Не далее, как 1-го сентября Роскомнадзор опубликовал итоги реализации федерального закона о локализации баз персональных данных российских граждан на территории России. Полная версия статьи находится по адресу: https://rkn.gov.ru/news/rsoc/news49466.htm

С момента реализации Федерального закона №242-ФЗ сотрудниками Роскомнадзора проведено 2256 плановых проверок, 192 внеплановые проверки и более 3000 мероприятий систематического наблюдения, по итогам которых выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа выявленных нарушений.

Инфографика из статьи, так же представленная Роскомнадзором:

Итак, о чем пойдет речь? Да, про пресловутый ФЗ №242. Попытаемся ответить на наиболее типичные вопросы, и попытаемся ответить на вопрос: "А что делать, чтоб не попасть в эти проценты?"

Для тех, кто не в курсе - под катом краткий FAQ.

C 1 сентября 2015 года в Российской Федерации начало действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

242-м законом были внесены, в том числе, и изменения по интересующим нас вопросам. ФЗ №242 в статье 1 дополнил Федеральный закон от 27 июля 2006 г. №149 «Об информации, информационных технологиях и о защите информации» новой статьёй 15.5 «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных».

В соответствии с частью 1 статьи 1 была создана автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных», целью которой является ограничение доступа к информации в «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных. Основанием для внесения в "Реестр нарушителей" доменного имени, URL-адреса интернет-страницы, законодателем установлено вступившее в законную силу решение суда о признании деятельности по распространению информации, содержащей персональные данные, нарушающей требования ФЗ №152, а также права субъекта персональных данных на неприкосновенность частной жизни, личную и семейную тайну.

Как мы знаем, вся эта система уже работает. Как пример, приведем одно из множества подобных судебных решений.

Решением Симоновского районного суда г. Москвы от 02.06.2016 по делу № 2-5818/16 деятельность Интернет-ресурса http://zvonki.octo.net, предоставлявшего доступ неограниченного круга лиц к персональным данным граждан в объеме: ФИО, телефон, адрес, паспортные данные, без соответствующего согласия, признана незаконной. Также суд обязал Роскомнадзор принять меры по ограничению доступа к информации в сети Интернет, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, путем внесения указанного сайта в Реестр нарушителей.

Той же статьей, частью 3, Роскомнадзор определен в качестве органа, уполномоченного на создание, формирование и ведение Реестра нарушителей.

Статистика ведения "Реестра нарушителей" показывает, что 50% владельцев сайтов, включенных в "Реестр нарушителей", в добровольном порядке устраняют нарушения законодательства Российской Федерации в области персональных данных.

Второй же статьей вносятся изменения в две статьи (ст. 18, 22) главы 4 «Обязанности оператора» и одну статью (ст. 23) главы 5 «Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего федерального закона» (ФЗ № 152).

Так же, частью 1 второй статьи законодателем внесены изменения в статью 18 «Обязанности оператора при сборе персональных данных» ФЗ № 152, согласно которым для оператора устанавливается обязанность осуществлять при сборе персональных данных определенные виды обработки персональных данных в базах данных, которые находятся на территории России. Определенные виды обработки это: запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации. Т.е. фактически любые действия с ПД, оператор обязан осуществлять с использованием баз данных, находящихся на территории Российской Федерации.

Кого касается данная мера?

Ответим комментарием Минкомсвязи: "… обязанности по локализации отдельных процессов обработки персональных данных распространяются на иностранных операторов при условии осуществления ими направленной деятельности на территорию Российской Федерации и отсутствии исключений, прямо указанных в ч. 5 ст. 18 ФЗ «О персональных данных» (например, международного договора, для достижения целей которого осуществляется обработка)."
Да, в общем всех, кто работает с нашими согражданами, т.е. и наших и ваших.

А что же делать, если мы данные уже собрали и храним за рубежом?

Можете их там и хранить, но если у вас появится необходимость поработать с этими данными, то базу вместе с результатами обработки придется уже разместить в России. Так это сейчас трактуется.

Что если данные физически хранятся в России, но обработка осуществляется за рубежом?

Закон, с определенными оговорками, это позволяет (трансграничная передача и все такое). Но, главное при этом помнить, что результаты этой обработки так же должны сначала попасть в базу на нашей территории. Т.е., грубо говоря, база на нашей территории всегда должна быть "полнее, выше, сильнее"!

А как определят, что иностранный сайт работает с Россией?

На данном этапе определяют работу с Россией так:

1) использование делегированного доменного имени, связанного с Российской Федерацией (.ru,.рф., .su) и/или
2) наличие русскоязычной версии Интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков, не должно приниматься во внимание);
3) возможности исполнения заключенного на таком Интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России).

А вообще пока этот вопрос прорабатывается и ждите следующих версий! Как это похоже на наших законотворцев!)

Мы уже подавали уведомление в Роскомнадзор как оператор ПД, нам нужно что-то еще сделать?

Давно пора!

… Операторы, сведения о которых уже внесены в Реестр операторов, в соответствии с частью 7 статьи 22 Федерального закона № 152-ФЗ должны направить Информационное письмо о внесении изменений в сведения об Операторе в Реестре операторов с указанием сведений о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации…

Так что же делать?

Если у вас базы хранятся в России, то в первую очередь, подать уведомление в Роскомнадзор и внести в дополнительные поля адреса нахождения этих баз. Только будьте внимательны. Множество ошибок из-за того, что наименование страны вводят, а подробный адрес забывают.

«Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных»: https://rkn.gov.ru/personal-data/forms/p333/

Если же базы пока зарубежом, то пора как минимум задуматься об их локализации, например, в облаке . Многие гиганты индустрии (Microsoft, Samsung, Lenovo, Aliexpress, Ebay, PayPal, Uber, Booking.com), как мы знаем из СМИ, это уже давно сделали. Не думаю, что пользователям приятно видеть эту надпись при доступе к любимому сайту.

Однако, не все зарубежные компании торопятся с этим. Ранее глава Роскомнадзора Александр Жаров сообщил журналистам, что Facebook прекратит работу в России по аналогии с социальной сетью Linkedin, если не исполнит закон о персональных данных, это может произойти в 2018 году. Позднее представитель ведомства Вадим Ампелонский добавил, что в 2017 году никаких контрольных мероприятий в отношении деятельности Facebook в России не запланировано.

«Facebook располагает в России значительной аудиторией, но при этом не является уникальным ресурсом. Роскомнадзор учитывает это при взаимодействии с компанией, оставляя приоритетом собственной деятельности неукоснительное соблюдение российского законодательства всеми без исключения участниками рынка» - отметил он в общении с ТАСС.

Также стоит помнить, что если персональные данные передаются за границу под конкретную задачу, то принимающая данные сторона (если она не находится в стране-участнице Конвенции Совета Европы №108 о защите персональных данных, принятой большинством европейских стран, включая Россию, и в частности, не ратифицированной со стороны США) должна предоставить письменное подтверждение, которое гарантирует безопасность и корректное использование получаемой информации. Причем в соответствии с комментарием директора правового департамента Минкомсвязи Романа Кузнецова, условия подтверждения безопасности полностью совпадают с условиями Конвенции.

Добавить метки

В России действует отдельный закон, в соответствии с которым различные организации и физлица должны осуществлять операции с персональными данными — ФЗ № 152. В соответствующий правовой акт периодически законодатель вносит изменения. В частности, 1 сентября 2015 года в силу вступили нормы ФЗ № 242, после издания которого в ФЗ № 152 появился ряд принципиально новых норм. В чем они заключаются? Кто обязан исполнять соответствующие положения законодательства?

Что представляет собой ФЗ о персональных данных?

Следует особо акцентировать внимание на этом принципиальном моменте: вступивший в силу с 1 сентября 2015 года, является нормативным актом, который внес изменения в другой, основополагающий источник права — ФЗ № 152, принятый в июле 2006 года. Таким образом, формулировки, содержащиеся в законе № 242, следует рассматривать исключительно в контексте тех норм, что содержатся в ФЗ № 152.

Основополагающий правовой акт — ФЗ № 152, установил в законодательстве РФ такие правовые категории, как:

Персональные данные;

Оператор соответствующих сведений;

Обработка персональных данных.

Под первой правовой категорией законодатель предписывает понимать любую информацию, что прямо или косвенно относится к физическому лицу. Это могут быть, например, его Ф.И.О., персональные данные, контактные сведения.

Под второй правовой категорией в законе понимается государственный или муниципальный орган власти, организация или физическое лицо, которые самостоятельно либо в ходе взаимодействия с иными субъектами осуществляют процедуру обработки данных, а также определяют их состав и операции с ними.

Под третьей правовой категорией законодатель предписывает понимать любую операцию либо их последовательность, что имеют отношение к персональным данным и осуществляются посредством применения средств автоматизации или же без них.

Основные операции с персональными данными, определенные законом № 152: сбор, запись, хранение, корректировка, использование, передача, блокирование, удаление. Указанные правовые категории, в принципе, на момент принятия могли считаться довольно новыми для правовой системы РФ. До того оборот персональных данных регламентировался российским законодательством достаточно поверхностно.

Новизна ФЗ № 152

Закон о персональных данных, принятый в РФ, был призван, таким образом, приблизить отечественную правовую систему к мировым стандартам обеспечения конфиденциальности обмена информацией — прежде всего, представленной в электронном виде и используемой в рамках онлайновых коммуникаций. Но ФЗ № 152 в равной степени создал правовую среду также для обеспечения защиты различных офлайновых данных.

В соответствии с данным нормативно правовым актом было определено несколько классов персональных данных, которые требовали применения определенных алгоритмов защиты. Кроме того, ФЗ № 152 установил нормы, в соответствии с которыми оборот различных данных мог осуществляться в специализированных информационных системах — тех, которые требовали особенно высокой квалификации администраторов, а также получения ими лицензий на осуществление операций с персональными данными.

Несмотря на то что ФЗ № 152 был издан в 2006 году, на практике его основные положения операторам персональных данных стало обязательно применять только с 1 июля 2011 года. С того момента в соответствующий источник права, как мы отметили выше, периодически вносились различные корректировки. В частности, те, что были утверждены федеральными властями посредством Закона 242-ФЗ. Рассмотрим его особенности подробнее.

Особенности применения правового акта

Федеральный закон 242-ФЗ «О персональных данных» (точнее, «О внесении изменений в акты в части уточнения обработки данных») установил положение, в соответствии с которым операторы стали обязаны осуществлять обработку и хранение сведений только на серверах, что размещены на территории России. Либо если это офлайновые персональные данные — размещать их в базах данных, что находятся в РФ. Отметим, что в законе 242-ФЗ прописан ряд исключений относительно указанной нормы — которые, в свою очередь, отражены в положениях ФЗ № 152.

Еще один нюанс заключается в том, что посредством его законодатель также внес изменения не только в основной правовой акт, регулирующий операции с персональными данными, но и в другие источники. А именно в законы 149 «Об информации», а также 249 («О защите юрлиц и ИП при государственном и муниципальном контроле»).

В российских СМИ активно тиражировалась информация о том, что Роскомнадзор — ведомство, отвечающее за обеспечение соответствия деятельности операторов данных положениям ФЗ-242 «О защите персональных данных», в 2016 году будет проводить проверки крупнейших поставщиков IT-решений, которые осуществляют деятельность в РФ. В частности, говорилось о том, что цель Роскомнадзора — узнать, выполняют ли предписания рассматриваемого закона такие бренды, как Microsoft, «Вконтакте», HeadHunter, LaModa. Предполагалось, что ведомство выполнит порядка 1 тыс. различных проверок.

Инициированные федеральными властями посредством издания ФЗ № 242-ФЗ изменения о персональных данных в основном законе могли предопределить необходимость проведения крупнейшими операторами значительного обновления аппаратного и программного обеспечения. Но данная задача должна быть решена брендами, иначе, при несоответствии используемой ими инфраструктуры требованиям рассматриваемого закона, Роскомнадзор может наложить штраф на компанию.

Значительную роль в проверках, как предполагается, должны сыграть пользователи различных IT-решений. В случае если они начнут подозревать, что их данные не вполне надежно защищены, то сведения о сервисе, который задействуется при операциях с соответствующими данными, могут быть переданы пользователями непосредственно в Роскомнадзор. Который, в свою очередь, должен будет инициировать проверку сервиса на предмет соответствия нормам закона 242-ФЗ.

Полезно будет рассмотреть то, какова сфера действия рассматриваемого источника права.

Закон № 242: сфера действия источника права

Главный дискуссионный момент в данном случае — то, распространяется ли юрисдикция ФЗ-242 «О защите персональных данных» на иностранные фирмы, которые, с одной стороны, оказывают услуги российским пользователям, с другой, располагаются за пределами РФ как с юридической точки зрения, так и в плане задействуемой инфраструктуры.

Отдельных положений в рассматриваемом законе, которые бы однозначно определяли географию его действия, законодатель не утвердил. Поэтому, в целях нахождения ответа на рассматриваемый вопрос, необходимо обращаться к иным правовым актам.

Так, в соответствии с законом об информации, действующим в РФ, применение на территории России различных типов коммуникационной инфраструктуры должно осуществляться с учетом норм, утвержденных в законодательстве РФ. Таким образом, если следовать данной норме, то можно прийти к выводу, что Федеральный закон № 242-ФЗ распространяется все же только на те сервисы, которые однозначно задействуют инфраструктуру, что размещена в России.

Определение деятельности оператора персональных данных в России

Важнейший критерий определения юрисдикции рассматриваемого источника права — направленность деятельности бренда, владеющего тем или иным сервисом. Если тот или иной сайт преимущественно обслуживает российских пользователей, то он должен считаться объектом регулирования с точки зрения применения норм закона № 242. Тот факт, что сервис направлен на получение персональных данных граждан РФ, может устанавливаться исходя из того, что:

В структуре адреса сайта используется домен.ru, .su, .рф или, например, .москва;

Контент сайта выполнен на русском языке;

На страницах портала есть наличие возможности вступить в правоотношения с сервисом с использованием форм договоров, составляемых в соответствии с Гражданским кодексом РФ.

На практике операторами данных, которые попадают под юрисдикцию ФЗ № 242, могут быть самые разные структуры — например, кадровые службы предприятий, банки, call-центры. Все они обязаны обеспечивать соответствие своей деятельности требованиям закона, о котором идет речь.

Закон № 242 с точки зрения применения его обратной силы

Закон № 242-ФЗ о внесении изменений в ФЗ № 152 был издан позже, чем появился собственно сам ФЗ № 152, а также предыдущие поправки к нему, однако обусловил возникновение необходимости в дополнительной интерпретации положений основного правового акта. В частности, в среде юристов появилась дискуссия о том, следует ли рассматривать закон № 242 как имеющий обратную силу.

Более всего популярна точка зрения, в соответствии с которой в отношении оценки юридического действия рассматриваемого правового акта следует применять общеюридические принципы, в соответствии с которыми наделение обратной силой тех законов, которые ухудшают положение тех или иных лиц либо устанавливают для них дополнительные обязанности, осуществляться не должно.

Исключения могут приниматься в отношении правовых актов, в которых принцип обратной силы зафиксирован непосредственно. Закон 242-ФЗ подобных положений не содержит. Поэтому соблюдать его обязаны только те участники правоотношений, которые начинают обрабатывать персональные данные уже после вступления соответствующего правового акта в законную силу. То есть с 1 сентября 2015 года.

Сущность сбора данных

Еще один дискуссионный момент, характеризующий рассматриваемый правовой акт — определение понятия «сбор данных» исходя из формулировок, присутствующих в нем. В чем заключается сложность трактовок в данном случае? Дело в том, что в соответствии с положениями ФЗ № 152, в которые были внесены посредством издания ФЗ № 242-ФЗ изменения о персональных данных, операторы обязаны обеспечивать локализацию файлов в процессе как раз таки сбора соответствующих сведений. В свою очередь, сущность данной процедуры однозначно не определена в законе, что, конечно же, не способствует эффективной реализации его положений в ряде контекстов.

В среде экспертов распространена точка зрения, по которой под «сбором» правомерно понимать процесс, в рамках которого оператор данных получает их непосредственно от некоторого субъекта либо управомоченных третьих лиц. Получается, что локализованы в соответствии с нормами ФЗ 242 должны быть только те персональные данные, что были приобретены оператором по факту проведения им целенаправленной работы по сбору соответствующих данных. И если, например, оператор получил их случайно - как вариант, в виде письма на электронную почту, то локализовать, как это предписывает закон 242-ФЗ, персональные данные необязательно. Аналогично неправомерно рассматривать как процесс сбора данных их получение одной фирмой от другой, если они представляют собой телефоны и иные контактные данные представителей компании.

Размещение данных за рубежом по закону № 242

Следующий важнейший нюанс, характеризующий правоприменительную практику при реализации положений закона № 242 — возможность размещения данных операторами за рубежом в необходимых случаях — например, если речь идет о резервном копировании соответствующих сведений на серверах, арендованных у иностранных поставщиков. С одной стороны, по закону № 242-ФЗ персональные данные должны размещаться на серверах, что расположены на территории России. С другой, конечно, может возникать их объективная необходимость в размещении также и на зарубежных ресурсах.

Как отмечают юристы, трансграничная передача данных без нарушения положений регулирующего законодательства, в принципе, возможна. Исходя из каких положений законодательства данную позицию можно считать правомерной?

Когда трансграничная передача легальна

Дело в том, что закон о локализации персональных данных 242-ФЗ не включает положений о внесении корректировок в правовые акты, регулирующие трансграничную передачу файлов, содержащих индивидуализированные сведения о гражданах РФ и иных субъектах, которые попадают под защиту закона № 152-ФЗ. Поэтому данная процедура легальна, как и до того момента, когда был приняты рассматриваемые поправки в закон.

Но еще раз обратим внимание — трансграничная передача данных может быть осуществлена только в целях резервного копирования соответствующих файлов. Их оригиналы, таким образом, обязательно должны быть размещены на серверах в РФ. При этом оператор данных сам несет ответственность за несанкционированное использование теми или иными лицами файлов на зарубежных серверах. Кроме того, ему, вероятно, предстоит привести в соответствие свои информационные системы с требованиями, установленными нормами права государства, на территории которого располагаются сервера.

Санкции за нарушения закона № 242

Итак, мы изучили то, какие внес законодатель посредством издания закона 242-ФЗ изменения в ФЗ № 152. Полезно будет также рассмотреть то, с какими санкциями могут столкнуться операторы данных, нарушившие положения соответствующего источника права.

Во-первых, на компанию, которая обязана выполнять требования закона № 242, может быть наложен административный штраф. Его величина составляет 500-1000 рублей для должностных лиц, а также в 10 раз большие суммы - для юридических лиц. Данный штраф установлен ст. 13.11 КоАП РФ.

Во-вторых, может быть применена такая санкция, как внесение оператора данных в реестр нарушителей. Он представляет собой автоматизированную базу, включающую доменные имена и адреса страниц сайтов, на которых персональные данные обрабатываются с нарушениями. Отметим, что включение оператора в соответствующий реестр осуществляется на основании решения суда. Исключение — после его отмены или же по факту устранения компанией нарушений рассматриваемого закона.

В-третьих, может быть ограничен доступ к сайту, на котором реализуется некорректная обработка персональных данных. Данная процедура осуществляется после того, как субъект персональных данных направляет в Роскомнадзор заявление о необходимости принятия мер по блокировке соответствующего ресурса.

Кроме того, данный документ также должен быть дополнен судебным актом, который вступил в законную силу. После этого Роскомнадзор направляет сведения о нарушениях владельцем сайта закона № 242 хостинг-провайдеру, и тот, если владелец ресурса не устранит нарушение, блокирует сайт.

Порядок применения санкций к нарушителям положений рассматриваемого правового акта во многом зависит от правоприменительной практики. Операторам персональных данных имеет смысл регулярно изучать ее, так же как, например, и различные аналитические исследования положений закона № 242-ФЗ, комментарии юристов к нему. Исполнение норм ФЗ № 152 с учетом актуальных поправок к нему — важнейшее условие корректного функционирования соответствующих информационных сервисов.

Законодательство в IT ,

Локализация продуктов ,

Терминология IT

Не далее, как 1-го сентября Роскомнадзор опубликовал итоги реализации федерального закона о локализации баз персональных данных российских граждан на территории России. Полная версия статьи находится по адресу: https://rkn.gov.ru/news/rsoc/news49466.htm

С момента реализации Федерального закона №242-ФЗ сотрудниками Роскомнадзора проведено 2256 плановых проверок, 192 внеплановые проверки и более 3000 мероприятий систематического наблюдения, по итогам которых выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа выявленных нарушений.

Инфографика из статьи, так же представленная Роскомнадзором:

Итак, о чем пойдет речь? Да, про пресловутый ФЗ №242. Попытаемся ответить на наиболее типичные вопросы, и попытаемся ответить на вопрос: "А что делать, чтоб не попасть в эти проценты?"

Для тех, кто не в курсе - под катом краткий FAQ.

C 1 сентября 2015 года в Российской Федерации начало действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

242-м законом были внесены, в том числе, и изменения по интересующим нас вопросам. ФЗ №242 в статье 1 дополнил Федеральный закон от 27 июля 2006 г. №149 «Об информации, информационных технологиях и о защите информации» новой статьёй 15.5 «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных».

В соответствии с частью 1 статьи 1 была создана автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных», целью которой является ограничение доступа к информации в «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных. Основанием для внесения в "Реестр нарушителей" доменного имени, URL-адреса интернет-страницы, законодателем установлено вступившее в законную силу решение суда о признании деятельности по распространению информации, содержащей персональные данные, нарушающей требования ФЗ №152, а также права субъекта персональных данных на неприкосновенность частной жизни, личную и семейную тайну.

Как мы знаем, вся эта система уже работает. Как пример, приведем одно из множества подобных судебных решений.

Решением Симоновского районного суда г. Москвы от 02.06.2016 по делу № 2-5818/16 деятельность Интернет-ресурса http://zvonki.octo.net, предоставлявшего доступ неограниченного круга лиц к персональным данным граждан в объеме: ФИО, телефон, адрес, паспортные данные, без соответствующего согласия, признана незаконной. Также суд обязал Роскомнадзор принять меры по ограничению доступа к информации в сети Интернет, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, путем внесения указанного сайта в Реестр нарушителей.

Той же статьей, частью 3, Роскомнадзор определен в качестве органа, уполномоченного на создание, формирование и ведение Реестра нарушителей.

Статистика ведения "Реестра нарушителей" показывает, что 50% владельцев сайтов, включенных в "Реестр нарушителей", в добровольном порядке устраняют нарушения законодательства Российской Федерации в области персональных данных.

Второй же статьей вносятся изменения в две статьи (ст. 18, 22) главы 4 «Обязанности оператора» и одну статью (ст. 23) главы 5 «Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего федерального закона» (ФЗ № 152).

Так же, частью 1 второй статьи законодателем внесены изменения в статью 18 «Обязанности оператора при сборе персональных данных» ФЗ № 152, согласно которым для оператора устанавливается обязанность осуществлять при сборе персональных данных определенные виды обработки персональных данных в базах данных, которые находятся на территории России. Определенные виды обработки это: запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации. Т.е. фактически любые действия с ПД, оператор обязан осуществлять с использованием баз данных, находящихся на территории Российской Федерации.

Кого касается данная мера?

Ответим комментарием Минкомсвязи: "… обязанности по локализации отдельных процессов обработки персональных данных распространяются на иностранных операторов при условии осуществления ими направленной деятельности на территорию Российской Федерации и отсутствии исключений, прямо указанных в ч. 5 ст. 18 ФЗ «О персональных данных» (например, международного договора, для достижения целей которого осуществляется обработка)."
Да, в общем всех, кто работает с нашими согражданами, т.е. и наших и ваших.

А что же делать, если мы данные уже собрали и храним за рубежом?

Можете их там и хранить, но если у вас появится необходимость поработать с этими данными, то базу вместе с результатами обработки придется уже разместить в России. Так это сейчас трактуется.

Что если данные физически хранятся в России, но обработка осуществляется за рубежом?

Закон, с определенными оговорками, это позволяет (трансграничная передача и все такое). Но, главное при этом помнить, что результаты этой обработки так же должны сначала попасть в базу на нашей территории. Т.е., грубо говоря, база на нашей территории всегда должна быть "полнее, выше, сильнее"!

А как определят, что иностранный сайт работает с Россией?

На данном этапе определяют работу с Россией так:

1) использование делегированного доменного имени, связанного с Российской Федерацией (.ru,.рф., .su) и/или
2) наличие русскоязычной версии Интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков, не должно приниматься во внимание);
3) возможности исполнения заключенного на таком Интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России).

А вообще пока этот вопрос прорабатывается и ждите следующих версий! Как это похоже на наших законотворцев!)

Мы уже подавали уведомление в Роскомнадзор как оператор ПД, нам нужно что-то еще сделать?

Давно пора!

… Операторы, сведения о которых уже внесены в Реестр операторов, в соответствии с частью 7 статьи 22 Федерального закона № 152-ФЗ должны направить Информационное письмо о внесении изменений в сведения об Операторе в Реестре операторов с указанием сведений о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации…

Так что же делать?

Если у вас базы хранятся в России, то в первую очередь, подать уведомление в Роскомнадзор и внести в дополнительные поля адреса нахождения этих баз. Только будьте внимательны. Множество ошибок из-за того, что наименование страны вводят, а подробный адрес забывают.

«Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных»: https://rkn.gov.ru/personal-data/forms/p333/

Если же базы пока зарубежом, то пора как минимум задуматься об их локализации, например, в облаке . Многие гиганты индустрии (Microsoft, Samsung, Lenovo, Aliexpress, Ebay, PayPal, Uber, Booking.com), как мы знаем из СМИ, это уже давно сделали. Не думаю, что пользователям приятно видеть эту надпись при доступе к любимому сайту.

Однако, не все зарубежные компании торопятся с этим. Ранее глава Роскомнадзора Александр Жаров сообщил журналистам, что Facebook прекратит работу в России по аналогии с социальной сетью Linkedin, если не исполнит закон о персональных данных, это может произойти в 2018 году. Позднее представитель ведомства Вадим Ампелонский добавил, что в 2017 году никаких контрольных мероприятий в отношении деятельности Facebook в России не запланировано.

«Facebook располагает в России значительной аудиторией, но при этом не является уникальным ресурсом. Роскомнадзор учитывает это при взаимодействии с компанией, оставляя приоритетом собственной деятельности неукоснительное соблюдение российского законодательства всеми без исключения участниками рынка» - отметил он в общении с ТАСС.

Также стоит помнить, что если персональные данные передаются за границу под конкретную задачу, то принимающая данные сторона (если она не находится в стране-участнице Конвенции Совета Европы №108 о защите персональных данных, принятой большинством европейских стран, включая Россию, и в частности, не ратифицированной со стороны США) должна предоставить письменное подтверждение, которое гарантирует безопасность и корректное использование получаемой информации. Причем в соответствии с комментарием директора правового департамента Минкомсвязи Романа Кузнецова, условия подтверждения безопасности полностью совпадают с условиями Конвенции.

Добавить метки