Сегодня мы рассмотрим: Настоящие ценители музыки знают, что для качественного...
С 1 сентября 2015 года вступает в силу Федеральный закон от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», согласно которому «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопления, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
В связи с вступление в силу , операторам персональных данных граждан РФ, осуществляющим их обработку за пределами территории РФ, необходимо принять срочные меры по переносу баз данных, используемых при сборе персональных данных, на территорию РФ и реализации соответствующих технологических процессов по их эксплуатации.
Дабы не доводить ситуацию до маразма, операторам ПДн необходимо осознавать, что 242-ФЗ не запрещает использование баз персональных данных граждан РФ за рубежом . Субъект ПДн имеет право дать согласие оператору на обработку ПДн как на территории РФ, так и за рубежом. Т.е. обработка ПДн граждан РФ за рубежом сама по себе является вполне законной при наличии согласия субъектов на такую обработку.
Оператор вправе поручить обработку ПДн за рубежом иностранному оператору при условии соблюдения им принципов и правил по защите ПДн, установленных 152-ФЗ, либо самостоятельно обрабатывать ПДн в распределенной (в том числе частично находящейся за границей) ИСПДн при условии нахождения баз данных, используемых для сбора ПДн, на территории РФ.
242-ФЗ лишь вводит российских операторов ПДн в российскую же юрисдикцию. С 1 сентября 2015 года операторам уже недостаточно будет заявить о том, что у них ИСПДн или базы ПДн находятся за рубежом и в связи с этим 152-ФЗ и нормативная база РФ в области ПДн на них не распространяются.
За невыполнение требований 242-ФЗ предусмотрена соответствующая ответственность для юридических и физических лиц. Так Статья 24 определяет, что: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность» .
Кроме того, обработка персональных данных в организации может быть приостановлена по требованию Роскомнадзора до устранения выявленных в ходе соответствующих проверок нарушений требований законодательства РФ.
В ближайшее время размер штрафа за административные правонарушения в области персональных данных (статья 13.11 КоАП РФ) может быть увеличен до 500 тысяч рублей, а при повторном нарушении – до 1 миллиона рублей.
Еще одна страшная страшилка: Роскомнадзор будет блокировать сайты компаний, не выполняющих 242-ФЗ.
- Разработать и реализовать техническое решение, обеспечивающее нахождение баз данных, используемых при сборе ПДн, на территории РФ. Это техническое решение может быть ограничено только сбором ПДн. Дальнейшая их обработка может осуществляться таким же образом, как и раньше. Это могут быть либо реплики существующих БД, используемых при сборе ПДн, либо перенос процесса сбора ПДн и соответствующих технических средств в нем задействованных, на территорию РФ.
- После разработки технического решения, потребуется внести соответствующие этому решению дополнения в проектную и рабочую документацию СЗПДн, описание ИСПДн и в положение об обработке ПДн.
- Провести аудит выполнения требований по обработке и защите ПДн.
- По результатам аудита выполнить пересмотр и актуализацию ОРД, регламентирующих вопросы обработки и защиты ПДн.
Внести в Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, 6963; 2014, N 19, ст. 2302) следующие изменения:
1) дополнить статьей 15.5 следующего содержания:
"Статья 15.5. Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных
1. В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных" (далее - реестр нарушителей).
2. В реестр нарушителей включаются:
1) доменные имена и (или) указатели страниц сайтов в сети "Интернет", содержащих информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных;
2) сетевые адреса, позволяющие идентифицировать сайты в сети "Интернет", содержащие информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных;
3) указание на вступивший в законную силу судебный акт;
4) информация об устранении нарушения законодательства Российской Федерации в области персональных данных;
5) дата направления операторам связи данных об информационном ресурсе для ограничения доступа к этому ресурсу.
3. Создание, формирование и ведение реестра нарушителей осуществляются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в порядке, установленном Правительством Российской Федерации.
4. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в соответствии с критериями, определенными Правительством Российской Федерации, может привлечь к формированию и ведению реестра нарушителей оператора такого реестра - организацию, зарегистрированную на территории Российской Федерации.
5. Основанием для включения в реестр нарушителей информации, указанной в части 2 настоящей статьи, является вступивший в законную силу судебный акт.
6. Субъект персональных данных вправе обратиться в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, на основании вступившего в законную силу судебного акта. Форма указанного заявления утверждается федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.
7. В течение трех рабочих дней со дня получения вступившего в законную силу судебного акта федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, на основании указанного решения суда:
1) определяет провайдера хостинга или иное лицо, обеспечивающее обработку информации в информационно-телекоммуникационной сети, в том числе в сети "Интернет", с нарушением законодательства Российской Федерации в области персональных данных;
2) направляет провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в электронном виде уведомление на русском и английском языках о нарушении законодательства Российской Федерации в области персональных данных с информацией о вступившем в законную силу судебном акте, доменном имени и сетевом адресе, позволяющих идентифицировать сайт в сети "Интернет", на котором осуществляется обработка информации с нарушением законодательства Российской Федерации в области персональных данных, а также об указателях страниц сайта в сети "Интернет", позволяющих идентифицировать такую информацию, и с требованием принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанные в решении суда;
3) фиксирует дату и время направления уведомления провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в реестре нарушителей.
8. В течение одного рабочего дня с момента получения уведомления, указанного в пункте 2 части 7 настоящей статьи, провайдер хостинга или иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны проинформировать об этом обслуживаемого ими владельца информационного ресурса и уведомить его о необходимости незамедлительно принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанного в уведомлении, или принять меры по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.
9. В течение одного рабочего дня с момента получения от провайдера хостинга или иного указанного в пункте 1 части 7 настоящей статьи лица уведомления о необходимости устранения нарушения законодательства Российской Федерации в области персональных данных владелец информационного ресурса обязан принять меры по устранению указанного в уведомлении нарушения. В случае отказа или бездействия владельца информационного ресурса провайдер хостинга или иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны ограничить доступ к соответствующему информационному ресурсу не позднее истечения трех рабочих дней с момента получения уведомления, указанного в пункте 2 части 7 настоящей статьи.
10. В случае непринятия провайдером хостинга или иным указанным в пункте 1 части 7 настоящей статьи лицом и (или) владельцем информационного ресурса мер, указанных в частях 8 и 9 настоящей статьи, доменное имя сайта в сети "Интернет", его сетевой адрес, указатели страниц сайта в сети "Интернет", позволяющие идентифицировать информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных, а также иные сведения об этом сайте и информация направляются по автоматизированной информационной системе операторам связи для принятия мер по ограничению доступа к данному информационному ресурсу, в том числе к сетевому адресу, доменному имени, указателю страниц сайта в сети "Интернет".
11. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, или привлеченный им в соответствии с частью 4 настоящей статьи оператор реестра нарушителей исключает из такого реестра доменное имя, указатель страницы сайта в сети "Интернет" или сетевой адрес, позволяющие идентифицировать сайт в сети "Интернет", на основании обращения владельца сайта в сети "Интернет", провайдера хостинга или оператора связи не позднее чем в течение трех дней со дня такого обращения после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных или на основании вступившего в законную силу решения суда об отмене ранее принятого судебного акта.
12. Порядок взаимодействия оператора реестра нарушителей с провайдером хостинга и порядок получения доступа к содержащейся в таком реестре информации оператором связи устанавливаются уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.";
2) часть 4 статьи 16 дополнить пунктом 7 следующего содержания:
"7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.".
В России действует отдельный закон, в соответствии с которым различные организации и физлица должны осуществлять операции с персональными данными — ФЗ № 152. В соответствующий правовой акт периодически законодатель вносит изменения. В частности, 1 сентября 2015 года в силу вступили нормы ФЗ № 242, после издания которого в ФЗ № 152 появился ряд принципиально новых норм. В чем они заключаются? Кто обязан исполнять соответствующие положения законодательства?
Что представляет собой ФЗ о персональных данных?
Следует особо акцентировать внимание на этом принципиальном моменте: вступивший в силу с 1 сентября 2015 года, является нормативным актом, который внес изменения в другой, основополагающий источник права — ФЗ № 152, принятый в июле 2006 года. Таким образом, формулировки, содержащиеся в законе № 242, следует рассматривать исключительно в контексте тех норм, что содержатся в ФЗ № 152.
Основополагающий правовой акт — ФЗ № 152, установил в законодательстве РФ такие правовые категории, как:
Персональные данные;
Оператор соответствующих сведений;
Обработка персональных данных.
Под первой правовой категорией законодатель предписывает понимать любую информацию, что прямо или косвенно относится к физическому лицу. Это могут быть, например, его Ф.И.О., персональные данные, контактные сведения.
Под второй правовой категорией в законе понимается государственный или муниципальный орган власти, организация или физическое лицо, которые самостоятельно либо в ходе взаимодействия с иными субъектами осуществляют процедуру обработки данных, а также определяют их состав и операции с ними.
Под третьей правовой категорией законодатель предписывает понимать любую операцию либо их последовательность, что имеют отношение к персональным данным и осуществляются посредством применения средств автоматизации или же без них.
Основные операции с персональными данными, определенные законом № 152: сбор, запись, хранение, корректировка, использование, передача, блокирование, удаление. Указанные правовые категории, в принципе, на момент принятия могли считаться довольно новыми для правовой системы РФ. До того оборот персональных данных регламентировался российским законодательством достаточно поверхностно.
Новизна ФЗ № 152
Закон о персональных данных, принятый в РФ, был призван, таким образом, приблизить отечественную правовую систему к мировым стандартам обеспечения конфиденциальности обмена информацией — прежде всего, представленной в электронном виде и используемой в рамках онлайновых коммуникаций. Но ФЗ № 152 в равной степени создал правовую среду также для обеспечения защиты различных офлайновых данных.
В соответствии с данным нормативно правовым актом было определено несколько классов персональных данных, которые требовали применения определенных алгоритмов защиты. Кроме того, ФЗ № 152 установил нормы, в соответствии с которыми оборот различных данных мог осуществляться в специализированных информационных системах — тех, которые требовали особенно высокой квалификации администраторов, а также получения ими лицензий на осуществление операций с персональными данными.
Несмотря на то что ФЗ № 152 был издан в 2006 году, на практике его основные положения операторам персональных данных стало обязательно применять только с 1 июля 2011 года. С того момента в соответствующий источник права, как мы отметили выше, периодически вносились различные корректировки. В частности, те, что были утверждены федеральными властями посредством Закона 242-ФЗ. Рассмотрим его особенности подробнее.
Особенности применения правового акта
Федеральный закон 242-ФЗ «О персональных данных» (точнее, «О внесении изменений в акты в части уточнения обработки данных») установил положение, в соответствии с которым операторы стали обязаны осуществлять обработку и хранение сведений только на серверах, что размещены на территории России. Либо если это офлайновые персональные данные — размещать их в базах данных, что находятся в РФ. Отметим, что в законе 242-ФЗ прописан ряд исключений относительно указанной нормы — которые, в свою очередь, отражены в положениях ФЗ № 152.
Еще один нюанс заключается в том, что посредством его законодатель также внес изменения не только в основной правовой акт, регулирующий операции с персональными данными, но и в другие источники. А именно в законы 149 «Об информации», а также 249 («О защите юрлиц и ИП при государственном и муниципальном контроле»).
В российских СМИ активно тиражировалась информация о том, что Роскомнадзор — ведомство, отвечающее за обеспечение соответствия деятельности операторов данных положениям ФЗ-242 «О защите персональных данных», в 2016 году будет проводить проверки крупнейших поставщиков IT-решений, которые осуществляют деятельность в РФ. В частности, говорилось о том, что цель Роскомнадзора — узнать, выполняют ли предписания рассматриваемого закона такие бренды, как Microsoft, «Вконтакте», HeadHunter, LaModa. Предполагалось, что ведомство выполнит порядка 1 тыс. различных проверок.
Инициированные федеральными властями посредством издания ФЗ № 242-ФЗ изменения о персональных данных в основном законе могли предопределить необходимость проведения крупнейшими операторами значительного обновления аппаратного и программного обеспечения. Но данная задача должна быть решена брендами, иначе, при несоответствии используемой ими инфраструктуры требованиям рассматриваемого закона, Роскомнадзор может наложить штраф на компанию.
Значительную роль в проверках, как предполагается, должны сыграть пользователи различных IT-решений. В случае если они начнут подозревать, что их данные не вполне надежно защищены, то сведения о сервисе, который задействуется при операциях с соответствующими данными, могут быть переданы пользователями непосредственно в Роскомнадзор. Который, в свою очередь, должен будет инициировать проверку сервиса на предмет соответствия нормам закона 242-ФЗ.
Полезно будет рассмотреть то, какова сфера действия рассматриваемого источника права.
Закон № 242: сфера действия источника права
Главный дискуссионный момент в данном случае — то, распространяется ли юрисдикция ФЗ-242 «О защите персональных данных» на иностранные фирмы, которые, с одной стороны, оказывают услуги российским пользователям, с другой, располагаются за пределами РФ как с юридической точки зрения, так и в плане задействуемой инфраструктуры.
Отдельных положений в рассматриваемом законе, которые бы однозначно определяли географию его действия, законодатель не утвердил. Поэтому, в целях нахождения ответа на рассматриваемый вопрос, необходимо обращаться к иным правовым актам.
Так, в соответствии с законом об информации, действующим в РФ, применение на территории России различных типов коммуникационной инфраструктуры должно осуществляться с учетом норм, утвержденных в законодательстве РФ. Таким образом, если следовать данной норме, то можно прийти к выводу, что Федеральный закон № 242-ФЗ распространяется все же только на те сервисы, которые однозначно задействуют инфраструктуру, что размещена в России.
Определение деятельности оператора персональных данных в России
Важнейший критерий определения юрисдикции рассматриваемого источника права — направленность деятельности бренда, владеющего тем или иным сервисом. Если тот или иной сайт преимущественно обслуживает российских пользователей, то он должен считаться объектом регулирования с точки зрения применения норм закона № 242. Тот факт, что сервис направлен на получение персональных данных граждан РФ, может устанавливаться исходя из того, что:
В структуре адреса сайта используется домен.ru, .su, .рф или, например, .москва;
Контент сайта выполнен на русском языке;
На страницах портала есть наличие возможности вступить в правоотношения с сервисом с использованием форм договоров, составляемых в соответствии с Гражданским кодексом РФ.
На практике операторами данных, которые попадают под юрисдикцию ФЗ № 242, могут быть самые разные структуры — например, кадровые службы предприятий, банки, call-центры. Все они обязаны обеспечивать соответствие своей деятельности требованиям закона, о котором идет речь.
Закон № 242 с точки зрения применения его обратной силы
Закон № 242-ФЗ о внесении изменений в ФЗ № 152 был издан позже, чем появился собственно сам ФЗ № 152, а также предыдущие поправки к нему, однако обусловил возникновение необходимости в дополнительной интерпретации положений основного правового акта. В частности, в среде юристов появилась дискуссия о том, следует ли рассматривать закон № 242 как имеющий обратную силу.
Более всего популярна точка зрения, в соответствии с которой в отношении оценки юридического действия рассматриваемого правового акта следует применять общеюридические принципы, в соответствии с которыми наделение обратной силой тех законов, которые ухудшают положение тех или иных лиц либо устанавливают для них дополнительные обязанности, осуществляться не должно.
Исключения могут приниматься в отношении правовых актов, в которых принцип обратной силы зафиксирован непосредственно. Закон 242-ФЗ подобных положений не содержит. Поэтому соблюдать его обязаны только те участники правоотношений, которые начинают обрабатывать персональные данные уже после вступления соответствующего правового акта в законную силу. То есть с 1 сентября 2015 года.
Сущность сбора данных
Еще один дискуссионный момент, характеризующий рассматриваемый правовой акт — определение понятия «сбор данных» исходя из формулировок, присутствующих в нем. В чем заключается сложность трактовок в данном случае? Дело в том, что в соответствии с положениями ФЗ № 152, в которые были внесены посредством издания ФЗ № 242-ФЗ изменения о персональных данных, операторы обязаны обеспечивать локализацию файлов в процессе как раз таки сбора соответствующих сведений. В свою очередь, сущность данной процедуры однозначно не определена в законе, что, конечно же, не способствует эффективной реализации его положений в ряде контекстов.
В среде экспертов распространена точка зрения, по которой под «сбором» правомерно понимать процесс, в рамках которого оператор данных получает их непосредственно от некоторого субъекта либо управомоченных третьих лиц. Получается, что локализованы в соответствии с нормами ФЗ 242 должны быть только те персональные данные, что были приобретены оператором по факту проведения им целенаправленной работы по сбору соответствующих данных. И если, например, оператор получил их случайно - как вариант, в виде письма на электронную почту, то локализовать, как это предписывает закон 242-ФЗ, персональные данные необязательно. Аналогично неправомерно рассматривать как процесс сбора данных их получение одной фирмой от другой, если они представляют собой телефоны и иные контактные данные представителей компании.
Размещение данных за рубежом по закону № 242
Следующий важнейший нюанс, характеризующий правоприменительную практику при реализации положений закона № 242 — возможность размещения данных операторами за рубежом в необходимых случаях — например, если речь идет о резервном копировании соответствующих сведений на серверах, арендованных у иностранных поставщиков. С одной стороны, по закону № 242-ФЗ персональные данные должны размещаться на серверах, что расположены на территории России. С другой, конечно, может возникать их объективная необходимость в размещении также и на зарубежных ресурсах.
Как отмечают юристы, трансграничная передача данных без нарушения положений регулирующего законодательства, в принципе, возможна. Исходя из каких положений законодательства данную позицию можно считать правомерной?
Когда трансграничная передача легальна
Дело в том, что закон о локализации персональных данных 242-ФЗ не включает положений о внесении корректировок в правовые акты, регулирующие трансграничную передачу файлов, содержащих индивидуализированные сведения о гражданах РФ и иных субъектах, которые попадают под защиту закона № 152-ФЗ. Поэтому данная процедура легальна, как и до того момента, когда был приняты рассматриваемые поправки в закон.
Но еще раз обратим внимание — трансграничная передача данных может быть осуществлена только в целях резервного копирования соответствующих файлов. Их оригиналы, таким образом, обязательно должны быть размещены на серверах в РФ. При этом оператор данных сам несет ответственность за несанкционированное использование теми или иными лицами файлов на зарубежных серверах. Кроме того, ему, вероятно, предстоит привести в соответствие свои информационные системы с требованиями, установленными нормами права государства, на территории которого располагаются сервера.
Санкции за нарушения закона № 242
Итак, мы изучили то, какие внес законодатель посредством издания закона 242-ФЗ изменения в ФЗ № 152. Полезно будет также рассмотреть то, с какими санкциями могут столкнуться операторы данных, нарушившие положения соответствующего источника права.
Во-первых, на компанию, которая обязана выполнять требования закона № 242, может быть наложен административный штраф. Его величина составляет 500-1000 рублей для должностных лиц, а также в 10 раз большие суммы - для юридических лиц. Данный штраф установлен ст. 13.11 КоАП РФ.
Во-вторых, может быть применена такая санкция, как внесение оператора данных в реестр нарушителей. Он представляет собой автоматизированную базу, включающую доменные имена и адреса страниц сайтов, на которых персональные данные обрабатываются с нарушениями. Отметим, что включение оператора в соответствующий реестр осуществляется на основании решения суда. Исключение — после его отмены или же по факту устранения компанией нарушений рассматриваемого закона.
В-третьих, может быть ограничен доступ к сайту, на котором реализуется некорректная обработка персональных данных. Данная процедура осуществляется после того, как субъект персональных данных направляет в Роскомнадзор заявление о необходимости принятия мер по блокировке соответствующего ресурса.
Кроме того, данный документ также должен быть дополнен судебным актом, который вступил в законную силу. После этого Роскомнадзор направляет сведения о нарушениях владельцем сайта закона № 242 хостинг-провайдеру, и тот, если владелец ресурса не устранит нарушение, блокирует сайт.
Порядок применения санкций к нарушителям положений рассматриваемого правового акта во многом зависит от правоприменительной практики. Операторам персональных данных имеет смысл регулярно изучать ее, так же как, например, и различные аналитические исследования положений закона № 242-ФЗ, комментарии юристов к нему. Исполнение норм ФЗ № 152 с учетом актуальных поправок к нему — важнейшее условие корректного функционирования соответствующих информационных сервисов.
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В ОТДЕЛЬНЫЕ ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
В ЧАСТИ УТОЧНЕНИЯ ПОРЯДКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ
Внести в Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, 6963; 2014, N 19, ст. 2302) следующие изменения:
1) дополнить статьей 15.5 следующего содержания:
"Статья 15.5. Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных
1. В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных" (далее - реестр нарушителей).
2. В реестр нарушителей включаются:
1) доменные имена и (или) указатели страниц сайтов в сети "Интернет", содержащих информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных;
2) сетевые адреса, позволяющие идентифицировать сайты в сети "Интернет", содержащие информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных;
3) указание на вступивший в законную силу судебный акт;
4) информация об устранении нарушения законодательства Российской Федерации в области персональных данных;
5) дата направления операторам связи данных об информационном ресурсе для ограничения доступа к этому ресурсу.
3. Создание, формирование и ведение реестра нарушителей осуществляются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в порядке, установленном Правительством Российской Федерации.
4. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в соответствии с критериями, определенными Правительством Российской Федерации, может привлечь к формированию и ведению реестра нарушителей оператора такого реестра - организацию, зарегистрированную на территории Российской Федерации.
5. Основанием для включения в реестр нарушителей информации, указанной в части 2 настоящей статьи, является вступивший в законную силу судебный акт.
6. Субъект персональных данных вправе обратиться в федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, на основании вступившего в законную силу судебного акта. Форма указанного заявления утверждается федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.
7. В течение трех рабочих дней со дня получения вступившего в законную силу судебного акта федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, на основании указанного решения суда:
1) определяет провайдера хостинга или иное лицо, обеспечивающее обработку информации в информационно-телекоммуникационной сети, в том числе в сети "Интернет", с нарушением законодательства Российской Федерации в области персональных данных;
2) направляет провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в электронном виде уведомление на русском и английском языках о нарушении законодательства Российской Федерации в области персональных данных с информацией о вступившем в законную силу судебном акте, доменном имени и сетевом адресе, позволяющих идентифицировать сайт в сети "Интернет", на котором осуществляется обработка информации с нарушением законодательства Российской Федерации в области персональных данных, а также об указателях страниц сайта в сети "Интернет", позволяющих идентифицировать такую информацию, и с требованием принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанные в решении суда;
3) фиксирует дату и время направления уведомления провайдеру хостинга или иному указанному в пункте 1 настоящей части лицу в реестре нарушителей.
8. В течение одного рабочего дня с момента получения уведомления, указанного в пункте 2 части 7 настоящей статьи, провайдер хостинга или иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны проинформировать об этом обслуживаемого ими владельца информационного ресурса и уведомить его о необходимости незамедлительно принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанного в уведомлении, или принять меры по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.
9. В течение одного рабочего дня с момента получения от провайдера хостинга или иного указанного в пункте 1 части 7 настоящей статьи лица уведомления о необходимости устранения нарушения законодательства Российской Федерации в области персональных данных владелец информационного ресурса обязан принять меры по устранению указанного в уведомлении нарушения. В случае отказа или бездействия владельца информационного ресурса провайдер хостинга или иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны ограничить доступ к соответствующему информационному ресурсу не позднее истечения трех рабочих дней с момента получения уведомления, указанного в пункте 2 части 7 настоящей статьи.
10. В случае непринятия провайдером хостинга или иным указанным в пункте 1 части 7 настоящей статьи лицом и (или) владельцем информационного ресурса мер, указанных в частях 8 и 9 настоящей статьи, доменное имя сайта в сети "Интернет", его сетевой адрес, указатели страниц сайта в сети "Интернет", позволяющие идентифицировать информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных, а также иные сведения об этом сайте и информация направляются по автоматизированной информационной системе операторам связи для принятия мер по ограничению доступа к данному информационному ресурсу, в том числе к сетевому адресу, доменному имени, указателю страниц сайта в сети "Интернет".
11. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, или привлеченный им в соответствии с частью 4 настоящей статьи оператор реестра нарушителей исключает из такого реестра доменное имя, указатель страницы сайта в сети "Интернет" или сетевой адрес, позволяющие идентифицировать сайт в сети "Интернет", на основании обращения владельца сайта в сети "Интернет", провайдера хостинга или оператора связи не позднее чем в течение трех дней со дня такого обращения после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных или на основании вступившего в законную силу решения суда об отмене ранее принятого судебного акта.
12. Порядок взаимодействия оператора реестра нарушителей с провайдером хостинга и порядок получения доступа к содержащейся в таком реестре информации оператором связи устанавливаются уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.";
2) часть 4 статьи 16 дополнить пунктом 7 следующего содержания:
"7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.".
Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2011, N 31, ст. 4701) следующие изменения:
1) статью 18 дополнить частью 5 следующего содержания:
"5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.";
2) часть 3 статьи 22 дополнить пунктом 10.1 следующего содержания:
"10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;";
3) часть 3 статьи 23 дополнить пунктом 3.1 следующего содержания:
"3.1) ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации;".
Часть 3.1 статьи 1 Федерального закона от 26 декабря 2008 года N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (Собрание законодательства Российской Федерации, 2008, N 52, ст. 6249; 2009, N 18, ст. 2140; N 29, ст. 3601; N 52, ст. 6441; 2010, N 17, ст. 1988; N 31, ст. 4160, 4193; 2011, N 17, ст. 2310; N 30, ст. 4590; N 48, ст. 6728; 2012, N 26, ст. 3446; 2013, N 27, ст. 3477; N 30, ст. 4041; N 52, ст. 6961, 6979, 6981; Российская газета, 2014, 25 июня) дополнить пунктами 19 и 20 следующего содержания:
"19) контроль за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети "Интернет";
20) контроль и надзор за обработкой персональных данных.".
Президент
Российской Федерации
В.ПУТИН
Гражданство
Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.
В соответствии со ст. 85.1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года - «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, - М., 1935, с. 326 - 339. ) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7 ), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.
Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».
Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил "Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.
В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются. Соответствующая квалификация осуществляемых действий по обработке персональных данных и обеспечение ее соответствия требованиям законодательства осуществляются оператором персональных данных при обеспечении (организации обеспечения) такой обработки. Корректность упомянутой квалификации и обеспечения обработки в конкретной ситуации проверяется уполномоченным федеральным органом при проведении контрольных мероприятий.
Товары и услуги
Из совокупности положений части 5 статьи 18 Федерального закона «О персональных данных» («при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона) и пункта 2 части 1 статьи 6 Федерального закона «О персональных данных» («обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей») следует, что обработка персональных данных в целях и в соответствии с требованиями, установленными ратифицированной Российской Федерацией Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера не противоречит законодательству Российской Федерации, регулирующему отношения в области защиты персональных данных. Кроме того, часть 5 статьи 18 152-ФЗ не ограничивают трансграничную передачу персональных данных граждан Российской Федерации.
Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации. Таким образом, если для составления отчетности, либо анализа информации, содержащей персональные данные, оператору требуется осуществить упомянутые формы обработки персональных данных, то такие действия должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации.
Трактовка в части первичного сбора является неверной по следующим основаниям. Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации.
В соответствии с положениями пункта 7 части 4 статьи 16 Федерального закона №149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
Принимая во внимание также положения части 5 статьи 18 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» (вступающей в силу с 1 сентября 2015 года), устанавливающих, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считаем, что обработка ПД граждан Российской Федерации на территории другого государства может осуществляться исключительно в случаях, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», для которых имеется изъятие в части 5 статьи 18 152-ФЗ. Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные. Вместе с тем, Федеральный закон не содержит указаний на общий запрет обработки персональных данных граждан Российской Федерации с использованием баз данных, не находящихся на территории Российской Федерации.
В этой связи считаем, что обработка персональных данных граждан Российской Федерации посредством сбора, записи, систематизации, накопления, хранения, уточнения, извлечения может осуществляться с использованием баз данных, не находящихся на территории Российской Федерации в следующих случаях:
- если такая деятельность подпадает под случаи, предусмотренные пунктами 2-4, 8 части 1 статьи 6 152-ФЗ;
- если такая деятельность не подпадает под случаи, предусмотренные пунктами 2-4, 8 части 1 статьи 6 152-ФЗ, и на территории Российской Федерации находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации (в этом случае недопустимо нахождение за пределами территории Российской Федерации персональных данных, которые одновременно не находятся в пределах территории Российской Федерации).
Трансграничная передача персональных данных не запрещена при условии соблюдения требований, установленных в статье 12 Федерального закона №152-ФЗ. При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору в случае нарушения порядка и условий, установленных для договора-поручения.
В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей.
В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей. В существующих планах законопроектной деятельности не предусмотрена разработка проекта федерального закона, корректирующего это положение.
Вышеуказанные требования закона распространяются, в том числе, и на обработку оператором полученных в результате сбора персональных данных, а именно запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение.
Понимание правильное. 152-ФЗ термин «использование персональных данных» не раскрывает. В целях толкования под «использованием персональных данных» можно понимать действия с персональными данными, не относящиеся к иным формам обработки персональных данных, в том числе принятие решений на основе персональных данных, для осуществления которых был осуществлен сбор персональных данных (цель сбора персональных данных должна соответствовать цели использования персональных данных).
Понятие «оператор» содержится в статье 3 закона №152-ФЗ, под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Принимая во внимание, что статья 3 Закона №152-ФЗ не содержит исключений в части осуществления лицом отдельных операций по обработке персональных данных, а равно иных определений, отличных от оператора, лицо, определяющее цель обработки персональных данных, либо осуществляющее отдельные действия по обработке персональных данных в контексте положений закона №152-ФЗ является оператором, осуществляющим обработку персональных данных.
— Действительно ли не требуется повторное или дополнительное уведомление об обработке персональных данных после 1 сентября 2015 года. Нужно ли дополнительно сообщать, где находятся базы данных?
Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. В Федеральный закон №242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления в силу закона операторы, руководствуясь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.
— Подпадает ли первоначальный сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных под требования части 5 статьи 18 Федерального закона №152-ФЗ?
Согласно требованиям части 5 статьи 18 Федерального закона №152-ФЗ при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. Основополагающим принципом законодательства в области персональных данных является принцип, согласно которому обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. В связи с этим внесение персональных данных в информационную систему персональных данных, используемую в целях, аналогичных сбору данных на бумажных носителях, следует рассматривать как единый процесс, реализация которого должна осуществляться в строгом соответствии с требованиями части 5 статьи 18 Федерального закона №152-ФЗ. Разделение указанного единого процесса на отдельные действия законодательством Российской Федерации в области персональных данных не предусмотрено. Таким образом, отдельные виды обработки персональных данных, предусмотренные частью 5 статьи 18 Федерального закона №152-ФЗ, в том числе сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных, должны осуществляться как единый процесс в правовом поле законодательной нормы, обязывающей хранить персональные данные на территории Российской Федерации.
