О ПРОЕКТЕ

Проект ПД-Инфо.рф / PD-info.ru посвящен обсуждению вопросов, связанных с особенностями реализации нового Федерального закона № 242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (т.н. «Закон о локализации Персональных данных россиян на территории РФ»).

Закон вступает в силу 1 сентября 2015 года, срок его вступления в силу был изменен на более поздний в результате экспертных обсуждений с отраслью и представителями государства и деятельности ряда профильных ассоциаций, аргументированно предложивших такой перенос.

В процессе обсуждения законопроекта и его принятия, он неоднократно привлекал к себе внимание игроков IT-рынка, СМИ, блогеров и экспертов. Периодически реакция на такое обсуждение выходила за рамки экспертных заключений. Зачастую это происходило из-за того, что отрасль не получала своевременных разъяснений и ответов на волнующие ее вопросы относительно конкретных механизмов реализации закона, контроля его исполнения и т.д.

При этом мы исходим из того, что в интересах всех участников процесса (государство: законодательная и исполнительная власть, отрасль: российские и международные интернет- и IT-игроки, пользователи) необходимо наладить конструктивный диалог сторон и собрать в едином месте все экспертные заключения, рекомендации и разъяснения — с целью максимально упростить доступ к накопленным материалами для всех заинтересованных сторон.

Данный проект — это общественная инициатива, направленная на упрощение работы и тех, кого этот закон касается непосредственно (российские и международные интернет- и IT-игроки, пользователи — субъекты персональных данных).

Проект реализуется силами РАЭК (Ассоциация электронных коммуникаций), РОЦИТ (Региональный общественный Центр интернет-технологий) и Роскомнадзора, при участии партнеров проекта: theRunet, rspectr.com и Журнал «Интернет в цифрах».

Принципиально важна роль Роскомнадзора в данном проекте — как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями.

Подзаконные нормативные правовые акты

В рамках реализации 242-ФЗ, были разработаны следующие проекты подзаконных нормативных правовых актов:

  1. Постановление Правительства Российской Федерации от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»);

  2. Проект постановления Правительства Российской Федерации «Об утверждении положения о контроле за обработкой персональных данных»;

  3. Проект приказа Минкомсвязи России «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от 21.12.2011 № 346»;

  4. Приказ Роскомнадзора от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»;

  5. Приказ Роскомнадзора от 22 июля 2015 г. № 85 «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»

ФЗ–242 (с 1 сентября 2015)

Закон вносит поправки в законодательство о защите персональных данных россиян, в т.ч. в части требований о локализации хранения и обработки персональных данных российских граждан на территории РФ.

Уже после принятия закона был изменен срок его вступления в силу — на 1 сентября 2015 года.

Полный текст Закона Скачать в PDF

ФЗ–152 (О перс. данных)

Полный текст Закона Скачать в PDF

ИНФОРМАЦИЯ ДЛЯ IT-КОМПАНИЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для интернет- и IT-компаний.

Подробнее

ИНФОРМАЦИЯ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для пользователей.

Подробнее

ЗАДАТЬ ВОПРОС

ВОПРОСЫ-ОТВЕТЫ

Как повлияет 242-ФЗ на право субъектов персональных данных самостоятельно распоряжаться данные о себе и в связи с этим на права операторов персональных данных?
Право субъекта персональных данных самостоятельно распоряжаться данными о себе 242-ФЗ не аннулирует. Граждане вправе предоставлять свои данных в базы иностранных организаций, праве осуществлять бронирование иностранных гостиниц, проходить лечение за границей, предоставлять этим данным общий доступ, входить в адресные справочники и прочие примеры. 242-ФЗ не запрещает гражданам распоряжаться персональными данными по их собственному усмотрению в их интересе и воле.

Однако право субъекта персональных данных самостоятельно распоряжаться своими персональными данными, не означает, что оператор персональных данных может использовать это право в качестве правовой коллизии в целях неисполнения рассматриваемого положения 242-ФЗ. Польку оператор персональных данных изначально в силу 242-ФЗ должен обеспечить нахождение баз данных с информацией о российских гражданах на территории Российской Федерации. В случае возникновения необходимости в передаче этих данных в целях обработки на территорию иностранного государства, такая передача может быть осуществлена в соответствии с правилами Федерального закона «О персональных данных».
Какие особенности обработки общедоступных персональных данных и применимости к ним требований конфиденциальности?
Согласно п.10 ч.1 ст. 6 Федерального закона «О персональных данных» допускается без согласия субъекта персональных данных обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Соответственно, требование конфиденциальности, установленное ст. 7 Федерального закона «О персональных данных», на обработку указанных сведений не распространяется.

К примеру, публикация на сайте российской компании контактных данных сотрудников, а именно фамилии и имени, корпоративного номера телефона и корпоративного адреса электронной почты, размещенные с согласия указанных работников не требует соблюдения требований конфиденциальности и не является трансграничной передачей, поскольку размещение и хранение осуществляется на российской площадке.

Относительно применения требований 242-ФЗ к обработке общедоступных сведений необходимо отметить, что ст. 2 указанного закона не установлены исключения применительно п.10 ч.1 ст. 6 Федерального закона «О персональных данных». Таким образом, при осуществлении сбора общедоступных персональных данных на деятельность оператора требования 242-ФЗ распространяются в полном объеме.
Может ли быть размещен в материнской компании в Германии регистр сотрудников дочернего предприятия, содержащий, в частности, имена, рабочие телефоны и адреса электронной почты российских сотрудников?
Применительно к указанной ситуации необходимо понимать, что взаимоотношения внутри транснациональных компаний как минимум предполагают две стороны: представительство, которое зарегистрировано в Российской Федерации как юридическое лицо, и непосредственно головной офис, находящийся за пределами Российской Федерации.
Соответственно, требования 242-ФЗ прежде всего адресованы к лицу, осуществляющему сбор персональных данных на территории Российской Федерации, которым в указанном случае выступает российское представительство.
Относительно передачи и дальнейшего хранения персональных данных за пределами Российской Федерации необходимо руководствоваться требованиями ст. 12 Федерального закона «О персональных данных», то есть правилами трансграничной передачи данных.

Дополнительно необходимо отметить, что головной офис по отношению к работникам, работающим на территории Российской Федерации, не является их прямым работодателем, соответственно при передаче их персональных данных за пределы Российской Федерации представительство, которое зарегистрировано в Российской Федерации как юридическое лицо обязано руководствоваться требованиями Трудового кодекса Российской Федерации и ч. 3 ст. 6 Федерального закона «О персональных данных» в части наличия согласия работника и договора, заключенного с головным офисом, содержащего условия конфиденциальности и безопасности.
Что понимается под «оператором»?
Понятие «оператор» содержится в ст. 3 Федерального закона «О персональных данных», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, в свете применения 242-ФЗ, оператором является лицо, осуществляющее сбор персональных данных, либо его поручившее третьему лицу на основании договора поручения.
Какие существуют возможности для внесения поправок в закон / участия в разработке НПА на данном этапе?
Внесение изменений в законодательные акты осуществляется субъектами законодательной инициативы в порядке, установленном законодательством Российской Федерации.
Что понимается под «сбором данных»?
«Сбор данных» - это получение данных непосредственно от субъекта персональных данных и оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных на территории Российской Федерации, указанные виды обработки составляют единый процесс формирования и поддержания в актуальном состоянии базы данных, что должно осуществляться на территории Российской Федерации.

Необходимо отметить, что параллельный ввод собранных персональных данных в российскую информационную систему и систему, находящуюся на территории иностранного государства не отвечает требованиям 242-ФЗ, поскольку после сбора посредством российской информационной системы указанные сведения могут быть переданы в иностранную информационную систему только посредством трансграничной передачи.

Относительно возможности поручения иностранным лицом российскому юридическому лицу осуществить сбор персональных данных в России такие правоотношения возможны при условии неукоснительного соблюдения требований ч. 3 ст. 6 Федерального закона «О персональных данных».
При этом ответственность согласно ч.5 ст.6 Федерального закона «О персональных данных» за нарушение требований законодательства несет лицо, поручившее осуществлять сбор.

МЕРОПРИЯТИЯ

ОБРАТНАЯ СВЯЗЬ