О ПРОЕКТЕ

Проект ПД-Инфо.рф / PD-info.ru посвящен обсуждению вопросов, связанных с особенностями реализации нового Федерального закона № 242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (т.н. «Закон о локализации Персональных данных россиян на территории РФ»).

Закон вступает в силу 1 сентября 2015 года, срок его вступления в силу был изменен на более поздний в результате экспертных обсуждений с отраслью и представителями государства и деятельности ряда профильных ассоциаций, аргументированно предложивших такой перенос.

В процессе обсуждения законопроекта и его принятия, он неоднократно привлекал к себе внимание игроков IT-рынка, СМИ, блогеров и экспертов. Периодически реакция на такое обсуждение выходила за рамки экспертных заключений. Зачастую это происходило из-за того, что отрасль не получала своевременных разъяснений и ответов на волнующие ее вопросы относительно конкретных механизмов реализации закона, контроля его исполнения и т.д.

При этом мы исходим из того, что в интересах всех участников процесса (государство: законодательная и исполнительная власть, отрасль: российские и международные интернет- и IT-игроки, пользователи) необходимо наладить конструктивный диалог сторон и собрать в едином месте все экспертные заключения, рекомендации и разъяснения — с целью максимально упростить доступ к накопленным материалами для всех заинтересованных сторон.

Данный проект — это общественная инициатива, направленная на упрощение работы и тех, кого этот закон касается непосредственно (российские и международные интернет- и IT-игроки, пользователи — субъекты персональных данных).

Проект реализуется силами РАЭК (Ассоциация электронных коммуникаций), РОЦИТ (Региональный общественный Центр интернет-технологий) и Роскомнадзора, при участии партнеров проекта: theRunet, rspectr.com и Журнал «Интернет в цифрах».

Принципиально важна роль Роскомнадзора в данном проекте — как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями.

Подзаконные нормативные правовые акты

В рамках реализации 242-ФЗ, были разработаны следующие проекты подзаконных нормативных правовых актов:

  1. Постановление Правительства Российской Федерации от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»);

  2. Проект постановления Правительства Российской Федерации «Об утверждении положения о контроле за обработкой персональных данных»;

  3. Проект приказа Минкомсвязи России «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от 21.12.2011 № 346»;

  4. Приказ Роскомнадзора от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»;

  5. Приказ Роскомнадзора от 22 июля 2015 г. № 85 «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»

ФЗ–242 (с 1 сентября 2015)

Закон вносит поправки в законодательство о защите персональных данных россиян, в т.ч. в части требований о локализации хранения и обработки персональных данных российских граждан на территории РФ.

Уже после принятия закона был изменен срок его вступления в силу — на 1 сентября 2015 года.

Полный текст Закона Скачать в PDF

ФЗ–152 (О перс. данных)

Полный текст Закона Скачать в PDF

ИНФОРМАЦИЯ ДЛЯ IT-КОМПАНИЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для интернет- и IT-компаний.

Подробнее

ИНФОРМАЦИЯ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для пользователей.

Подробнее

ЗАДАТЬ ВОПРОС

ВОПРОСЫ-ОТВЕТЫ

Здравствуйте. Подскажите пожалуйста, по новому закону, если имеется вебкомпания, разработчик сайтов, у которой есть разработанных сайты для граждан РФ, нужно ли этой компании по новому закону все сайты для граждан РФ размещать на российском хостинге обязательно или достаточно хранить базу данных о клиентах (только информацию о юр и физ реквизитах) на российском хостинге. Опишите, пожалуйста, все нюансы и варианты.
242-ФЗ устанавливает обязанность оператора персональных данных при сборе персональных данных граждан Российской Федерации обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных, находящихся на территории Российской Федерации.

Закон не содержит требований по размещению всех сайтов для граждан Российской Федерации на российском хостинге. Достаточно хранить сами персональные данные граждан Российской Федерации в базах данных, находящихся на территории Российской Федерации (например, на российском хостинге). Одновременно следует принимать меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона «О персональных данных».

При этом следует учитывать, что указанные требования к хранению персональных данных предъявляются к операторам персональных данных только при сборе персональных данных. Реализация обязанности «при сборе данных» означает, что оператор должен их получать непосредственно у первоисточника, то есть у субъекта персональных данных или его представителя.

Также следует учитывать, что 242-ФЗ обратной силы не имеет. Поэтому если база данных до 01 сентября 2015 г. расположена вне территории Российской Федерации, уже собрана и не будет актуализироваться после вступления закона в силу, то базу данных можно не переводить на территорию Российской Федерации. Если актуализация персональных данных продолжится, то обработка должна осуществляться в соответствии с 242-ФЗ.
Что понимается под «базой данных»?
При определении понятия «база данных» следует учитывать, что в российском законодательстве определено множество понятий баз данных (не только в ГК РФ и ГОСТ Р 20886-85), тем не менее, все они сводятся к широкому пониманию данного термина. Более того, согласно Модельному закону о персональных данных, принятому в г. Санкт-Петербурге 16.10.1999 Постановлением 14-19 на 14-ом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ, «база персональных данных» - это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).

Следует руководствоваться понятием, которое дано в модельном законе.
Так, базой данных можно считать таблицу в формате Excel, word, в которой содержится информация о персональных данных граждан или иным образом упорядоченный массив персональных данных, в том числе поддающийся обработке при помощи ЭВМ. Такое понимание базы данных позволяет распространить требования законодательства о персональных данных на все материалы, содержащие персональные данные, вне зависимости от того, каким образом они скомпонованы и каком формате обрабатываются бумажном или электронном.
При этом, единственным законным признаком, которым должна обладать база данных, является ее место нахождения – территория Российской Федерации.
Как нужно подготовиться в документальном плане российским оператором для целей соответствия 242-ФЗ? Что следует указывать в (а) локальных нормативных актах, (б) политиках по обработке персональных данных, (в) согласиях, (г) уведомлениях в Роскомнадзор?
В документальном плане после вступления в силу 242-ФЗ операторам персональных данных следует в соответствии с частью 7 статьи 22 Федерального закона «О персональных данных» в течение десяти рабочих дней сообщить в РКН сведения о месте нахождения базы данных. Каким образом и в каком объеме необходимо представлять в уполномоченный орган информацию о местонахождении базы данных будет определено в подзаконном нормативном правовом акте.
Какие особенности обработки общедоступных персональных данных и применимости к ним требований конфиденциальности?
Согласно п.10 ч.1 ст. 6 Федерального закона «О персональных данных» допускается без согласия субъекта персональных данных обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Соответственно, требование конфиденциальности, установленное ст. 7 Федерального закона «О персональных данных», на обработку указанных сведений не распространяется.

К примеру, публикация на сайте российской компании контактных данных сотрудников, а именно фамилии и имени, корпоративного номера телефона и корпоративного адреса электронной почты, размещенные с согласия указанных работников не требует соблюдения требований конфиденциальности и не является трансграничной передачей, поскольку размещение и хранение осуществляется на российской площадке.

Относительно применения требований 242-ФЗ к обработке общедоступных сведений необходимо отметить, что ст. 2 указанного закона не установлены исключения применительно п.10 ч.1 ст. 6 Федерального закона «О персональных данных». Таким образом, при осуществлении сбора общедоступных персональных данных на деятельность оператора требования 242-ФЗ распространяются в полном объеме.
Позволяет ли 242-ФЗ передавать/отражать персональные данные российских граждан после их сбора, обработки и хранения на территории РФ на иностранный сервер (стран-участниц Конвенции 108 и иных государств)? Если да, то на каких условиях?
Требования 242-ФЗ не исключают трансграничную передачу персональных данных, более того не затрагивают положений, связанных с вопросами передачи персональных данных на территорию иностранного государства.
Так, в соответствии с международными обязательствами, взятыми на себя Российской Федерацией при ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных российская Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни.
Также аналогичные положения содержатся в российском законодательстве, так, согласно ст.12 Федерального закона «О персональных данных» трансграничная передача персональных данных на территории иностранных государств – участников Конвенции, а также иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется без дополнительного согласия субъектов персональных данных.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (это страны не являющиеся стороной Конвенции и не входящие Перечень стран, обеспечивающих адекватную защиту персональных данных), может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных.

Трансграничная передача данных в разрезе положений 242-ФЗ представляет собой передачу сведений из одной базы данных, расположенных на территории России, в другую базу данных, расположенных на территории иностранного государства. Такая передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору, находящемуся на территории Российской Федерации, в случае нарушения порядка и условий, установленных для договора-поручения, поскольку в иных случаях обработка персональных данных осуществляется иностранным лицом в соответствии с национальным законодательством, если иное не предусмотрено международными договорами или соглашениями сторон.
Также необходимо отметить, что при получении согласия на трансграничную передачу персональных данных указание конкретных лиц, которым передаются персональные данные, не требуется, достаточно указания цели, перечня действий и иных признаков, предусмотренных Федеральным законом «О персональных данных».
Указанное согласие может быть отозвано либо прекращает свое действие с момента достижения цели для которой оно предоставлялось.

Необходимо также обратить внимание, что ст. 2 ФЗ-242 предусмотрены исключения из обязанности оператора персональных данных хранить данные на территории Российской Федерации в том числе, при осуществлении деятельности в рамках международных договоров, а также во исполнение функций прав и обязанностей, возложенных на оператора законодательством Российской Федерации.
При этом конкретное условия такого исключения должно содержаться в международных договорах Российской Федерации. Следует иметь ввиду, что к международным договорам Российской Федерации относятся также межведомственные соглашения.
Относительно соглашения о воздушных сообщения, если они содержат указание на обработку персональных данных, условия которой исключают применение 242-ФЗ, то применяются положения международного соглашения.
Какие существуют возможности для внесения поправок в закон / участия в разработке НПА на данном этапе?
Внесение изменений в законодательные акты осуществляется субъектами законодательной инициативы в порядке, установленном законодательством Российской Федерации.

МЕРОПРИЯТИЯ

ОБРАТНАЯ СВЯЗЬ