Персональные данные фз: Статья 3. Основные понятия, используемые в настоящем Федеральном законе \ КонсультантПлюс

Разное 

Содержание

Выполнение требований 242-ФЗ по локализации баз персональных данных

Изменения с 1 сентября 2015 года

1 сентября 2015 года вступил в силу Федеральный закон №242-ФЗ, предусматривающий локализацию баз персональных данных в России. Согласно тексту закона хранение и обработка персональных данных граждан РФ должна осуществляться на территории РФ. Это означает, что оператор, осуществляющий обработку таких данных на территории другой страны обязан перенести их в базы данных, которые расположены на территории нашей страны. Закон не делает каких-либо исключений по типам операторов, поэтому любой оператор персональных данных подпадает под его действие. Кроме того, иностранные юридические лица, оказывающие услуги через интернет гражданам России, также обязаны выполнять закон.

Кто уже заявил о переносе

Часть международных компаний уже согласилась перенести информационные системы в Россию. Среди них Google, Apple, Samsung, Aliexpress, …

Ответственность за невыполнение требований

За невыполнение требований закона предусмотрена административная ответственность. В случае наступления такой ответственности оператор и ответственные лица могут понести финансовые и репутационные потери. Ресурс-нарушитель может быть заблокирован.

Способы выполнения

В настоящий момент накоплено несколько практических способов выполнения 242-ФЗ.

Перенос системы в Россию

Сложный и ресурсоёмкий метод, который полностью исключит риски, связанные с несоответствием законодательству. Данное решение заключается в том, что оператор переносит весь процесс обработки и хранение ПДн на территорию РФ.

Что необходимо:
  • Организовать хостинг
  • Создать информационную систему
  • Найти персонал для эксплуатации
  • Реализовать требования 152-ФЗ
  • Уведомить Роскомнадзор о месте расположения базы персональных данных

Другие способы

Создание системы сбора

Первичный сбор персональных данных в отдельную систему и трансграничная передача для последующей обработки.

Что необходимо:
  • Определить архитектуру системы сбора персональных данных (возможно реализация в виде Excel таблицы)
  • Реализовать информационную систему
  • Обеспечить интеграцию с основной информационной системой
  • Легализовать трансграничную передачу (передачу другому иностранному лицу вне России) — обеспечить согласие/уведомление субъекта, определить правовые основания обмена информацией при трансграничной передаче
  • Реализовать требования 152-ФЗ

Обезличивание

Сокращение набора собираемых сведений, которые нельзя будет признать персональными.

Что необходимо:
  • Определить состав обрабатываемых сведений
  • Удостовериться, что обрабатываемая информация не является персональными данными

Отказ от статуса оператора в России

Сугубо юридическое решение, при котором оператор, чей основной бизнес и юридическое лицо находится на территории другой страны, отказывается от своего статуса на территории РФ и продолжает собирать персональные данные находясь в правовом поле своего государства

Что необходимо:
  • Удостовериться, что деятельность оператора не направлена на Россию

Отказ от автоматизации

Для некоторых операторов это тоже может являться хорошим решением. Например небольшие объемы информации и редкие операции с ними позволяют перенести это информацию на бумагу, систематизировать ее хранение и регламентировать взаимодействия с ней в отдельной документации.

Что необходимо:
  • Исключить автоматизацию деятельности

Ничего не делать

Решение «оставить все как есть» вполне возможно, если верно и точно оценить риски и вероятности.

Что необходимо:
  • Оценить риски и стратегию защиты
  • Проработать план на случай блокировки ресурса

Создание реплики базы персональных данных в России

Создание реплики не позволяет выполнить каким-либо образом требования закона, и поэтому такую стратегию не стоит рассматривать.

Лента сообщений в удобном формате:

Хранение и обработка персональных данных – публикации экспертов Группы «ДЕЛОВОЙ ПРОФИЛЬ» (MGI)

Федеральный закон №152-ФЗ от 27.07.2006 «О персональных данных» (с изменениями, внесенными Федеральным законом №242-ФЗ от 22.07.2014)

Ч.5 ст.18 — При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

ч.1 ст.6 ФЗ №152 — Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

п.2 — обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

п.3 — обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

п.4 — обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

п. 8 — обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

ВЫВОД ИЗ ЗАКОНА: если обработка персональных данных (в т.ч. сбор) осуществляется не в указанных выше целях, предусмотренных ч.1 ст.6 ФЗ №152, то на нее распространяется требование ч.5 ст.18 указанного ФЗ о нахождении баз данных с соответствующими персональными данными на территории РФ.

 

В отношении указанного вопроса существует ряд позиций государственных органов, которые противоречат друг другу:

Позиция Государственно-правового управления Президента РФ.

«Запрещено все, что прямо не разрешено законом», а именно:

  • Базы данных должны находиться только в РФ.

  • Дублирующие базы данных (имеются ввиду расположенные за рубежом) или актуальные копии данных в ФЗ №242 не упомянуты => запрещены.

  • Запреты из ФЗ №242 распространяются в т.ч. и на персональные данные, ранее находящиеся за пределами РФ (т.е. до вступления в силу ФЗ №242). 

Позиция Роскомнадзора

  • Формирование и актуализация баз данных с персональными данными российских граждан должны осуществляться на территории РФ. Требования Закона № 242-ФЗ не позволяют осуществлять отдельные процедуры, в том числе «хранение персональных данных» в базах данных на территории иностранного государства.

  • Каждый случай, в котором при сборе персональных данных будет осуществляться одновременное хранение баз данных на территории РФ и иностранного государства, будет являться нарушением Закона № 242-ФЗ, поскольку оператор при сборе персональных данных допустит их хранение в базах данных за пределами РФ. После сбора персональных данных, т.е. после формирования баз данных на территории РФ, недопустимо изменение условий ее хранения путем переноса баз данных на территорию иностранного государства.

  • Нормы Закона № 152-ФЗ не применяются за пределами территории РФ. Зарубежная обработка персональных данных регулируется нормативными правовыми актами тех стран, в которых она осуществляется.

ВАЖНО: Роскомнадзор не упоминает о наличии обратной силы Закона №242, однако, вследствие схожести позиций с ГПУ Президента РФ, можно предположить, что требования распространяются в т.ч. на базы данных за рубежом, существовавшие до вступления Закона в силу.

Кроме того, разъяснения Роскомнадзора не являются официальными разъяснениями.

Позиция Минкомсвязи

«Разрешено все, что не запрещено законом», а именно:

  • Субъект персональных данных имеет право дать согласие на обработку своих персональных данных и предоставить их любому юридическому или физическому лицу, находящемуся как на территории РФ, так и за ее пределами.

  • Информационная система персональных данных может обладать географически распределенной структурой. Часть ее элементов может находиться за пределами РФ.

  • Применение дублирующих баз данных, находящихся на территории РФ или за ее пределами, прямо не запрещено действующим законодательством РФ.

  • Закон № 242-ФЗ обратной силы не имеет. Следовательно, его положения не распространяются на правоотношения с иностранными лицами, ведущими базы данных с персональными данными, оформленные до 1 сентября 2015 г.

  • Обработка персональных данных для целей, не предусмотренных международным договором РФ или законом, может быть осуществлена оператором в рамках исполнения требований, предусмотренных ч. 5 ст. 18 Закона № 152-ФЗ, путем размещения в центрах обработки данных на территории РФ БД, содержащей персональные данные граждан РФ, большего размера или аналогичного объему персональных данных, передаваемому на территорию иностранного государства.

В данном контексте следует указать действия, которые могут быть совершены лицом, обладающим персональными данными:

  1. Перенос баз данных целиком на территорию РФ. Риск – минимальный, поскольку выполняется наиболее жесткое требование.

  2. Обезличивание персональных данных, передаваемых в зарубежные базы данных. Риск – высокий, поскольку требование об отсутствии зарубежных баз данных (поддерживаемое рядом государственных органов) не выполняется.

  3. Отказ от обработки персональных данных с помощью резидента РФ.  Сбор, систематизация и хранение персональных данных осуществляется с помощью организации за пределами РФ. Такая компания не подпадает под российскую юрисдикцию. Риск – средний. С одной стороны указанный способ соответствует позициям Роскомнадзора и Минкомсвязи, с другой стороны могут возникнуть сложности в части обоснования передачи персональных данных зарубежным операторам (в том числе от самих субъектов персональных данных).

  4. Промежуточная база данных в РФ. Данный способ подразумевает создание на территории РФ промежуточной информационной системы или базы данных с целью хранения, уточнения, удаления собираемых в России персональных данных и их последующей передачи для обработки другому оператору, в том числе за границу. Процессы в зарубежных системах, связанные с последующей обработкой персональных данных, сохраняются неизменными или адаптируются для автоматического использования данных из России.

    Риск – низкий.

Уведомление в Роскомнадзор

Ч.2 ст. 22 ФЗ №152

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10. 1 настоящего Федерального закона;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

ВЫВОД: в указанной ситуации, если есть соответствие по указанным пунктам, уведомление в Роскомнадзор подавать не нужно. В остальных случаях уведомление подается в установленном порядке.

Источник: Пресс-центр Группы «ДЕЛОВОЙ ПРОФИЛЬ», ФСС «Финансовый директор»

Обзор основных изменений в Федеральный закон «О персональных данных»

13 июля 2022 г.

Никита Айрапетов

Ассоциированный

6 июня 2022 года Государственная Дума в третьем чтении приняла Федеральный закон «О внесении изменений в Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации «О персональных данных» и иные законодательные акты Российской Федерации и о признании утратившим силу части четырнадцатой статьи 30 Федерального закона «О банках и банковских операциях», которая касается, в том числе, вопросов, связанных с обработкой персональных данных.

Ключевые изменения, вносимые Федеральным законом:

  • Введение экстерриториальности применения законодательства Российской Федерации о персональных данных 1 .
  • Установление прямого запрета на обработку персональных данных в связи с бездействием лица 2 , а именно: договор, который может выступать основанием для обработки персональных данных, не может быть заключен в связи с бездействием лица отказать в заключении такого договора. При этом такой договор не может содержать положений, ограничивающих права и свободы субъектов персональных данных.
  • Изменены требования к агентскому договору. Отныне лицо, осуществляющее обработку персональных данных по поручению оператора, должно подтвердить выполнение всех требований к обработке персональных данных, которые оператор обязан выполнять (ст. ст. 18, 18.1 и 19 ФЗ) 3 .
  • Повышена ответственность посторонних лиц. Отныне, если делегированная обработка осуществляется посторонним лицом, то оно несет ответственность перед субъектом за допущение нарушения на том же уровне, что и оператор 4 . Такое изменение ответственности субъектов для российских переработчиков не предусмотрено.
  • Изменены требования к соглашению об обработке данных. Такой документ должен быть не только конкретным, информативным, но и тематическим и однозначным.
  • Внесены изменения в требования по предоставлению биометрических данных. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных законом 5 .
  • Процесс трансграничной передачи данных изменен и получает дополнительные ограничения. Уточняется, что при трансграничной передаче данных определяющим фактором является местонахождение получателя данных на территории иностранного государства. Федеральный закон вводит обязанность операторов информировать компетентные органы о намерении трансграничной передачи персональных данных. В исключительных случаях при наличии угрозы защите прав и законных интересов граждан, защите конституционного строя или обеспечению национальной безопасности такая передача может быть ограничена по решению компетентного органа 6 .
  • Введено новое обязательство для операторов трансграничной передачи данных. Операторы, осуществившие трансграничную передачу данных до вступления в силу изменений и продолжающие осуществлять такую ​​передачу после вступления в силу Федерального закона, обязаны направить в компетентный орган уведомление о проведении трансграничной передачи данных. в защиту прав субъектов персональных данных не позднее 1 марта 2023 года.
  • Изменен крайний срок ответа на запрос субъекта. Срок ответа на вопросы об обработке персональных данных сокращен с 30 дней до 10 дней, но может быть продлен на 5 дней при наличии достаточных оснований.
    • Федеральным законом №
  • вводится обязанность операторов незамедлительно информировать компетентные органы об инцидентах с принадлежащими им базами персональных данных, а также обязанность обеспечивать постоянное взаимодействие с аккредитованными государственными центрами системы обнаружения, предотвращения и ликвидации последствий кибератак Российской Федерации. .

Примечательно, что положения Федерального закона вступают в силу с 1 сентября 2022 года, за исключением следующих положений, которые вводятся в действие с 1 марта 2023 года:

  • О трансграничной передаче персональных данных.
  • Об обязанности операторов информировать компетентные органы о намерении трансграничной передачи персональных данных.
  • Об обязанности операторов незамедлительно информировать компетентные органы об инцидентах с принадлежащими им базами персональных данных.

1 сек. 1 1 арт. 1 ФЗ «О персональных данных» ( Далее – «ФЗ» )
2 пункт. 5 сек. 1 ст. 6 ФЗ
3 сек. 3 ст. 6 ФЗ
4 сек. 6 ст. 6 ФЗ
5 сек. 3 ст. 11 ФЗ
6 арт. 12 ФЗ

Россия | wilmap

Россия

Европа

28384

Исследуйте записи

Авторы

Перейти к профилю

Вкладов: 0

Перейти в профиль

Вкладов: 14

Перейти в профиль

Вкладов: 06

Новости

22 марта 2022 г.

22 марта 2022 г. российские законодатели внесли поправки в законы о «фейковых новостях», предусматривающие штрафы и тюремное заключение. Закон, подписанный президентом России Владимиром Путиным 4 марта, предусматривает уголовную ответственность за определенные виды освещения новостей о вторжении в Украину и может привести к изгнанию из страны большего числа социальных сетей. С п…

21 февраля 2021 г.

В течение многих лет российское правительство создавало технологическую и правовую инфраструктуру для ограничения свободы слова в Интернете, что приводило к частым предсказаниям, что страна может двигаться к интернет-цензуре, похожей на великий китайский брандмауэр. . Но несмотря на целый…

5 февраля 2021 г.

Российские власти усиливают давление на социальные сети, вынуждая их подвергать цензуре онлайн-контент, который правительство считает незаконным, по данным Хьюман Райтс Вотч. Платформы социальных сетей получили предупреждения, им грозят штрафы и потенциальная блокировка за несоблюдение российского. ..

9 июня 2019 г.

Высокопоставленный российский чиновник заявил, что правительство сделает все возможное, чтобы защитить интернет-гиганта «Яндекс», на которого, как сообщается, службы безопасности оказывают давление с целью передать свои ключи шифрования. Из The Moscow Times.

26 ноября 2018 г.

26 ноября федеральная цензура СМИ России объявила о привлечении к административной ответственности ООО «Гугл» за несоблюдение закона, согласно которому поисковые системы обязаны удалять любые гиперссылки на материалы, запрещенные в России. Из Медузы.

23 апреля 2018 г.

«Россия начала блокировать некоторые сервисы Google (GOOGL), обвинив поисковую компанию в том, что она помогает Telegram обойти запрет на ее службу зашифрованных сообщений. Google не выполнил запрос на предотвращение…

18 апреля 2018 г.

В интервью, опубликованном 18 апреля 2018 г., глава российского регулятора связи Роскомнадзор заявил, что Facebook может быть заблокирован, если платформа не продемонстрирует соответствие российским требованиям по локализации данных.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *