О ПРОЕКТЕ

Проект ПД-Инфо.рф / PD-info.ru посвящен обсуждению вопросов, связанных с особенностями реализации нового Федерального закона № 242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (т.н. «Закон о локализации Персональных данных россиян на территории РФ»).

Закон вступает в силу 1 сентября 2015 года, срок его вступления в силу был изменен на более поздний в результате экспертных обсуждений с отраслью и представителями государства и деятельности ряда профильных ассоциаций, аргументированно предложивших такой перенос.

В процессе обсуждения законопроекта и его принятия, он неоднократно привлекал к себе внимание игроков IT-рынка, СМИ, блогеров и экспертов. Периодически реакция на такое обсуждение выходила за рамки экспертных заключений. Зачастую это происходило из-за того, что отрасль не получала своевременных разъяснений и ответов на волнующие ее вопросы относительно конкретных механизмов реализации закона, контроля его исполнения и т.д.

При этом мы исходим из того, что в интересах всех участников процесса (государство: законодательная и исполнительная власть, отрасль: российские и международные интернет- и IT-игроки, пользователи) необходимо наладить конструктивный диалог сторон и собрать в едином месте все экспертные заключения, рекомендации и разъяснения — с целью максимально упростить доступ к накопленным материалами для всех заинтересованных сторон.

Данный проект — это общественная инициатива, направленная на упрощение работы и тех, кого этот закон касается непосредственно (российские и международные интернет- и IT-игроки, пользователи — субъекты персональных данных).

Проект реализуется силами РАЭК (Ассоциация электронных коммуникаций), РОЦИТ (Региональный общественный Центр интернет-технологий) и Роскомнадзора, при участии партнеров проекта: theRunet, rspectr.com и Журнал «Интернет в цифрах».

Принципиально важна роль Роскомнадзора в данном проекте — как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями.

Подзаконные нормативные правовые акты

В рамках реализации 242-ФЗ, были разработаны следующие проекты подзаконных нормативных правовых актов:

  1. Постановление Правительства Российской Федерации от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»);

  2. Проект постановления Правительства Российской Федерации «Об утверждении положения о контроле за обработкой персональных данных»;

  3. Проект приказа Минкомсвязи России «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от 21.12.2011 № 346»;

  4. Приказ Роскомнадзора от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»;

  5. Приказ Роскомнадзора от 22 июля 2015 г. № 85 «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»

ФЗ–242 (с 1 сентября 2015)

Закон вносит поправки в законодательство о защите персональных данных россиян, в т.ч. в части требований о локализации хранения и обработки персональных данных российских граждан на территории РФ.

Уже после принятия закона был изменен срок его вступления в силу — на 1 сентября 2015 года.

Полный текст Закона Скачать в PDF

ФЗ–152 (О перс. данных)

Полный текст Закона Скачать в PDF

ИНФОРМАЦИЯ ДЛЯ IT-КОМПАНИЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для интернет- и IT-компаний.

Подробнее

ИНФОРМАЦИЯ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для пользователей.

Подробнее

ЗАДАТЬ ВОПРОС

ВОПРОСЫ-ОТВЕТЫ

Можно ли в качестве базы данных использовать облачные технологии (SaaS, PaaS, SAP)? В том числе если эти технологии предоставляются компаниями, у которых, в том числе, есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?
242-ФЗ, а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить, и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.
Подпадает ли идентификационный номер автомобиля под определение «персональные данные», если он содержит лишь техническую информацию (например, историю ремонта транспортного средства)?
Совокупность данных должна быть необходима и достаточна для идентификации лица. Именно такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

Вместе с тем идентификационный номер автомобиля, а именно государственный номер автомобиля, иная техническая информация, включая историю ремонта транспортного средства, не относится к персональным данным, поскольку не позволяет идентифицировать конкретное физическое лицо. Так, указанные сведения относятся не к субъекту персональных данных, а автомобильному средству.
Правильно ли мы понимаем, что направления повторного или дополнительного уведомления об обработке персональных данных после 1 сентября 2015 года не потребуется (т.е. не нужно дополнительно сообщать, где находятся базы данных)?
Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. 242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.
Если в дальнейшем российская компания заключает договор с российским юридическим лицом посредством полученных данных по e-mail, подходит ли это под сбор персональных данных?
Для ответа на вопрос следует уточнить предмет договора между данными организациями.
Что понимается под «оператором»?
Понятие «оператор» содержится в ст. 3 Федерального закона «О персональных данных», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, в свете применения 242-ФЗ, оператором является лицо, осуществляющее сбор персональных данных, либо его поручившее третьему лицу на основании договора поручения.
Насколько с точки зрения Роскомнадзора вероятна возможность перенесения ответственности за невыполнение норм законодательства о персональных данных в части передачи персональных данных за рубеж (новелл 242-ФЗ) до 1 сентября 2016 года?
Закон не предусматривает переходные положения, поэтому никакого перенесения ответственности за невыполнение норм законодательства о персональных данных не будет. Вместе с тем как было указано выше в случае выявления нарушений 242-ФЗ операторам персональных данных будут давать предписания по их устранению в определенный срок, который будет установлен подзаконным нормативным правовым актом.

МЕРОПРИЯТИЯ

ОБРАТНАЯ СВЯЗЬ