Информация для IT-компаний

I. Общие сведения

II. Действие закона в пространстве, во времени и по кругу лиц

III. Обязанности операторов персональных данных

IV. Подзаконные нормативные правовые акты

V. Ограничение доступа к информации, обрабатываемой с нарушением законодательства в области персональных данных

VI. Реестр нарушителей прав субъектов персональных данных

VII. Порядок государственного контроля. Общие положения

VIII. Ответственность за нарушение требований законодательства


I. Общие сведения

242-ФЗ принят в целях защиты прав субъектов персональных данных. Закон вступает в силу с 01 сентября 2015 г.

У оператора персональных данных возникает новая обязанность осуществлять определенные виды обработки персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

Вносятся изменения в содержание уведомления о начале обработки персональных данных. Оператор персональных данных, направляя уведомление о начале своей деятельности, должен будет сообщить в Роскомнадзор сведения о месте нахождении базы данных информации, содержащей персональные данные граждан Российской Федерации.

Также в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных».

242-ФЗ выводит из сферы действия Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» контроль за соблюдением требований в связи с распространением информации в сети «Интернет».

242-ФЗ устанавливает ряд исключений, допустимых из требования об обеспечении записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

К таким исключениям относятся:

  • достижение целей, предусмотренных международным договором, выполнение законодательно возложенных на оператора функций, полномочий и обязанностей;
  • осуществление правосудия, исполнения судебного акта, акта другого органа или лица в соответствии с законодательством об исполнительном производстве;
  • исполнение полномочий органов государственной власти, местного самоуправления и функций организаций, участвующих в предоставлении государственных и муниципальных услуг;
  • осуществление профессиональной деятельности журналиста, научной, литературной иной творческой деятельности.

При наличии исключительных условий оператор вправе при сборе данных осуществлять их обработку в базах данных, расположенных на территории иностранного государства.

Также следует отменить - мнение о том, что наличие согласия персональных данных является достаточным основанием для любой обработки персональных данных, является ошибочным и концептуально не верным. Так, одним из основополагающих принципов обработки персональных данных, указанных как в Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, так и Федеральным законом «О персональных данных», является ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей. Так законодательством не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, даже в случае наличия согласия субъекта персональных данных.

На исполнение операторами персональных данных своих обязанностей, не влияет наличие или отсутствие согласия субъекта персональных данных. Например, в случае получения согласия субъекта персональных данных на обработку его персональных данных без применения правовых, организационных и технических мер защиты персональных данных, такое согласие не может служить основание для неисполнения предусмотренной Федеральным законом «О персональных данных» обязанности оператора персональных данных по применению при обработке персональных данных соответствующих организационных, правовых и технических мер защиты.

II. Действие закона в пространстве, во времени и по кругу лиц

Действие закона в пространстве

Все российские нормативные правовые акты действуют на всей территории Российской Федерации. При этом деятельность иностранных компаний, осуществляемая посредством сети «Интернет», особым свойством которой является трансграничность, не умаляет данного положения. Не стоит забывать, что доступ к сети «Интернет» обеспечивается через территорию Российской Федерации.

Действие закона во времени

242-ФЗ вступает в силу с 01 сентября 2015 г. в полном объеме и не предусматривает переходных положений.

При этом следует учитывать, что 242-ФЗ обратной силы не имеет. Поэтому если база данных до 01 сентября 2015 г. расположена вне территории Российской Федерации, уже собрана и не будет актуализироваться после вступления закона в силу, то базу данных можно не переводить на территорию Российской Федерации. Если актуализация персональных данных продолжится, то обработка должна осуществляться в соответствии с 242-ФЗ.

Действие закона по кругу лиц

242-ФЗ распространяется не на отдельные компании, а на любых лиц – операторов персональных данных, в том числе иностранные лица, осуществляющие свою деятельность на территории Российской Федерации.

Одним из признаков осуществления такой деятельности (направленности сайта в сети «Интернет» на территорию Российской Федерации) может являться наличие предложения об оказании услуг или продажи товара, ориентированного на российского потребителя в форме оферты на русском языке.

Таким образом, если иностранное лицо оказывает свои услуги на территории Российской Федерации, а российский гражданин акцептирует публичную оферту на территории Российской Федерации, то на такие отношения распространяется российское законодательство о персональных данных.

Учитывая вышеизложенное, можно сделать вывод, что 242-ФЗ действует в отношении юридических лиц, в том числе иностранных организаций, осуществляющих предпринимательскую деятельность на территории Российской Федерации, а также в случае, если такая деятельность создает постоянное представительство иностранной организации и иностранных организаций, не связанных с деятельностью через постоянное представительство в Российской Федерации, получающими доход из источников в Российской Федерации.

Не важно, расположена ли иностранная компания в Российской Федерации или нет, если она распространяет свою деятельность на российский сегмент, рассчитанный на российского потребителя, то требования 242-ФЗ будут к ней применяться.

Наличие оферты на русском языке не является единственным признаком.

О наличии направленности сайта в сети «Интернет» на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:

  1. использование делегированного доменного имени, связанного с Российской Федерацией (.ru, .рф., .su) и/или

  2. наличие русскоязычной версии сайта в сети «Интернет», созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков не должно приниматься во внимание). При этом, поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности сайта в сети «Интернет» именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов:

    • возможности осуществления расчетов в российских рублях;
    • возможности исполнения заключенного на таком сайте в сети «Интернет» договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России),
    • использование рекламы на русском языке, отсылающей к соответствующему сайту в сети «Интернет», или иных обстоятельств, явно свидетельствующих о намерении владельца сайта в сети «Интернет» включить российский рынок в свою бизнес-стратегию.

III. Обязанности операторов персональных данных

Вводятся новые обязанности операторов персональных данных осуществлять определенные виды обработки персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

Реализация обязанности «при сборе данных» означает, что оператор должен их получать непосредственно у первоисточника, то есть у субъекта персональных данных или его представителя. В таком случае речь идет о сборе информации, а не о случаях передачи данных третьему лицу для обработки в каких-либо целях.

Так, оператор, получив данные субъекта, обязан обеспечить их запись систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных, находящихся в Российской Федерации.

Указанные виды обработки данных представляют собой единый процесс формирования и поддержания в актуальном состоянии базы данных. Законодатель вводит правило, согласно которому формирование и актуализация баз персональных данных российских граждан должны осуществляться на территории Российской Федерации.

Так, база данных, сформированная посредством сбора персональных данных, должна находиться на территории Российской Федерации и актуализироваться здесь же.

При этом 242-ФЗ не запрещает передавать данные из этой базы на территорию иностранного государства. Но обновление данных во всех случаях будет осуществляться в базе данных расположенной на территории России и, при необходимости, обновленные данные могут быть переданы на территорию иностранного государства.

Передача информации из сформированной в Российской Федерации базы персональных данных, в том числе на территорию иностранного государства, представляет собой отдельный вид обработки персональных данных.

В рассматриваемой норме 242-ФЗ не вводится обязанность оператора персональных данных осуществлять передачу данных только в базы данных на территории Российской Федерации. Таким образом, 242-ФЗ допускаются передача персональных данных граждан Российской Федерации, содержащихся в базах данных, находящихся в Российской Федерации, в том числе на территорию иностранных государств, в порядке и в соответствии с условиями, определенными законодательством о персональных данных.

Такая передача должна иметь конкретные и законные цели передачи, при необходимости согласие субъекта персональных данных на передачу и прочие условия Федерального закона «О персональных данных».

Что касается предоставления доступа к базам данных на территории Российской Федерации. Указанный вид обработки также не запрещен 242-ФЗ. Однако при принятии решения о предоставлении доступа к базам данных на территории Российской Федерации оператору следует определить перечень прав доступа, которые могут быть предоставлены оператору - иностранному лицу.

Права доступа должны исключать возможность иностранного оператора осуществлять незаконную обработку данных, в том числе посредством нарушения требований 242-ФЗ и в целом Федерального закона «О персональных данных».

Вместе с тем порядок и условия доступа к базам данных, спектр прав сотрудников в части обработки персональных данных посредством доступа к базе подлежит определению в каждом конкретном случае в зависимости от категории персональных данных, целей, порядка и условий обработки собранных данных и пр.

В отношении таких видов обработки как использование, распространение, обезличивание, блокирование, удаление, уничтожение персональных данных 242-ФЗ не вносятся никаких изменений. Т.е. эти виды обработки могут осуществляться не в российских базах данных.

IV. Подзаконные нормативные правовые акты

В рамках реализации 242-ФЗ, были разработаны следующие проекты подзаконных нормативных правовых актов:

  1. Постановление Правительства Российской Федерации от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»);

  2. Проект постановления Правительства Российской Федерации «Об утверждении положения о контроле за обработкой персональных данных»;

  3. Проект приказа Минкомсвязи России «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от 21.12.2011 № 346»;

  4. Приказ Роскомнадзора от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»;

  5. Приказ Роскомнадзора от 22 июля 2015 г. № 85 «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»

V. Ограничение доступа к информации, обрабатываемой с нарушением законодательства в области персональных данных

242-ФЗ внес изменения в Федеральный закон «Об информации, информационных технологиях и о защите информации», дополнив его статьей 15.5.

Концептуально порядок ограничения доступа к персональным данным не будет отличаться от аналогичных порядков блокировки, установленных статьями 15.1-15.4 Федерального закона «Об информации, информационных технологиях и о защите информации».

С 1 сентября 2015 года в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных будет создан Реестр нарушителей прав субъектов персональных данных.

Данный Реестр планируется создать на базе уже существующей платформы Единого реестра доменных имен и вести его будет Роскомнадзор.

При этом не все сайты операторов персональных данных могут быть заблокированы. Так, в случае, если будет установлено, что оператор нарушает требования законодательства о персональных данных, но при этом эти нарушения не связаны с обработкой данных посредством сайта, или в случае если при обработке данных сайт оператора – нарушителя в принципе не используется, такой сайт не может подлежать блокировке. Например, если это сайт компании, который носит исключительно информационный или рекламный характер, то есть сайт не содержит информации, обрабатываемой с нарушением законодательства в области персональных данных.

В тоже время, если посредством сайта осуществляется сбор персональных данных, или обеспечивается доступ к таким данным, а также в случае, если на сайте размещены персональные данные граждан, то такой сайт может стать предметом спора о необходимости ограничения доступа к сайту или его отдельной странице, в связи с тем, что такие действия нарушают законодательство о персональных данных.

VI. Реестр нарушителей прав субъектов персональных данных

Единственным основанием для включения информации в Реестр является вступившее в законную силу решение суда.

В целом с момента поступления решения суда в Роскомнадзор при неблагоприятном стечении обстоятельств максимальный срок для завершения процедуры блокировки составит 6 рабочих дней.

При этом закон предусматривает 2 основания для разблокировки Интернет ресурсов, - это: поступление вступившего в законную силу решения суда об отмене ранее принятого решения суда, либо поступление в адрес Роскомнадзора информации от провайдера хостинга или владельца ресурса об устранении нарушения законодательства в области персональных данных.

VII. Порядок государственного контроля. Общие положения

В связи с чем, с 1 сентября 2015 года Роскомнадзор будет осуществлять контрольные полномочия в отношении операторов персональных данных в соответствии с новым порядком контроля, который будет утвержден постановлением Правительства Российской Федерации.

В настоящий момент проектом постановления предусматриваются следующие виды государственного контроля в области персональных данных: плановые проверки, внеплановые проверки, мероприятия систематического наблюдения, анализ и оценка деятельности оператора персональных данных.

В рамках осуществления контрольных мероприятий проектом постановления Правительства Российской Федерации о контроле также предусмотрены требования к порядку проведения контрольных мероприятий, оформления результатов проверки и принятия мер реагирования по результатам проверки.

VIII. Ответственность за нарушение требований законодательства

Административная ответственность, которую может понести оператор в случае невыполнения обязательных требований Роскомнадзора, а также в случае нарушения законодательства в области персональных данных:

Статья 13.11. КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)».

Статья 19.5.КоАП РФ «Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль».

Статья 19.7. КоАП РФ «Непредставление сведений (информации)».

Законодатель предполагает ужесточение ответственности за нарушение законодательства о персональных данных, проектом предполагается увеличение штрафа до нескольких сотен тысяч рублей.