Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»
МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
РАЗЪЯСНЕНИЯ
ВОПРОСЫ,
КАСАЮЩИЕСЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ,
СОИСКАТЕЛЕЙ НА ЗАМЕЩЕНИЕ ВАКАНТНЫХ ДОЛЖНОСТЕЙ, А ТАКЖЕ ЛИЦ,
НАХОДЯЩИХСЯ В КАДРОВОМ РЕЗЕРВЕ
Обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.
Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст.
Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:
1. Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации.
К примеру, согласно п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации.
В соответствии с Правилами размещения в сети Интернет и обновления информации об образовательном учреждении, утвержденными постановлением Правительства Российской Федерации от 18.04.2012 N 343, образовательное учреждение должно размещать на своем официальном сайте в сети Интернет и обновлять в сроки, установленные Законом Российской Федерации от 10.
Соответствующие обязательства также установлены Федеральным законом от 09.02.2009 N 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», согласно которому государственные органы и органы местного самоуправления обязаны обеспечить доступ к информации о своей деятельности, в том числе к сведениям о руководителях государственного органа, его структурных подразделений, территориальных органов и представительств за рубежом (при наличии), руководителях органа местного самоуправления, его структурных подразделений, руководителях подведомственных организаций (фамилии, имена, отчества, должности, рабочие телефоны).
2. Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).
В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.
3. Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства.
4. При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
Работодатель, согласно ст. 22 Трудового кодекса Российской Федерации, обязан осуществлять обязательное социальное страхование работников в порядке, установленном федеральными законами, в частности Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации, Федеральным законом «Об основах обязательного социального страхования, Федеральным законом «Об обязательном медицинском страховании в Российской Федерации».
Таким образом, передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации осуществляется без их согласия.
Согласие работника, государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 N 490, нормативными правовыми актами в сфере транспортной безопасности).
Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников, государственных служащих в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.
Так, в соответствии со ст. ст. 17, 19 Федерального закона от 12.01.1996 N 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» для осуществления своей уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам, в том числе осуществлять контроль за соблюдением работодателями, должностными лицами законодательства о труде, по вопросам трудового договора (контракта), рабочего времени и времени отдыха, оплаты труда, гарантий и компенсаций, льгот и преимуществ, а также по другим социально-трудовым вопросам в организациях, в которых работают члены данного профсоюза, и имеют право требовать устранения выявленных нарушений.
Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
а) договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).
5. Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст.
372 Трудового кодекса РФ.
При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе, получить согласие работников на передачу их персональных данных.
Содержание согласия работника должно быть конкретным и информированным, т.е. содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных.
Согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Федерального закона «О персональных данных».
Относительно обработки персональных данных уволенных работников необходимо пояснить следующее.
Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством.
К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета.
КонсультантПлюс: примечание.
В пп. 5 п. 3 ст. 24 НК РФ ФЗ от 17.02.2021 N 6-ФЗ внесены изменения в части увеличения срока обеспечения сохранности документов до 5 лет.
Так, согласно подп. 5 п. 3 ст. 24 Налогового кодекса Российской Федерации установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога.
КонсультантПлюс: примечание.
Федеральный закон от 21.11.1996 N 129-ФЗ утратил силу с 1 января 2013 года в связи с принятием Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете». О порядке хранения документов бухгалтерского учета см. статью 29 нового закона.
Статья 17 Федерального закона от 21 ноября 1996 г. N 129-ФЗ «О бухгалтерском учете» определяет, что организации обязаны хранить бухгалтерскую документацию в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее пяти лет.
Таким образом, с учетом положений п. 2 ч. 1 ст. 6 Федерального закона «О персональных данных», согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.
По истечении сроков, определенных законодательством Российской Федерации, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом, на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Федерального закона «О персональных данных» не распространяется, и соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.
Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем.
К примеру, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т.д.
При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.
В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п.
7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.
Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.
Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.1 Трудового кодекса Российской Федерации работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами Российской Федерации.
Обязанность получения согласия также не распространяется на обработку персональных данных соискателей, подавших документы на замещение вакантных должностей государственной гражданской службы, поскольку перечень предоставляемых документов определен Федеральным законом «О государственной гражданской службе Российской Федерации» и п.
7 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденного Указом Президента Российской Федерации от 01.02.2005 N 112, а форма анкеты, предполагающая внесение персональных данных заявителя, утверждена распоряжением Правительства Российской Федерации от 26.05.2005 N 667-р.
Ведение кадрового резерва на сегодняшний день трудовым законодательством не регламентировано. В этом случае, обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения.
Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя, реализованной на сайте организации в сети Интернет.
Обязательным является условие ознакомления соискателя с условиями ведения кадрового резерва в организации, сроком хранения его персональных данных, а также порядком исключения его из кадрового резерва.
Необходимо отметить, что Федеральным законом от 27.07.2004 N 79-ФЗ «О государственной гражданской службе Российской Федерации» предусмотрено формирование кадрового резерва (федеральный кадровый резерв, кадровый резерв федерального государственного органа, кадровый резерв субъекта Российской Федерации и кадровый резерв государственного органа субъекта Российской Федерации). Таким образом, согласие на обработку персональных данных гражданских служащих, а также иных лиц, при ведении органом государственной власти кадрового резерва не требуется.
Как уведомить Роскомнадзор об обработке персональных данных: ответ эксперта — Контур.Экстерн
25 августа 2022 153 884 Вопрос
Оператор персональных данных (ОПД) должен уведомить Роскомнадзор о своем намерении обрабатывать персданные до начала их обработки (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). С 1 сентября 2022 года уведомлять не нужно только в трех случаях (Федеральный закон от 14.07.2022 № 266-ФЗ):
- оператор обрабатывает ПД без автоматизации;
- ПД включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
- обработка ПД в случаях, предусмотренных законодательством РФ о транспортной безопасности.
До начала осени 2022 года из этого правила было девять исключений. Например, не нужно было уведомлять РКН об обработке ПД сотрудников в рамках трудовых правоотношений, ПД, состоящих только из фамилии, имени, отчества, либо личной информации, необходимой для оформления разового пропуска посетителю.
Это означает, что подавляющее большинство ОПД, в том числе все работодатели, должны будут уведомить Роскомнадзор. До выполнения этой обязанности они не имеют права работать с личной информацией граждан.
Форма уведомления приведена в приложении 1 к Методическим рекомендациям Роскомнадзора (Приказ Роскомнадзора от 30.05.2017 № 94). Уведомление нужно направить одним из трех способов:
- В бумажном виде. Для этого нужно заполнить форму на сайте Роскомнадзора, а затем распечатать, подписать и направить письмом в адрес территориального отделения Роскомнадзора по месту своей регистрации.
- Через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи.
- В личном кабинете на портале Госуслуг. Для этого нужна подтвержденная учетная запись.
31 августа 2022 года Роскомнадзор сообщил на своем сайте, что предельный срок для подачи уведомления не определён. 1 сентября не является крайним сроком. Рекомендуем не откладывать подачу надолго и сделать это в ближайшее время.
Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если вы отправляли бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения территориальным отделением.
Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки
Отчитаться
Уведомление Роскомнадзора — разовая акция. Если ваша компания уже есть в реестре, подавать заявку повторно не нужно. Но вам следует проверить сведения, которые есть в Роскомнадзоре. В частности, категории ПД и категории субъектов ПД, которые вы указывали в ранее поданном уведомлении.
Если какие-то виды личной информации отсутствуют, например, из трудовых правоотношений, то нужно уведомить Роскомнадзор об изменении сведений (п. 7 ст. 22 152-ФЗ).
Информационное письмо можно направить теми же способами, что и уведомление. На это отведено 10 рабочих дней с даты возникновения изменений. В случае с 266-ФЗ сроки надо отсчитывать с 1 сентября 2022 года.
Скачать методические рекомендации по заполнению Уведомления и Информационного письма
Главное на почту — и памятка по ЕНП в подарок
Подписаться
Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компаний СКБ Контур.
Новые санкции за нелокализацию персональных данных в России
Сообщаем Вам, что 2 декабря 2019 года Президент подписал законопроект о внесении изменений в КоАП РФ («Закон «). В частности, Закон устанавливает новые административные штрафы за несоблюдение так называемого требования локализации.
Сумма соответствующих штрафов может достигать 18 000 000 рублей (приблизительно 255 000 евро, 282 000 долларов США). Это чрезвычайно высокий показатель по сравнению с другими штрафами в соответствии с российским законодательством о защите данных.
В соответствии с Законом вступает в силу с момента его официального опубликования, которое также состоялось 2 декабря 2019 года. Он подразумевает, что определенные операции с персональными данными российских граждан должны производиться в базах данных, расположенных на территории России. Компании, работающие в России, приложили большие усилия, чтобы выполнить это новое требование. При этом блокировка веб-сайта или приложения оставалась единственной прямой мерой пресечения в отношении тех, кто не выполнил требование по локализации. Самый известный пример — LinkedIn, который до сих пор недоступен для пользователей в России.
Роскомнадзор (российский орган по защите информации) нашел некоторые обходные пути, позволяющие обойти этот пробел в законодательстве и наложить определенные штрафы де-факто по причинам локализации данных.
В частности, запрашивалась информация о местонахождении базы данных или предписывалось устранить выявленное нарушение требования локализации (например, дела Facebook и Twitter). Невыполнение таких распоряжений является основанием для наложения административных штрафов на соответствующих контролеров данных. Однако их количество было слишком низким для обеспечения эффективного правоприменения.
Роскомнадзор такое положение дел не устроило и настаивало на введении новых механизмов принуждения.
Новые штрафы
Согласно Закону, штраф, налагаемый на компании, может составлять до 6 000 000 рублей (примерно 85 000 евро, 94 200 долларов США) за первое нарушение локализации и до 18 000 000 рублей (примерно 255 000 евро, 282 000 долларов США). ) за последующее правонарушение.
Столь высокие штрафы могут существенно повлиять на ситуацию с конфиденциальностью в России. Если раньше риски для компаний, обрабатывающих персональные данные граждан России, в случаях несоблюдения требования по локализации были весьма отдаленными, то теперь они могут стать важнейшим вопросом с точки зрения защиты данных.
Локализация данных в соответствии с российским законодательством по-прежнему остается сложной задачей, требующей больших затрат (особенно для компаний, работающих с данными), но теперь она может стать «обязательным» мероприятием для тех компаний, которые планируют развивать свой бизнес на российском рынке.
Мы надеемся, что информация, представленная здесь, будет вам полезна. Если вы или кто-либо из ваших коллег хотели бы получать наши информационные бюллетени по электронной почте, пожалуйста, заполните форму «Подписаться» внизу страницы.
Практики: Защита данных и кибербезопасность
Примечание: Обратите внимание, что вся информация, представленная в этом письме, была взята из открытых источников. Ни Юридическая фирма АЛРУД, ни автор настоящего письма не несут никакой ответственности за последствия любых решений, принятых на основании данной информации.
Мы надеемся, что представленная здесь информация будет для вас полезной.
Если кто-либо из ваших коллег также хотел бы получать наши информационные бюллетени, отправьте им ссылку для заполнения Форма подписки .
Узнайте больше о нашей практике:
Защита данных и кибербезопасность
Примечание: Обратите внимание, что вся информация, представленная в этом письме, была взята из открытых источников. Ни Юридическая фирма АЛРУД, ни автор настоящего письма не несут никакой ответственности за последствия любых решений, принятых на основании данной информации.
Если у вас есть какие-либо вопросы, пожалуйста, не стесняйтесь обращаться к нам.
С уважением,
Юридическая компания АЛРУД
ул. Скаковая, д. 17, корп. Россия, 125040 9, Москва, 6 эт., д. 20049 Т: +7 495 234 96 92, Т: +7 495 926 16 48, info@alrud.
com
www.alrud.com
Россия использует свои законы о данных в качестве оружия против иностранных организаций
Вид на вывеску у входа российскому отделению Еврейского агентства для Израиля в Москве, 21 июля 2022 г. (REUTERS/Evgenia Novozhenina)В конце июля российское правительство, похоже, повернуло свои законы о локализации данных против маловероятной цели: Еврейского агентства для Израиля. . Обеспокоенные тем, что некоммерческая организация с многолетней историей, которая помогает евреям эмигрировать в Израиль со всего мира, ускоряет утечку мозгов образованных специалистов из России после катастрофического вторжения в Украину, российские власти обвинили группу в нарушении законов о неприкосновенности частной жизни. хранения данных о гражданах России.
Действие против Еврейского агентства для Израиля является последним примером того, как Кремль использует законы, регулирующие онлайн-жизнь в России, для закрепления власти в автономном режиме, и его развертывание против группы, которая практически не использует технологии, показывает, как эти законы используются в качестве оружия против группы рассматривались как угроза правящему режиму.
Вряд ли это новое явление, но его растущая частота подчеркивает, что использование Москвой онлайн-законов для сдерживания гражданского общества не показывает никаких признаков ослабления и, во всяком случае, становится все более творческим.
Во время своей президентской кампании 2000 года Владимир Путин печально известен своим видением России как «диктатуры закона». Фактически Путин имел в виду консолидацию власти и использование правовой системы для наказания противников режима с помощью написанных законов и сфабрикованных обвинений — желание, которое оправдалось с момента его прихода к власти. Российское правительство подошло к контролю над Интернетом во многом таким же образом, уклоняясь от пекинской модели технической фильтрации и слежки в пользу строго законнического подхода, который делает упор на принуждение в автономном режиме. Чтобы было ясно, Кремль продолжает использовать систему интернет-наблюдения СОРМ-3, усилил давление на компании по установке технологии фильтрации с глубокой проверкой пакетов (DPI) и с февраля заблокировал многие веб-сайты, даже если ее возможности не так изощренные, как у китайского правительства.
В отсутствие такого же изощренного режима Москва в значительной степени полагается на запутанные и непоследовательно применяемые законы о свободе слова, угрозы ареста, преследование служб безопасности (в том числе сотрудников иностранных технологических компаний), жестокость полиции, откровенный бандитизм и другие формы страха и запугивания. Российско-американская журналистка Маша Гессен заметила, что подавление и формирование информации Кремлем нельзя понять чисто технологически; его также следует понимать как часть «экономики террора».
Использование российским правительством законов о данных связано с этим юридическим подходом к киберпространству (или «информационному пространству», как его называет Москва). В июле 2012 года вступил в силу Федеральный закон № 139-ФЗ, дающий государству возможность помещать веб-сайты в черный список и принуждать российских интернет-провайдеров блокировать доступ — одна из нескольких инициатив по усилению контроля, которые Роскомнадзор, российский интернет и регулятор СМИ, имеет более информации в Интернете.
В декабре 2013 г. в России принят Федеральный закон № 39№ 8-ФЗ, который позволяет властям в течение суток и без решения суда блокировать интернет-источники, распространяющие призывы к массовым беспорядкам, участию в несанкционированных массовых мероприятиях и «экстремистской» деятельности. В 2014 году Россия приняла закон о локализации данных (обязывающий любого, у кого есть данные о россиянах, хранить копию в России), в 2016 году закон о хранимых сообщениях (обязывающий операторов связи хранить сообщения пользователей в течение 30 дней), суверенный закон об Интернете в 2019 году отечественный интернет, изолированный от глобального) и так далее.
Российский закон о локализации данных от 2014 года требует, чтобы все российские и иностранные компании, располагающие персональными данными российских граждан, хранили эту информацию в России. Говоря языком локализации данных, это требование «зеркалирования», при котором основная копия информации должна храниться в России, а другие копии могут существовать за пределами России.
Это отличается от более строгой версии локализации, часто называемой «жесткой локализацией», которая требует, чтобы одна и единственная копия части информации хранилась внутри страны. Российские предприятия знают, что они должны подчиняться; на самом деле, например, часть облачной презентации российской технологической компании «Яндекс» заключается в том, что она может помочь компаниям соблюдать закон о локализации. Однако многие иностранные компании, такие как Twitter, Google и Facebook, долгое время просто игнорировали требования к локализации и время от времени платили относительно небольшие штрафы (иногда всего лишь десятки тысяч долларов США, капля в море их прибыли), потому что правоприменение не было главным приоритетом Кремля.
Десятки стран ввели ограничения на локализацию с тех пор, как Россия установила для этого свой режим. Некоторые копировали или повторяли зеркальный подход России, а другие предпочли более строгие законы. Модель китайского правительства, например, гораздо более детализирована, чем российская, и включает многочисленные ограничения на передачу исходящих данных.
Правительства использовали эти меры, чтобы увеличить охват внутренней слежки, как, например, когда ФСБ сообщила российским интернет-компаниям в 2019 году.установить оборудование, позволяющее сотрудникам спецслужб в любое время получать доступ к данным россиян. Они также сделали это, чтобы принудить иностранные компании. Предложения по локализации данных в Индии, например, предлагают еще один рычаг, с помощью которого правительство может оказать давление на Facebook, Twitter и другие компании социальных сетей, чтобы они выполнили требования об удалении (или восстановлении) контента.
Власти в России часто используют эти интернет-законы в инструментальных целях, как средство для достижения цели. Принятие сбивающих с толку законов о высказываниях, подобных законам с расплывчатыми формулировками, криминализирующим публикацию «фейковых новостей» в Интернете, позволяет государству запугивать граждан, не уверенных в том, что они могут сказать, и наказывать тех, кто говорит то, что не нравится правительству.
Закон об «иностранных агентах», подписанный Путиным в июле и вступающий в силу в декабре, расширит определение иностранных агентов, включив в него всех, «находящихся под иностранным влиянием», а определение политической деятельности будет включать любые действия, которые «противоречат национальных интересов Российской Федерации». Москва использовала этот статус иностранного агента для рейдов в офисы СМИ, возбуждения уголовных дел в отношении журналистов и иного оружия правовой системы против новостных веб-сайтов, что позволяет Кремлю абсурдно заклеймить независимую журналистику как иностранное вмешательство.
Законы о данных — еще один способ, которым Кремль использует российскую правовую систему в качестве оружия против своих предполагаемых врагов. Хотя точный характер предполагаемого нарушения еврейским агентством Израиля российского законодательства неясен, он, вероятно, относится к требованиям локализации данных, которые требуют, чтобы информация о россиянах хранилась в России.
Требования к локализации данных имеют непосредственную цель: хранить данные о россиянах в России, чтобы правоохранительным органам было легче получить к ним доступ. Но они также используются инструменталистами. Московские суды годами штрафовали такие компании, как Twitter, Google и Facebook, за отказ локализовать свои данные о россиянах. Исторически эти штрафы были низкими, но поскольку технологические компании выступили против войны в Украине, штрафы резко выросли. Поскольку Google отказался выполнять требования по локализации данных и ограничил доступ к российским государственным СМИ после вторжения, российские власти в июле наложили на компанию штраф в размере 345 миллионов долларов послеШтраф в размере 8 миллионов долларов в декабре — по сравнению со штрафом всего в 7530 долларов в 2018 году. Использование закона о данных в качестве юридического оправдания изгнания Еврейского агентства для Израиля не является аномальным — это неотъемлемая часть того, почему Кремль вводит эти правила в первую очередь.
место.
Законы — лишь один из инструментов в наборе инструментов Москвы, а что касается интернета, то эти инструменты являются ключевой частью построения российской правительственной модели онлайн-контроля. Фонд Викимедиа, например, калифорнийская некоммерческая организация, владеющая Википедией, постоянно подвергается атакам Кремля, особенно с тех пор, как режим Путина начал свою незаконную войну в Украине. Несколько редакторов подверглись доксированию (их информация просочилась в сеть) — тактика запугивания, которая также может подвергнуть их насилию. В марте белорусские спецслужбы арестовали редактора Википедии, который работал над статьями о вторжении России в Украину. Российское правительство также указало на свой закон о местных офисах для зарубежных технологических компаний — инструмент вопиющего принуждения, который уже использовался для угроз сотрудникам расправой и арестом, — чтобы попытаться заставить Фонд Викимедиа отправить людей на землю в России, где российский службы безопасности могут добраться до них.
Иностранным организациям всех мастей в России следует обратить внимание на эти законы. Российское правительство использует все доступные средства, чтобы укрепить власть внутри страны, подавить инакомыслие и контролировать информационное пространство посредством блокировки, изгнания и принуждения технологических фирм. Тем не менее продолжающийся эпизод с Еврейским агентством для Израиля подчеркивает, что не только технологические компании могут стать мишенью российских законов о данных, и эти организации должны обратить на это внимание. На данный момент, как сообщается, израильское правительство ведет переговоры с российскими коллегами о сохранении присутствия организации в России, хотя будущее группы неясно.
Российское правительство без колебаний использует правовую систему против противников или даже тех, кто ее раздражает, независимо от сомнительности требований или очевидного характера принуждения. Любая группа, оценивающая свои юридические и операционные риски в отношении России, должна также оценить свою подверженность таким юридическим аргументам, как те, которые относятся к локализации данных.
Растущее число правовых ограничений в России на высказывания в Интернете, хранение данных и онлайн-общение, среди прочего, увеличивает вероятность того, что иностранные организации, от веб-сайтов СМИ до НПО, могут оказаться под перекрестным прицелом российского законодательства в отношении Интернета, данных и технологий. широко.
Со своей стороны, американские политики должны рассматривать обращение с Еврейским агентством для Израиля как важный пример в мире технических ограничений. Для политиков слишком легко увидеть технологическую проблему и свести ее к технологии, то есть провести техноцентрический анализ, который исключает социальные, политические, офлайновые и другие факторы. Например, многие обсуждения политики локализации данных сосредоточены на цифровых аспектах, таких как кибербезопасность рассматриваемой информации и меры технического соответствия, которые компании должны будут выполнять в своей инфраструктуре данных. Однако локализация данных может иметь множество других последствий, в том числе расширение доступа государства к информации о диссидентах, использование в качестве средства экономического принуждения иностранных компаний и использование в качестве средства политического принуждения организаций, которые не следуют линии режима.
Все это мотивы для локализации данных и других законов, ограничивающих данные. В случае с Россией и техноцентрическим анализом в целом новости о блокировке веб-сайтов в начале этого года вызвали многочисленные заголовки и политические дискуссии о «Великом российском брандмауэре» (как в случае с Великим брандмауэром Китая) — разговор в Вашингтоне, который несколько затушевывал физически принудительные аспекты российского интернета и информационного контроля. С другой стороны, американские политики лучше справились с освобождением интернет-сервисов от санкций против России (несмотря на то, что некоторые компании все равно вышли из него), поскольку они сами смотрели за технологические сложности и взвешивали важность попыток предоставить открытую информацию российской стороне. люди.
Как показывает случай с Россией, если политики забудут об этих принудительных аспектах интернет-регулирования, они полностью упустят ключевой фактор поведения иностранных правительств.
