Образование. Законодательство. Реабилитация инвалидов. Льготы. Пособия. Пенсии
Вы здесь: » »

Хранение персональных данных на сервере за границей. Хранение и защита персональных данных на виртуальном сервере

Гражданство

Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.

В соответствии со ст. 85.1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года - «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, - М., 1935, с. 326 - 339. ) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7 ), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.

Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».

Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил "Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.

В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются. Соответствующая квалификация осуществляемых действий по обработке персональных данных и обеспечение ее соответствия требованиям законодательства осуществляются оператором персональных данных при обеспечении (организации обеспечения) такой обработки. Корректность упомянутой квалификации и обеспечения обработки в конкретной ситуации проверяется уполномоченным федеральным органом при проведении контрольных мероприятий.

Товары и услуги

Из совокупности положений части 5 статьи 18 Федерального закона «О персональных данных» («при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона) и пункта 2 части 1 статьи 6 Федерального закона «О персональных данных» («обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей») следует, что обработка персональных данных в целях и в соответствии с требованиями, установленными ратифицированной Российской Федерацией Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера не противоречит законодательству Российской Федерации, регулирующему отношения в области защиты персональных данных. Кроме того, часть 5 статьи 18 152-ФЗ не ограничивают трансграничную передачу персональных данных граждан Российской Федерации.

Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации. Таким образом, если для составления отчетности, либо анализа информации, содержащей персональные данные, оператору требуется осуществить упомянутые формы обработки персональных данных, то такие действия должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации.

Трактовка в части первичного сбора является неверной по следующим основаниям. Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации.

В соответствии с положениями пункта 7 части 4 статьи 16 Федерального закона №149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Принимая во внимание также положения части 5 статьи 18 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» (вступающей в силу с 1 сентября 2015 года), устанавливающих, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считаем, что обработка ПД граждан Российской Федерации на территории другого государства может осуществляться исключительно в случаях, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», для которых имеется изъятие в части 5 статьи 18 152-ФЗ. Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные. Вместе с тем, Федеральный закон не содержит указаний на общий запрет обработки персональных данных граждан Российской Федерации с использованием баз данных, не находящихся на территории Российской Федерации.

В этой связи считаем, что обработка персональных данных граждан Российской Федерации посредством сбора, записи, систематизации, накопления, хранения, уточнения, извлечения может осуществляться с использованием баз данных, не находящихся на территории Российской Федерации в следующих случаях:

  • если такая деятельность подпадает под случаи, предусмотренные пунктами 2-4, 8 части 1 статьи 6 152-ФЗ;
  • если такая деятельность не подпадает под случаи, предусмотренные пунктами 2-4, 8 части 1 статьи 6 152-ФЗ, и на территории Российской Федерации находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации (в этом случае недопустимо нахождение за пределами территории Российской Федерации персональных данных, которые одновременно не находятся в пределах территории Российской Федерации).

Трансграничная передача персональных данных не запрещена при условии соблюдения требований, установленных в статье 12 Федерального закона №152-ФЗ. При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору в случае нарушения порядка и условий, установленных для договора-поручения.

В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей.

В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей. В существующих планах законопроектной деятельности не предусмотрена разработка проекта федерального закона, корректирующего это положение.

Вышеуказанные требования закона распространяются, в том числе, и на обработку оператором полученных в результате сбора персональных данных, а именно запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение.

Понимание правильное. 152-ФЗ термин «использование персональных данных» не раскрывает. В целях толкования под «использованием персональных данных» можно понимать действия с персональными данными, не относящиеся к иным формам обработки персональных данных, в том числе принятие решений на основе персональных данных, для осуществления которых был осуществлен сбор персональных данных (цель сбора персональных данных должна соответствовать цели использования персональных данных).

Понятие «оператор» содержится в статье 3 закона №152-ФЗ, под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Принимая во внимание, что статья 3 Закона №152-ФЗ не содержит исключений в части осуществления лицом отдельных операций по обработке персональных данных, а равно иных определений, отличных от оператора, лицо, определяющее цель обработки персональных данных, либо осуществляющее отдельные действия по обработке персональных данных в контексте положений закона №152-ФЗ является оператором, осуществляющим обработку персональных данных.

— Действительно ли не требуется повторное или дополнительное уведомление об обработке персональных данных после 1 сентября 2015 года. Нужно ли дополнительно сообщать, где находятся базы данных?

Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. В Федеральный закон №242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления в силу закона операторы, руководствуясь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

— Подпадает ли первоначальный сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных под требования части 5 статьи 18 Федерального закона №152-ФЗ?

Согласно требованиям части 5 статьи 18 Федерального закона №152-ФЗ при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. Основополагающим принципом законодательства в области персональных данных является принцип, согласно которому обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. В связи с этим внесение персональных данных в информационную систему персональных данных, используемую в целях, аналогичных сбору данных на бумажных носителях, следует рассматривать как единый процесс, реализация которого должна осуществляться в строгом соответствии с требованиями части 5 статьи 18 Федерального закона №152-ФЗ. Разделение указанного единого процесса на отдельные действия законодательством Российской Федерации в области персональных данных не предусмотрено. Таким образом, отдельные виды обработки персональных данных, предусмотренные частью 5 статьи 18 Федерального закона №152-ФЗ, в том числе сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных, должны осуществляться как единый процесс в правовом поле законодательной нормы, обязывающей хранить персональные данные на территории Российской Федерации.

Персональные данные - это сведения о том или ином физическом лице. Эту информацию пользователи вводят на различных интернет-серверах ежедневно. В 2015 году подписан закон о хранении персональных данных. Согласно этому акту информация о гражданах РФ может храниться лишь на территории России. Что это значит? И чем грозит несоблюдение

Предыстория

Еще в далеком 2006 году был принят ФЗ о персональных данных, призванный регулировать специфические отношения физических лиц с так называемыми операторами. Целью его было обеспечить защиту пользователей интернета от нежелаемой обработки и передачи личных данных третьему лицу.

Оператор - это понятие довольно широкое. Им может быть и государственный орган, и юридическое лицо, и физическое. Оператор - это тот, кто в каких-либо целях вносит личные данные о человеке в свою базу. Он, разумеется, не имеет права разглашать данные и использовать их в целях, которые неизвестны тому, кто их предоставил. Такие действия неэтичны, а последние десять лет они являются также и незаконными.

С 1 сентября 2015 года, после того как был подписан закон о хранении персональных данных на территории России, оператор больше не вправе пользоваться в своей работе иностранными серверами. Для того чтобы понять, кого в первую очередь касаются подобные изменения и какое они влияние оказывают, следует разобраться с основными понятиями.

Персональные данные

Существует ошибочное мнение, что это понятие означает информацию, которая содержится в паспорте и других важных документах. В действительности персональными данными являются различные сведения о человеке. Это не обязательно может быть номер или Такими данными являются имя, фамилия, дата рождения, адрес электронной почты. Таким образом, если владелец бизнеса создает корпоративный сайт, содержащий форму для регистрации посетителей, он становится оператором персональных данных. Пользоваться он полученной информацией может лишь для осуществления той деятельности, о которой известно тем, кто ее предоставил. Разглашение персональных данных предполагает административную или уголовную ответственность, в зависимости от тяжести преступления.

Конфиденциальность информации

Распространять данные о человеке оператор может лишь с его согласия. Подобные действия неправомерны. Неразглашение персональных данных - важное условие обработки информации. Основные ее принципы содержатся во второй главе закона. Распространять оператор имеет право только те сведения, которые содержатся в общедоступных источниках, например - адресных и телефонных книгах.

Персональные данные можно разделить на общие, биометрические и специальные. Общие содержатся в паспорте, дипломе, военном билете, трудовой книжке. К специальным относится информация о расовой, религиозной, политической принадлежности.

Биометрические данные - это биологические и физиологические особенности человека. К ним же и относятся фото и видеозаписи. Таким образом, передачу подобных файлов третьему лицу можно идентифицировать как разглашение личных данных. Исключением являются групповые фотографии.

Обработка

В встречаются словосочетания, смысл которых может быть не всегда ясен. Одно из них - обработка персональных данных. Под этим термином понимают действия, которые оператор производит над полученной информацией, а именно персональными данными. Он их накапливает, хранит, уточняет, использует, обезличивает, блокирует и уничтожает. На все это оператор имеет право. Преступает закон он лишь тогда, когда происходит разглашение персональных данных, то есть передача личной информации третьему лицу.

С 1 сентября 2015 г. введены существенные ограничения в этой сфере деятельности. Закон о хранении персональных данных не позволяет, например, владельцу интернет-сайта хранить полученные данные на иностранных серверах. Даже если он пользуется ими исключительно в благих целях.

Обезличивание

Это действие производится для того, чтобы скрыть принадлежность персональных данных того или иного человека (в законодательном акте он именуется субъектом). Это своего рода защита персональных данных. Способов обезличивания существует несколько:

  • замена части информации;
  • замена цифровых данных:
  • сокращение сведений;
  • распределение сведений на разных серверах.

Субъект

Человек вправе получить доступ к своим персональным данным. Права субъекта персональных данных предполагают возможность физического лица, чьи данные хранятся в базе, требовать от оператора, чтобы он их уточнил, изменил, при необходимости уничтожил. Каждый человек вправе требовать предоставление сведений в том случае, если они не содержат данных других субъектов.

Другие понятия

Все данные о человеке хранятся в базах. С помощью определенных средств они обрабатываются и используются оператором. Эта технология называется информационной системой персональных данных. Ею сегодня пользуются все, начиная от мелких коммерсантов, заканчивая государственными исполнительными органами. На них же и возложена защита персональных данных. Контроль соблюдения требований, предусмотренных законодательством, осуществляют Роскомнадзор, ФСБ и ФСТЭК.

Трансграничная передача данных - это передача информации физическому или юридическому лицу иностранного государства.

ФЗ о персональных данных обеспечивает неприкосновенность физического лица, его семейной и личной жизни. Новый закон преследует те же цели, однако создает определенные неудобства для многих операторов.

Хранение данных на территории России

В своей деятельности каждый оператор должен теперь использовать только те базы данных, которые хранятся на территории России. Для чего созданы такие ограничения? Закон, о котором говорилось выше, затрагивает прежде всего безопасность персональных данных. Но ничего не говорится о сфере его действия.

Все области деятельности на территории России должны осуществляться с соблюдением Законодательства РФ. Однако во Всемирной сети любые действия имеют трансграничный и виртуальный характер, что осложняет контроль над работой операторов. В то же время то, что интернет-сайт доступен жителям России, вовсе не говорит, что на него должно распространяться российское законодательство. Хранение баз данных на российских серверах облегчает контроль над деятельностью операторов.

Закон о хранении персональных данных предусматривает обработку персональных данных лишь на российских интернет-ресурсах. Но здесь существуют и исключения. Они касаются иностранных серверов, направленных на территорию РФ. На такую направленность может указывать русскоязычность сайта или доменное имя. Однако, поскольку русский язык довольно распространен и за пределами РФ, дополнительно рассматриваются следующие элементы: возможность расчета в российских рублях, заключение договоров на территории РФ. Таким образом, иностранные предприниматели включают в свою бизнес-стратегию российских потребителей. А действие закона о персональных данных при этом направлено и на их деятельность.

Иностранные серверы

Итак, хранение персональных данных закон теперь допускает лишь на российских серверах. Базы данных, находящиеся за пределами РФ, обрабатываться не могут. Госдума приняла закон об этом запрете. Однако документ этот порождает многие проблемы. И прежде всего трудности касаются предпринимательской деятельности.

Специалисты в области электронных коммуникаций полагают, что это может привести к уходу глобальных интернет-ресурсов, а он, в свою очередь, к существенным экономическим потерям. В первую очередь речь идет о сайтах по бронированию авиабилетов.

Неудобства для предпринимателей

Специалисты полагают, что новый закон негативно отразится на деятельности многих российских компаний. Каждый его нарушитель с 1 сентября 2016 года попадает в черный список Роскомнадзора. Этот перечень сегодня состоит из пиратских сайтов и сайтов, пропагандирующих незаконную деятельность либо действия, не соответствующие морально-этическим нормам (насилие, суицид, детское порно, экстремизм). Запрет на эти ресурсы вполне понятен. Но многие предприятия, которые осуществляют абсолютно законную деятельность, возможно, не смогут перенести свои базы на российские ресурсы к указанной дате.

Еще одна цель этого закона - обеспечение безопасности персональных данных от действий американских спецслужб. Этим государственным структурам иностранные ресурсы обязаны предоставлять всю имеющуюся информацию. Однако, обеспечив безопасность персональных данных от проникновения сотрудников зарубежных спецслужб, закон создает немало неудобств и проблем для мелких, средних и крупных российских предприятий.

Сервисы для хранения данных

Большинство компаний сегодня осуществляют продажи, прибегая к интернет-маркетингу. Один из основных инструментов - email-рассылка. Владельцы корпоративных сайтов пользуются онлайн-сервисами для информирования своих клиентов о различных мероприятиях, которые проводятся в их компаниях. Эта схема настолько распространена, что без нее сегодня сложно представить развитие какого бы то ни было бизнеса. Существует все же заблуждение, что владельцы сайтов не являются операторами, поскольку они не хранят персональные данные. Это за них делают специальные онлайн-сервисы. Но ведь обрабатывает и формирует данные о пользователях именно владелец сайта. А потому он является оператором и в ближайшее время обязан перенести всю имеющуюся у него информацию о пользователях интернета на российские ресурсы. Сделать это непросто, и подобные действия, прежде всего, сопряжены с немалыми финансовыми затратами.

Обратная сила закона

Устоявшиеся правовые принципы предполагают, что уже имеющиеся у операторов базы персональных данных, созданные до даты подписания закона, не являются нарушением. Однако использование персональных данных предполагает их обновление и изменение. Закон же гласит, что обрабатывать эту информацию оператор теперь вправе лишь на российском сервере.

Сбор информации

Оператор обязан осуществить локализацию всех данных на российском сервере. И эти действия, согласно формулировке в законе, тесно связаны со сбором персональных данных. Этот термин используется для обозначения целенаправленного получения информации о физических лицах. Ее, как правило, предоставляет сам пользователь интернета. Но нередко случается, что данные попадают случайно. Например, в результате получения различных писем. Сбором информации также не являются данные об одном юридическом лице, полученные другой организацией. Такая информация является контактной, и ее обработка необходима для осуществления совместной деятельности.

Передача данных за пределы РФ

Закон не затрагивает трансграничную передачу данных. Положения, которые были сформулированы еще в 2006 году, не утратили своей силы. А потому операторы, как и прежде, вправе передавать данные, внесенные в базу, созданную на территории РФ, в другие, находящиеся за рубежом. Однако такие действия требуют соблюдения определенных норм. Прежде всего, оператор должен убедиться в том, что страна, на территорию которой будет осуществляться передача данных, обладает адекватной защитой личной информации пользователей интернета.

Влияние нового закона на банковскую сферу

Многие покупки сегодня осуществляются через интернет. Покупатель часто оплачивает товары банковской картой. Сотовые компании и платежные системы находятся, как правило, на иностранных серверах. Российская платежная система пока отсутствует. И без нее соблюдать закон будет непросто.

Однако некоторые крупные компании все же хранят информацию на территории РФ. А обмениваясь данными с иностранными партнерами, они прибегают к обезличиванию.

Дата-центр

В настоящий момент в Московской области строится новый дата-центр, который станет самым крупным в России. В этот проект инвестируют средства крупные компании, поскольку они не могут недооценивать важность хранения персональных данных. Однако эти работы сопряжены с некоторыми трудностями. Построить быстро дата-центр невозможно.

Специалисты полагают, что новый закон необходимо дорабатывать. Иначе он не сможет действовать в полную силу. Главным его недостатком является очередной запрет, от которого особенно может пострадать малый и средний бизнес. А эта область сегодня и без того находится в довольно плачевном состоянии. Так или иначе, у нового закона немало противников, но есть и те, кому он не страшен.

С 01 сентября 2015 г. вступили в силу дополнения, вносимые в статью 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее по тексту – Федеральный закон), а именно часть 5 следующего содержания:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.».

Указанные исключения будут касаться только исполнения Российской Федерацией принятых на себя международных обязательств, осуществления правосудия, работы органов государственной власти, журналистской, научной, литературной и иной творческой деятельности.

Таким образом, если деятельность оператора не сопряжена с указанной выше, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием серверов с базами данных, расположенных на территории Российской Федерации.

Вносимые изменения не освещают вопрос о необходимости переноса серверов с территории иностранных государств на территорию РФ. Исходя из буквального понимания положения ч. 5 ст. 18 Федерального закона и недопустимости необоснованного расширительного толкования, перенос серверов на территорию РФ не является необходимой мерой. Законодательством РФ ответственность для российских обществ за наличие серверов на территории иностранных государств также не предусмотрена.

Использование серверов, расположенных на территориях иностранных государств, «как раньше» не представляется возможным .

Обращаем внимание, что вносимые изменения не распространяются на ситуации, когда сервер принадлежит иностранной компании, находится на территории иностранного государства и используется для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации.

Исходя из недопустимости необоснованной экстерриториальности действия законодательства, требования Федерального закона распространяются только на российские компании и зарегистрированные на территории РФ филиалы и представительства иностранных юридических лиц.

Таким образом, иностранные юридические лица, не имеющие филиалы и представительства на территории РФ, вправе осуществлять хранение персональных данных граждан РФ на серверах, расположенных вне территории РФ, поскольку формально под действие Федерального закона они не подпадают, если это разрешено их национальным законодательством.

Действия, которые должны осуществлять исключительно в России

В соответствии с ч. 5 ст. 18 Федерального закона нижеперечисленные действия должны осуществляться исключительно на сервере, расположенном на территории Российской Федерации:

  • запись персональных данных,
  • систематизация персональных данных,
  • накопление персональных данных,
  • хранение персональных данных,
  • уточнение (обновление, изменение) персональных данных,
  • извлечение персональных данных.

Применительно к передаче и обработке персональных данных (к которой относится также обработка данных без сбора персональных данных) территориальное ограничение не установлено, следовательно, такие действия осуществляются в соответствии с действующим в настоящее время порядком.

Актуальную информацию по вопросу принятия официальных разъяснений Роскомнадзором можно узнать, перейдя по ссылке: http://rkn.gov.ru/.

Трансграничная передача персональных данных

Существующий в настоящее время порядок передачи и обработки персональных данных установлен ст. 12 Федерального закона, согласно которой трансграничная передача персональных данных (на территории иностранных государств) может осуществлять в том случае, если государство-получатель является участником Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981 г.), далее по тексту – Конвенция. Кроме того, передача персональных данных также может быть осуществлена в иные иностранные государства, признанные способным обеспечить адекватную защиту прав субъектов персональных данных (см. Приказ Роскомнадзора от 15.03.2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»).

После вступления в силу изменений в закон на серверах, расположенных на территории страны - участника Конвенции, оператор не сможет записывать, хранить, извлекать персональные данные. Оператор сможет осуществлять только передачу и обработку данных на сервере, расположенном в такой стране. То есть, все хранящиеся данные на сервере в стране – участника Конвенции необходимо будет переместить на сервера в РФ.

Действия с персональными данными

Действия, которые можно осуществлять на сервере в РФ, российским обществом

Действия, которые можно осуществлять на сервере участника Конвенции, российским обществом

Передача персональных данных

Обработка персональных данных

запись персональных данных

систематизация персональных данных

накопление персональных данных

хранение персональных данных

уточнение (обновление, изменение) персональных данных

извлечение персональных данных

На данный момент буквальное толкования вступающих в силу изменений, при отсутствии официальных разъяснений, предполагает, что спектр правомочий оператора по обработке персональных данных с использованием серверов, расположенных на территориях иностранных государств, строго ограничен.

В частности, предполагается, что хранение на зарубежных серверах даже резервных копий персональных данных будет квалифицироваться как нарушение норм законодательства о защите персональных данных.

Однако, по словам Министра связи, предполагается создание достаточно широкой подзаконной нормативно-правовой базы, в рамках которой будет определено какие сведения, при каких обстоятельствах, в каких системах, как конкретно должны храниться и обрабатываться, в том числе на территории РФ. В ее рамках ведомствам предстоит определить, какие сведения, при каких обстоятельствах, в каких системах, как конкретно должны храниться и обрабатываться на российской территории. В частности, по мнению министра, имя, фамилия, дата рождения, размещенные в Twitter и Facebook, можно будет признать "нечувствительными" для пользователей. Такая информация может храниться и за рубежом . То есть, не исключено, что законодательно будет установлено разрешение на хранение отдельных сведений на серверах, расположенных на территориях иностранных государств.

Ответственность за нарушение вступающих в силу изменений

Административная ответственность

За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) ст. 13.11. КоАП предусмотрена следующая ответственность:

  • наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей;
  • наложение административного штрафа на юридических лиц – от пяти тысяч до десяти тысяч рублей.

Блокировка информационного ресурса

Кроме того, с 01.09.2015 г. вступают в силу изменения, вносимые в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Данные изменения предусматривают блокировку информационного ресурса, на котором обработка персональных данных граждан РФ осуществляется с нарушением законодательства.

Роскомнадзор имеет возможность заблокировать Интернет-ресурсы, осуществляющие обработку персональных данных граждан РФ с нарушениями законодательства, уже в настоящее время.

Примером тому является решение, вынесенное Ангарским городским судом Иркутской области по иску Роскомнадзора в защиту прав неопределенного круга лиц в связи с незаконной обработкой их персональных данных (дело № 2-799-14 от 30.04.2014 г.). В соответствии с материалами данного дела, сайт www.telkniga.com распространял персональные данные граждан РФ без получения их предварительного согласия. В результате, деятельность сайта www.telkniga.com признана незаконной и нарушающей права российского гражданина, а размещенная в интернете информация, содержащая персональные данные, – запрещенной к распространению в Российской Федерации. Указанный сайт включен единый реестр запрещенной информации.

Реестр нарушителей прав субъектов персональных данных

Создание автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», создание, формирование и ведение которой будет осуществляться Роскомнадзором.

В указанный реестр будут включаться, в частности, следующие данные об информационном ресурсе: сетевой адрес, доменное имя, указатель страниц, позволяющий идентифицировать информацию, обрабатываемую с нарушениями законодательства.

Включение в Реестр и ограничение доступа к информационному ресурсу будут возможны только на основании вступившего в законную силу судебного акта.

ВЫВОДЫ

  1. После 01 сентября 2015 года запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ можно будет осуществлять с использованием серверов, расположенных исключительно на территории Российской Федерации. В связи с этим необходимо будет перенести все персональные данные граждан РФ, хранящиеся на серверах, расположенных в иностранных государствах, на сервера в РФ.
  2. Осуществлять иные действия можно с использованием баз данных, расположенных на территории иностранных государств. Оператор правомочен осуществлять обработку заказов без сбора персональных данных и калькуляцию персональных данных граждан РФ на серверах, расположенных в странах – участниках Конвенции либо перечисленных в Приказе Роскомнадзора от 15.03.2013 г. № 274. Трансграничная передача персональных данных возможна на территорию иностранных государств, являющихся сторонами вышеуказанной Конвенции Совета Европы, либо перечисленных в Приказе Роскомнадзора от 15.03.2013 г. № 274.
  3. Если сервер принадлежит иностранной компании и находится на территории иностранного государства, то иностранная компания вправе использовать его для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации, поскольку вступающие в силу изменения не распространяются на иностранные юридические лица, которые не имеют филиалов и представительств на территории РФ. Однако сложно предсказать действия Роскомнадзора к таким иностранным компаниям. Роскомнадзор может применить санкции к таким иностранным компаниям, например, блокировку информационного ресурса. Как действовать в таких случаях иностранным компаниям, пока сказать сложно. Помимо этого, с 01.09.2015 года вступит в силу п.п.3.1. п.3 ст.23 Федерального закона, согласно которому уполномоченный орган по защите прав субъектов персональных данных имеет право ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации.

Процесс обработки персональных данных любого гражданина прописан в Федеральном Законе № 152-ФЗ «О персональных данных». Первоначально данный закон был принят 27 июля 2006 года, и уже в последующем подвергался различным изменениям и дополнениям.

Закон «О персональных данных» регулирует отношения между государственными, муниципальными органами, физическими и юридическими лицами в сфере обработки и защиты личной информации, которые совершаются при помощи средств автоматизации или же без нее.

Цель этого закона заключается в обеспечении защиты свобод и прав граждан законными методами при обработке его личных данных, в том числе неприкосновенность частной жизни, семейной и личной тайн.

Какая организация попадает под требования Федерального закона «О персональных данных»?

Любая организация имеет возможность не регламентировать свои действия согласно главе 1 статьи 2 Федерального закона за № 152-ФЗ «О персональных данных», касающиеся обработки персональных данных, в таких случаях как:

1. Обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2. Организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3. Обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
4. Предоставление уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

Когда же организация не попадает под вышеуказанные пункты, она должна в обязательном порядке подчиниться требованиям закона. Все остальные случаи, относящиеся к сбору, обработке и хранению персональных данных, регламентируются согласно Федеральному закону № 152 «О персональных данных». Практически все организации попадают под данные требования, так как почти все компании тем или иным образом производят обработку персональных данных своих сотрудников или других физических лиц. При этом все личные данные должны быть строго конфиденциальны.

Для того, чтобы риск претензий от владельцев персональных данных и государственных органов был минимальным, нужно выполнить комплекс работ, которые обосновывают необходимость обработки персональных данных. Также необходимо выполнить требования обеспечения конфиденциальности и при неавтоматизированной обработке, и в случае обработки персональных данных в информационных системах.

Персональные данные — что это?

В главе 1 статье 3 ФЗ «о персональных данных» имеется определение персональных данных:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Это может быть фамилия, имя отчество, адрес места жительства и электронной почты, контактные телефоны, место пребывания, вероисповедание, семейное положение, фотографии, сведения о родственниках и многое другое. Каждая организация, которая владеет подобной информацией, обязана защищать информационные системы, в которых должны храниться такие данные.

Сбор, хранение и обработка персональных данных

При необходимости получения персональных данных сотрудника или другого физического лица организация вправе собирать ее непосредственно у самого субъекта. Если же информацию можно получить только у третьих лиц, то субъект должен быть обязательно извещен, а также обязан дать свое письменное согласие на данную процедуру. В свою очередь, оператор обязан известить гражданина о целях, которые он преследует при получении и обработке его личных данных.

Все, что касается законных оснований обработки персональной информации, прописано в главе 2 статье 6 пункте 1 № 152 Федерального закона «О персональных данных»:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Если организация осуществляет обработку персональных данных, противоречащую вышеуказанным пунктам, то это является нарушением федерального законодательства.

Организация обязана обеспечить конфиденциальность, имеющихся персональных данных согласно статье 7 Федерального закона «О персональных данных». Исключения составляют те случаи, когда персональные данные обезличены или когда они являются общедоступными.
В статье 8 указано, что могут быть общедоступные источники персональных данных. Они могут содержать фамилию, имя, отчество, страну и год рождения, адрес проживания, номер телефона, информацию о профессии или же другие персональные данные субъекта, которые он предоставляет со своего письменного согласия. К ним относятся, например, справочники или адресные книги. Данные сведения могут быть лишены доступности по решению субъекта или государственных уполномоченных органов.

Принципы и условия обработки персональных данных

В процессе обработки персональных данных каждая организация должна придерживаться принципов, которые прописаны в главе 2 статьи 5 Федерального закона «О персональных данных»:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия, которые должна соблюдать организация в процессе обработки персональных данных, прописаны в статье 6 Федерального закона «О персональных данных» и заключаются в том, что оператор при осуществлении обработки персональных данных субъекта, имеет право обрабатывать их только с его письменного согласия.
Однако, в некоторых случаях такое согласие не требуется. Так, например, если обработка персональной информации производится в различных научных и статистических целях с обязательным условием обезличивания персональных данных. Или же когда обработка личных данных необходима для здоровья, жизни или других жизненно значимых интересов субъекта таких данных.

Обязанности оператора персональных данных

Глава 4 статьи 18 Федерального закона за 3 152 «О персональных данных» содержит полную информацию о том, что входит в обязанности оператора по обработке данных.
Рассматривая ключевые моменты данной статьи закона можно выделить несколько наиболее важных принципов.

Оператор обязан:

— проводить обработку персональных данных в соответствии с законом,
— иметь разрешение от владельца персональных данных в случаях предусмотренных законодательством,
— обеспечивать конфиденциальность,
— отвечать на все вопросы владельца, касающиеся его персональных данных, в поставленный законом срок,
— уничтожить персональные данные после того, как будут достигнуты сроки их обработки,
— извещать Управление Роскомнадзора на тему обработки персональных данных и о мерах, которые предпринимаются им для их защиты.

Также в данной статье говориться о том, что если владелец персональных данных отказывается предоставить персональную информацию, которую он обязан предоставить в соответствии с федеральным законом, оператор должен разъяснить владельцу о последствиях такого отказа.

Самостоятельная деятельность организаций при защите персональных данных

Сбор, обработка и защита персональных данных в Российской Федерации является лицензируемым видом деятельности. Разработка методик по защите персональной информации находится в ведении ФСБ России и ФСТЭК России.
Организация, в свою очередь, может лишь сделать часть таких работ. Например, осуществить сбор информации. Остальные работы требуют наличие лицензии на деятельность по технической защите конфиденциальной информации, а также на установку средств криптографической защиты.

Проверка деятельности по обработке персональных данных

Организация, которая проводит проверку на предмет законной обработки персональных данных, называется Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Роскомнадзор проводит государственный контроль и надзор за соблюдением требований действующего законодательства в сфере:
— СМИ, ТВР вещания и массовых коммуникаций — требования закона Российской Федерации за № 2124-1 от 27 декабря 1991 года «О средствах массовых коммуникаций», а также соблюдение лицензионных условий,
— связи — требования Федерального закона за № 126 от 7 июля 2003 года «О связи», а также подзаконных актов, в том числе действие лицензии и использование радиочастотного спектра,
— персональных данных — Федеральный закон от 27 июля 2006 года за № 152 «О персональных данных».

Правовым основанием для осуществления государственного контроля и надзора является Федеральный закон от 26 декабря 2008 года за № 294 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Роскомнадзор проводит несколько видов проверок:

1). Плановая проверка.
Данная проверка может быть проведена на основании и в точно поставленные сроки, которые указаны в плане проверок, подготовленного Роскомнадзором и утвержденного прокуратурой. Согласно пункту 4 статьи 27 Федерального закона «О связи» такой вид проверки Роскомнадзор имеет право проводить не более чем один раз в 3 года.
В План проверок Роскомнадзора может попасть любая организация, занимающаяся обработкой персональных данных.
Основанием для проведения плановой проверки считается факт начала обработки оператором по обработке персональных данных, в том числе прохождение трех лет с момента государственной регистрации как оператора персональных данных или завершения проведения плановой проверки в отношении оператора по истечении трех лет с предыдущей плановой проверки.

2). Внеплановая проверка.
Основаниями для проведения такого вида проверки можно считать:
— проверка исполнения предписания о ликвидации выявленного нарушения, которое было выдано раньше,
— выявление нарушений обязательных требований в результате систематического наблюдения,
— требование прокурора о проведении внеплановой проверки на основании поступивших материалов и обращений в органы прокуратуры от граждан, индивидуальных предпринимателей, юридических лиц, органов государственной и муниципальной власти,
— нарушения законных прав и интересов субъектов российской Федерации вследствие бездействия операторов, занимающихся обработкой персональных данных,
— приказ руководителя Службы, который издан согласно поручениям Президента Российской Федерации или Правительства Российской Федерации.
Проверка производится в срок не более 20 рабочих дней, но в то же время, в случае серьезных причин она может быть продлена на основании приказа руководителя Управления Роскомнадзора еще на 20 дополнительных рабочих дней.
Кроме того, проверочные мероприятия могут проводиться одним из нижеперечисленных методов:
а) выездные, т. е. проверка проходит по месту нахождения проверяемого.
б) документарные, письменный запрос оператора о предоставлении необходимых документов и информации. Если документы не были предоставлены, а предоставление их должно производится по закону в обязательном порядке, то это влечет за собой наложение штрафа. Если же административный штраф не был уплачен, он может быть увеличен в два раза.
в) систематическое наблюдение, производится без взаимодействия с лицом, которое проверяют, также от проверяемого лица не требуют никаких документов и информации. Государственные специалисты-инспекторы территориального Управления Роскомнадзора делают выводы о деятельности проверяемого, основываясь на его действия в отношении неопределенного круга субъектов.

Ответственность за незаконную обработку персональных данных

Оператор не должен допускать сбор, хранение, использование и распространение информации, касающейся личной и семейной жизни, тайной переписки, телеграфных, почтовых или иных сообщений, телефонных переговоров, если на то нет судебного решения или законного основания для этих действий.

Оператор не имеет права использовать персональные данные с целью причинения морального и имущественного ущерба гражданам, а также затруднения реализации их свобод и прав. Более того, оператор персональных данных не имеет права ограничивать права граждан Российской Федерации, используя при этом их персональную информацию, касающуюся национальной, расовой, религиозной, языковой или партийной принадлежностей.
Физические и юридические лица, которые в соответствии со своими полномочиями, владеют какой-либо частной информацией о гражданах, используют ее, нарушая при этом Федеральный закон «О персональных данных» несут ответственность за данное деяние согласно действующему законодательству Российской Федерации.

Те лица, которые своими действиями нарушили Федеральный закон «О персональных данных» несут гражданскую, административную, дисциплинарную, уголовную или иную ответственность, предусмотренную действующим законодательством Российской Федерации.

Кодекс об Административных Нарушениях (КоАП):

А) статья 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Данная статья влечет за собой предупреждение или же наложение административного штрафа на:
— граждан в размере от 300-500 рублей,
— должностных лиц в размере от 500-1000 рублей,
— юридических лиц в размере от 5000-10000 рублей.

Б) статья 13.12 Нарушение правил защиты информации.
Согласно этой статье административный штраф возлагается на нарушителей закона в размере от 500 до 30 тысяч рублей. Кроме того, к юридическим лицам может быть применена конфискация или административное приостановление деятельности сроком на 3 месяца.
В) статья 13.14 Разглашение информации с ограниченным доступом.
В соответствии с данной статьей возможно наложение административного штрафа на:
— граждан в размере от 4 до 5 тысяч рублей.

Г) статья 19.5 Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль).
Нарушителям этой статьи грозит административный штраф в размере от 300 рублей до 500 тысяч рублей, или же дисквалификация сроком до 3 лет.

Уголовный кодекс (УК).

Статья 137 Нарушение неприкосновенности частной жизни.
В этой статье говорится о том, что за незаконное собирание или распространение информации о частной жизни субъекта, которая является его семейной или личной тайной, без его на то согласия или же распространение такой информации посредством средств массовой информации несет за собой ответственность в виде
— штрафа размером до 200 тысяч рублей или же в размере равном заработной плате за 18 месяцев,
обязательных работ сроком до 360 часов
исправительных работ сроком до 1 года,
— принудительных работ сроком до 2 лет,
— запрета заниматься определенной деятельностью сроком до 3 лет,
— ареста сроком до 2 лет.

Трудовой кодекс (ТК).

Статья 90 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
Данная статья предусматривает наказание в виде увольнения или же возможности наказания согласно Уголовному кодексу Российской Федерации.

Требования к защите персональных данных

В соответствии со статьей 19 Федерального закона «О персональных данных» требования к защите персональной информации считаются обязательными. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

С целью достижения вышеобозначенных целей, все организации которые осуществляют обработку персональных данных, должны придерживаться следующих требований:

— выполнять требования Федерального закона за № 152 «О персональных данных», обеспечив при этом все необходимые доказательства законности сбора и обработки персональной информации,
— обеспечивать защиту от несанкционированного распространения персональных данных,
— разрабатывать нормативные локальные акты и техническую организационную документацию, для обеспечения регламентированной обработки персональных данных,
— уведомлять Управление Роскомнадзора.

Для того, чтобы выполнять эти требования нужно выполнить следующие работы:

1. Провести изучение процессов сбора и обработки персональной информации в компании. А именно, в каком месте, и каком виде они обрабатываются, в каком месте хранятся, кто отвечает за это и имеет к ним доступ, что за источник персональных данных и тому подобные вопросы. Необходимо собрать полную информацию о всех процессах, связанных с личными данными.

2. Нужно разработать пакет документов, которые относятся к процессу обработки персональных данных, а именно
А. Акт категорирования,
Б. Концепция создания системы защиты персональных данных,
В. Модель угроз,
Г. Модель нарушителя,
Д. Техническое задание на построение системы защиты персональных данных,
Е. Технический проект (пояснительную записку технического проекта) по построению системы защиты персональных данных,
Ж. Организационно распорядительная документация.

В общем, количество документов в средней организации составляет около 80 штук, в том числе журналы учета и приказы.

3. Внедрить в организации технические средства защиты, согласно разработанной документации.

4. Провести оценку соответствия или же аттестацию информационных систем.

Аттестация и оценка являются специальными установленными документами, благодаря которым организация имеет возможность подтвердить то, что она выполняет все требования действующего законодательства Российской Федерации.

Основанием для разработки утвержденных документов операторов персональных данных является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК) и Федеральная служба безопасности Российской Федерации (ФСБ), что прописано в их нормативных методических документах и приказах.

Одним из таких документов является:

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 года за № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

В данном приказе для всех организаций прописаны такие методы и способы защиты персональных данных от несанкционированного доступа как,
— реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
— ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
— разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
— регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
— учет и хранение съемных носителей информации, и их обращение, исключающее хищение, подмену и уничтожение;
— резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
— использование защищенных каналов связи;
— размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
— организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
— предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Основные методы и способы защиты данных от несанкционированного доступа в случае взаимодействия информационно-телекоммуникационных сетей международного информационного обмена и информационных систем включают:

— межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
— обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
— анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
— защита информации при ее передаче по каналам связи;
— использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
— использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы;
— фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
— периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
— активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
— анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
— использование атрибутов безопасности;
— создание канала связи, обеспечивающего защиту передаваемой информации;
— осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.

В дополнительные требования для организаций включены:

— создание канала связи, обеспечивающего защиту передаваемой информации;
— аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
— обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
— обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.

Теги: ПДн 152-ФЗ

С 01.09.2015 года вступили поправки к федеральному закону “О персональных данных" (Закон 152 ФЗ) .
Согласно закону, данные, которые клиент вводит на вашем сайте должны хранится на территории РФ.
И это еще не все. О том, кого коснется этот закон и что делать, в нашей в статье.

С 1 сентября 2015 года вступили поправки к закону “О персональных данных”.
Согласно этому закону, все данные, которые клиент вводит на вашем сайте и которые являются именно персональными данными (паспортные, адреса, в т.ч. e-mail, платежные данные и т.д.) должны храниться на территории Российской федерации.

ВОТ ВЫДЕРЖКА ИЗ ЗАКОНА 152 о защите персональных данных

“При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона» (ч. 5 ст. 18 ФЗ “О персональных данных”).”


Под термином “Оператор” стоит понимать все компании, в частности e-commerce, на сайтах которых клиенты указывают личную информацию.

Ну и это еще не все. В феврале 2017 года были внесены очередные поправки в закон о защите персональных данных. Эти поправки обязывают всех владельцев сайтов и интернет-магазинов (Операторов), оповещать пользователей о том, что при вводе личных данных на сайте, они дают свое согласие на их сбор, обработку и хранение.

Если проигнорировать эти поправки в закон, то вы рискуете получить штраф в размере до 75000 рублей за одно нарушение. А если их больше, то сумма штрафа возрастет (о нарушении законодательства РФ в области персональных данных - статья 13.11 КоАП РФ)

ЧЕМ ЕЩЕ ГРОЗИТ НЕСОБЛЮДЕНИЕ ЗАКОНА О ПЕРСОНАЛЬНЫХ ДАННЫХ?

Мы уже рассказали про немалые штрафы. Это может коснуться каждого. И не думайте, что это не про вас:) Посмотрите судебную практику и вы поймете, что это не шутки. Вот, например, нашумевшее дело Тамбовской юридической компании (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016), которую оштрафовали за нарушения в области хранения ПД. Сумма штрафа незначительная, но нужно иметь в виду, что с 1 июля 2017 года штрафы существенно выросли.

Помимо административной ответственности может быть и уголовная. Так если вы причините моральный вред пользователю, чьи персональные данные, например, попали в чужие руки.
Ну и за подобные нарушения Роскомнадзор может заблокировать сайт и внести вас в так называемый “черный список”.
И тогда будьте готовы к дополнительным проверкам со стороны Роскомнадзора.

ЧТО ДЕЛАТЬ?

  1. Первое, что нужно сделать - уведомить пользователей об обработке персональных данных . Если вы этого еще не сделали, то сейчас самое время. Разработайте и разместите на сайте документ об обработке ПД, а также заручитесь согласием пользователей на такую обработку (например, поставив чекбокс с информацией под каждой формой регистрации).
    Вообще, это можно сделать по-разному, в зависимости от ваших целей и особенностей бизнеса. Например, Озон размещает на сайте политику конфиденциальности и при регистрации пользователя берет согласие на обработку ПД. Или можно разместить информацию о сборе ПД в рамках публичной оферты, как это делает Ламода и также собирать согласие на обработку при регистрации. Или как у СберБанка, который размещает такую информацию в договоре.
  2. Подготовьте внутренние документы , регулирующие правила для исполнения данного закона. К таким можно отнести приказы, инструкции и назначения ответственных лиц за хранение персональной информации.
  3. Очень важно убедится, что данные хранятся в России (на российских серверах).
    Этого требует закон о защите информации пользователей (ч. 5 ст. 18 ФЗ “О персональных данных”).
    Поэтому уточните у своего хостинг-провайдера адрес места расположения серверов, на которых размещается ваш сайт и заключите с ним договор, где будет указан данный адрес. Этот адрес вам потребуется для заполнения уведомления в Роскомнадзор. Если у вас свой сервер, то обязательно сохраните документы на него. Их может потребовать Роскомнадзор в ходе возможной проверки. То же самое справедливо и для договора с хостинг-провайдером.

    Если ваш хостинг-провайдер размещает свои серверы в российском Дата-центре, то все хорошо.
    Это самый простой способ удовлетворить требования закона, купив хостинг у отечественного провайдера.

    Есть и другой способ, который называется трансграничная передача данных. Законом это не запрещено. Позволяется хранение ПД за рубежом, но с некоторыми оговорками. Так, компания в любом случае, помимо хранения ПД заграницей, должна иметь такую базу данных и на территории РФ. Но при этом база должна быть наиболее полной и актуальной. Схема тут такая - вся база с персональными данными собирается, систематизируется и хранится на территории РФ, а потом уже данные можно передавать за рубеж. Тут важно понимать, что первоисточник - это база на территории РФ.

  4. После этого, подготовьте и отправьте уведомление в Роскомнадзор.
    Сделать это можно через электронную форму на сайте :

    Уведомление подавать не нужно, если:


      вы обрабатываете только данные сотрудников;

      заключаете договор с конкретным лицом и указанные в договоре данные используются только для исполнения этого договора, т.е. информация не публикуется и не передается третьим лицам без согласия на то субъекта персональных данных (данный пункт является неоднозначным, так как могут возникнуть вопросы из-за специфики бизнеса. Важно грамотно составить договор, учитывая все нюансы, удовлетворяющие требованиям закона. Поэтому, рекомендуем проконсультироваться с юристом. И если однозначного ответа нет, то лучше подайте уведомление.);

      если собираемые данные включают в себя только ФИО пользователей;

      если пользователь сам сделал свои персональные данные общедоступными.

Обратите внимание , что речь идет только о случаях, когда уведомление подавать не надо. Вышеперечисленные данные все равно являются персональными и уведомлять об этом пользователя нужно обязательно.

ВМЕСТО ЗАКЛЮЧЕНИЯ

Боятся этого закона не стоит. Он же регулирует наши с вами права, как физических лиц. Каждый из нас хотя бы раз приобретал товары через интернет и оставлял свои личные данные. Теперь у нас с вами есть основания для отстаивания своих прав в законном порядке, если права наши будут нарушены.

Для владельцев сайтов самое главное все грамотно оформить. Этим вы обезопасите себя от штрафов, иной ответственности и заручитесь доверием клиентов.
Маленькая ремарка: советуем не делать под копирку, например, как у конкурентов - у каждого своя специфика. Лучше потратить время на разработку документации конкретно под ваш бизнес, чем потом платить штрафы. И если у вас все еще остались вопросы, обратитесь к помощи вашего юриста, так как данная статья не заменит специалиста , который поможет вам сделать все так как нужно и конкретно под ваши цели и задачи.

  • Поделиться:


Рубрика: Инвалидность
Поделиться