О ПРОЕКТЕ

Проект ПД-Инфо.рф / PD-info.ru посвящен обсуждению вопросов, связанных с особенностями реализации нового Федерального закона № 242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (т.н. «Закон о локализации Персональных данных россиян на территории РФ»).

Закон вступает в силу 1 сентября 2015 года, срок его вступления в силу был изменен на более поздний в результате экспертных обсуждений с отраслью и представителями государства и деятельности ряда профильных ассоциаций, аргументированно предложивших такой перенос.

В процессе обсуждения законопроекта и его принятия, он неоднократно привлекал к себе внимание игроков IT-рынка, СМИ, блогеров и экспертов. Периодически реакция на такое обсуждение выходила за рамки экспертных заключений. Зачастую это происходило из-за того, что отрасль не получала своевременных разъяснений и ответов на волнующие ее вопросы относительно конкретных механизмов реализации закона, контроля его исполнения и т.д.

При этом мы исходим из того, что в интересах всех участников процесса (государство: законодательная и исполнительная власть, отрасль: российские и международные интернет- и IT-игроки, пользователи) необходимо наладить конструктивный диалог сторон и собрать в едином месте все экспертные заключения, рекомендации и разъяснения — с целью максимально упростить доступ к накопленным материалами для всех заинтересованных сторон.

Данный проект — это общественная инициатива, направленная на упрощение работы и тех, кого этот закон касается непосредственно (российские и международные интернет- и IT-игроки, пользователи — субъекты персональных данных).

Проект реализуется силами РАЭК (Ассоциация электронных коммуникаций), РОЦИТ (Региональный общественный Центр интернет-технологий) и Роскомнадзора, при участии партнеров проекта: theRunet, rspectr.com и Журнал «Интернет в цифрах».

Принципиально важна роль Роскомнадзора в данном проекте — как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями.

Подзаконные нормативные правовые акты

В рамках реализации 242-ФЗ, были разработаны следующие проекты подзаконных нормативных правовых актов:

  1. Постановление Правительства Российской Федерации от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»);

  2. Проект постановления Правительства Российской Федерации «Об утверждении положения о контроле за обработкой персональных данных»;

  3. Проект приказа Минкомсвязи России «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от 21.12.2011 № 346»;

  4. Приказ Роскомнадзора от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»;

  5. Приказ Роскомнадзора от 22 июля 2015 г. № 85 «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»

ФЗ–242 (с 1 сентября 2015)

Закон вносит поправки в законодательство о защите персональных данных россиян, в т.ч. в части требований о локализации хранения и обработки персональных данных российских граждан на территории РФ.

Уже после принятия закона был изменен срок его вступления в силу — на 1 сентября 2015 года.

Полный текст Закона Скачать в PDF

ФЗ–152 (О перс. данных)

Полный текст Закона Скачать в PDF

ИНФОРМАЦИЯ ДЛЯ IT-КОМПАНИЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для интернет- и IT-компаний.

Подробнее

ИНФОРМАЦИЯ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для пользователей.

Подробнее

ЗАДАТЬ ВОПРОС

ВОПРОСЫ-ОТВЕТЫ

Что в точности предполагается под термином “Персональные данные”?
Определение персональных данных приведено в тексте ст. 3 Федерального закона «О персональных данных». Исходя из данного определения и по сложившейся судебной практике, в частности, фамилия и инициалы, без дополнительной информации, не являются персональными данными. Аналогичный подход применим к сведениям, содержащим номер ID абонента либо номер телефона.

При определении объема сведений, которые могут быть отнесены к персональным данных, в каждой конкретной ситуации необходимо руководствоваться индивидуальным подходом, в том числе с учетом отраслевого законодательства.
Что понимается под «оператором»?
Понятие «оператор» содержится в ст. 3 Федерального закона «О персональных данных», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, в свете применения 242-ФЗ, оператором является лицо, осуществляющее сбор персональных данных, либо его поручившее третьему лицу на основании договора поручения.
Если одна организация проводит бумажное анкетирование субъектов персональных данных, а другая - вносит данную информацию в базу данных, осуществляет ли вторая организация сбор персональных данных и несет ли она обязанности, предусмотренные 242-ФЗ?

Если третья организация сделает выборку некоторых данных из раннее созданной базы данных (например, для создания глобальной директории сотрудников группы или клиентов/физ лиц), осуществляет ли она сбор персональных данных, и подпадает ли такая деятельность под действие 242-ФЗ?
Первоначально важна природа правоотношений, которые связывают первого оператора и второго оператора. Если это договор поручения, на основании которого первый оператор проводит бумажное анкетирование от лица второго оператора, то требования 242-ФЗ на второго оператора распространяются.

Если и первый оператор, и второй оператор действуют как самостоятельные юридические лица необходимо понимание, на основании каких правовых норм первый оператор передает сведения, которые были собраны с помощью бумажного анкетирования (согласие, требование федерального закона и т.п.). В случае правовой легитимности соответствующей передачи требования 242-ФЗ подлежат оценке цели обработки персональных данных и если передача персональных данных осуществляется для достижения целей на этапе бумажного анкетирования, то обязанность по локализации персональных данных в рамках всего процесса обработки возлагается на первичного оператора. В случае разности целей обработки-эта обязанность распространяется на обоих операторов.
В случае участия третьей организации подход аналогичный.
Правильно ли мы понимаем, что направления повторного или дополнительного уведомления об обработке персональных данных после 1 сентября 2015 года не потребуется (т.е. не нужно дополнительно сообщать, где находятся базы данных)?
Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. 242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.
Здравствуйте. Подскажите пожалуйста, по новому закону, если имеется вебкомпания, разработчик сайтов, у которой есть разработанных сайты для граждан РФ, нужно ли этой компании по новому закону все сайты для граждан РФ размещать на российском хостинге обязательно или достаточно хранить базу данных о клиентах (только информацию о юр и физ реквизитах) на российском хостинге. Опишите, пожалуйста, все нюансы и варианты.
242-ФЗ устанавливает обязанность оператора персональных данных при сборе персональных данных граждан Российской Федерации обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных, находящихся на территории Российской Федерации.

Закон не содержит требований по размещению всех сайтов для граждан Российской Федерации на российском хостинге. Достаточно хранить сами персональные данные граждан Российской Федерации в базах данных, находящихся на территории Российской Федерации (например, на российском хостинге). Одновременно следует принимать меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона «О персональных данных».

При этом следует учитывать, что указанные требования к хранению персональных данных предъявляются к операторам персональных данных только при сборе персональных данных. Реализация обязанности «при сборе данных» означает, что оператор должен их получать непосредственно у первоисточника, то есть у субъекта персональных данных или его представителя.

Также следует учитывать, что 242-ФЗ обратной силы не имеет. Поэтому если база данных до 01 сентября 2015 г. расположена вне территории Российской Федерации, уже собрана и не будет актуализироваться после вступления закона в силу, то базу данных можно не переводить на территорию Российской Федерации. Если актуализация персональных данных продолжится, то обработка должна осуществляться в соответствии с 242-ФЗ.
Какой порядок применения 242-ФЗ в сфере туриндустрии?
Согласно ст. 10 Федерального закона «Об основах туристской деятельности в Российской Федерации» реализация туристского продукта осуществляется на основании договора, заключаемого в письменной форме между туроператором и туристом и (или) иным заказчиком, а также в случаях, предусмотренных федеральным законом, между турагентом и туристом и (или) иным заказчиком.

В соответствии с гл. 49 Гражданского кодекса Российской Федерации турагентство может совершать юридически значимые действия и заключать договоры о реализации туристского продукта от имени туроператора.
На основании п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Учитывая изложенное, оператором, на которого распространяются требования ФЗ- 242 по локализации баз данных на территории Российской Федерации, является туроператор.
Также в соответствии с гл. 51 Гражданского кодекса Российской Федерации турагентство может совершать юридически значимые действия и заключать договоры о реализации туристского продукта от своего имени.
При реализации данных правоотношений первичным оператором выступает турагентство, на которого распространяются требования ФЗ-242 по локализации баз данных на территории Российской Федерации.

Дальнейшее взаимодействие первичного оператора с партнерами предполагает соблюдение требований других нормативно-правовых актов, в частности, ст. 12 Федерального закона «О персональных данных», определяющей порядок трансграничной передачи персональных данных субъектов.
Необходимо отметить, что в случае привлечения третьего лица (турагента), действующего в интересах туроператора либо турагентства, действие 242-ФЗ определяется в зависимости от одной из вышеуказанных схем.
Согласно п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных» предусмотрено наличие у работодателя письменного согласия субъектов на обработку их персональных данных, в том числе передачу третьим лицам и трансграничную передачу.
Деятельность работодателя определяется в соответствии с положениями Трудового кодекса Российской Федерации. Вместе с тем трудовым законодательством не регулируются правоотношения, связанные с приобретением работодателем туристского продукта в интересах работников.
Таким образом, совершение указанных действий требует наличия письменного согласия субъектов и доверенности, выданной в соответствии с Гражданским кодексом Российской Федерации.

Необходимо отметить, что работодатель по отношению к работникам не является первичным оператором, поскольку осуществляет обработку персональных данных, полученных на этапе оформления трудовых отношений.
Соответственно, требования ФЗ-242 по локализации баз данных на территории Российской Федерации при реализации схемы корпоративного туристского продукта возлагается на туроператора или турагентство в зависимости от одной из избранных схем, установленных ст. 10 Федерального закона «Об основах туристской деятельности в Российской Федерации».

МЕРОПРИЯТИЯ

ОБРАТНАЯ СВЯЗЬ