли идентификаторы персональными данными
Такие идентификаторы как ИНН, СНИЛС, электронная почта и т. п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.
Даже без дополнительной информации идентификаторы являются персональными данными.
Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.
Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.
Фотографии и видеозаписи в контексте персональных данных
Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”
Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.
Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.
Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.
Профилирование и оценка личностных качеств
Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных
Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.
О согласиях на обработку персональных данных
Несколько целей в одном согласии
Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.
Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.
Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.
Получение согласия на обработку персональных данных при заключении договора
Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.
Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.
Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.
Согласия на обработку персональных данных соискателя и близких родственников
Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.
Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.Например, сообщить о необходимости проверки конфликта интересов.
Обработка персональных данных родственников сотрудника имеет ряд особенностей
Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.
Электронные копии согласий на обработку персональных данных
Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?
Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств.
Срок согласия на обработку персональных данных
По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.
Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет.
Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.
Форма согласия на получение рассылки от иностранного сайта
Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?
Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.
Передача персональных данных третьим лицам
Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.
Если для обработки персональных данных необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.
Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам.
Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.
Договоры поручения на обработку персональных данных
Является ли провайдер облачных услуг оператором?
Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.
Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?
Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.
Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?
Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.
Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.
Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?
Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.
Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.
Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?
Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.
Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.
Персональные данные представителей компаний в договоре
Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности.
Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.
Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.
Ответственное лицо
Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?
К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.
Можно ли назначить нескольких лиц, ответственных за обработку ПД?
В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.
Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?
Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.
Заключение
Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций. Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте вашей ситуации.
Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.
Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.
Почитайте пост о Реестре операторов персональных данных.
ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.
37 536
Обсудите в соцсетях
Обработка и хранение персональных данных: закон требует, ЦОДы предлагают
Законодательство Российской Федерации в области персональных данных предъявляет строгие требования к обеспечению их безопасности при обработке. Решение части проблем могут взять на себя ЦОДы.
Сергей СМОЛИН, ведущий юрист, DataSpace
В последнее время у всех на слуху новеллы, вносимые законодателем в правовое регулирование действий по обработке и хранению персональных данных граждан. Изменения в Федеральном законе «О персональных данных» (№ 152-ФЗ) направлены на ужесточение контроля за операторами, обрабатывающими такие данные. Помимо введения обязанности хранить персональные данные российских граждан только на территории РФ, законодатель расширил полномочия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), на которую возложен контроль за операторами, обрабатывающими персональные данные граждан. Указанные изменения в той или иной степени затрагивают деятельность широкого круга участников экономического оборота — от небольших интернет-магазинов до операторов центров обработки данных.
Какие данные — персональные?
В соответствии с п. 1 ст. 3 152-ФЗ персональными данными является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», т.е. любая информация, при помощи которой можно идентифицировать личность. Как правило, к персональным данным относят: ФИО, дату и место рождения, паспортные данные, физические характеристики, контактную информацию и т.д. — перечень подобных сведений достаточно широк, но не является исчерпывающим.
Кто является оператором?
Понятие «оператор» в значении, определенном в 152-ФЗ, значительно шире, чем мы привыкли считать. Согласно п. 2 ст. 3 упомянутого закона, оператор — это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
Персональные данные граждан в той или иной степени получает, обрабатывает и хранит практически каждая компания — при приеме на работу новых сотрудников или при переписке с клиентами — и любая из них может быть признана оператором персональных данных. Операторов можно разделить на две группы: на тех, которые обязаны уведомлять Роскомнадзор об обработке персональных данных, и тех, которые делать это не обязаны.
Кто не обязан уведомлять Роскомнадзор?
Перечень действий по обработке персональных данных, которые не требуют уведомления Роскомнадзора, приведен в ст. 22 152-ФЗ. К таким действиям относятся действия юридических лиц, которые получают и обрабатывают персональные данные граждан в следующих случаях:
- Для исполнения требований трудового законодательства.
- При заключении компанией договора с физическим лицом.
- Если персональные данные содержат только ФИО граждан.
- Если персональные данные раскрываются для предоставления разового пропуска.
- Если персональные данные обрабатываются без использования компьютера.
- Если персональные данные обрабатываются в целях транспортной безопасности.
Во всех перечисленных случаях компания не обязана уведомлять уполномоченный орган о том, что осуществляет сбор, обработку и хранение персональных данных. Тем не менее всегда существует риск того, что компания неумышленно может осуществлять такую обработку персональных данных, которая влечет за собой обязанность уведомлять Роскомнадзор.
Кто обязан уведомлять Роскомнадзор?
К таким операторам относятся компании, которые обрабатывают персональные данные на постоянной основе. В эту категорию попадают владельцы сайтов с регистрацией пользователей (с указанием ФИО, электронной почты и телефона), туристические агентства, банки, розничные магазины с клубными картами, медицинские клиники, бизнес-центры и т.п.
Список компаний и организаций, обязанных уведомлять Роскомнадзор об обработке персональных данных, не является исчерпывающим. Часто компании, получая персональные данные граждан, не осознают, что их обработка регулируется законом.
Что должен делать оператор?
Если компания относится к первой группе, то никаких действий предпринимать не требуется. Операторы персональных данных, входящие во вторую группу, должны подготовить необходимый пакет документов (перечень можно найти на сайте Роскомнадзора) и направить их в ведомство для внесения компании в реестр операторов персональных данных.
В настоящий момент в этом реестре зарегистрировано почти 370 тыс. компаний. Процедура регистрации не сложна, но после внесения в реестр оператор должен будет следить за изменениями, вносимыми в ФЗ «О персональных данных». Такие изменения могут повлечь необходимость подачи дополнительных документов в Роскомнадзор. Неуведомление уполномоченного органа об обработке персональных данных может привести к серьезным последствиям.
Каковы последствия нарушения требований закона?
В первую очередь компании необходимо оценить риск того, что факт обработки персональных данных, не подпадающий под ст. 22 152-ФЗ, будет выявлен Роскомнадзором. Если компания однократно произвела обработку персональных данных и работа с такими данными не является для нее постоянной, то риск привлечения к ответственности относительно низок.
Большинство ИT-компаний являются операторами персональных данных и максимально вовлечены в процесс их обработки. В связи с этим велика вероятность проверки Роскомнадзором соблюдения ими положений 152-ФЗ.
Роскомнадзор может привлечь к ответственности сотрудников, руководителя компании и саму компанию. Как правило, за различные выявленные нарушения — от нарушения порядка сбора, хранения и обработки информации о гражданах до несоответствия требованиям лицензий — на оператора персональных данных накладывается целый ряд штрафов. Крупные игроки ИT-индустрии помимо штрафов подвержены репутационным рискам, которые трудно оценить в денежном выражении. Центр обработки данных или оператор связи, не способный надлежащим образом организовать обработку персональных данных, может вызвать сомнение у потенциальных клиентов.
Необходимо также учитывать, что проверки Роскомнадзора могут быть не только плановыми, но и организованными по заявлению третьих лиц или сотрудника компании, который сочтет, что при обработке персональных данных были нарушены его права.
Что могут обеспечить ЦОДы?
Организация надлежащей работы с персональными данными, требующаяся от любой ИT-компании, должна быть многосторонней. Она должна охватывать как юридические направления (правовые аспекты получения персональных данных), так и практические (организация процедуры хранения персональных данных, ведения журналов доступа к персональным данным и т.д.).
Логика законодательного ужесточения требований к процедурам обработки персональных данных обусловлена в первую очередь необходимостью обеспечения безопасности граждан. С каждым годом все больше персональных данных вовлекается в оборот во всемирной сети: номера телефонов, данные банковских карт, личная переписка — и все они должны храниться надежно. Многие компании передают хранение персональных данных специалистам — профессиональным операторам связи и дата-центрам. В такой ситуации сохранность персональных данных зависит от правильного выбора поставщика услуг. Центр обработки данных, имеющий не только отказоустойчивую инфраструктуру, но и надежную физическую охрану, в полной мере способен обеспечить защиту серверов клиентов и не допустить несанкционированного доступа к персональным данным. По этой причине большинство банков и крупных компаний доверяют хранение персональных данных ЦОДам высокого уровня надежности.
Пресс-центрЗакон о защите персональных данных
Один из главных вопросов:
Всем ли нужно регистрироваться в Роскомнадзоре?
Есть несколько вариантов, которые позволяют избежать этой регистрации. Однако, в этом случае нужно юридически грамотно обосновать контролирующему органу то, что Ваша организация соответствует данным критериям.
Исключения из правил для бизнеса:
- сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
- персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
- обработка персональных данных, находящимся в открытом доступе;
- сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
- сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
- сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации.
Во всех остальных случаях регистрация в реестре операторов Роскомнадзора обязательна!
Регистрация обязательна?
Взвешивая все причины, организации могут принять следующие решения.
Первое. Ждать. Надеяться, что проверка не придет. Смотреть, как поступят другие операторы персональных данных. Плюсы очевидны – “авось пронесет”. А вот минусы часто упускают, а они более чем существенные. В ходе проверки выявленные нарушения становятся известны всем на общедоступном сайте соответствующего территориального управления Роскомнадзора, что, во-первых, поставит под сомнение Вашу репутацию перед клиентами, во-вторых, этими сведениями могут воспользоваться недобросовестные конкуренты.
Второе. Подать несмотря ни на что. Не важно надо, не надо, просто подать. Сразу обратим внимание, это сложный процесс, даже учитывая подсказки и рекомендации на сайте. За ошибки в составлении уведомления предусматривается ответственность и штрафы.
Третье. Не подавать. Попытаться найти способ не подавать уведомление. Ниже рассмотрим подробнее как это можно сделать.
Реально ли избежать регистрации?
Чтобы избежать регистрации в Роскомнадзоре необходимо все процессы и документооборот в организации построить таким образом, чтобы они четко были определены п.2 ст.22 № 152-ФЗ. И другого выхода нет. Либо подавать уведомление, либо привести в порядок все документы.
Алгоритм действий прост:
- Для начала необходимо определить тип, субъект персональных данных и на основании каких документов они обрабатываются.
- Выявленные процессы сбора и использования персональных данных необходимо юридически грамотно сопоставить с видами обработки, которые позволяют не подавать уведомления в Роскомнадзор (п.2 ст.22 №152-ФЗ и п.2 ст.1).
- Получить согласие на распространение и предоставление персональных данных гражданина третьим лицам, которое бы соответствовало Закону.
- Внести коррективы в договоры с субъектами.
- Грамотно составить все документы имеющиеся, как на сайте Вашей организации, так и привести в порядок внутреннюю документацию.
Стоит отметить, что все это трудно выполнить штатным работникам, так как решение данных задач выходит далеко за рамки типовых обязанностей. Для приведения в соответствие с законом всех процессов в организации руководитель будет терять большое количество своего дорогостоящего времени.
Наиболее разумным выходом из данной ситуации является привлечение специализированной организации, чьи эксперты проходили обучение и участвовали в конференциях по изменениям в ФЗ-152, которые обладают необходимыми знаниями и огромным опытом. Наши специалисты избавят Вас и Ваших сотрудников от выполнения задач, которые занимают много времени и будут несвойственные их характеру работы, а также оценить и при необходимости реализовать меры, которые дадут возможность избежать подачи уведомления.
Как избежать штрафов и блокировки Вашего сайта? Заполните форму заявки на нашем сайте, и с Вами свяжется наш специалист.
У Вас еще остались вопросы по ФЗ-152? Ответы на них можно найти в следующих статьях:
Перейдем на личности
Рецепты безопасности от Емельянникова: 01.12.17
Можно ли любому желающему использовать данные, в том числе – персональные, размещенные пользователями на открытых для всех сайтах в сети Интернет в тех целях, которые определил для себя пользователь такой информации? Ответ, казалось бы, очевиден. Разместив свои данные для всеобщего доступа каждый, находящийся в здравом уме и твердой памяти, должен понимать, что ими может воспользоваться любой желающий так, как ему заблагорассудится, если только он своими действиями не нарушает установленные законом права такого пользователя. Например, законами «О персональных данных» и «О рекламе» наложен прямой запрет на звонки и рекламные рассылки без явного, доказываемого согласия потребителя. Поэтому наличие телефона в объявлении о намерении купить автомобиль – вовсе не повод предлагать владельцу телефона страховку. Примерно такой логикой, наверное, руководствовалось АО «Национальное бюро кредитных историй» («НБКИ»), заказывая ООО «Дата» скоринг пользователей социальной сетей и сайтов объявлений для определения их потенциальной кредитоспособности. Однако надзорные органы и суды решили совсем по-другому. Управление Роскомнадзора по ЦФО посчитало такую обработку персональных данных незаконной, а Арбитражный суд Московского округа 9 ноября 2017 года уже в третьей инстанции отклонил жалобу кредитного бюро на предписание надзора об устранении нарушения. Логика судов была такова. Исходя из буквального прочтения статьи 8 Федерального закона «О персональных данных» (далее – Закон 152-ФЗ), для того, чтобы считать персональные данные сделанными субъектом персональных данных общедоступными и обрабатывать их, как предусмотрено пунктом 10 части 1 статьи 6 того же закона без согласия субъекта, необходимо одновременное выполнение двух условий: 1. Персональные данные доступны неопределенному кругу лиц. 2. Персональные данные предоставлены непосредственно самим субъектом. Однако, анализируя организацию размещения данных в социальных сетях, суды посчитали, что без письменного согласия пользователя не представляется возможным утверждать, что они предоставлены именно указанным субъектом. Таким образом, персональные данные, сделанные общедоступными субъектом персональных данных, могут содержаться только в общедоступных источниках персональных данных, соответствующих определению, данному в статье 8 Закона 152-ФЗ. Следовательно, информация о субъекте (в том числе, персональные данные), содержащиеся в социальных сетях или на иных сайтах в сети Интернет, не может быть отнесена к персональным данным, сделанным субъектом общедоступными, поскольку социальные сети не являются источником общедоступных персональных данных применительно к положению этой статьи. Суд также отметил, что в соответствии со статьей 7 Закона 149-ФЗ общедоступной является информация, размещаемая ее обладателями в сети Интернет в формате, допускающем автоматизированную обработку без ее предварительного изменения человеком в целях повторного ее использования, чего в социальных сетях не наблюдается. Таким образом, персональные данные, обрабатываемые АО «НБКИ» и полученные из социальных сетей, не были сделаны общедоступными субъектом персональных данных, в связи с чем в действиях заявителя усматриваются нарушения пункта 1 части 1 статьи 6 Закона 152-ФЗ (обработка данных без согласия субъекта). По-моему, это противоречит здравому смыслу, но уж если такое решение принято, оно требует полного и логического завершения. Суд согласился с тем, что данные в социальных сетях – персональные, но доказательств того, что они размещены там пользователями, нет. При этом интернет-ресурсы с персональными данными прямо названы в решении судов открытыми, но не общедоступными. То есть доступ к ним предоставлен неограниченному кругу пользователей Интернета неизвестными лицами, полномочия которых операторами (владельцами) социальных сетей и сайтов объявлений не проверялись, поскольку никакого согласия, и уж тем более в письменной форме, у социальных сетей нет. Налицо несколько нарушений закона. Статья 7 Закона 152-ФЗ обязывает оператора, получившего доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Для соцсетей законом это не предусмотрено, согласия субъекта на обработку, включая распространение, как установили суды трех инстанций, нет, кроме того, нарушено и требование части 1 статьи 9 закона, обязывающее, в случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, проверить полномочия данного представителя. Согласие давалось, в данном случае, в форме конклюдентных действий – размещение персональных данных в социальной сети и на сайтах объявлений неустановленными оператором лицами в отношении неизвестных владельцам сайта лиц. Следовательно, все операторы, упомянутые в судебных актах по этому делу, – социальные сети ВКонтакте, Одноклассники, МойМир, Instragram, Twitter, интернет-порталы Авито и Авто. ру совершили административное правонарушение, предусмотренное частью 1 статьи 13.11 КоАП РФ: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных. Кроме того, поскольку источники персональных данных являются, по мнению судов, открытыми, и к персональным данным имеет доступ неограниченный круг лиц, совершено административное правонарушение, предусмотренное частью 2 той же статьи: обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных. Из этого следует только одно – владельцев соцсетей надо привлечь к ответственности, доступ на территории России к таким сайтам ограничить, подав иск в защиту прав неопределенного круга пользователей Интернета, как это происходит со всеми сайтами, где незаконно размещены персональные данные. Есть, правда, и другой путь – согласиться с тем, что, поскольку данные выложены неизвестно кем, и никто не проверял их подлинность, вообще не рассматривать их как персональные, что было бы весьма логичным. Кстати, на этой точке зрения, как мне кажется, обоснованно стояли официальные лица уполномоченных органов власти сравнительно недавно.Вот, например, скриншот моей странички в Twitter:
Много вы видите в ней персональных данных? Если это — не персональные данные, то история будет совсем другой.Хочется надеяться, что АО «НБКИ» подаст надзорную жалобу в Верховный суд, и мы все окончательно узнаем, является ли открытый источник общедоступным или нет. Хорошо бы еще и с понятиями разобраться: чем все-таки отличаются открытые источники от общедоступных?
Персональные данные сотрудников: определение, правила работы
У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.
Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.
Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.
Основная информация о персональных данных:
Глава 14 Трудового кодекса РФ
Закон № 152-ФЗ О персональных данных
Положение об особенностях обработки персональных данных без средств автоматизации
Каких работодателей касаются правила о персональных данных
Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.
Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.
Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.
Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.
Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.
Что такое персональные данные работника
Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.
Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.
Вот список для ориентира:
Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.
Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.
Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.
Фото работника — например, на пропуск.
Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.
Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.
🎁
Новым ИП — год Эльбы в подарок
Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев
Попробовать бесплатноЧто будет за нарушение закона о персональных данных
За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.
Административная ответственность: штрафыРаботу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.
Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.
Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.
Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.
Гражданско-правовая ответственность: моральный вред работникуЕсли по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.
Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.
Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.
Уголовная ответственностьВ тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.
В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.
Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.
Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.
Правила работы с персональными данными работника
Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:
🔐 Персональные данные работника обрабатывают только с его письменного согласия.
🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.
🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.
О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.
🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.
🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.
🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.
🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.
🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.
Как настроить работу с персональными данными: инструкция
Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.
1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.
Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.
Пример положения о защите персональных данных работников
2. Назначьте ответственного за персональные данные.
Так нужно в силу ст. 22.1 Закона № 152-ФЗ.
Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.
ИП и организации с одним учредителем ответственным назначают себя.
Пример приказа о назначении ответственного за работу с персональными данными
Пример обязательства о неразглашении
3. Берите с каждого работника письменное согласие на обработку персональных данных.
Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.
Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.
Пример согласия на обработку персональных данных
Пример согласия на получение персональных данных у третьих лиц
Типовая форма трудового договора для микропредприятия
4. Храните документы с персональными данными в надёжном месте.
Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.
Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.
Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.
5. Уничтожайте персональные данные полностью.
Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.
Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.
Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.
6. Если нужно, уведомляйте Роскомнадзор.
По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.
Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.
Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.
Электронное уведомление Роскомнадзору
Образцы бумажных уведомлений
А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.
Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.
7. Исполняйте требования закона не только формально.
Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.
Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.
Статья актуальна на
Роскомнадзор по Республике Коми напоминает о необходимости уведомления о намерении осуществлять обработку персональных данных
Ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту — Федеральный закон «О персональных данных») закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Если деятельность оператора по обработке персональных данных не подпадает под действие ч. 2 ст. 22 Федерального закона «О персональных данных», то он обязан подать в Управление Роскомнадзора по Республике Коми (далее – Управление) уведомление об обработке (о намерении осуществлять обработку) персональных данных согласно частям 1, 3 ст. 22 Федерального закона «О персональных данных».
Дополнительно информируем, что электронная форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее –Уведомление), предусмотренная ч. 3 ст. 22 Федерального закона «О персональных данных», размещена на сайте Управления 11.rkn.gov.ru в разделе Электронные формы заявлений / нажать на кнопку «заполнить форму уведомления об обработке (о намерении осуществлять обработку) персональных данных в электронном виде», либо в указанный раздел можно перейти с помощью QRcode
(для перехода необходимо запустить программу QR-сканер и навести камеру устройства на код).
Рекомендации по заполнению формы Уведомления и пример заполнения размещены на портале персональных данных (https://pd.rkn.gov.ru) (в разделе Реестр операторов / Документы / Пример заполнения Уведомления (пункт 5).
После заполнения формы Уведомления и отправки ее в информационную систему Роскомнадзора, Вам необходимо распечатать заполненную форму, подписать ее и направить в Управление Роскомнадзора по Республике Коми по адресу: 167000, Республика Коми, г. Сыктывкар, ул. Коммунистическая, д. 17.
Кроме того, согласно ч. 7 ст. 22 Федерального закона «О персональных данных» в случае изменений сведений, указанных в ч. 3 ст. 22 этого закона, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Консультацию по заполнению Уведомления можно получить по телефону (8212) 40-01-24.
Формы заявлений
Как суды и Роскомнадзор (РКН) определяют что является персональными данными, а что нет?
В ст. 3 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» закреплено понятие “Персональные данные” (ПД), это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В сущности, понятие не содержит в себе какой-либо помощи тому, кто пытается понять, что такое ПД.
С одной стороны, это дает определенную свободу Операторам ПД, но с другой стороны, это развязывает руки РКН и судьям при рассмотрении дел, связанных обработкой ПД. Ни один сотрудник РКН еще не дал однозначного ответа на вопрос, что является ПД, а что нет.
Постоянно возникают вопросы: являются ли адрес электронной почты, ID пользователя, IP адрес, файлы cookies, номер телефона, имя/фамилия, данные Яндекс метрики (ЯМ), Google аналитики (ГА) и др. персональными данными?
Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.
Файлы cookies — были признаны ПД в деле, многим известной, социальной сети Linkedin: Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016. Однако, помимо файлов cookies, в социальной сети Linkedin осуществлялся сбор таких ПД, как фамилия, имя, адрес электронной почты и иное.
Возникает вопрос — являются ли файлы cookies ПД сами по себе, или в совокупности с другими данными, такими как ФИО, адрес электронной почты и иные ?
ID пользователя — было признано ПД Постановлением 13 ААС от 01.07.2016 по делу № А56-6698/2016. По обстоятельствам дела Оператор ПД ПАО «Ростелеком» поручил третьему лицу обработку следующих данных: Хэш-ID Пользователя; время просмотра web-страницы; URL; HTTP referer; User Agent; HTTP Cookie.
Как и в предыдущем кейсе — ID пользователя обрабатывалось в совокупности с другими данными. Будет ли ID пользователей ПД при их обработки автономно от иных имеющихся данных?
Данные ЯМ и ГА — были названы ПД при рассмотрении жалоб неизвестных лиц на сайт https://2019.vote/, сайт А.А. Навального “Умное голосование”: Решение Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018. Вопрос политизированности решения и необходимости заблокировать сайт в данной статье не рассматривается.
ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных
IP адрес. Стоит рассматривать отдельно статический и динамический IP адреса: Статический IP — является ПД; Динамический IP — не является ПД.
Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г. по делу № 2-5354/2015.
Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email адрес ПД или нет.
Существует точка зрения, что если email содержит в себе ФИО (например: [email protected]), то он является ПД. Ну и тут возникает вопрос, чем тогда такой email адрес отличается от просто ФИО, которые не являются ПД (см. пункт ниже)?
ФИО (или отдельно Ф, И, О) и номер телефона — пожалуй, наиболее часто обрабатываемые данные.
В какой момент ФИО и номер телефона становятся персональными данными — не известно. По информации РКН (ответы на наиболее часто задаваемые вопросы https://77.rkn.gov.ru/p3852/p13239/p13309/) — ни ФИО, ни номер телефона при рассмотрении обособленно от каких-либо других данные, не являются ПД. Но, как только Оператор обрабатывает данные в совокупности, например ФИО+телефон или ФИО+email — считается, что Оператор уже обрабатывает ПД.
К сожалению, законоприменительная практика по вопросам ПД разнится от случая к случаю и по многим вопросам существуют различные решения суда и РКН. Нет однозначного ответа, какая комбинация данных, по мнению законодательного и административного органов, является ПД, а какая нет.
Оператор может просто не успеть заметить, как его база не ПД превратилась в базу ПД, поэтому соблюдать ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» лучше всего с самого начала обработки данных пользователей. Тем более, что штраф за обработку ПД граждан РФ не на территории РФ уже был существенно увеличен в прошлом году (ч. 8 — 9 ст. 13.11. КоАП), и не известны дальнейшие реформы законодательства в сфере данных в России.
практика Роскомнадзора и судов России
31 июля 2018 года Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) провела традиционный День открытых дверей, приуроченный к годовщине принятия Федерального закона № 152-ФЗ «О персональных данных». («Закон о персональных данных»).
Заместитель руководителя Роскомнадзора г-н Панков рассказал об отношении Роскомнадзора к Общему регламенту защиты данных (GDPR), вступившему в силу 25 мая 2018 года, и представил некоторые рекомендации по соблюдению требований GDPR для российских операторов персональных данных, на которые он распространяется.
Одна из таких рекомендаций касается согласия на обработку персональных данных: необходимо получить отдельное согласие на обработку персональных данных для каждой цели такой обработки, указав в согласии перечень обрабатываемых персональных данных, порядок и условия отзыва согласия. , а также указание положений о третьих лицах, которым планируется передать персональные данные или которые должны быть привлечены в соответствии с соглашением об уступке прав.
Заместитель руководителя Управления по защите прав владельцев персональных данных г-жаГафурова предоставила обзор наиболее частых обращений физических лиц в Роскомнадзор в связи с действиями или бездействием операторов, нарушающих требования российского законодательства в отношении персональных данных. Количество таких жалоб увеличилось с 6 тысяч в 2008-2011 годах до 85 тысяч в 2016-2018 годах.
Скачать
Контакты:
Яна Дианова
Директор Департамента корпоративного и коммерческого права, GRATA International (Москва)
Тел .: +7 (495) 660 11 84
Эл. Почта: ydianova @ gratanet.com
[1] Постановление Одиннадцатого Арбитражного апелляционного суда № 11АП-19167/2017 от 26 февраля 2018 г. по делу № А65-30342 / 2017;
[2] Постановление Тринадцатого арбитражного апелляционного суда от 20 февраля 2018 г. № 13АП-34099/2017 по делу № А56-56720 / 2017; Постановление Девятого арбитражного апелляционного суда от 22 января 2018 г. № 09АП-66369/2017 по делу №А40-155310 / 17;
[3] Постановление Одиннадцатого Арбитражного апелляционного суда № 11АП-8336/2018 от 3 июля 2018 г. по делу № А65-33540 / 2017;
[4] Постановление двадцатого арбитражного апелляционного суда от 11 января 2018 г. № 20АП-7785/2017 по делу № А09-12418 / 2017;
[5] Постановление Четвертого арбитражного апелляционного суда № 04АП-127/2018 от 7 февраля 2018 г. по делу № А19-17054 / 2017.
Fortress Russia — Закон о локализации данных в России
21 июля 2014 г. в России принят Федеральный закон № 242-ФЗ «О внесении изменений в некоторые законодательные акты Российской Федерации по уточнению порядка обработки персональных данных в информационно-телекоммуникационных сетях» («Федеральный закон № 242 -ФЗ »), который вносит ряд изменений в действующее российское законодательство о защите данных. В частности, он вносит изменения в Федеральный закон № 152-ФЗ «О персональных данных», устанавливая требование локализации обработки персональных данных.
Дата вступления в силу
Важность Федерального закона № 242-ФЗ придает ему дату вступления в силу. Изначально планировалось, что он вступит в силу 1 сентября 2016 года. Однако 31 декабря 2014 года был принят Федеральный закон № 526-ФЗ, который изменил дату вступления в силу Закона о локализации данных в России на 1 сентября 2015 года.
Регулируемая деятельность
Согласно новому закону, «операторы персональных данных» обязаны обрабатывать и хранить персональные данные граждан России с использованием баз данных, расположенных в России (т.д., «локализация» данных). Оператор персональных данных — это юридическое или физическое лицо, которое организует или выполняет обработку персональных данных и определяет цели и объем такой обработки. Определение персональных данных в Федеральном законе № 242-ФЗ аналогично определению, принятому в различных европейских законах о защите данных (т. е. любая информация, прямо или косвенно связанная с любым идентифицированным или потенциально идентифицируемым лицом, включая имя, дату и место рождения. , адрес и т. д.).В то время как закон в широком смысле определяет обработку как любое действие или комбинацию действий, выполняемых с персональными данными или с ними, требование локализации наиболее важно относится к записи, систематизации, накоплению, хранению, подтверждению (обновлению, редактированию) и извлечению персональных данных, выполняемых в соответствии с с частью 1 статьи 6 Федерального закона № 152-ФЗ, за исключением обработки, перечисленной в частях 2, 3, 4 и 8 части 1 статьи 6. Закон также требует от операторов данных уведомлять Роскомнадзор, ) расположения серверов, на которых будут обрабатываться российские персональные данные до начала обработки.
Сфера действия Регламента
Параметры требования к новой локализации данных не совсем ясны. Роскомнадзор не дал толкование применимости законодательства к иностранным операторам данных (включая иностранные веб-сайты, обрабатывающие персональные данные граждан России). Традиционно российское законодательство о защите данных применялось только к российским операторам данных и иностранным операторам данных, имеющим юридическое присутствие в России (, например, , имеющих дочерние компании, представительства и т. Д.).), которые обрабатывают персональные данные в России. Если такое же определение будет принято в отношении этого законодательства, операторы данных, не имеющие законного присутствия в России, будут исключены из требования локализации.
Действующие требования
Неясно, запрещает ли закон обработку персональных данных российских граждан с использованием баз данных, расположенных за пределами России , в дополнение к обработке в пределах России (например, в целях резервного копирования или дублированного хранения) .Однако преобладает мнение, что даже если иностранная компания не имеет легального присутствия в России, но предоставляет онлайн-услуги, доступные российским гражданам, она все равно может подпадать под действие поправок.
Аналогичный подход присутствует в российском законодательстве о защите прав потребителей. Статья 1212 (1) Гражданского кодекса Российской Федерации предусматривает, что в ситуации, когда компания осуществляет деятельность в стране проживания потребителя или каким-либо образом переносит свою деятельность на территорию этой страны (например,g., предусматривает онлайн-сервисы, доступные для граждан России), обязательные правила страны проживания потребителя будут применяться к контракту между такой компанией и гражданином России независимо от применимого к контракту права. Такая позиция и ее более широкое толкование в целом соответствуют предлагаемым целям поправок, то есть защищать личные данные граждан России во всем мире.
Глава Роскомнадзора обозначил эту позицию в интервью, отметив, что сам факт того, что Роскомнадзор сможет заблокировать доступ к определенному сайту иностранной компании, позволяет сделать вывод о том, что составители поправок не собирались ограничивать сферу их применения. только иностранным компаниям, обрабатывающим персональные данные граждан России, филиалы и представительства которых находятся в России.Вероятно, что Роскомнадзор дополнительно прояснит свою позицию, когда опубликует свою политику по обеспечению соблюдения закона, чтобы предоставить операторам данных рекомендации по соблюдению, что ожидается весной 2015 года.
Тем не менее, подразумевается, что операторы персональных данных, в том числе иностранные компании с легальным присутствием в России, будут обязаны либо создавать в России центры обработки и хранения данных, либо арендовать такие помещения у российских поставщиков. Будет важно начать деятельность по сегрегационной обработке внутри организации или предоставление мощностей по переработке и хранению в России в 2015 году.
Ожидаются дополнительные разъяснения
В настоящее время законодательством не предусмотрены конкретные санкции, но будет применяться общая административная ответственность за нарушение российского законодательства о персональных данных. Корпорациям грозит штраф до 10 000 рублей за невыполнение новых требований по локализации. Более того, несоблюдение требований может привести к блокировке или ограничению доступа к веб-сайту или услуге на территории России Роскомнадзором. Никаких официальных комментариев, разъяснений или руководящих публикаций от Роскомнадзора не поступало, но весной ожидается некоторое публичное и, по крайней мере, неофициальное руководство.
Роскомнадзор: гос. Протоколы блокировки сайтов
Заголовки, такие как «[Веб-сайт] заблокирован в России», становятся все более распространенными в последние годы в связи с ограничением тысяч торрент-сайтов и пиратских веб-сайтов, онлайн-казино и даже платформ социальных сетей.
Эти заголовки предполагают, что ограничение доступа к веб-сайтам — это форма подавления в Интернете и еще один кирпичик в «Великом российском файрволе». Главный вопрос среди многих онлайн-компаний, работающих в России, — почему блокируются определенные веб-сайты.
Законодательной базой для ограничения доступа к веб-сайтам является Закон об информации, информационных технологиях и защите информации (Федеральный закон 149-ФЗ) и Закон о персональных данных (Федеральный закон 152-ФЗ). Эти законы содержат неисчерпывающий перечень юридических оснований для ограничения доступа к информации в Интернете.
Роскомнадзор — это государственный исполнительный орган, контролирующий все СМИ в России, в том числе те, которые могут появляться в Интернете. Он отвечает за управление всем процессом блокировки веб-сайтов: от ведения реестров до взаимодействия с веб-сайтами, хостинговыми компаниями, судами и другими государственными органами.
Роскомнадзор ведет следующие реестры:
- Реестр нарушителей авторских прав
- Реестр экстремистских материалов
- Единый реестр запрещенной информации
- Реестр нарушителей персональных данных
- Реестр организаторов распространения информации и блогеров
- Реестр операторов персональных данных
Включение в реестр не обязательно означает, что веб-сайт будет автоматически заблокирован. Реестр организаторов распространения информации и реестр операторов персональных данных предназначены для учета. Неспособность зарегистрироваться в названных регистрах влечет за собой риск закрытия, что и произошло с приложением для обмена сообщениями WeChat (дополнительные сведения см. В разделе «WeChat снова в сети»). Другие регистры предназначены для записи информации о веб-сайтах с незаконным содержанием — доступ к этим сайтам ограничен до тех пор, пока незаконное содержимое не будет удалено.
Когда веб-страница, веб-сайт или IP-адрес добавляются в один из указанных реестров, Роскомнадзор отправляет по электронной почте уведомление на русском и английском языках хостинг-провайдеру или другим лицам, которые позволяют публиковать или поддерживать информацию веб-сайта, со следующей строкой темы: Об этом сообщает Роскомнадзор.«
Технически Роскомнадзор осуществляет блокировку в рамках специальной процедуры, называемой «системой взаимодействия», в соответствии с которой он получает решения судов и других государственных органов с просьбой заблокировать веб-страницу, веб-сайт или IP-адрес с незаконным содержанием.
В течение одного рабочего дня Роскомнадзор добавляет сайт-нарушитель в реестр и отправляет хостинг-провайдеру или другим лицам уведомление, которое позволяет размещать или поддерживать информацию о веб-сайте.
Если материалы, нарушающие авторские права, удаляются с сайта в течение трех рабочих дней с момента получения уведомления, Роскомнадзор удаляет сайт из реестра. Однако, если нелегальный контент не будет удален, Роскомнадзор направит операторам связи запрос на ограничение доступа к сайту.
В качестве исполнительного органа Роскомнадзор разделяет бремя интернет-мониторинга и фильтрации контента с другими государственными органами, включая Федеральную налоговую службу, Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека, прокуратуру и полицию.
Ниже приводится перечень судебных и внесудебных оснований для блокировки сайтов и разделения полномочий между государственными органами.
Государственный орган | Земля |
---|---|
Несудебные основания | |
Роскомнадзор |
|
Федеральная налоговая служба |
|
Министерство внутренних дел |
|
Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека |
|
Прокуроры |
|
Судебные основания | |
Суды |
|
Мосгорсуд |
|
Эта статья изначально была опубликована в IAM Weekly и воспроизводится с разрешения.
НЕ ЮРИДИЧЕСКАЯ КОНСУЛЬТАЦИЯ.Информация, доступная на этом веб-сайте в любой форме, предназначена только для информационных целей. Это не юридическая консультация, и ее не следует воспринимать как юридическую. Вы не должны полагаться на эту информацию, предпринимать или не предпринимать какие-либо действия. Никогда не пренебрегайте профессиональной юридической консультацией и не откладывайте обращение за юридической консультацией из-за того, что вы прочитали на этом веб-сайте. Специалисты Gowling WLG будут рады обсудить решения по конкретным юридическим вопросам, которые могут у вас возникнуть.
Как глобальным компаниям продолжить бизнес в России
Российский рынок является крупнейшим источником потенциальных пользователей в Европе для международных компаний.Более того, по данным ITA, онлайн-рынок России является одним из крупнейших в мире и имеет значительный потенциал. К 2025 году у него будет 124 миллиона пользователей Интернета: привлекательное число для любого бизнеса. Однако в последнее время все больше и больше глобальных компаний попадают под пристальное внимание Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) из-за несоблюдения ими Закона о персональных данных (Федеральный закон 152-ФЗ). Согласно этим правилам, глобальные компании должны хранить данные российских пользователей в России — так же, как GDPR требует, чтобы данные европейских граждан хранились в Европе.Мы решили разобраться в ситуации, чтобы объяснить, как вести бизнес в России легально и без лишних хлопот.
Что говорит закон?
Федеральный закон 152-ФЗ в его нынешней форме требует локализации персональных данных (ПД) в России. Это означает, что глобальная компания, обслуживающая российских клиентов, должна обеспечить запись, систематизацию, накопление, хранение и уточнение их персональных данных с использованием баз данных, расположенных на территории России.
Обратите внимание, что понятие персональных данных включает не только полные имена, даты рождения, паспортные данные и адреса, но и любую информацию , которая относится к конкретному человеку или лицам.Например, номер телефона или адрес электронной почты сам по себе не является PD, поскольку неясно, кому именно принадлежат эти данные; но, если мы говорим о любой базе данных с полными именами клиентов и их контактной информацией, то это действительно подпадает под определение PD. Определение также включает уникальную информацию о человеке: отпечатки пальцев, генетическую информацию или данные о состоянии здоровья.
Когда международная компания попадает под действие закона?Даже если у компании нет российской клиентской базы (что сейчас редко), она попадает под действие закона в следующих случаях:
- Имеется русскоязычная версия сайта или русский домен;
- Покупатели оплачивают услуги или товары в рублях;
- Пользователи видят на сайте рекламу на русском языке.
Это означает, что новый закон затрагивает все виды бизнеса с российскими клиентами или даже посетителями: от социальных сетей и онлайн-издателей до потоковых сервисов и многих других.
Кто обеспечивает соблюдение закона?Роскомнадзор контролирует исполнение Закона о персональных данных. Этот офис на основании постановлений суда создает реестр нарушителей и может блокировать сайты компаний на нем. Ответственность также включает штраф.С 2019 года размер штрафа может достигать десятков тысяч долларов.
Чем мы можем помочь?В этой правовой ситуации лучшим решением для глобальных компаний является использование услуг облачных провайдеров с дата-центрами в России, таких как G-Core Labs.
Мы обеспечиваем глобальные компании инфраструктурой, соответствующей требованиям российского законодательства. Среди наших международных клиентов — Metro Cash & Carry, Volkswagen, Avast, Michelin, Wargaming, Joom, Sandbox Interactive, Bandai Namco и RedFox Games.
Кроме того, переход в облако G-Core Labs влечет за собой ряд важных бизнес-преимуществ.
- Высокая доступность . Соглашение об уровне обслуживания на 99,95% с финансовыми гарантиями на случай простоя. Однако благодаря нашему надежному центру обработки данных до этого доходит редко.
- Быстрое развертывание . Всего за несколько минут можно создать ИТ-инфраструктуру любого масштаба, независимо от отрасли и размера вашего бизнеса.
- Неограниченная масштабируемость. Отказоустойчивость всех наших центров обработки данных максимально приближена к 100%, и существуют меры против сбоев системы. Ваша компания может использовать одну или сотни виртуальных машин и хранить неограниченное количество данных.
- Снижение капитальных затрат и финансовая прозрачность . Перенос вашей инфраструктуры в наше облако не требует оплаты или минимальных сборов, а также дополнительных затрат на установку или настройку. Биллинг основан на модели с оплатой по факту; клиент платит только за ресурсы, которые он использует.
- Поддержка 24/7 . Наши специалисты полностью берут на себя техническую поддержку, что позволяет вашей компании сосредоточиться на бизнесе.
- Надежность . Сервис аварийного восстановления поможет защитить ваш бизнес от простоев при различных сбоях (например, при случайном удалении базы данных на рабочем сервере).
- Чистый металл . Наш облачный сервис позволяет развертывать приложения на выделенных серверах.
- Простая миграция .Для любой глобальной компании миграция в наше облако — это быстрый и безопасный процесс, в котором сохраняются все необходимые данные.
Мы создали в Москве облачное объектное хранилище S3 для безопасного хранения больших объемов данных в соответствии с Федеральным законом 152-ФЗ. Этот сервис будет интересен разработчикам игр, провайдерам мультимедийных онлайн-сервисов и владельцам высоконагруженных ресурсов.
Облачное хранилище помогает снизить затраты на создание и обслуживание собственной ИТ-инфраструктуры. Благодаря бесперебойному доступу и неограниченной масштабируемости он позволяет повысить гибкость ваших бизнес-процессов.
Хранилище S3 очень удобно использовать вместе с нашими облачными сервисами и глобальной CDN.
Вы также можете управлять доступом к общим наборам данных и жизненным циклам объектов, устанавливать интервал удаления резервных копий и автоматизировать этот процесс.
Разнообразие конфигураций виртуальных машинЛюбая компания может разместить собственное виртуальное облако или подключиться к выделенным виртуальным серверам с различными конфигурациями CPU, RAM и GPU для любых вычислительных задач и проектов.
Инфраструктура G-Core Labs основана на решениях Intel, включая новейшие процессоры Intel Xeon Scalable (Ice Lake) 3-го поколения. Технология защиты конфиденциальных данных Intel SGX также интегрирована в облако G-Core Labs.
Сева Вайнер — руководитель облачных платформ G-Core Labs
Роскомнадзор угрожает оштрафовать Twitter и Facebook
Наблюдательный пес Роскомнадзора хочет оштрафовать Facebook и Twitter после того, как они отказались хранить данные российских пользователей на серверах, расположенных в стране.
Роскомнадзор возбудил административное дело против Facebook и Twitter после того, как они отказались хранить данные российских пользователей на серверах, расположенных в стране.
«31 января 2020 года Роскомнадзор возбудил административное дело в отношении компаний Facebook, Inc и Twitter, Inc.,. Данные компании не предоставили информацию о выполнении требований по локализации баз данных российских пользователей соответствующих социальных сетей на серверах, расположенных на территории Российской Федерации, как это предусмотрено частью 5 статьи 18 Закона о персональных данных от 2 декабря 2004 г.152-ФЗ ». говорится в пресс-релизе, опубликованном российским наблюдательным органом. «Административное дело возбуждено по признаку административного правонарушения в соответствии с частью 8 статьи 13.11. КоАП РФ, который предусматривает наложение административного штрафа в размере от 1 миллиона до 6 миллионов рублей ».
Роскомнадзор России сообщил, что протокол судебного заседания был подписан в присутствии представителя Twitter, а представитель Facebook не присутствовал, чтобы его подписать. В любом случае Facebook получит копию протокола в течение трех дней.
Обе компании могут быть приговорены к выплате штрафа в размере от 1 миллиона рублей (приблизительно 16 000 долларов США) до 6 миллионов рублей (94 000 долларов США).
«Можно обойти запреты, но если компания работает [в России], ей придется платить», — заявил в четверг государственному информационному агентству ТАСС заместитель министра связи Алексей Волин.
Правительство России уже заблокировало профессиональную социальную сеть LinkedIn в 2016 году в соответствии с законодательством о локализации данных.
На этой неделе российское правительство заблокировало службу сквозного шифрования электронной почты ProtonMail и службу ProtonVPN VPN.
Роскомнадзор пояснил, что киберпреступники злоупотребляли услугами и что Proton Technologies отказалась зарегистрировать их в государственных органах. Правительство России просит всех интернет-провайдеров и провайдеров VPN, работающих в стране, предоставить информацию о своих пользователях.
«29 января на основании требований Генпрокуратуры РФ Роскомнадзор ограничит доступ к почтовой службе Protonmail.com (Швейцария) », — говорится в пресс-релизе, опубликованном Роскомнадзором, российским наблюдательным органом в области телекоммуникаций.
«Данный почтовый сервис использовался злоумышленниками как в 2019 году, так и особенно активно в январе 2020 года для рассылки ложных сообщений под видом достоверной информации о массовом майнинге объектов в Российской Федерации»,
Роскомнадзор принял решение заблокировать Proton Technologies после того, как компания отказалась предоставить информацию о владельцах почтовых ящиков, которые использовались для рассылки угроз о взрыве.
Пьерлуиджи Паганини
( Служба безопасности — United Nations, взлом)
Поделиться
Новые правила проведения регулирующим органом проверок в области персональных данных
«Пепеляев Групп» сообщает, что вступила в силу обновленная процедура проверок соблюдения законодательства о персональных данных.
Постановление Правительства Российской Федерации [1], устанавливающее порядок организации и проведения проверок в отношении операторов персональных данных («Постановление»), вступило в силу 23 февраля 2019 года. Ранее порядок проведения проверок регулировался Административным Регламент 2011 года [2] («Административный регламент»). Постановление обновило и дополнило эту процедуру, закрепив ее на более высоком регулирующем уровне, как того требует законодательство.
Несмотря на то, что общие правила проведения проверок, установленные Административным регламентом, не изменились, Постановление вводит ряд положений, которые мы считаем весьма интересными. Среди них можно выделить следующие.
«Техническая сторона» выпуска исключенаПостановление обращает внимание на то, что Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) не проверяет, принимаются ли организационные и технические меры по обеспечению безопасности персональных данных, обрабатываемых в составе персональных данных. информационные системы («ИСД»).Однако полная версия статьи 19 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 г. теперь не подлежит проверке.
В свете того, что значительный блок нормативных требований в отношении безопасности персональных данных в PDIS выходит за рамки аудитов, мы можем ожидать последующего утверждения соответствующих правил контроля и надзора в этой области. Скорее всего, это будет сопровождаться передачей этой компетенции каким-то другим регулирующим и надзорным органам, например, Федеральной службе по техническому и экспортному контролю (ФСТЭК) России. |
Как и раньше, осталось общее правило: плановые аудиты операторов должны проводиться не чаще одного раза в три года. Однако для целей аудита была создана новая классификация операторов персональных данных. В эту классификацию входят следующие операторы:
- собирающие биометрические и специальные категории персональных данных;
- осуществляющие трансграничную передачу персональных данных в иностранное государство, не обеспечивающую надлежащую защиту прав субъектов персональных данных;
- обрабатывают персональные данные по запросу иностранного юридического лица (физического или государственного), не зарегистрированного в России.
Теперь таких операторов можно проверять чаще — раз в два года.
Несмотря на то, что теперь Роскомнадзор имеет право чаще проводить плановые проверки операторов, следует учитывать, что у Роскомнадзора отсутствуют ресурсы для проведения регулярных проверок значительного числа компаний. Однако, если более внимательно присмотреться к списку операторов, например, в связи с обработкой особых категорий персональных данных, которую выполняют почти все работодатели (например, информация о состоянии здоровья сотрудников), то это В группу операторов входят, по сути, все компании.По этой причине, если у Роскомнадзора есть намерение проводить аудит оператора так часто, это будет разрешено в рамках закона. |
Уточнен и расширен перечень оснований для продления срока проверки. Например, наличие у оператора разветвленной организационно-хозяйственной структуры и / или сложных технологических процессов обработки персональных данных является основанием для расширения аудита.
Внеплановые камеральные проверки отменены.
Уточнено право регулятора в отношении PDIS: во время выездного аудита регулятор имеет право получить доступ к PDIS оператора в режиме просмотра и выбора информации с точки зрения содержания, объема и методов обработки , а сроки хранения обрабатываемых персональных данных соответствуют целям их обработки.
Срок внеплановой проверки сокращен с 20 до 10 дней.
Кроме того, установлен максимальный срок устранения нарушений, выявленных в ходе проверки. Это будет шесть месяцев (ранее такой срок определялся на усмотрение Роскомнадзора).
О чем думать и что делатьКомпаниям рекомендуется проверить соблюдение требований законодательства о персональных данных и заранее подготовиться к возможным мерам контроля и надзора со стороны Роскомнадзора.
Помощь консультанта Юристы«Пепеляев Групп» готовы оказать услуги в части проведения аудита операторов персональных данных на предмет соответствия требованиям законодательства о персональных данных и в части приведения деятельности операторов в соответствие с требованиями законодательства.
Наши юристы имеют значительный опыт подготовки и оказания юридической помощи в ходе проверок, проводимых Роскомнадзором. Они готовы оказать соответствующую комплексную юридическую и техническую поддержку для своевременного выявления и устранения возможных нарушений, а также представлять компанию и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.
[1] Постановление Правительства РФ от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и проведения государственного контроля и надзора за обработкой персональных данных».
[2] Утверждена приказом Минкомсвязи России от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации своих функций по осуществлению государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства Российской Федерации о персональных данных »
Кратко о локализации данных в России
Раздел MT Conferences не включает репортажи или редакцию The Moscow Times.
Анастасия Загородная
советника
Dentons
Так называемый Закон о локализации данных (изменения в Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных», внесенные Федеральным законом Российской Федерации от 21 июля 2014 г. 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». ), которая вызвала многочисленные обсуждения за последний год, вступила в силу 1 сентября 2015 года. Если у вас не было возможности изучить этот вопрос, вот суть и последние события.
Новые правила
Основным изменением, внесенным в Закон о локализации данных, является новый пункт 5, добавленный в статью 18 Закона о персональных данных. Он предусматривает, что при сборе персональных данных, в том числе посредством сети Интернет, оператор должен обеспечить, чтобы запись, систематизация, накопление, хранение, изменение и поиск персональных данных граждан России осуществлялись с использованием баз данных, расположенных на территории России, за исключением определенные исключения.
Упомянутые исключения, как правило, не связаны с бизнесом. Кроме того, Законом о локализации данных была введена новая статья 15.5 Закона об информации, информационных технологиях и защите информации, которая устанавливает порядок ограничения доступа к информации, обрабатываемой с нарушением российского законодательства о персональных данных (это принято считать как таргетинг в основном на веб-сайты, через которые личные данные собираются ненадлежащим образом). Это позволит заблокировать веб-сайты-нарушители.
Практическое руководство
Владислав Архипов
советника
Дентонс, канд. Юриспруденция, доцент Санкт-Петербургского государственного университета
Учитывая краткую формулировку требований к локализации, многое осталось неясным. Различные интерпретации обсуждались в прессе, на закрытых отраслевых встречах и специализированных конференциях. В начале августа Минкомсвязи опубликовало долгожданные комментарии по ключевым вопросам, основанные на отзывах деловых и академических кругов, а также компетентных органов (доступно на сайте http: minsvyaz.ru / ru / personaldata / # 1438548328715).
Ключевые проблемы
Юрисдикция — на кого распространяются новые правила?
Закон действует на территории России, поэтому распространяется на российские компании-резиденты, а также на представительства и филиалы иностранных компаний, занимающихся обработкой данных. Кроме того, веб-сайты, явно ориентированные на российских пользователей (ожидается, что такая ориентация должна определяться комбинацией факторов, таких как, например, доменное имя, язык, обработка платежей и т. Д.), скорее всего, будет рассматриваться как «направленный против» России и как таковой, с точки зрения России, должен соответствовать этим императивным нормам российского законодательства. Хотя российские суды могут доработать этот подход, есть основания ожидать, что он будет использован на практике.
Scope — к чему применяются новые правила?
Новые правила применяются к операциям, прямо перечисленным в Законе о локализации данных. Другие действия (например, использование данных, удаленный доступ, удаление) не затрагиваются.Вопреки первоначальному мнению многих иностранных компаний, закон не устанавливает запрет на экспорт данных. Данные могут быть переданы за границу, если основная база данных или база данных начального уровня, используемая для записи при сборе, хранении и дальнейшем обновлении, находится внутри России. Власти принимают широкую концепцию «базы данных»: любая совокупность данных, записанных в электронных системах или в бумажных картотеках.
В контексте неопределенности, вызванной отсутствием дополнительных обязательных нормативных указаний, рекомендуется в максимально возможной степени соблюдать правила трансграничной передачи, включая получение индивидуальных согласий, заключение соглашений о передаче данных между контроллерами данных и организациями-получателями.Вам также может потребоваться соблюдать процедуры сбора и обработки данных и трансграничной передачи данных, содержащиеся во внутренней политике.
Согласно разъяснениям Министерства, новые правила охватывают только «преднамеренный» сбор личных данных непосредственно от субъекта данных или через третьих лиц, специально привлеченных для такого сбора. Это означает, что данные, которые не были запрошены (например, случайное электронное письмо от субъекта данных, содержащее личные данные), или данные, полученные от третьей стороны, которая независимо собрала их от субъектов данных, выходят за рамки.
Министерство также пояснило, что компания должна принять собственное разумное решение относительно того, какие данные касаются граждан России, или принять точку зрения, что любая информация, собранная с территории России, относится к гражданам России.
Сроки — без обратной силы
Персональные данные, собранные до даты вступления в силу (1 сентября 2015 г.), не подлежат защите; однако операции, перечисленные в новом правиле в отношении старых данных (например, обновление), вызовут необходимость соблюдения.
Возможно (и Роскомнадзор об этом заявил), что проверки, проведенные до конца 2015 года, будут ограничены только компаниями, указанными в официальном плане проверок (доступен на русском языке на официальном сайте Роскомнадзора: http: rkn.gov .ru / docs / plan_print_20151.docx). Тем не менее, внеплановые расследования также возможны на основании жалобы, поданной субъектом данных.
Несмотря на то, что требование локализации данных является актуальной темой, компании, работающие в России, не должны забывать, что следует соблюдать общие требования российского закона о персональных данных, в том числе требования о внутренней политике и мерах безопасности.