ВОПРОСЫ И ОТВЕТЫ

ВОПРОСЫ-ОТВЕТЫ

Как повлияет 242-ФЗ на право субъектов персональных данных самостоятельно распоряжаться данные о себе и в связи с этим на права операторов персональных данных?
Право субъекта персональных данных самостоятельно распоряжаться данными о себе 242-ФЗ не аннулирует. Граждане вправе предоставлять свои данных в базы иностранных организаций, праве осуществлять бронирование иностранных гостиниц, проходить лечение за границей, предоставлять этим данным общий доступ, входить в адресные справочники и прочие примеры. 242-ФЗ не запрещает гражданам распоряжаться персональными данными по их собственному усмотрению в их интересе и воле.

Однако право субъекта персональных данных самостоятельно распоряжаться своими персональными данными, не означает, что оператор персональных данных может использовать это право в качестве правовой коллизии в целях неисполнения рассматриваемого положения 242-ФЗ. Польку оператор персональных данных изначально в силу 242-ФЗ должен обеспечить нахождение баз данных с информацией о российских гражданах на территории Российской Федерации. В случае возникновения необходимости в передаче этих данных в целях обработки на территорию иностранного государства, такая передача может быть осуществлена в соответствии с правилами Федерального закона «О персональных данных».
Распространяются ли положения 242-ФЗ на государственные и муниципальные базы данных?
В 242-ФЗ отсутствуют положения о том, что он не распространяется на государственные и муниципальные базы данных. Кроме того, согласно ст. 1 Федерального закона «О персональных данных» положения данного закона распространяются на органы государственной власти и местного самоуправления. Учитывая, что 242-ФЗ вносит изменения в Федеральный закон «О персональных данных», положения 242-ФЗ не могут не распространяться на порядок формирования и ведения государственных и муниципальных баз данных.

В ст. 2 № 242-ФЗ устанавливается исключение, допустимое из требования об обеспечении записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Данное исключение относится, в том числе, к случаю, когда это необходимо для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг.
Таким образом, в случае если в нормативных правовых актах Российской Федерации будет установлено, что орган государственной власти должен обрабатывать персональные данные, в том числе путем записи, систематизации, накопления, хранения, уточнения, извлечения на территории иностранного государства, то правило 242-ФЗ не будет распространяться на такие отношения.

Следует также заметить, что в соответствии с 149-ФЗ база данных является, в ряде случаев, составной частью информационной системы, в случаях, когда речь идет о государственных информационных системах (ГИС) порядок их формирования и ведения регламентирован нормативными правовыми актами, в ряде случаев даже федеральными законами. Например, ГИС «жилищно-коммунального хозяйства», правовой режим которой регламентирован 209-ФЗ, ГИС «топливно-энергетического комплекса», правовой режим регламентирован 382-ФЗ, ГИС «Обеспечения транспортной безопасности», правовой режим регламентирован 16-ФЗ.
При этом к ГИС предъявляются более высокие требования по сравнению с информационным системам и базам данных коммерческих организаций, в том числе все ГИС подлежат государственной регистрации, к ряду ГИС предъявляются требования не только по их размещению на территории России, но и обработки исключительно российскими юридическими лицами, например, ГИС «Обеспечения транспортной безопасности», в состав которой входят автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств.
Таким образом, опасения относительно несоответствия порядка и правил формирования и ведения государственных и муниципальных баз данных целям 242-ФЗ, а именно повышение безопасности обработки персональных данных не находят своего подтверждения.
Если сбор данных осуществляется через российский сайт веб-компании в виде регистрации пользователя на сайте, например e-mail, название компании, пароль и, возможно, телефон, подходит ли этот сбор данных под персональные данные?
Полагаем, что приведенный набор данных не является персональными данными, поскольку их совокупность не достаточна для идентификации физического лица.
Каков порядок использования международных территориально распределенных систем, в том числе при оказании услуг по кадровому и бухгалтерскому учету в рамках аутсорсинга с использованием системы SAR HR?
Указанные действия в рамках территориально распределенной системы должны быть обеспечены при сборе персональных данных российских пользователей с использованием сервера, расположенном на территории Российской Федерации.
При реализации деятельности по кадровому учету и расчету заработной платы, в том числе с участием аффилированного лица, оператор в соответствии с требованиями 242-ФЗ обязан обеспечить сбор указанных данных на сервере, расположенном на территории Российской Федерации. Последующая трансграничная передача в базу SAR HR должна осуществляться согласно требованиям ст. 12 Федерального закона «О персональных данных».
Иностранное юридическое лицо без присутствия на территории РФ реализует оферту для российских юридических лиц (не физлиц!). Клиенты (физлица) Российских юридических лиц, принявших оферту от иностранного юридического лица без присутствия на территории РФ, становятся выгодоприобретателями услуг предоставляемых иностранным юридическим лицом без присутствия на территории РФ. В рамках предоставления данных услуг, клиенты (физлица) Российских юридических лиц передают свои персональные данные иностранному юридическому лицу без присутствия на территории РФ. Распространяются ли требования закона 242-ФЗ на такое иностранное юридическое лицо?
Требования 242-ФЗ распространяется на такое иностранное юридическое лицо, поскольку оно осуществляет сбор данных граждан Российской Федерации и оказывает услуги через российские юридические лица на территории Российской Федерации.
Если база данных с персональными данными граждан РФ изначально собрана, хранится и обрабатывается в РФ, можно ли извлекать из этой базы данных персональные данные и направлять их для целей обработки (в частности, для хранения и использования в целях исполнения договора с субъектом персональных данных) за рубеж?

Будет ли возникать в таком случае риск привлечения к ответственности за нарушение правила о локализации:
(а) у иностранного получателя данных и/или
(б) у российского оператора, который передал данные иностранной компании. Презюмируется, что согласия субъектов получены надлежащим образом, между компаниями имеются договоры, которые регулируют вопросы передачи данных, иностранная компания соблюдает законы своей юрисдикции в сфере обработки персональных данных.
242-ФЗ не вносит изменений в статью 12 Федерального закона «О персональных данных», которая регламентирует вопрос трансграничной передачи персональных данных. В связи с чем возможна трансграничная передача персональных данный в соответствии с указанной статьей.
Подпадает ли идентификационный номер автомобиля под определение «персональные данные», если он содержит лишь техническую информацию (например, историю ремонта транспортного средства)?
Совокупность данных должна быть необходима и достаточна для идентификации лица. Именно такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

Вместе с тем идентификационный номер автомобиля, а именно государственный номер автомобиля, иная техническая информация, включая историю ремонта транспортного средства, не относится к персональным данным, поскольку не позволяет идентифицировать конкретное физическое лицо. Так, указанные сведения относятся не к субъекту персональных данных, а автомобильному средству.
Правильно ли мы понимаем, что направления повторного или дополнительного уведомления об обработке персональных данных после 1 сентября 2015 года не потребуется (т.е. не нужно дополнительно сообщать, где находятся базы данных)?
Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. 242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.
Позволяет ли 242-ФЗ передавать/отражать персональные данные российских граждан после их сбора, обработки и хранения на территории РФ на иностранный сервер (стран-участниц Конвенции 108 и иных государств)? Если да, то на каких условиях?
Требования 242-ФЗ не исключают трансграничную передачу персональных данных, более того не затрагивают положений, связанных с вопросами передачи персональных данных на территорию иностранного государства.
Так, в соответствии с международными обязательствами, взятыми на себя Российской Федерацией при ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных российская Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни.
Также аналогичные положения содержатся в российском законодательстве, так, согласно ст.12 Федерального закона «О персональных данных» трансграничная передача персональных данных на территории иностранных государств – участников Конвенции, а также иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется без дополнительного согласия субъектов персональных данных.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (это страны не являющиеся стороной Конвенции и не входящие Перечень стран, обеспечивающих адекватную защиту персональных данных), может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных.

Трансграничная передача данных в разрезе положений 242-ФЗ представляет собой передачу сведений из одной базы данных, расположенных на территории России, в другую базу данных, расположенных на территории иностранного государства. Такая передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору, находящемуся на территории Российской Федерации, в случае нарушения порядка и условий, установленных для договора-поручения, поскольку в иных случаях обработка персональных данных осуществляется иностранным лицом в соответствии с национальным законодательством, если иное не предусмотрено международными договорами или соглашениями сторон.
Также необходимо отметить, что при получении согласия на трансграничную передачу персональных данных указание конкретных лиц, которым передаются персональные данные, не требуется, достаточно указания цели, перечня действий и иных признаков, предусмотренных Федеральным законом «О персональных данных».
Указанное согласие может быть отозвано либо прекращает свое действие с момента достижения цели для которой оно предоставлялось.

Необходимо также обратить внимание, что ст. 2 ФЗ-242 предусмотрены исключения из обязанности оператора персональных данных хранить данные на территории Российской Федерации в том числе, при осуществлении деятельности в рамках международных договоров, а также во исполнение функций прав и обязанностей, возложенных на оператора законодательством Российской Федерации.
При этом конкретное условия такого исключения должно содержаться в международных договорах Российской Федерации. Следует иметь ввиду, что к международным договорам Российской Федерации относятся также межведомственные соглашения.
Относительно соглашения о воздушных сообщения, если они содержат указание на обработку персональных данных, условия которой исключают применение 242-ФЗ, то применяются положения международного соглашения.
Будет ли применяться 242-ФЗ непосредственно к российским структурным подразделениям (филиалы и представительства) иностранных юридических лиц?
(а) если представительства и филиалы сами не собирают и не обрабатывают персональные данные, однако, вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются?
(б) если представительства и филиалы сами не собирают и не обрабатывают персональные, и не вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются?
242-ФЗ будет распространяться на российское представительство, вовлеченное в процесс сбора персональных данных. В иных случаях обязанность локализации баз персональных данных, собранных на территории Российской Федерации, возлагается на иностранное лицо.
Что понимается под «сбором данных»?
«Сбор данных» - это получение данных непосредственно от субъекта персональных данных и оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных на территории Российской Федерации, указанные виды обработки составляют единый процесс формирования и поддержания в актуальном состоянии базы данных, что должно осуществляться на территории Российской Федерации.

Необходимо отметить, что параллельный ввод собранных персональных данных в российскую информационную систему и систему, находящуюся на территории иностранного государства не отвечает требованиям 242-ФЗ, поскольку после сбора посредством российской информационной системы указанные сведения могут быть переданы в иностранную информационную систему только посредством трансграничной передачи.

Относительно возможности поручения иностранным лицом российскому юридическому лицу осуществить сбор персональных данных в России такие правоотношения возможны при условии неукоснительного соблюдения требований ч. 3 ст. 6 Федерального закона «О персональных данных».
При этом ответственность согласно ч.5 ст.6 Федерального закона «О персональных данных» за нарушение требований законодательства несет лицо, поручившее осуществлять сбор.
Что следует понимать под «хранением» персональных данных?
Учитывая, что Федеральный закон «О персональных данных» не содержит термина «хранение», полагаем, что законодатель вкладывал в понятие данного слова, обычно используемое в повседневной жизни значение, которое не требует каких-либо дополнительных разъяснений. В связи с чем, при определении значения слова и применения нормы законодательства следует использовать буквальное толкование существительного «хранение». Однако, учитывая неопределенность в понимании данного понятия, полагаем возможным обратить внимание на ряд моментов, связанных с толкованием в праве аналогичного термина, однако применимого, например, к документам.

Так, согласно ГОСТ Р 51141-98. Государственный стандарт Российской Федерации. Делопроизводство и архивное дело. Термины и определения, утв. Постановлением Госстандарта России от 27.02.1998 № 28, а также ГОСТ Р 7.0.8-2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения, утв. Приказом Росстандарта от 17.10.2013 № 1185-ст, ХРАНЕНИЕ ДОКУМЕНТОВ представляет собой обеспечение рационального размещения и сохранности документов. При этом указанный ГОСТ, в рамках единого процесса хранения документов разделяет архивное хранение, оперативное хранение, ведомственное хранение документов и иные виды хранения документов в зависимости от сроков хранения (оперативное, архивное), от лиц, которые осуществляют хранение (ведомственное, архивное).

Иными словами, «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение документов в какой-либо организации или месте.
Применяя аналогию права к отношениям в области персональных данных, можно сказать, что «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение персональных данных в какой-либо организации или месте.

Хранение персональных данных должно быть ограничено достижением цели обработки. Федеральным законом «О персональных данных» (ч.4 ст.21) предусмотрено, что в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональных данных в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.
В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев.
Необходимо отметить, что в 242-ФЗ отсутствуют понятия «временное хранение», «постоянное хранение».
Должны ли иностранные операторы персональных данных (которые не имеют представительств на территории РФ), осуществляющие или планирующие осуществлять сбор и обработку персональных данных граждан РФ с использованием WEB-сайтов, осуществлять такую обработку и хранение на территории РФ?. Например, будет ли сайт, в случае сбора данных российских посетителей, подпадать под требования о локальном хранении? (называю это условно «локальным хранением»)
242-ФЗ действует на территории Российской Федерации, в отношении юридических лиц, в том числе иностранных организаций, осуществляющих предпринимательскую деятельность на территории Российской Федерации, в том числе иностранных организаций, не связанных с деятельностью через постоянное представительство в Российской Федерации.
Иными словами, не важно, расположена ли иностранная компания в России или нет, если она распространяет свою деятельность именно на российский сегмент, рассчитанный на российского потребителя, то 242-ФЗ будет к ней применяться.
В связи с чем, сбор и обработка персональных данных российских граждан, территориально находящихся в Российской Федерации, должен осуществляться на территории России.

В случае, если российские граждане находятся за пределами территории России, то они находятся в юрисдикции той страны, на территории которой пребывают в момент предоставления данных о себе. В таком случае, сбор и обработка данных будет осуществляться в соответствии с требованиями иностранного государства и требования российского законодательства на такую обработку данных распространяться не будет.
Вне зависимости от того, обеспечивается хостинг российской компанией или иностранных, идентифицируются ими персональные данные или нет, технические средства этих компаний должны находиться на территории Российской Федерации, в случае если сбор и хранение данных производится на территории России.
Если одна организация проводит бумажное анкетирование субъектов персональных данных, а другая - вносит данную информацию в базу данных, осуществляет ли вторая организация сбор персональных данных и несет ли она обязанности, предусмотренные 242-ФЗ?

Если третья организация сделает выборку некоторых данных из раннее созданной базы данных (например, для создания глобальной директории сотрудников группы или клиентов/физ лиц), осуществляет ли она сбор персональных данных, и подпадает ли такая деятельность под действие 242-ФЗ?
Первоначально важна природа правоотношений, которые связывают первого оператора и второго оператора. Если это договор поручения, на основании которого первый оператор проводит бумажное анкетирование от лица второго оператора, то требования 242-ФЗ на второго оператора распространяются.

Если и первый оператор, и второй оператор действуют как самостоятельные юридические лица необходимо понимание, на основании каких правовых норм первый оператор передает сведения, которые были собраны с помощью бумажного анкетирования (согласие, требование федерального закона и т.п.). В случае правовой легитимности соответствующей передачи требования 242-ФЗ подлежат оценке цели обработки персональных данных и если передача персональных данных осуществляется для достижения целей на этапе бумажного анкетирования, то обязанность по локализации персональных данных в рамках всего процесса обработки возлагается на первичного оператора. В случае разности целей обработки-эта обязанность распространяется на обоих операторов.
В случае участия третьей организации подход аналогичный.
Допустим у меня есть интернет магазин, хостинг которого находится в германии. На стороне хостинга накапливаются личная информация пользователя, однако раз в сутки эта информация выгружается на сервер, который находится на территории РФ. Буду ли я нарушать 242-ФЗ если ничего не стану менять?
База данных, которая находится на территории иностранного государства, может актуализироваться, систематизироваться, обновляться, только после проведения соответствующей процедуры на территории Российской Федерации и передачи обновленных данных посредством трансграничной передачи на территорию иностранного государства. Поэтому в данном случае будет допущено нарушение требований 242-ФЗ.
По каким критериям система должна определять, что человек является гражданином РФ (по месту жительства, месту рождения)?
Законодатель предоставил возможность операторам персональных данных самостоятельно определять процедуру установления гражданства в соответствии со спецификой деятельности каждого юридического лица, осуществляющего сбор персональных данных граждан России. В связи с чем, полагаем, что дополнительного законодательного регулирования данный вопрос не требует.

Вместе с тем в случае, если оператору персональных данных крайне затруднительно выделить среди множества субъектов персональных данных, тех в отношении кого необходимо осуществлять хранение данных на территории Российской Федерации, возможно применение принципа действия закона на всей территории Российской Федерации. Так, в случае сбора данных на территории России, оператор персональных данных может осуществлять их хранение в базах данных, размещенных на технических средствах в Российской Федерации, вне зависимости от гражданства субъектов персональных данных.
Можно ли в качестве базы данных использовать облачные технологии (SaaS, PaaS, SAP)? В том числе если эти технологии предоставляются компаниями, у которых, в том числе, есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?
242-ФЗ, а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить, и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.
Разъясните подробнее, что подразумевается под «персональными данными» и что подразумевается под «сбором персональных данных»?
В соответствии с п. 1 ст. 3 Федерального закона «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. К числу данных, которые не могут рассматриваться, по крайне мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Такие данные должны быть отнесены к персональным данным только в случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо.

«Сбор персональных данных» - это получение персональных данных непосредственно от субъекта персональных данных и оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных на территории Российской Федерации, указанные виды обработки составляют единый процесс формирования и поддержания в актуальном состоянии базы данных, что должно осуществляться на территории Российской Федерации.
Что понимается под «оператором»?
Понятие «оператор» содержится в ст. 3 Федерального закона «О персональных данных», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, в свете применения 242-ФЗ, оператором является лицо, осуществляющее сбор персональных данных, либо его поручившее третьему лицу на основании договора поручения.
В случае если персональные данные собраны и записаны в российскую базу данных, после чего переданы иностранной компании, будет ли иметь место нарушение каких-либо требований, если российская компания (осуществившая сбор) будет осуществлять доступ и использовать данные из иностранной базы данных? Например, в случае если создан глобальный справочник работников группы компаний и сотрудники российского офиса могут скачать мобильное приложение, которое будет обращаться к иностранной (а не российской) базе данных, будет ли это являться нарушением?
Данный доступ возможен только сотрудникам российского представительства, на которых возложены полномочия по обработке персональных данных работников. Следует отметить, что правомерность указанного доступа определяется соблюдением российским представительством требований трудового законодательства Российской Федерации, Федерального закона «О персональных данных» в части наличия письменного согласия, а также требований, предъявляемых к порядку трансграничной передачи персональных данных.
В каком виде должна быть оформлена база данных по сбору персональных данных по новому закону о персональных данных? В каком виде эта база данных должна храниться на российском хостинге, в виде файла или в виде сайта и т.д.?
242-ФЗ вносит изменение только в части места нахождения базы данных при осуществлении определенных видов обработки, и не вносит изменений в Федеральный закон «О персональных данных» в части, касающейся мер (в том числе технических) по обеспечению безопасности персональных данных при их обработке (см. ст. 19 Федерального закона «О персональных данных»).
Считается ли материнская компания международного концерна «третьей стороной», в соответствии с новым российским законом «о защите персональных данных»?
В отношении деятельности по обработке персональных данных работников российского представительства и клиентов, имеющих прямые правоотношения с российским представительством, материнская компания международного концерна является третьей стороной.
Применительно к нормам ч. 3 ст. 6 Федерального закона «О персональных данных» предусмотрена возможность поручения российским представительством материнской компании осуществлять отдельные действия по обработке персональных данных.
Добрый день!
в настоящий момент наш корпоративный сайт, обслуживающий российские офисы, www.aircharter.ru размещен на местном хостинге. Но по внутреннему распоряжению компании все локальные сайты переносятся на новую платформу, которая позволяет сайтам сообщаться между собой и выдавать контент на различных языках и в различной последовательности в зависимости от местонахождения пользователя (сайт использует куки). Эта новая платформа едина для всех локальных сайтов компании и хостится на Амазоне в США, соответственно, все локальные сайты компании во всех доменных зонах также будут иметь хостинг на Амазоне.

Регистрация пользователей на сайте не предусмотрена.
В связи с вступлением в силу закона, должны ли мы обеспечить локальный хостинг корпоративному сайту в зоне *.ru, как это, например, требуется в Казахстане и Китае?

Заранее благодарю!
С уважением,
Галина
Закон не содержит требований по обеспечению локального хостинга сайта в сети «Интернет» на территории Российской Федерации.

При этом если Ваша организация осуществляет сбор персональных данных граждан Российской Федерации, в том числе посредством сайта в сети «Интернет, то их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) необходимо обеспечить с использованием баз данных, находящихся на территории Российской Федерации.

Факт отсутствия регистрации пользователей на сайте в сети «Интернет» может не означать, что их персональные данные не собираются другим способом (например, посредством заполнения формы на сайте).
Любые разъяснения и официальная позиция (Роскомнадзора или Минкомсвязи. Насколько возможно взаимодействие с Верховным Судом для издания постановления Пленума?) – будут весьма полезны и позитивно восприняты отраслью, даже если они будут даны в виде вроде:
“...те организации, которые предпринимают определенные усилия для выполнения требований закона к 1 сентября не будут подвергаться давлению; в то время как те организации, которые не идут на контакт и не предпринимают никаких усилий – будет первым в очереди на выяснение соответствия их действий требованиям закона…”
Роскомнадзор не является уполномоченным органом по разъяснению положений 242-ФЗ в части обработки персональных данных. В соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций на Роскомнадзор возложены полномочия по разъяснению вопросов, связанных с правоприменительной практики, которая будет сформирована только после вступления в силу 242-ФЗ.
Какие категории персональных данных, подпадающие под сферу действия 242-ФЗ?
Положения 242-ФЗ относятся к любой информации, относящейся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), а не к отдельным категориям персональных данных (специальных персональных данных, биометрических персональных данных).
Насколько мы понимаем 242-ФЗ не вводит обязанности операторов персональных данных по передаче данных только на территорию Российской Федерации. Закон запрещает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, не находящихся на территории Российской Федерации, только при сборе. Однако законом допускается передача персональных данных граждан Российской Федерации на территорию иностранного государства, и закон не запрещает их копирование и передачу.
То есть, оператор персональных данных при хранении персональных данных в России впоследствии может передать их и за границу:

6.1) Правильно ли мы понимаем, что после осуществления сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации оператор вправе передать такие данные за рубеж, руководствуясь положениями статьи 12 Федерального закона «О персональных данных»?

6.2) Принимая во внимание предыдущий вопрос, правильно ли мы понимаем, что возможно хранение вне территории Российской Федерации персональных данных граждан Российской Федерации, собранных с использованием баз данных на территории Российской Федерации и переданных впоследствии оператором в соответствии с положениями статьи 12 Федерального закона «О персональных данных»?

6.3) Правильно ли мы понимаем, с учетом предыдущих двух вопросов, что при условии сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации и их последующей передачей на территорию иностранного государства, возможно параллельное (одновременное) функционирование двух баз данных – одной, находящейся на территории Российской Федерации (которая формируется и ведется (в том числе актуализируется/изменяется) с учетом положений 242-ФЗ), и другой, находящейся за пределами Российской Федерации (информация в которую передается после сбора персональных данных с использованием баз данных на территории Российской Федерации, выполненного с учетом положений 242-ФЗ)?
6.1) В рассматриваемой норме 242-ФЗ не вводится обязанность оператора персональных данных осуществлять передачу данных только в базы данных на территории Российской Федерации.
242-ФЗ не вносит изменений в статью 12 Федерального закона «О персональных данных», которая регламентирует вопрос трансграничной передачи персональных данных. В связи с чем, трансграничная передача персональных данных российских граждан, полученных при сборе с использованием баз данных, расположенных на территории Российской Федерации, может осуществляться при соблюдении принципа соответствия целям обработки персональных данных, собранных на территории Российской Федерации.

6.2) Хранение персональных данных на территории иностранного государства в контексте 242-ФЗ не запрещено при условии соблюдения условий сбора персональных данных на территории Российской Федерации и соблюдения порядка трансграничной передачи персональных данных, установленных ст. 12 Федерального закона «О персональных данных».

6.3) Параллельное функционирование баз данных, находящихся на территории Российской Федерации и иностранного государства, применительно к требованиям 242-ФЗ невозможно.
Существует база данных, которая формируется посредством сбора на территории Российской Федерации. В дальнейшем, указанная база данных локализуется на территории Российской Федерации и, при наличии необходимости, может передаваться на территорию иностранного государства с соблюдением условий ст. 12 Федерального закона «О персональных данных». При этом следует понимать, что та база данных, которая находится на территории иностранного государства, может актуализироваться, систематизироваться, обновляться, только после проведения соответствующей процедуры на территории Российской Федерации и передачи обновленных данных посредством трансграничной передачи на территорию иностранного государства.
Имеются ли еще какие-либо предписания/ограничения для деятельности серверов на территории России?
Деятельность технических площадок (серверов, центров обработки данных) на территории Российской Федерации должна соответствовать установленным требованиям конфиденциальности и безопасности персональных данных, обрабатываемых с использованием вышеуказанных технических мощностей.
Руководящие документы по обеспечению безопасности размещены на официальных сайтах ФСТЭК России и ФСБ России http://fstec.ru/, http://www.fsb.ru/.
Может ли быть размещен в материнской компании в Германии регистр сотрудников дочернего предприятия, содержащий, в частности, имена, рабочие телефоны и адреса электронной почты российских сотрудников?
Применительно к указанной ситуации необходимо понимать, что взаимоотношения внутри транснациональных компаний как минимум предполагают две стороны: представительство, которое зарегистрировано в Российской Федерации как юридическое лицо, и непосредственно головной офис, находящийся за пределами Российской Федерации.
Соответственно, требования 242-ФЗ прежде всего адресованы к лицу, осуществляющему сбор персональных данных на территории Российской Федерации, которым в указанном случае выступает российское представительство.
Относительно передачи и дальнейшего хранения персональных данных за пределами Российской Федерации необходимо руководствоваться требованиями ст. 12 Федерального закона «О персональных данных», то есть правилами трансграничной передачи данных.

Дополнительно необходимо отметить, что головной офис по отношению к работникам, работающим на территории Российской Федерации, не является их прямым работодателем, соответственно при передаче их персональных данных за пределы Российской Федерации представительство, которое зарегистрировано в Российской Федерации как юридическое лицо обязано руководствоваться требованиями Трудового кодекса Российской Федерации и ч. 3 ст. 6 Федерального закона «О персональных данных» в части наличия согласия работника и договора, заключенного с головным офисом, содержащего условия конфиденциальности и безопасности.
Утверждена ли форма для уведомления о месте расположения баз данных? Форма уведомления о внесении изменений в сведения об операторе (Приложение № 3 к Административному регламенту Роскомнадзора) не содержит графу «местонахождение» сервера/ базы данных. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу, в какой форме нужно сообщить сведения о месте нахождения базы данных?
Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется.

242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

Каким образом указывать место нахождения базы данных будет определено в подзаконном нормативном правовом акте, который находится в стадии принятия.
Здравствуйте. Подскажите пожалуйста, по новому закону, если имеется вебкомпания, разработчик сайтов, у которой есть разработанных сайты для граждан РФ, нужно ли этой компании по новому закону все сайты для граждан РФ размещать на российском хостинге обязательно или достаточно хранить базу данных о клиентах (только информацию о юр и физ реквизитах) на российском хостинге. Опишите, пожалуйста, все нюансы и варианты.
242-ФЗ устанавливает обязанность оператора персональных данных при сборе персональных данных граждан Российской Федерации обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных, находящихся на территории Российской Федерации.

Закон не содержит требований по размещению всех сайтов для граждан Российской Федерации на российском хостинге. Достаточно хранить сами персональные данные граждан Российской Федерации в базах данных, находящихся на территории Российской Федерации (например, на российском хостинге). Одновременно следует принимать меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона «О персональных данных».

При этом следует учитывать, что указанные требования к хранению персональных данных предъявляются к операторам персональных данных только при сборе персональных данных. Реализация обязанности «при сборе данных» означает, что оператор должен их получать непосредственно у первоисточника, то есть у субъекта персональных данных или его представителя.

Также следует учитывать, что 242-ФЗ обратной силы не имеет. Поэтому если база данных до 01 сентября 2015 г. расположена вне территории Российской Федерации, уже собрана и не будет актуализироваться после вступления закона в силу, то базу данных можно не переводить на территорию Российской Федерации. Если актуализация персональных данных продолжится, то обработка должна осуществляться в соответствии с 242-ФЗ.
Какой порядок применения 242-ФЗ в сфере туриндустрии?
Согласно ст. 10 Федерального закона «Об основах туристской деятельности в Российской Федерации» реализация туристского продукта осуществляется на основании договора, заключаемого в письменной форме между туроператором и туристом и (или) иным заказчиком, а также в случаях, предусмотренных федеральным законом, между турагентом и туристом и (или) иным заказчиком.

В соответствии с гл. 49 Гражданского кодекса Российской Федерации турагентство может совершать юридически значимые действия и заключать договоры о реализации туристского продукта от имени туроператора.
На основании п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Учитывая изложенное, оператором, на которого распространяются требования ФЗ- 242 по локализации баз данных на территории Российской Федерации, является туроператор.
Также в соответствии с гл. 51 Гражданского кодекса Российской Федерации турагентство может совершать юридически значимые действия и заключать договоры о реализации туристского продукта от своего имени.
При реализации данных правоотношений первичным оператором выступает турагентство, на которого распространяются требования ФЗ-242 по локализации баз данных на территории Российской Федерации.

Дальнейшее взаимодействие первичного оператора с партнерами предполагает соблюдение требований других нормативно-правовых актов, в частности, ст. 12 Федерального закона «О персональных данных», определяющей порядок трансграничной передачи персональных данных субъектов.
Необходимо отметить, что в случае привлечения третьего лица (турагента), действующего в интересах туроператора либо турагентства, действие 242-ФЗ определяется в зависимости от одной из вышеуказанных схем.
Согласно п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных» предусмотрено наличие у работодателя письменного согласия субъектов на обработку их персональных данных, в том числе передачу третьим лицам и трансграничную передачу.
Деятельность работодателя определяется в соответствии с положениями Трудового кодекса Российской Федерации. Вместе с тем трудовым законодательством не регулируются правоотношения, связанные с приобретением работодателем туристского продукта в интересах работников.
Таким образом, совершение указанных действий требует наличия письменного согласия субъектов и доверенности, выданной в соответствии с Гражданским кодексом Российской Федерации.

Необходимо отметить, что работодатель по отношению к работникам не является первичным оператором, поскольку осуществляет обработку персональных данных, полученных на этапе оформления трудовых отношений.
Соответственно, требования ФЗ-242 по локализации баз данных на территории Российской Федерации при реализации схемы корпоративного туристского продукта возлагается на туроператора или турагентство в зависимости от одной из избранных схем, установленных ст. 10 Федерального закона «Об основах туристской деятельности в Российской Федерации».
Каково соотношение понятий «передача», «копирование» и «хранение» персональных данных?
Как можно хранить данные в России и при этом не запрещается трансграничная передача данных, ведь передача данных за границу предполагает их хранение не на территории России?
В данном случае следует представлять хранение и передачу данных как отдельные процессы обработки данных и рассмотреть суть этих понятий и процессов.
Требования 242-ФЗ закрепляют обязательное хранение персональных данных на территории Российской Федерации, при осуществлении их сбора.
При этом 242-ФЗ не запрещает «копирование» и «передачу» данных.
Понятие «копирование» представляет собой процесс, имеющий иные характеристики по сравнению с понятием «хранение», значения данных слов не являются идентичными, то есть данные слова не являются синонимами (слова или словосочетания, не совпадающие по звучанию и написанию, но имеющее одинаковое или очень близкое значение).
Например, согласно Методическим рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации, утв. Генпрокуратурой России, копирование информации – это создание копии имеющейся информации на другом носителе, то есть перенос информации на обособленный носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме - от руки, фотографированием текста с экрана дисплея, а также считывания информации путем любого перехвата информации и т.п.
Упрощая данное Генеральной прокуратурой Российской Федерации понятие «копирование информации» можно сказать, что «копирование» представляет собой процесс, характеризующийся созданием дубликата документа или информации. То есть основным свойством данного действия является создание дубликата вне зависимости от способа и цели его создания или места нахождения дублирующей информации. Таким образом, скопированные персональные данные, подлежат хранению в соответствии с правилами Федерального закона «О персональных данных».
Понятие «ПЕРЕДАЧА» представляет собой процесс по направления информации или документов какому-либо лицу каким-либо способом.
В 242-ФЗ в перечень действий, которые оператор персональных данных обязан обеспечить с использованием баз данных, находящихся на территории России, «передача данных» не входит. Таким образом, 242-ФЗ не запрещает осуществлять передачу данных, в том числе трансграничную передачу данных из одной базы данных, в другую.
При этом согласно ГОСТ Р ИСО 15489-1-2007. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования, Приказом Ростехрегулирования от 12.03.2007 N 28-ст, ПЕРЕДАЧА (TRANSFER) (в отношении способа хранения): изменение способа хранения документов, права собственности и (или) ответственности за документы. То есть если рассматривать процесс передачи более детально, он, безусловно, представляет собой перенос ответственности или части ответственности за информацию на другое лицо и изменение способа и места хранения этой информации.
Таким образом, оператор персональных данных, осуществляя хранение персональных данных в России, может впоследствии произвести их передачу за границу, посредством «копирования» и « трансграничной передачи» информации.
Эти действия оператора будут правомерны. И оператор должен лишь соблюсти требования, предъявляемые Федеральным законом «О персональных данных» к порядку и условиям такой передаче данных.
Условно, можно сказать, что Оператор № 1, собравший данные в России, отвечает только за свои действия в отношении этих данных, после их передачи за границу владелец данных изменится и им станет Оператор № 2, который будет отвечать за переданные ему данные. Оператор № 1 не будет нести ответственность за действия Оператора № 2.
В дальнейшем Оператор № 2 будет осуществлять обработку полученных данных в соответствии с законодательством своей страны, и на тех условиях, о которых он договорился с Оператором №1.
Важным в данном случае для Оператора №1 будет являться соблюдение правил трансграничной передачи данных.
Таким образом, оператор может осуществить трансграничную передачу данных, не нарушая при этом требований 242-ФЗ, предъявляемых к хранению персональных данных на территории Российской Федерации. Ведь база персональных данных по-прежнему будет находиться в Российской Федерации, а содержащаяся в ней информация будет актуализироваться.
У Оператора № 2 будет храниться и обрабатываться копия информации, и актуализироваться она будет только после соответствующей актуализации российской базы.

По вопросу копирования персональных данных следует заметить, что «копирование» представляет собой процесс, характеризующийся созданием дубликата документа или информации. То есть основным свойством данного действия является создание дубликата вне зависимости от способа и цели его создания или места нахождения дублирующей информации. Таким образом, скопированные персональные данные, подлежат хранению в соответствии с правилами Федерального закона «О персональных данных». Кроме того, понятие «дублирующая база данных» 242-ФЗ не содержит.
Что в точности предполагается под термином “Персональные данные”?
Определение персональных данных приведено в тексте ст. 3 Федерального закона «О персональных данных». Исходя из данного определения и по сложившейся судебной практике, в частности, фамилия и инициалы, без дополнительной информации, не являются персональными данными. Аналогичный подход применим к сведениям, содержащим номер ID абонента либо номер телефона.

При определении объема сведений, которые могут быть отнесены к персональным данных, в каждой конкретной ситуации необходимо руководствоваться индивидуальным подходом, в том числе с учетом отраслевого законодательства.
Какие существуют возможности для внесения поправок в закон / участия в разработке НПА на данном этапе?
Внесение изменений в законодательные акты осуществляется субъектами законодательной инициативы в порядке, установленном законодательством Российской Федерации.
Имеется ли переходный период для компаний, чтобы они могли обеспечить выполнение новых требований?
Положения ФЗ-242 вступают в силу с 1 сентября 2015 года. Никаких исключений или переходных периодов ни 242-ФЗ, ни 526-ФЗ, внесший изменения в 242-ФЗ в части уточнения времени вступления его в законную силу, не установлено.
Что понимается под «базой данных»?
При определении понятия «база данных» следует учитывать, что в российском законодательстве определено множество понятий баз данных (не только в ГК РФ и ГОСТ Р 20886-85), тем не менее, все они сводятся к широкому пониманию данного термина. Более того, согласно Модельному закону о персональных данных, принятому в г. Санкт-Петербурге 16.10.1999 Постановлением 14-19 на 14-ом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ, «база персональных данных» - это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).

Следует руководствоваться понятием, которое дано в модельном законе.
Так, базой данных можно считать таблицу в формате Excel, word, в которой содержится информация о персональных данных граждан или иным образом упорядоченный массив персональных данных, в том числе поддающийся обработке при помощи ЭВМ. Такое понимание базы данных позволяет распространить требования законодательства о персональных данных на все материалы, содержащие персональные данные, вне зависимости от того, каким образом они скомпонованы и каком формате обрабатываются бумажном или электронном.
При этом, единственным законным признаком, которым должна обладать база данных, является ее место нахождения – территория Российской Федерации.
Насколько с точки зрения Роскомнадзора вероятна возможность перенесения ответственности за невыполнение норм законодательства о персональных данных в части передачи персональных данных за рубеж (новелл 242-ФЗ) до 1 сентября 2016 года?
Закон не предусматривает переходные положения, поэтому никакого перенесения ответственности за невыполнение норм законодательства о персональных данных не будет. Вместе с тем как было указано выше в случае выявления нарушений 242-ФЗ операторам персональных данных будут давать предписания по их устранению в определенный срок, который будет установлен подзаконным нормативным правовым актом.
Если в дальнейшем российская компания заключает договор с российским юридическим лицом посредством полученных данных по e-mail, подходит ли это под сбор персональных данных?
Для ответа на вопрос следует уточнить предмет договора между данными организациями.
Какие особенности обработки общедоступных персональных данных и применимости к ним требований конфиденциальности?
Согласно п.10 ч.1 ст. 6 Федерального закона «О персональных данных» допускается без согласия субъекта персональных данных обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Соответственно, требование конфиденциальности, установленное ст. 7 Федерального закона «О персональных данных», на обработку указанных сведений не распространяется.

К примеру, публикация на сайте российской компании контактных данных сотрудников, а именно фамилии и имени, корпоративного номера телефона и корпоративного адреса электронной почты, размещенные с согласия указанных работников не требует соблюдения требований конфиденциальности и не является трансграничной передачей, поскольку размещение и хранение осуществляется на российской площадке.

Относительно применения требований 242-ФЗ к обработке общедоступных сведений необходимо отметить, что ст. 2 указанного закона не установлены исключения применительно п.10 ч.1 ст. 6 Федерального закона «О персональных данных». Таким образом, при осуществлении сбора общедоступных персональных данных на деятельность оператора требования 242-ФЗ распространяются в полном объеме.
Правильно ли мы понимаем, что при сборе зарубежными офисами иностранной компании персональных данных российского гражданина, находящегося в командировке, обработка персональных данных осуществляется в соответствии с иностранным законодательством по месту нахождения офиса без учета 242-ФЗ?
Да, правильно. 242-ФЗ не распространяется на случаи, когда обработка персональных данных граждан Российской Федерации осуществляется на территории иностранного государства при осуществлении иностранным лицом сбора персональных данных граждан Российской Федерации (например, при заселении в гостиницу).
Какой срок и процедура для восстановления доступа к заблокированному сайту/странице сайта?
Сроки и порядок восстановления доступа к заблокированному сайту будет определен нормативным правовым актом Правительства Российской Федерации, разработанным во исполнение 242-ФЗ, который сейчас находится на стадии утверждения.
Если российский гражданин выезжает за границу и желает воспользоваться сервисом за пределами РФ, возможно ли «копирование» его персональных данных из российской базы данных для того, чтобы он мог воспользоваться сервисом за границей, или ему будет необходимо создать новый аккаунт? Например, если российский гражданин путешествует из Москвы в Амстердам и желает воспользоваться сервисом в Амстердаме – возможно ли в таком случае копирование информации из российского дата-центра в дата-центр, расположенный в Амстердаме, для того, чтобы данный пользователь смог воспользоваться сервисом, либо он будет вынужден регистрировать новый аккаунт?
В случае, если отношения между российским гражданином и компанией, оказывающей соответствующие услуги, регламентируется договором, то трансграничная передача допустима по основанию, предусмотренному ст. 12 Федерального закона «О персональных данных» при условии, что соответствующая передача предусмотрена в условиях договора.
Правильно ли мы понимаем, что требования 242-ФЗ распространяются на персональные данные работников-российских граждан, работающих (i) в российских компаниях, (ii) работающих в представительствах и филиалах иностранных компанией, но не распространяются на персональные данные работников-российских граждан, трудоустроенных в иностранных компаниях за рубежом?
Да, правильно. Следует также учитывать, что при обработке персональных данных работников они могут быть использованы только в рамках трудовых отношений.
Как нужно подготовиться в документальном плане российским оператором для целей соответствия 242-ФЗ? Что следует указывать в (а) локальных нормативных актах, (б) политиках по обработке персональных данных, (в) согласиях, (г) уведомлениях в Роскомнадзор?
В документальном плане после вступления в силу 242-ФЗ операторам персональных данных следует в соответствии с частью 7 статьи 22 Федерального закона «О персональных данных» в течение десяти рабочих дней сообщить в РКН сведения о месте нахождения базы данных. Каким образом и в каком объеме необходимо представлять в уполномоченный орган информацию о местонахождении базы данных будет определено в подзаконном нормативном правовом акте.