О ПРОЕКТЕ

Проект ПД-Инфо.рф / PD-info.ru посвящен обсуждению вопросов, связанных с особенностями реализации нового Федерального закона № 242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (т.н. «Закон о локализации Персональных данных россиян на территории РФ»).

Закон вступает в силу 1 сентября 2015 года, срок его вступления в силу был изменен на более поздний в результате экспертных обсуждений с отраслью и представителями государства и деятельности ряда профильных ассоциаций, аргументированно предложивших такой перенос.

В процессе обсуждения законопроекта и его принятия, он неоднократно привлекал к себе внимание игроков IT-рынка, СМИ, блогеров и экспертов. Периодически реакция на такое обсуждение выходила за рамки экспертных заключений. Зачастую это происходило из-за того, что отрасль не получала своевременных разъяснений и ответов на волнующие ее вопросы относительно конкретных механизмов реализации закона, контроля его исполнения и т.д.

При этом мы исходим из того, что в интересах всех участников процесса (государство: законодательная и исполнительная власть, отрасль: российские и международные интернет- и IT-игроки, пользователи) необходимо наладить конструктивный диалог сторон и собрать в едином месте все экспертные заключения, рекомендации и разъяснения — с целью максимально упростить доступ к накопленным материалами для всех заинтересованных сторон.

Данный проект — это общественная инициатива, направленная на упрощение работы и тех, кого этот закон касается непосредственно (российские и международные интернет- и IT-игроки, пользователи — субъекты персональных данных).

Проект реализуется силами РАЭК (Ассоциация электронных коммуникаций), РОЦИТ (Региональный общественный Центр интернет-технологий) и Роскомнадзора, при участии партнеров проекта: theRunet, rspectr.com и Журнал «Интернет в цифрах».

Принципиально важна роль Роскомнадзора в данном проекте — как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями.

Подзаконные нормативные правовые акты

В рамках реализации 242-ФЗ, были разработаны следующие проекты подзаконных нормативных правовых актов:

  1. Постановление Правительства Российской Федерации от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»);

  2. Проект постановления Правительства Российской Федерации «Об утверждении положения о контроле за обработкой персональных данных»;

  3. Проект приказа Минкомсвязи России «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от 21.12.2011 № 346»;

  4. Приказ Роскомнадзора от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»;

  5. Приказ Роскомнадзора от 22 июля 2015 г. № 85 «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»

ФЗ–242 (с 1 сентября 2015)

Закон вносит поправки в законодательство о защите персональных данных россиян, в т.ч. в части требований о локализации хранения и обработки персональных данных российских граждан на территории РФ.

Уже после принятия закона был изменен срок его вступления в силу — на 1 сентября 2015 года.

Полный текст Закона Скачать в PDF

ФЗ–152 (О перс. данных)

Полный текст Закона Скачать в PDF

ИНФОРМАЦИЯ ДЛЯ IT-КОМПАНИЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для интернет- и IT-компаний.

Подробнее

ИНФОРМАЦИЯ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для пользователей.

Подробнее

ЗАДАТЬ ВОПРОС

ВОПРОСЫ-ОТВЕТЫ

Как нужно подготовиться в документальном плане российским оператором для целей соответствия 242-ФЗ? Что следует указывать в (а) локальных нормативных актах, (б) политиках по обработке персональных данных, (в) согласиях, (г) уведомлениях в Роскомнадзор?
В документальном плане после вступления в силу 242-ФЗ операторам персональных данных следует в соответствии с частью 7 статьи 22 Федерального закона «О персональных данных» в течение десяти рабочих дней сообщить в РКН сведения о месте нахождения базы данных. Каким образом и в каком объеме необходимо представлять в уполномоченный орган информацию о местонахождении базы данных будет определено в подзаконном нормативном правовом акте.
Может ли быть размещен в материнской компании в Германии регистр сотрудников дочернего предприятия, содержащий, в частности, имена, рабочие телефоны и адреса электронной почты российских сотрудников?
Применительно к указанной ситуации необходимо понимать, что взаимоотношения внутри транснациональных компаний как минимум предполагают две стороны: представительство, которое зарегистрировано в Российской Федерации как юридическое лицо, и непосредственно головной офис, находящийся за пределами Российской Федерации.
Соответственно, требования 242-ФЗ прежде всего адресованы к лицу, осуществляющему сбор персональных данных на территории Российской Федерации, которым в указанном случае выступает российское представительство.
Относительно передачи и дальнейшего хранения персональных данных за пределами Российской Федерации необходимо руководствоваться требованиями ст. 12 Федерального закона «О персональных данных», то есть правилами трансграничной передачи данных.

Дополнительно необходимо отметить, что головной офис по отношению к работникам, работающим на территории Российской Федерации, не является их прямым работодателем, соответственно при передаче их персональных данных за пределы Российской Федерации представительство, которое зарегистрировано в Российской Федерации как юридическое лицо обязано руководствоваться требованиями Трудового кодекса Российской Федерации и ч. 3 ст. 6 Федерального закона «О персональных данных» в части наличия согласия работника и договора, заключенного с головным офисом, содержащего условия конфиденциальности и безопасности.
Что следует понимать под «хранением» персональных данных?
Учитывая, что Федеральный закон «О персональных данных» не содержит термина «хранение», полагаем, что законодатель вкладывал в понятие данного слова, обычно используемое в повседневной жизни значение, которое не требует каких-либо дополнительных разъяснений. В связи с чем, при определении значения слова и применения нормы законодательства следует использовать буквальное толкование существительного «хранение». Однако, учитывая неопределенность в понимании данного понятия, полагаем возможным обратить внимание на ряд моментов, связанных с толкованием в праве аналогичного термина, однако применимого, например, к документам.

Так, согласно ГОСТ Р 51141-98. Государственный стандарт Российской Федерации. Делопроизводство и архивное дело. Термины и определения, утв. Постановлением Госстандарта России от 27.02.1998 № 28, а также ГОСТ Р 7.0.8-2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения, утв. Приказом Росстандарта от 17.10.2013 № 1185-ст, ХРАНЕНИЕ ДОКУМЕНТОВ представляет собой обеспечение рационального размещения и сохранности документов. При этом указанный ГОСТ, в рамках единого процесса хранения документов разделяет архивное хранение, оперативное хранение, ведомственное хранение документов и иные виды хранения документов в зависимости от сроков хранения (оперативное, архивное), от лиц, которые осуществляют хранение (ведомственное, архивное).

Иными словами, «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение документов в какой-либо организации или месте.
Применяя аналогию права к отношениям в области персональных данных, можно сказать, что «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение персональных данных в какой-либо организации или месте.

Хранение персональных данных должно быть ограничено достижением цели обработки. Федеральным законом «О персональных данных» (ч.4 ст.21) предусмотрено, что в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональных данных в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.
В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев.
Необходимо отметить, что в 242-ФЗ отсутствуют понятия «временное хранение», «постоянное хранение».
Здравствуйте. Подскажите пожалуйста, по новому закону, если имеется вебкомпания, разработчик сайтов, у которой есть разработанных сайты для граждан РФ, нужно ли этой компании по новому закону все сайты для граждан РФ размещать на российском хостинге обязательно или достаточно хранить базу данных о клиентах (только информацию о юр и физ реквизитах) на российском хостинге. Опишите, пожалуйста, все нюансы и варианты.
242-ФЗ устанавливает обязанность оператора персональных данных при сборе персональных данных граждан Российской Федерации обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных, находящихся на территории Российской Федерации.

Закон не содержит требований по размещению всех сайтов для граждан Российской Федерации на российском хостинге. Достаточно хранить сами персональные данные граждан Российской Федерации в базах данных, находящихся на территории Российской Федерации (например, на российском хостинге). Одновременно следует принимать меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона «О персональных данных».

При этом следует учитывать, что указанные требования к хранению персональных данных предъявляются к операторам персональных данных только при сборе персональных данных. Реализация обязанности «при сборе данных» означает, что оператор должен их получать непосредственно у первоисточника, то есть у субъекта персональных данных или его представителя.

Также следует учитывать, что 242-ФЗ обратной силы не имеет. Поэтому если база данных до 01 сентября 2015 г. расположена вне территории Российской Федерации, уже собрана и не будет актуализироваться после вступления закона в силу, то базу данных можно не переводить на территорию Российской Федерации. Если актуализация персональных данных продолжится, то обработка должна осуществляться в соответствии с 242-ФЗ.
Правильно ли мы понимаем, что требования 242-ФЗ распространяются на персональные данные работников-российских граждан, работающих (i) в российских компаниях, (ii) работающих в представительствах и филиалах иностранных компанией, но не распространяются на персональные данные работников-российских граждан, трудоустроенных в иностранных компаниях за рубежом?
Да, правильно. Следует также учитывать, что при обработке персональных данных работников они могут быть использованы только в рамках трудовых отношений.
Распространяются ли положения 242-ФЗ на государственные и муниципальные базы данных?
В 242-ФЗ отсутствуют положения о том, что он не распространяется на государственные и муниципальные базы данных. Кроме того, согласно ст. 1 Федерального закона «О персональных данных» положения данного закона распространяются на органы государственной власти и местного самоуправления. Учитывая, что 242-ФЗ вносит изменения в Федеральный закон «О персональных данных», положения 242-ФЗ не могут не распространяться на порядок формирования и ведения государственных и муниципальных баз данных.

В ст. 2 № 242-ФЗ устанавливается исключение, допустимое из требования об обеспечении записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Данное исключение относится, в том числе, к случаю, когда это необходимо для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг.
Таким образом, в случае если в нормативных правовых актах Российской Федерации будет установлено, что орган государственной власти должен обрабатывать персональные данные, в том числе путем записи, систематизации, накопления, хранения, уточнения, извлечения на территории иностранного государства, то правило 242-ФЗ не будет распространяться на такие отношения.

Следует также заметить, что в соответствии с 149-ФЗ база данных является, в ряде случаев, составной частью информационной системы, в случаях, когда речь идет о государственных информационных системах (ГИС) порядок их формирования и ведения регламентирован нормативными правовыми актами, в ряде случаев даже федеральными законами. Например, ГИС «жилищно-коммунального хозяйства», правовой режим которой регламентирован 209-ФЗ, ГИС «топливно-энергетического комплекса», правовой режим регламентирован 382-ФЗ, ГИС «Обеспечения транспортной безопасности», правовой режим регламентирован 16-ФЗ.
При этом к ГИС предъявляются более высокие требования по сравнению с информационным системам и базам данных коммерческих организаций, в том числе все ГИС подлежат государственной регистрации, к ряду ГИС предъявляются требования не только по их размещению на территории России, но и обработки исключительно российскими юридическими лицами, например, ГИС «Обеспечения транспортной безопасности», в состав которой входят автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств.
Таким образом, опасения относительно несоответствия порядка и правил формирования и ведения государственных и муниципальных баз данных целям 242-ФЗ, а именно повышение безопасности обработки персональных данных не находят своего подтверждения.

МЕРОПРИЯТИЯ

ОБРАТНАЯ СВЯЗЬ