Роскомнадзор закон о персональных данных

| | 0 Comment

Роскомнадзор закон о персональных данных

МОСКВА, 8 ноября. /ТАСС/. Facebook не уведомлял Роскомнадзор о планах открыть в России свое представительство, и в ближайшее время надзорное ведомство намерено проверить работу соцсети на предмет соблюдения российского законодательства о персональных данных. Об этом ТАСС сообщили в пресс-службе Роскомнадзора, комментируя появившуюся в СМИ информацию о возможном создании российского представительства Facebook.

Ранее в среду газета «Известия» написала со ссылкой на источники, что Facebook создает представительство в России, а сотрудники компании самостоятельно ищут руководителя местного подразделения и подбирают офис.

«Компания Facebook не информировала Роскомнадзор, как о намерении создать в России свое представительство, так и о намерении перенести персональные данные российских пользователей на сервера в Российской Федерации, как того требует федеральный закон о локализации персональных данных россиян на территории страны. В ближайшее время Роскомнадзором будет запланирован ряд надзорных мероприятий, направленных на проведения анализа деятельности администрации социальной сети Facebook по обработке персональных данных российских пользователей, порядка и условия предоставления пользовательских услуг, содержания локальных актов», — сказал сотрудник пресс-службы Роскомнадзора.

Он отметил, что по итогам проверки будут сделаны выводы о степени соответствия соцсети требованиям российского законодательства, а при наличии оснований — выработаны меры реагирования.

По словам собеседника агентства, если Facebook действительно создает представительство в России, это может означать, что компания решила развивать бизнес в РФ на основе норм российского законодательства. В том числе и исполнять нормы законодательства о персональных данных. «И это можно только приветствовать», — подчеркнули в ведомстве.

В Facebook ситуацию пока не прокомментировали.

Ранее глава Роскомнадзора Александр Жаров сообщал журналистам, что Facebook прекратит работу в России по аналогии с социальной сетью Linkedin, если не исполнит закон о персональных данных. Закон «О персональных данных» вступил в силу в РФ 1 сентября 2015 года. Он обязывает как российские, так и иностранные компании осуществлять хранение персональных данных россиян на территории РФ.

tass.ru

Проект ПД-Инфо.рф / PD-info.ru посвящен обсуждению вопросов, связанных с особенностями реализации нового Федерального закона № 242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (т.н. «Закон о локализации Персональных данных россиян на территории РФ»).

Закон вступает в силу 1 сентября 2015 года, срок его вступления в силу был изменен на более поздний в результате экспертных обсуждений с отраслью и представителями государства и деятельности ряда профильных ассоциаций, аргументированно предложивших такой перенос.

В процессе обсуждения законопроекта и его принятия, он неоднократно привлекал к себе внимание игроков IT-рынка, СМИ, блогеров и экспертов. Периодически реакция на такое обсуждение выходила за рамки экспертных заключений. Зачастую это происходило из-за того, что отрасль не получала своевременных разъяснений и ответов на волнующие ее вопросы относительно конкретных механизмов реализации закона, контроля его исполнения и т.д.

При этом мы исходим из того, что в интересах всех участников процесса (государство: законодательная и исполнительная власть, отрасль: российские и международные интернет- и IT-игроки, пользователи) необходимо наладить конструктивный диалог сторон и собрать в едином месте все экспертные заключения, рекомендации и разъяснения — с целью максимально упростить доступ к накопленным материалами для всех заинтересованных сторон.

Данный проект — это общественная инициатива, направленная на упрощение работы и тех, кого этот закон касается непосредственно (российские и международные интернет- и IT-игроки, пользователи — субъекты персональных данных).

Проект реализуется силами РАЭК (Ассоциация электронных коммуникаций), РОЦИТ (Региональный общественный Центр интернет-технологий) и Роскомнадзора, при участии партнеров проекта: theRunet, rspectr.com и Журнал «Интернет в цифрах».

Принципиально важна роль Роскомнадзора в данном проекте — как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями.

Подзаконные нормативные правовые акты

В рамках реализации 242-ФЗ, были разработаны следующие проекты подзаконных нормативных правовых актов:

Постановление Правительства Российской Федерации от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»);

Проект постановления Правительства Российской Федерации «Об утверждении положения о контроле за обработкой персональных данных»;

Проект приказа Минкомсвязи России «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от 21.12.2011 № 346»;

Приказ Роскомнадзора от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»;

Приказ Роскомнадзора от 22 июля 2015 г. № 85 «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных»

ФЗ–242 (с 1 сентября 2015)

Закон вносит поправки в законодательство о защите персональных данных россиян, в т.ч. в части требований о локализации хранения и обработки персональных данных российских граждан на территории РФ.

Уже после принятия закона был изменен срок его вступления в силу — на 1 сентября 2015 года.

ФЗ–152 (О перс. данных)

СМИ О ЗАКОНЕ

Информационный ресурс www.PD-info.ru о законе персональных данных за месяц собрал более 400 вопросов от пользователей и IT-компаний

Закон о хранении персональных данных россиян. Досье

Готова ли Россия к «персональным данным»

ИНФОРМАЦИЯ ДЛЯ IT-КОМПАНИЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для интернет- и IT-компаний.

ИНФОРМАЦИЯ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ

В данном разделе собранны материалы, разъясняющие основные аспекты реализации закона ФЗ–242, важные для пользователей.

ЗАДАТЬ ВОПРОС

ВОПРОСЫ-ОТВЕТЫ

Что следует понимать под «хранением» персональных данных? Учитывая, что Федеральный закон «О персональных данных» не содержит термина «хранение», полагаем, что законодатель вкладывал в понятие данного слова, обычно используемое в повседневной жизни значение, которое не требует каких-либо дополнительных разъяснений. В связи с чем, при определении значения слова и применения нормы законодательства следует использовать буквальное толкование существительного «хранение». Однако, учитывая неопределенность в понимании данного понятия, полагаем возможным обратить внимание на ряд моментов, связанных с толкованием в праве аналогичного термина, однако применимого, например, к документам.

Так, согласно ГОСТ Р 51141-98. Государственный стандарт Российской Федерации. Делопроизводство и архивное дело. Термины и определения, утв. Постановлением Госстандарта России от 27.02.1998 № 28, а также ГОСТ Р 7.0.8-2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения, утв. Приказом Росстандарта от 17.10.2013 № 1185-ст, ХРАНЕНИЕ ДОКУМЕНТОВ представляет собой обеспечение рационального размещения и сохранности документов. При этом указанный ГОСТ, в рамках единого процесса хранения документов разделяет архивное хранение, оперативное хранение, ведомственное хранение документов и иные виды хранения документов в зависимости от сроков хранения (оперативное, архивное), от лиц, которые осуществляют хранение (ведомственное, архивное).

Иными словами, «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение документов в какой-либо организации или месте.
Применяя аналогию права к отношениям в области персональных данных, можно сказать, что «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение персональных данных в какой-либо организации или месте.

Хранение персональных данных должно быть ограничено достижением цели обработки. Федеральным законом «О персональных данных» (ч.4 ст.21) предусмотрено, что в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональных данных в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.
В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев.
Необходимо отметить, что в 242-ФЗ отсутствуют понятия «временное хранение», «постоянное хранение». Может ли быть размещен в материнской компании в Германии регистр сотрудников дочернего предприятия, содержащий, в частности, имена, рабочие телефоны и адреса электронной почты российских сотрудников? Применительно к указанной ситуации необходимо понимать, что взаимоотношения внутри транснациональных компаний как минимум предполагают две стороны: представительство, которое зарегистрировано в Российской Федерации как юридическое лицо, и непосредственно головной офис, находящийся за пределами Российской Федерации.
Соответственно, требования 242-ФЗ прежде всего адресованы к лицу, осуществляющему сбор персональных данных на территории Российской Федерации, которым в указанном случае выступает российское представительство.
Относительно передачи и дальнейшего хранения персональных данных за пределами Российской Федерации необходимо руководствоваться требованиями ст. 12 Федерального закона «О персональных данных», то есть правилами трансграничной передачи данных.

Дополнительно необходимо отметить, что головной офис по отношению к работникам, работающим на территории Российской Федерации, не является их прямым работодателем, соответственно при передаче их персональных данных за пределы Российской Федерации представительство, которое зарегистрировано в Российской Федерации как юридическое лицо обязано руководствоваться требованиями Трудового кодекса Российской Федерации и ч. 3 ст. 6 Федерального закона «О персональных данных» в части наличия согласия работника и договора, заключенного с головным офисом, содержащего условия конфиденциальности и безопасности. Должны ли иностранные операторы персональных данных (которые не имеют представительств на территории РФ), осуществляющие или планирующие осуществлять сбор и обработку персональных данных граждан РФ с использованием WEB-сайтов, осуществлять такую обработку и хранение на территории РФ?. Например, будет ли сайт, в случае сбора данных российских посетителей, подпадать под требования о локальном хранении? (называю это условно «локальным хранением») 242-ФЗ действует на территории Российской Федерации, в отношении юридических лиц, в том числе иностранных организаций, осуществляющих предпринимательскую деятельность на территории Российской Федерации, в том числе иностранных организаций, не связанных с деятельностью через постоянное представительство в Российской Федерации.
Иными словами, не важно, расположена ли иностранная компания в России или нет, если она распространяет свою деятельность именно на российский сегмент, рассчитанный на российского потребителя, то 242-ФЗ будет к ней применяться.
В связи с чем, сбор и обработка персональных данных российских граждан, территориально находящихся в Российской Федерации, должен осуществляться на территории России.

В случае, если российские граждане находятся за пределами территории России, то они находятся в юрисдикции той страны, на территории которой пребывают в момент предоставления данных о себе. В таком случае, сбор и обработка данных будет осуществляться в соответствии с требованиями иностранного государства и требования российского законодательства на такую обработку данных распространяться не будет.
Вне зависимости от того, обеспечивается хостинг российской компанией или иностранных, идентифицируются ими персональные данные или нет, технические средства этих компаний должны находиться на территории Российской Федерации, в случае если сбор и хранение данных производится на территории России.

Если одна организация проводит бумажное анкетирование субъектов персональных данных, а другая — вносит данную информацию в базу данных, осуществляет ли вторая организация сбор персональных данных и несет ли она обязанности, предусмотренные 242-ФЗ?

Если третья организация сделает выборку некоторых данных из раннее созданной базы данных (например, для создания глобальной директории сотрудников группы или клиентов/физ лиц), осуществляет ли она сбор персональных данных, и подпадает ли такая деятельность под действие 242-ФЗ? Первоначально важна природа правоотношений, которые связывают первого оператора и второго оператора. Если это договор поручения, на основании которого первый оператор проводит бумажное анкетирование от лица второго оператора, то требования 242-ФЗ на второго оператора распространяются.

Если и первый оператор, и второй оператор действуют как самостоятельные юридические лица необходимо понимание, на основании каких правовых норм первый оператор передает сведения, которые были собраны с помощью бумажного анкетирования (согласие, требование федерального закона и т.п.). В случае правовой легитимности соответствующей передачи требования 242-ФЗ подлежат оценке цели обработки персональных данных и если передача персональных данных осуществляется для достижения целей на этапе бумажного анкетирования, то обязанность по локализации персональных данных в рамках всего процесса обработки возлагается на первичного оператора. В случае разности целей обработки-эта обязанность распространяется на обоих операторов.
В случае участия третьей организации подход аналогичный. Насколько мы понимаем 242-ФЗ не вводит обязанности операторов персональных данных по передаче данных только на территорию Российской Федерации. Закон запрещает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, не находящихся на территории Российской Федерации, только при сборе. Однако законом допускается передача персональных данных граждан Российской Федерации на территорию иностранного государства, и закон не запрещает их копирование и передачу.
То есть, оператор персональных данных при хранении персональных данных в России впоследствии может передать их и за границу:

6.1) Правильно ли мы понимаем, что после осуществления сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации оператор вправе передать такие данные за рубеж, руководствуясь положениями статьи 12 Федерального закона «О персональных данных»?

6.2) Принимая во внимание предыдущий вопрос, правильно ли мы понимаем, что возможно хранение вне территории Российской Федерации персональных данных граждан Российской Федерации, собранных с использованием баз данных на территории Российской Федерации и переданных впоследствии оператором в соответствии с положениями статьи 12 Федерального закона «О персональных данных»?

6.3) Правильно ли мы понимаем, с учетом предыдущих двух вопросов, что при условии сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации и их последующей передачей на территорию иностранного государства, возможно параллельное (одновременное) функционирование двух баз данных – одной, находящейся на территории Российской Федерации (которая формируется и ведется (в том числе актуализируется/изменяется) с учетом положений 242-ФЗ), и другой, находящейся за пределами Российской Федерации (информация в которую передается после сбора персональных данных с использованием баз данных на территории Российской Федерации, выполненного с учетом положений 242-ФЗ)? 6.1) В рассматриваемой норме 242-ФЗ не вводится обязанность оператора персональных данных осуществлять передачу данных только в базы данных на территории Российской Федерации.
242-ФЗ не вносит изменений в статью 12 Федерального закона «О персональных данных», которая регламентирует вопрос трансграничной передачи персональных данных. В связи с чем, трансграничная передача персональных данных российских граждан, полученных при сборе с использованием баз данных, расположенных на территории Российской Федерации, может осуществляться при соблюдении принципа соответствия целям обработки персональных данных, собранных на территории Российской Федерации.

6.2) Хранение персональных данных на территории иностранного государства в контексте 242-ФЗ не запрещено при условии соблюдения условий сбора персональных данных на территории Российской Федерации и соблюдения порядка трансграничной передачи персональных данных, установленных ст. 12 Федерального закона «О персональных данных».

6.3) Параллельное функционирование баз данных, находящихся на территории Российской Федерации и иностранного государства, применительно к требованиям 242-ФЗ невозможно.
Существует база данных, которая формируется посредством сбора на территории Российской Федерации. В дальнейшем, указанная база данных локализуется на территории Российской Федерации и, при наличии необходимости, может передаваться на территорию иностранного государства с соблюдением условий ст. 12 Федерального закона «О персональных данных». При этом следует понимать, что та база данных, которая находится на территории иностранного государства, может актуализироваться, систематизироваться, обновляться, только после проведения соответствующей процедуры на территории Российской Федерации и передачи обновленных данных посредством трансграничной передачи на территорию иностранного государства. Утверждена ли форма для уведомления о месте расположения баз данных? Форма уведомления о внесении изменений в сведения об операторе (Приложение № 3 к Административному регламенту Роскомнадзора) не содержит графу «местонахождение» сервера/ базы данных. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу, в какой форме нужно сообщить сведения о месте нахождения базы данных? Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется.

242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.

Каким образом указывать место нахождения базы данных будет определено в подзаконном нормативном правовом акте, который находится в стадии принятия.

pd-info.ru

Как обеспечивается защита персональных данных в РФ

В реестре[1] Роскомнадзора (по состоянию на 07.11.2017), на территории нашей страны обработку персональных данных (ПД) осуществляют 400 955 операторов. Практика показывает, что даже крупные компании не всегда соблюдают требования законодательства в этой сфере.

Недавно оказалось, что «Почта России» не имеет права требовать от получателей заказных писем указывать сведения из паспорта в извещении.

Защита персональных данных требует комплексного подхода. Задача государства – регламентировать деятельность по обработке ПД и контролировать выполнение требований законодательства со стороны операторов. Но и сами граждане должны заботиться о сохранности личной информации. 9 ноября в Москве пройдет ежегодная конференция «Защита персональных данных», которая обобщит опыт регуляторов и игроков рынка ПД и поможет ответить на самые актуальные вопросы отрасли.

Базовый принцип – согласие

Отправной точкой для регулирования отрасли ПД можно считать Конвенцию Совета Европы «О защите физических лиц при автоматизированной обработке ПД» (ETS №108), принятую в 1981 году в Страсбурге, и сопутствующие ей директивы. Россия подписала и ратифицировала Конвенцию в 2001 году. Сейчас сфера защиты персональных данных (ПД) в РФ регулируется рядом нормативно-правовых актов. Полный список НПА содержится на портале уполномоченного органа (Роскомнадзор). Базовыми документами, кроме Конвенции, являются:

• Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;

• Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и защите информации» (в части порядка блокирования информации в интернете).

Основной принцип регулирования этой сферы заключается во взятии согласия на обработку персональных данных у субъекта ПД.

1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Этот документ обязал операторов ПД обеспечить локализацию баз персональных данных российских граждан на территории РФ, что оказало серьезное влияние на отрасль. Также законом предусмотрено создание «Реестра нарушителей прав субъектов персональных данных», ведением которого занимается Роскомнадзор.

Последнее законодательное нововведение в сфере защиты ПД – это принятие Федерального закона от 07.02.2017 №13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (вступил в силу 1 июля текущего года). Поправки увеличили ответственность за нарушения прав субъектов персональных данных.

Раньше ст. 13.11. КоАП РФ предусматривала административную ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Новый закон ввел семь составов правонарушений в сфере обработки ПД и увеличил суммы штрафов за неисполнение соответствующих требований.

Нарушение требований

В первом полугодии 2017 года территориальные органы РКН провели 532 плановые проверки в сфере защиты прав субъектов ПД. По результатам 65% из них выявлены нарушения, которые можно разделить на основные типы:
• представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения – 143 нарушения (11 % от общего количества);
• непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами – 108 (9%);
• несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства — 86 (7%);
• непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных – 81 (7%);
• несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации — 80 (6%);
• несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации – 79 (6%);
• обработка персональных данных в случаях, непредусмотренных Федеральным законом «О персональных данных» — 71 (6%);
• отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ — 70 (6%).

Данные на 01.09.2017

Дайте жалобную книгу

За шесть месяцев 2017 года в адрес Роскомнадзора поступило более 16 тыс. обращений по тематике защиты прав субъектов персональных данных (на 6,8% меньше, чем за аналогичный период 2016 года). 91,2% — это жалобы на действия операторов, осуществляющих, по мнению заявителей, незаконную обработку ПД. Больше всего вопросов у населения вызвали действия кредитных учреждений, организаций ЖКХ, владельцев интернет-сайтов (в том числе социальных сетей), коллекторских агентств. Доводы заявителей подтвердились в 6,9% случаев.

В 8,3% обращений содержатся просьбы разъяснить отдельные положения законодательства РФ в области персональных данных. Оставшиеся 0,5% касаются обжалования действий территориальных органов РКН.

Профилактическая помощь

Проверки – не единственный способ улучшить ситуацию в сфере защиты персональных данных. Большое внимание Роскомнадзор уделяет профилактике нарушений, информированию операторов об изменениях в нормативной базе отрасли и обучению граждан основам кибербезопасности. Все эти направления – этапы реализации «Стратегии институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года», разработанной в РКН.

В конце июля Роскомнадзор опубликовал рекомендации по составлению политики обработки персональных данных. Документ состоит из трех разделов. В первом сформулированы цели разработки рекомендаций, во втором определены основные используемые понятия. Третий раздел закрепляет рекомендуемые структурные компоненты политики оператора.

В подготовке документа приняла участие Молодежная палата при РКН, которая была создана в марте 2017 года.
РКН уделяет много сил профилактике защиты персональных данных детей и подростков. Ведомство создало сайт (http://персональныеданные.дети) для объяснения основ защиты личной информации, выпустило тематический ролик, регулярно организует уроки информационной безопасности для школьников, проводит конкурсы среди младшего поколения.

Подписывают добросовестные

Еще один проект РКН – это Кодекс добросовестных практик (Кодекс этической деятельности (работы) в интернете). Как следует из названия, в документе содержится свод правил и принципов для компаний и организаций, которые работают в Сети. Цель документа – защитить государство, общество и гражданина от угроз, связанных с развитием инфокоммуникационных технологий, и создать максимально безопасное цифровое пространство.

Первые 24 компании подписали Кодекс на конференции «Защита персональных данных» в ноябре 2016 года. Сейчас к проекту присоединились уже 580 операторов персональных данных, среди которых представители министерств, автономных некоммерческих организаций, высших и средних специальных учебных заведений и бизнеса. Подписание Кодекса продолжится в рамках VIII Конференции «Защита персональных данных».

Мероприятие имеет статус международного. В этом году на конференцию впервые приедут эксперты из Китайской народной республики. Всего планируется участие делегатов из 11 стран.

Выступления иностранных специалистов посвящены взаимодействию РФ и других стран в области защиты ПД, новым тенденциям и угрозам. В программе конференции указаны такие темы как «Международная информационная безопасность частной жизни», «Цифровой суверенитет и информационная безопасность государства, общества и гражданина», «Соотношение GDPR[1] и российского регулирования в сфере персональных данных».

Спикеры не обойдут вниманием и сугубо российские вопросы защиты персональных данных, дадут конкретные рекомендации операторам и специалистам по обработке ПД, обсудят проблемные темы.

[2] Регламент защиты персональных данных Евросоюза.

www.rspectr.com

Cегодня практически каждый сайт или веб сервис, оказывающий какие-либо услуги в Рунете, будь то новостной сервис или социальная сеть, имеет дело с персональными данными (или ПДн) своих пользователей, посетителей, подписчиков. C 1 июля 2017 года ответственность за нарушение законов в области персональных данных существенно увеличилась . Обновленная статья 13.11 КоАП расширилась и теперь в ней семь видов правонарушений, самый высокий штраф для юридических лиц – 75 000 рублей, который в совокупности нарушений может достигать 295 000 рублей. В России помимо административной ответственности несоблюдение законов о защите данных может повлечь также гражданскую (возмещение морального вреда) и уголовную ответственность (например, тюремное заключение).

Роскомнадзор вправе возбуждать административные дела в области персональных данных, ранее подобные дела инициировали только прокуроры. Кроме того, есть риск блокировки ресурса Роскомнадзором в случае неустранения нарушений закона о персональных данных, но только по решению суда.

Отчет Роскомнадзора показывает, что с момента начала реализации закона о локализации персональных данных (242-ФЗ) было проведено 2256 плановых проверок, 192 внеплановые проверки (по жалобе субъекта персональных данных) и более 3000 мероприятий систематического наблюдения, по итогам которых выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа выявленных нарушений. План проверок управления Роскомнадзора публикуют на своих сайтах.

Другие надзорные органы: Федеральная служба по техническому и экспортному контролю России (регулирует вопросы технической защиты информации в нашей стране) и ФСБ России (регулирует вопросы криптографии (шифрования). Стоит здесь отметить громкое дело о требовании ФСБ расшифровать переписку мессенджера Телеграм (Telegram), где пересекаются, с одной стороны, интересы частных лиц и их право на неприкосновенность частной жизни, и, с другой стороны, интересы общества, госбезопасности.

Настоящая статья поможет разобраться, как сайту или веб сервису соответствовать законодательству о персональных данных и избежать штрафов.

Какие законы?

Основные действующие в России законы, касающиеся персональных данных:

  • Страсбургская «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» 1985 года, была ратифицирована в России в 2005 году.
  • Конституция РФ. Статьи 23 и 24.
  • Федеральный закон «О персональных данных» от 27.07.2006 (далее «закон о персональных данных«)
  • Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006
  • Также существуют специальные нормы по отраслям права: КоАП РФ (статья 13.11), как упоминалось выше, Трудовой кодекс РФ (глава 14), Воздушный кодекс РФ (ст. 85.1), ФЗ Об основах охраны здоровья граждан в РФ и другие. Кроме того, разными ведомствами, например, Роскомнадзором или Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральной службой безопасности издаются подзаконные акты, устанавливающие порядок сбора, обработки, хранения, защиты персональных данных.

    Давайте разберемся с понятиями.

    Персональные данные

    Законодатель отнес любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ о персональных данных). В силу такого широкого определения ПДн в законе, определить какие данные подпадают под охрану закона, а какие нет — дело не простое. Поэтому следует руководствоваться позицией регулятора — Роскомнадзора.

    Пункт 2.5 Методических рекомендаций Роскомнадзора по уведомлению о начале обработки персональных данных раскрывает в скобках, какая это может быть информация: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных.

    В любом случае, согласно закону, который имеет превалирующую силу над подзаконным актом (методические рекомендации), конкретный перечень видов персональных данных не определен, что дает правоприменительным органам волю интерпретации.

    Оператор персональных данных

    Любая организация, ИП и физическое лицо является оператором и, таким образом, попадает под действие закона о персональных данных, если

  • самостоятельно или с другими лицами (юридическими или физическими) организует и(или) осуществляет обработку персональных данных,
  • а также определяет цель такой обработки, состав персональных данных, действия (операции).
  • Проще говоря, если вы обрабатываете и контролируете персональные данные, то вы оператор.

    Обработка персональных данных

    Если вы совершаете хотя бы одно из нижеперечисленных действий, то вы обрабатываете персональные данные и обязаны подчиняться закону о персональных данных:

  • Сбор
  • Запись
  • Систематизация
  • Накопление
  • Хранение
  • Уточнение (обновление, изменение)
  • Извлечение
  • Использование
  • Передача (распространение, предоставление, доступ)
  • Обезличивание
  • Блокирование
  • Удаление
  • Уничтожение персональных данных.
  • ЧТО НУЖНО СДЕЛАТЬ ДЛЯ СОБЛЮДЕНИЯ ЗАКОНА?

    1. УВЕДОМИТЕ РОСКОМНАДЗОР

    Если вы обрабатываете персональные данные, как описано выше, то вы обязаны уведомить об этом Рoскомнадзор (управление Роскомнадзора по субъекту по месту регистрации в налоговом органе) до начала обработки (ст. 22 закона о персональных данных). Вы можете это сделать в письменном виде путем направления письма или электронно на сайте Роскомнадзора (бумажную версию также необходимо выслать. После чего в течение 30 дней со дня получения уведомления Роскомнадзором вносится запись в реестр операторов персональных данных, вы получаете выписку о внесении. По состоянию на 27 октября 2017 года 400 098 операторов зарегистрировано. Сведения об операторах и находятся в общем доступе (за исключением способов обеспечения безопасности персональных данных, более подробно об этом ниже).

    Важно отметить, что вы обязаны не просто заполнить уведомление и направить его, но также выполнить то, что вы в нем написали.

    Как и везде, существуют исключения. Поэтому сначала проверьте основания обработки персональных данных БЕЗ уведомления уполномоченного органа (ст. 22 закона о персональных данных). В частности, например, следующие основания для неуведомления:

  • данные, обрабатываемые в соответствии с трудовым законодательством (это не освобождает от защиты персональных данных ваших сотрудников и соблюдения трудового законодательства)
  • персональные данные были получены в связи с договором с субъектом персональных данных при условии, что (1) данные не передаются третьим лицам без согласия субъекта, (2) используются только для целей исполнения договора с субъектом
  • если данные общедоступны
  • у вас есть только ФИО клиента и др.
  • Если вы все-таки не попадаете под основания для исключения, то форма уведомления есть в Рекомендациях Роскомнадзора (приложение 1). Подробнее поговорим о некоторых сведениях, которые требуется указать в Уведомлении.

    Какие действия вы совершаете с персональными данными и какие способы обработки используете. В большинстве случаев обработка данных владельцами сайтов/веб сервисов является автоматизированной (есть также неавтоматизированная и смешанная). Здесь следует указать, куда передается информация: по внутренней сети оператора (то есть доступна только определенным сотрудникам), с использованием интернета или не передается вообще.

    Другой важный момент касается мер для обеспечения выполнения обязанностей по закону о персональных данных.

    • Издание документов и локальных актов о порядке обработки, изменения, копирования, распространения персональных данных, о правилах доступа, о мерах предотвращения неправомерного доступа к персональным данным и прочее. См. также Рекомендации Роскомнадзора по составлению подобных документов.
    • Технические меры, например, защита паролем, антивирусные средства Если вы используете криптографические (шифровальные) средства, то нужно указать наименование таких средств и их класс (см. Приказ ФСБ России).
    • Если вы передаете персональные данные на территорию иностранного государства его органу власти, иностранному физическому или юридическому лицу (п. 11 ст. 3 закона о персональных данных), то нужно указать какие именно стране. Допускается трансграничная передача на территорию стран — членов Совета Европы , а также иных государств, где персональные данные адекватно защищаются и есть комплексный закон, регулирующий данную область.

      Неуведомление Роскомнадзора грозит штрафом для юридических лиц от 3000 до 5000 р. (см. ст. 19.7 КоАП РФ). Такие дела рассматриваются судом (ст. 23.1 КоАП). Роскомнадзор вправе потребовать уточнения данных путем направления вам письма с перечнем недостающих сведений (ст.22 закона о персональных данных и п.3.3. Рекомендаций Роскомнадзора). В случае каких-либо изменений информации, которую вы указали в уведомлении, то требуется в течение 10 дней с момента возникновения изменений сообщить об этом управление Роскомнадзора (форма есть в приложении 2 к Рекомендациям Роскомнадзора).

      2) ХРАНИТЕ БАЗУ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В РОССИИ

      С 1 сентября 2015 года хостинг, база, центр обработки персональных данных должны располагаться на территории России (ст.16 закона об информации). И несмотря на то, что закон о “локализации персональных данных” назвали законом ручного применения и под его раздачу недавно попала лишь сеть профессиональных контактов LinkedIn , не исключено, что похожее может произойти и с Фэйсбуком и рядом других крупных сервисов, после чего правоприменение по подобного рода делам может развернуться куда шире. Закон одинаково распространяется и на иностранные организации, которые обрабатывают персональные данные россиян и чьи услуги, сервисы направлены на пользователей в России. Если сбор данных осуществляется не в ходе функционирования крайне чувствительных веб-сервисов (тематических форумов, сайтов знакомств, UGC-ориентированных ресурсов), на которых организатору сервиса надлежит обеспечить максимальную безопасность данных своих пользователей, то размещение баз данных на серверах внутри страны способно минимизировать риски претензий Роскомнадзора в связи с несоблюдением закона. Однако решение об этом следует принимать в индивидуальном порядке, оценивая тематику, функционал и аудиторию ресурса. Пока же мы видим, что мелкие и средние веб-сайты, сервисы и приложения россиян в части соблюдения “закона о локализации” ведомство интересуют не сильно.

      Адрес местонахождения баз данных необходимо сообщить Роскомнадзору. Если Вы все таки решили локализовать данные, то обратитесь к вашему хостинг провайдеру для получения адреса расположения вашего сервера. Здесь можно ознакомиться более подробно с темой локализации данных в России.

      3) СОЗДАЙТЕ ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ И ПОЛУЧИТЕ СОГЛАСИЕ НА ОБРАБОТКУ

      Согласно позиции РКН, в отношении использования веб-ресурсов не требуется рукописного согласия на обработку персональных данных, однако критически важным является наличие на сайте Политики обработки персональных данных либо Политики конфиденциальности с положениями о порядке сбора, хранения и обработки ПДн. Наиболее известен случай из практики о привлечении к адм. ответственности юридической компании за отсутствие на сайте политики обработки персональных данных. Поэтому наличие подобной политики на сайте во многих случаях считается уже достаточным, чтобы соответствовать закону.

      Утвердите приказом политику конфиденциальности, разместив ее на сайте, (мобильном приложении, если имеется) так, чтобы пользователю было не трудно найти ее, например, в футер. В политике нужно отразить категории персональных данных, виды обработки, цели обработки, меры защиты, какие действия вы выполняете с данными. Уведомляйте посетителей сайта, что их персональные данные обрабатываются в целях функционирования сайта и получайте их согласие на обработку. Можно посмотреть, как это делают другие сайты. Например, Яндекс в своей политике конфиденциальности указал, что использование сервисов является согласием на обработку: “Использование Сервисов Яндекса означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервисов”.

      Похожее положение в политике конфиденциальности Рамблера : “При регистрации на Интернет-ресурсе заполняя размещенную на Интернет-ресурсе Рамблера регистрационную форму и предоставляя свои персональные данные Рамблеру, Пользователь подтверждает, что он достиг возраста 14 лет и что он принимает настоящий Регламент и дает согласие на обработку своих персональных данных Рамблеру в соответствии с Политикой в отношении обработки персональных данных в Рамблере и сведениями о реализуемых требованиях к защите персональных данных, а также изложенными в ней правилами обработки персональных данных”.

      Таким образом, в регистрационные и иные формы заполнения на вашем сайте, можно под кнопкой добавить следующую фразу со ссылкой на правила пользования сервисом, куда вы также включаете политику конфиденциальности. Такой подход также подтверждается и позицией Роскомнадзора.

      В июле 2017 Роскомнадзор опубликовал Методические рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. При написании Политики на сайте, необходимо руководствоваться этими рекомендациями.

      Несмотря на то, что политика конфиденциальности является юридическим документом, вы должны обеспечить, чтобы текст был легко понятен и точен. Нежелательно использовать скрытые предложения в тексте или делать его слишком расплывчатым, поскольку это может повлиять в общем на авторитетность и репутацию вашего сервиса.

      4) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ ПУНКТ О COOKIES

      Cookie-файлы — небольшие информационные маркеры (копии веб-страниц, картинок, видеороликов и другого контента, просмотренного с помощью браузера), которые ваш сайт может записывать на жесткий диск компьютера посетителя. Благодаря cookies ваш сайт может:

    • узнавать пользователей и их предпочтения
    • подстраивать веб-контент, отображаемый на вашем сайте, под отдельных пользователей
    • собирать информацию о том, как посетители используют ваш сайт
    • помогать Вам совершенствовать ваши продукты и сайты
    • В российском законе нет понятия cookies, каких-либо определенных специальных требований в их отношении, они формально не признаются персональными данными. Нет необходимости российскому сайту брать отдельное согласие посетителя путем нажатия кнопки при входе на его сайт, как некоторые сайты это делают. Дело в том, что иностранные компании, которые подчиняются юрисдикциям других государств, обязаны независимо от местонахождения пользователей, получать согласие на использование файлов cookies. Например, в Евросоюзе веб-сайт должен получить разрешение от посетителей прежде, чем записывать свои cookies на их компьютеры.

      Однако, лучше себя обезопасить, ведь определение персональных данных расплывчато, а Роскомнадзор не дремлет с проверками. Без каких-либо всплывающих окон и кнопок можно просто написать в политике конфиденциальности, что под персональной информацией пользователя также понимаются: “IP-адрес хоста, данные файлов cookie, информация о браузере пользователя, местоположение”. Как компании формулируют пункты о cookies, вы также можете посмотреть в их политиках, размещенных на официальных веб-ресурсах.

      5) ДОБАВЬТЕ В ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ EMAIL И АДРЕС, КУДА ПОЛЬЗОВАТЕЛЮ МОЖНО ОБРАТИТЬСЯ С ЗАПРОСОМ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

      Например, об их удалении. Не игнорируйте письма с подобными запросами и удаляйте персональные данные по первому требованию, если это возможно сделать без болезненного изменения структуры и контента сайта. Ведь чья-то жалоба может стать поводом для внеплановой проверки Роскомнадзором и(или) судебной тяжбы.

      6) НАЗНАЧЬТЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

      Обязательным требованием является назначение соответствующим приказом ответственного за организацию обработки данных (ст.22.1 закона о персональных данных). Это может быть как физическое, так и юридическое лицо (по договору). Такой человек (или компания) должен следить за изменениями в законодательстве о персональных данных, информировать, обучать, обновлять политику конфиденциальности и иные акты о персональных данных.

      7) ПРИМИТЕ ТЕХНИЧЕСКИЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

      Меры по обеспечению безопасности персональных данных при их обработке установлены в ст.19 закона о персональных данных. Их вы также указываете в уведомлении Роскомнадзора.

      Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных и требования по обеспечению безопасности. Эти требования содержатся в Постановлении Правительства №1119 от 01.11.2012. Во исполнений указанных положений появился следующий приказ: Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

      Вы можете принять меры как самостоятельно, так и с привлечением юридического лица (или ИП), имеющего лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Существует множество организаций, предлагающих программные комплексы, IT решения, средства защиты персональных данных. Если вы нанимаете организацию и используете разработанные ею средства защиты, то удостоверьтесь, что они прошли в установленном порядке процедуру оценки соответствия (сертификация проводимая ФСТЭК).

      Вы также можете сами получить лицензию ФСТЭК. Это открывает возможности самим оказывать услуги в области защиты данных, в том числе для государственных организаций.

      Применение сертифицированных средств защиты или получение лицензии ФСТЭК — это дорогостоящий процесс и времязатратный, который чаще всего позволяют себе большие компании. Но можно рассматривать это как инвестицию, ведь подтверждается надежность и безопасность персональных данных клиентов и, таким образом, возрастает привлекательность вашего бизнеса.

      Все же нет обязательного требования привлекать специалистов — подрядчиков, можно это сделать самостоятельно. Все зависит от модели вашего бизнеса, сложности баз данных, процессов и финансовых возможностей.

      Несколько советов по принятию мер безопасности персональных данных самостоятельно:

    • Обследуйте свои информационные системы персональных данных, поймите, где именно и какие данные располагаются, как они двигаются и циркулируют, кто имеет к ним доступ
    • Классифицируйте свои информационные системы персональных данных (есть разные факторы классификации, например, расовая и национальная принадлежность, численность субъектов). Чем выше класс, тем серьезнее должна быть защита
    • Постройте модель угроз
    • Составьте список мер защиты и выполняйте их на основе классов информационных систем (включить в уведомление Роскомнадзора перечень таких мер)
    • Можете также привлечь сторонние организации частично по каким-то отдельным задачам. Определите степень привлечения.
    • Обучайте своих технических сотрудников
    • Проводите проверку эффективности мер самостоятельно или с привлечением подрядной организации не реже 1 раза в 3 года (п.6 Приказа ФСТЭК)
    • digitalrights.center

      Это интересно:

      • Как отозвать госпошлину Возврат ошибочно уплаченной госпошлины ГИБДД Для совершения регистрационных действий в ГИБДД или получения/замены водительского удостоверения требуется оплатить государственную пошлину, установленную Налоговым Кодексом РФ. Оплата производится в банке или через терминал […]
      • Михайлов юристы Онлайн консультация юриста в Михайлове Юрист Михайлов. Задавайте вопросы юристу и получите ответ в режиме онлайн. Консультация юриста (адвоката) в Михайлове (Рязанская область). Для заказа юридических услуг, или консультации адвоката в другом городе, воспользуйтесь формами […]
      • Космические рейнджеры патч для разрешения Космические Рейнджеры 2: Доминаторы. Перезагрузка Голосовать можно с 5 уровня Подробно О «Космические Рейнджеры 2: Доминаторы. Перезагрузка» Elemental Games; Katauri Interactive; СНК-Games Космические Рейнджеры 2: Доминаторы - компьютерная игра, разработанная […]
      • Орган опеки и попечительства иркутского района иркутской области Министерство социального развития, опеки и попечительства Иркутской области Руководство Руководство министерства социального развития, опеки и попечительства Иркутской области Родионов Владимир Анатольевич Иевлева Светлана Викторовна Плетан Татьяна […]
      • Снятие судимости с лиц ранее отбывших наказание Правила погашения судимости по уголовному праву (ст. 86 Уголовного кодекса РФ) 20 июля 2015 года 12:35 Судимость – это правовое состояние лица, совершившего преступление и осужденного приговором суда, которое связано с некоторыми правовыми ограничениями как в […]
      • Офисные аптечки приказ Офисные аптечки первой помощи Офисная аптечка – жизненно важная необходимость. Забота руководителей о здоровье подчиненных – первостепенная задача. С 2012 года аптечки первой помощи офисные должны иметься в наличии у любых компаний и предприятий, где работают люди. […]
      • Закон о наследстве узбекистан Закон о наследстве узбекистан Статья 1134. Общие положения Наследники по закону призываются к наследованию в порядке очередности, предусмотренной статьями 1135 - 1141 настоящего Кодекса. При наследовании по закону усыновленный и его потомство, с одной стороны, усыновитель […]
      • Удаление файлов из реестра программы Как правильно удалять программы с компьютера? Казалось бы, что сложного в удалении программ с компьютера? Но я знаю, что множество начинающих пользователей испытывают с этим проблемы. Вот, например, выдержка из одного письма, которое я получил: «…У меня к Вам такой вопрос: […]