Хранение и обработка персональных данных. Инструкция. Закон о хранении персональных данных в россии принят в компромиссном виде Закон о данных на территории рф

29 Дек 2016

Персональные данные — это практически любая информация о физическом лице. Поэтому если Ваша организация работает с людьми, о которых Вы так или иначе информацию собираете, то эта инструкция будет Вам полезна. Она затронет следующие аспекты: получение согласия на обработку, уведомление субъекта персональных данных об обработке данных, уведомление Роскомнадзора, трансграничная передача данных, необходимость хранить персональные данные в России и организационные требования к оператору. Так что наберитесь терпения.

Законодательство о персональных данных в России аморфное — неясного в нем больше, чем доподлинно известного. Помимо «аморфности» законодательство еще вводит сложные и трудоемкие алгоритмы работы с персональными данными, что автоматически делает работу по его соблюдению более сложной, а данную инструкцию — более объемной.

Получение согласия

По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.

Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному. В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия. Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:

Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.

Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

Уведомление Роскомнадзора

Помимо получения согласия на обработку персональных данных есть еще одна бюрократическая сложность. В некоторых случаях необходимо уведомлять Роскомнадзор о том, что Ваша организация обрабатывает персональные данные. Как только такое уведомление Роскомнадзор получает, Вашу организацию могут включить в список плановых проверок. Само уведомление заполнить несложно. Его форму можно найти . (ссылка на).

В каких случаях можно не уведомлять Роскомнадзор:

  1. При обработке персональных данных работников организации
  2. Если персональные данные включают только фамилии, имена и отчества субъектов персональных данных.
  3. Если персональные данные обрабатываются для исполнения договора, который был заключен между организацией и субъектом персональных данных. Если Ваша организация не заключает договоры, но у Вас есть письменное обращение доверителя в Вашу организацию, то такое обращение также можно рассматривать в качестве основания для неуведомления Роскомнадзора. Обращаем внимание, что в случае заключения договора, в котором субъект персональных данных является бенефициаром (как, например, при похищениях и насильственных исчезновениях), а не стороной, то такой договор не освобождает от необходимости уведомления Роскомнадзора.
  4. Если данные обрабатываются без использования средств автоматизации. Многие общественные организации пользуются примерно следующим спектром офисных программ — Word, Excel, Power point + СПС типа Консультант. Мы полагаем, что обработка персональных данных с использованием данных программ не является обработкой с использованием автоматизации (почему мы так считаем, можете прочитать ). Таким образом, уведомлять Роскомнадзор об обработке не требуется. Однако судебная практика еще окончательно не ответила на этот вопрос. Поэтому если желаете перестраховаться, то лучше подать уведомление в Роскомнадзор.

Трансграничная передача персональных данных

Закон устанавливает, что трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Чаще всего правозащитные организации осуществляют трансграничную передачу в случае отправления жалоб в Европейский суд по правам человека или в органы ООН.

Требования законодательства таковы, что если трансграничная передача осуществляется не в безопасную страну (список безопасных стран можно посмотреть ), то необходимо или иметь договор с субъектом персональных данных, который бы предусматривал возможность такой передачи, или необходимо получить отдельное согласие на такую трансграничную передачу.

Хранение персональных данных на территории России

Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)? Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года. Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает, что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ. Другими словами, можно иметь две базы данных – одна в России, а другая – за рубежом. При этом Роскомнадзор, скорее всего, не сможет проверить, насколько эти базы идентичны.

Организационные требования к НКО

Огромное внимание Роскомнадзор уделяет правильно составленным обязательным документам. Поэтому рекомендуем Вам в самое ближайшее время разработать и утвердить следующие документы:

  1. Правила обработки персональных данных ()
  2. Порядок доступа работников в помещения, в которых проводится обработка персональных данных
  3. Документ о назначении лица, ответственного за организацию обработки персональных данных.

С правилами обработки персональных данных необходимо ознакомить всех работников НКО под роспись. Документы, содержащие персональные данные, должны храниться в запирающихся шкафах.

Закон также требует, чтобы персональные данные уничтожались тогда, когда их хранение уже не является необходимым. Например, жалоба была выиграна в Европейском суде, решение ЕСПЧ было исполнено, значит, данные нужно уничтожить. А об уничтожении составить акт.

Более того, мы Вам ранее рассказали, что закон требует, чтобы хранение и обработка велась в России, поэтому необходимо иметь документы, подтверждающие размещение баз данных на технических площадках (ЦОД, сервера) в России. Это могут быть либо собственные серверные мощности, либо арендованные.

Госдума приняла в третьем чтении закон о хранении персональных данных на территории России. Он вступит в силу с 1 сентября 2015 года, отрасль называет эту дату компромиссным вариантом

С наступлением осени компании будут обязаны хранить обработанные в интернете персональные данные россиян на серверах, которые расположены на территории России. Изначально предполагалось, что ограничение вступит в силу 1 сентября 2016 года. Затем депутаты решили ускорить процесс и в новой редакции фигурировала дата вступления закона в силу 1 января 2015. Комитет по информационной политике Думы внес эту поправку в связи «с общей ситуацией, с участившимися утечками персональных данных и с вопросами безопасности государства в целом». С этой датой законопроект был принят во втором чтении.

После ряда консультаций с представителями интернет-отрасли Госдума решила вернуться к рассмотрению документа и перенести срок вступления нормы в силу. Сегодня депутаты приняли законопроект сразу во втором и третьем чтениях, итоговой датой вступления закона в силу стало 1 сентября 2015 года.

«Это - компромиссный вариант. Видимо, депутаты посчитали, что недопустимо, чтобы данные россиян хранились за рубежом в течение 2015 года, но в ходе обсуждения с отраслью пришли к тому, что к 1 января 2015 года компании не успеют обеспечить соответствие требованиям, к тому же им непонятны многие механизмы, прописанные в законе», - заявил ранее РБК секретарь комиссии Совета Федерации по развитию информационного общества Александр Шепилов.

Директор Российской ассоциации электронной коммерции (РАЭК) Сергей Плуготаренко в интервью РБК отметил, что перенос срока вступления закона в силу на сентябрь дает отрасли время для корректировки документа. В этом процессе он рассчитывает прибегнуть к консультации представителей отрасли и профильных госучреждений.

Свое негативное отношение к законопроекту выражали многие представители IT-бизнеса. Также против принятия документа в существующей редакции выступала РАЭК. Позиция организации отражена на сайте.

«Локализация данных требует от провайдера информационных услуг построения физической местной инфраструктуры в каждой юрисдикции, в которой он работает, чрезвычайно увеличивая расходы и другие убытки как для провайдеров, так и потребителей услуг», - считают члены РАЭК. Они отмечают, что предоставление многих услуг в такой ситуации становится невозможным.

В октябре 2014 года Ассоциация компаний розничной торговли (АКОРТ), Ассоциация компаний интернет-торговли (АКИТ) и Ассоциация предприятий компьютерных и информационных технологий (РАТЭК) подготовили совместное обращение к президенту России Владимиру Путину. Из-за ограниченности времени и невозможности выполнить некоторые требования закона многие компании вынуждены будут прекратить свою деятельность в России, утверждали представители бизнеса.

Представитель системного интегратора «Инфосистемы джет» Валентин Крохин утверждает, что из-за более строгих требований, хранение данных в России обойдется компаниям на 30% дороже, чем в зарубежных дата-центрах. Его мнение цитирует газета «Ведомости». Эксперт оценил затраты российских компаний на хранение данных за рубежом в десятки миллионов долларов. Перевести такой объем в Россию значительная часть бизнеса не успеет, считает Крохин.

Вступление в силу закона отразится не только на IT-бизнесе. Проблемы могут возникнуть, например, у страховых и авиационных компаний, предприятий розничной торговли, сервисов международной связи, почтовой пересылки, бронирования гостиниц и авиабилетов.

«Цена, которую заплатит Россия, будет несравнимо выше тех рисков, о которых говорят авторы закона. Фактов преступного использования персональных данных мы не наблюдаем», - заявил РБК директор по связям с общественностью РАТЭК Антон Гуськов.

Директор центра информационной безопасности компании R-Style Евгений Акимов в интервью «Коммерсанту» отметил, что серьезные проблемы могут возникнуть у компаний, которые используют облачные сервисы, например зарубежные CRM-системы. «Смена практически невозможна, так как в России нет подобных сервисов. Решить проблему можно деперсонализацией данных. Можно также поменять облачный CRM на классический CRM, но это технологически сложная задача», - утверждает он.​

Итак, о чем же говорит закон?

Что нельзя делать?

Что можно делать?

Есть два варианта:

  • Перестроить архитектуру информационной системы и обеспечить первичную запись, хранение и актуализацию персональных данных в базах на территории России. Хранение и использование копий баз с персональными данными в зарубежных сервисах, таких как Microsoft Azure или Office365, не нарушает закон.

Microsoft ?

  1. Необходим локальный AD компании, в который заносятся персональные данные сотрудников.

    Федеральный Закон 242 о хранении персональных данных

    Локальный - размещенный на территории Российской Федерации, в том числе в любом российском облаке.

Обязательно ли для англоязычного сайта нужен английский хостинг? Может, можно обойтись какой-нибудь другой страной? В чем будут состоять особенности выбора и какие особенности стоит учитывать при этом?

Зарцын и партнеры

Эти и многие другие вопросы неизбежно встают перед владельцем англоязычного ресурса.

В настоящее время немало компаний предлагают выделенные сервера, расположенные за рубежом. Например, можно перейти по адресу и ознакомиться со всеми преимуществами и условиями предложений из Европы.

Преимущества услуг зарубежных компаний

Все больше и больше компаний стремятся иметь сервера на территории Европы. И тому есть как субъективные, так и вполне объективные причины. Отвечая для себя на вопрос, как выбрать провайдера, каждый должен решить: действительно ли все доводы являются объективно важными для самого пользователя, либо выбор обусловлен некими личными предпочтениями и убеждениями.

Тем не менее, вот несколько вполне объективных доводов в пользу заграничного хостинга для англоязычного сайта:

  • Прекрасный уровень сервисной поддержки и грамотный персонал, который действительно может и хочет помочь, а не отписывается от клиента в духе «мы работаем над вашим вопросом». Пока для большинства российских компаний такое, увы, недостижимо;
  • Улучшенная стабильность и скорость соединения. В случае же с американскими серверами, то здесь - в силу расстояний - скорость не всегда стабильна. Поэтому, например, хостинг в Германии будет гораздо предпочтительнее, чем в США;
  • Более качественное оборудование;
  • Если же принять во внимание то, что ценовая политика многих российских провайдеров базируется на принципе «подоить клиента», то аренда за границей будет в самом деле выгоднее. Особенно в случае с виртуальным облачным хостингом, который и сам по себе дешевле, нежели хостинг физический.

Недостатки хостинга за границей

В целом, зарубежный хостинг имеет весьма субъективные недостатки, которых может и не быть в случае с другими пользователями. И к одним из них принадлежит языковой барьер. Ведь в процессе аренды придется вести переписку с владельцем сервера, настраивать оборудование и ПО… Понятно, что без знания хотя бы английского языка (а еще лучше - той страны, на территории которой расположен сервер) все это будет весьма затруднительно.

К тому же, выбирая хостинг в Европе, пользователь должен быть готовым к тому, что придется поначалу испытывать некоторые затруднения с конвертацией валют и при выборе оптимального варианта производства финансовых операций.

Подводя итог, можно утверждать, что наилучшим вариантом для хостинга англоязычного ресурса будет облачный сервер выделенного типа где-нибудь в Европе. Например, все в той же Германии.

Федеральный Закон 242 о хранении персональных данных.

C 1 сентября 2015 года в Российской Федерации начинало действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

Для того, чтобы понять, что можно делать, а что нельзя, мы подготовили данный материал.

Итак, о чем же говорит закон?

Что нельзя делать?

  • Полностью хостить сайт, содержащий персональные данные, вне территории Российской Федерации, без принятия дополнительных мер.
  • Предоставлять прямой доступ с российского сайта в зарубежные информационные системы, если персональные данные предварительно не зафиксированы в базе на территории Российской Федерации.
  • Напрямую использовать по схеме Saas приложения, обрабатывающие персональные данные и находящиеся за пределами РФ, без принятия дополнительных мер.

Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе - на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи, включая использование данных из информационных систем, находящихся за пределами РФ.

Закон в новой редакции не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данный в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, за исключением периода их сбора.

Административная ответственность

Статья 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

  • На граждан в размере от 300 до 500 рублей;
  • На должностных лиц - от 500 до 1 тысячи рублей;
  • На юридических лиц - от 5000 до 10 000 рублей.

Что можно делать?

Не стоит забывать о том, что ограничения на размещение баз персональных данных вводятся на период сбора (внесения изменений) персональных данных и не затрагивают их последующей обработки после завершения сбора (внесения изменений).

Ограничения касаются только персональных данный граждан Российской Федерации и не касаются персональных данных граждан других государств и лиц без гражданства.

Что делать, чтобы выполнить закон?

  • Обеспечить первичное размещение баз данных, в которые собираются персональные данные граждан России, на технических средствах, целиком располагающихся на территории Российской Федерации;
  • Обеспечить уточнение, обновление, изменения, извлечение персональных данных в этих базах сначала на территории России и лишь затем передавать их за рубеж при необходимости;
  • Применять те же правила в отношении персональных данных граждан, чье гражданство неизвестно или установить его нельзя.

На территории России всегда должна быть актуальная база персональных данных, используемых российским оператором персональных данных в своей деятельности.

Есть два варианта:

  • Перестроить архитектуру информационной системы и обеспечить первичную запись, хранение и актуализацию персональных данных в базах на территории России.

    Чего ждать бизнесу от закона о хранении персональных данных?

    Хранение и использование копий баз с персональными данными в зарубежных сервисах, таких как Microsoft Azure или Office365, не нарушает закон.

  • Хранить данные в информационной системе за рубежом в зашифрованном виде, а расшифровывать данные только в приложении, находящимся на территории России.

Следует помнить, что зашифрованный массив данных без ключа у провайдера - не персональные данные!

Как использовать облачные продукты компании Microsoft ?

  1. Необходим локальный AD компании, в который заносятся персональные данные сотрудников. Локальный - размещенный на территории Российской Федерации, в том числе в любом российском облаке.
  2. Использовать службу синхронизации каталогов Office 365 (DirSync) для синхронизации учетных записей (без поддержки функциональности единого входа SSO).
  3. Использовать службу федерации Active Directory (ADFS) для поддержки функциональности единого входа SSO

СЭД/ЕСМ система DocSpace поддерживает схемы развертывания без нарушения требований ФЗ-242 как при локальной установке, так и при использовании в облаках: Azure, хостинг в России или за рубежом, гибридные облака.

Программное обеспечение компании Conteq соответствует всем требованиям закона. Вам остается только сосредоточится на своих задачах. О соблюдении закона позаботимся мы.

С 01 сентября 2015 г. вступили в силу дополнения, вносимые в статью 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее по тексту – Федеральный закон), а именно часть 5 следующего содержания:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.».

Указанные исключения будут касаться только исполнения Российской Федерацией принятых на себя международных обязательств, осуществления правосудия, работы органов государственной власти, журналистской, научной, литературной и иной творческой деятельности.

Таким образом, если деятельность оператора не сопряжена с указанной выше, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием серверов с базами данных, расположенных на территории Российской Федерации.

Вносимые изменения не освещают вопрос о необходимости переноса серверов с территории иностранных государств на территорию РФ. Исходя из буквального понимания положения ч. 5 ст. 18 Федерального закона и недопустимости необоснованного расширительного толкования, перенос серверов на территорию РФ не является необходимой мерой. Законодательством РФ ответственность для российских обществ за наличие серверов на территории иностранных государств также не предусмотрена.

Использование серверов, расположенных на территориях иностранных государств, «как раньше» не представляется возможным .

Обращаем внимание, что вносимые изменения не распространяются на ситуации, когда сервер принадлежит иностранной компании, находится на территории иностранного государства и используется для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации.

Исходя из недопустимости необоснованной экстерриториальности действия законодательства, требования Федерального закона распространяются только на российские компании и зарегистрированные на территории РФ филиалы и представительства иностранных юридических лиц.

Таким образом, иностранные юридические лица, не имеющие филиалы и представительства на территории РФ, вправе осуществлять хранение персональных данных граждан РФ на серверах, расположенных вне территории РФ, поскольку формально под действие Федерального закона они не подпадают, если это разрешено их национальным законодательством.

Действия, которые должны осуществлять исключительно в России

В соответствии с ч. 5 ст. 18 Федерального закона нижеперечисленные действия должны осуществляться исключительно на сервере, расположенном на территории Российской Федерации:

  • запись персональных данных,
  • систематизация персональных данных,
  • накопление персональных данных,
  • хранение персональных данных,
  • уточнение (обновление, изменение) персональных данных,
  • извлечение персональных данных.

Применительно к передаче и обработке персональных данных (к которой относится также обработка данных без сбора персональных данных) территориальное ограничение не установлено, следовательно, такие действия осуществляются в соответствии с действующим в настоящее время порядком.

Актуальную информацию по вопросу принятия официальных разъяснений Роскомнадзором можно узнать, перейдя по ссылке: http://rkn.gov.ru/.

Трансграничная передача персональных данных

Существующий в настоящее время порядок передачи и обработки персональных данных установлен ст. 12 Федерального закона, согласно которой трансграничная передача персональных данных (на территории иностранных государств) может осуществлять в том случае, если государство-получатель является участником Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981 г.), далее по тексту – Конвенция. Кроме того, передача персональных данных также может быть осуществлена в иные иностранные государства, признанные способным обеспечить адекватную защиту прав субъектов персональных данных (см. Приказ Роскомнадзора от 15.03.2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»).

После вступления в силу изменений в закон на серверах, расположенных на территории страны - участника Конвенции, оператор не сможет записывать, хранить, извлекать персональные данные. Оператор сможет осуществлять только передачу и обработку данных на сервере, расположенном в такой стране. То есть, все хранящиеся данные на сервере в стране – участника Конвенции необходимо будет переместить на сервера в РФ.

Действия с персональными данными

Действия, которые можно осуществлять на сервере в РФ, российским обществом

Действия, которые можно осуществлять на сервере участника Конвенции, российским обществом

Передача персональных данных

Обработка персональных данных

запись персональных данных

систематизация персональных данных

накопление персональных данных

хранение персональных данных

уточнение (обновление, изменение) персональных данных

извлечение персональных данных

На данный момент буквальное толкования вступающих в силу изменений, при отсутствии официальных разъяснений, предполагает, что спектр правомочий оператора по обработке персональных данных с использованием серверов, расположенных на территориях иностранных государств, строго ограничен.

В частности, предполагается, что хранение на зарубежных серверах даже резервных копий персональных данных будет квалифицироваться как нарушение норм законодательства о защите персональных данных.

Однако, по словам Министра связи, предполагается создание достаточно широкой подзаконной нормативно-правовой базы, в рамках которой будет определено какие сведения, при каких обстоятельствах, в каких системах, как конкретно должны храниться и обрабатываться, в том числе на территории РФ. В ее рамках ведомствам предстоит определить, какие сведения, при каких обстоятельствах, в каких системах, как конкретно должны храниться и обрабатываться на российской территории. В частности, по мнению министра, имя, фамилия, дата рождения, размещенные в Twitter и Facebook, можно будет признать "нечувствительными" для пользователей. Такая информация может храниться и за рубежом . То есть, не исключено, что законодательно будет установлено разрешение на хранение отдельных сведений на серверах, расположенных на территориях иностранных государств.

Ответственность за нарушение вступающих в силу изменений

Административная ответственность

За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) ст. 13.11. КоАП предусмотрена следующая ответственность:

  • наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей;
  • наложение административного штрафа на юридических лиц – от пяти тысяч до десяти тысяч рублей.

Блокировка информационного ресурса

Кроме того, с 01.09.2015 г. вступают в силу изменения, вносимые в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Данные изменения предусматривают блокировку информационного ресурса, на котором обработка персональных данных граждан РФ осуществляется с нарушением законодательства.

Роскомнадзор имеет возможность заблокировать Интернет-ресурсы, осуществляющие обработку персональных данных граждан РФ с нарушениями законодательства, уже в настоящее время.

Примером тому является решение, вынесенное Ангарским городским судом Иркутской области по иску Роскомнадзора в защиту прав неопределенного круга лиц в связи с незаконной обработкой их персональных данных (дело № 2-799-14 от 30.04.2014 г.). В соответствии с материалами данного дела, сайт www.telkniga.com распространял персональные данные граждан РФ без получения их предварительного согласия. В результате, деятельность сайта www.telkniga.com признана незаконной и нарушающей права российского гражданина, а размещенная в интернете информация, содержащая персональные данные, – запрещенной к распространению в Российской Федерации. Указанный сайт включен единый реестр запрещенной информации.

Реестр нарушителей прав субъектов персональных данных

Создание автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», создание, формирование и ведение которой будет осуществляться Роскомнадзором.

В указанный реестр будут включаться, в частности, следующие данные об информационном ресурсе: сетевой адрес, доменное имя, указатель страниц, позволяющий идентифицировать информацию, обрабатываемую с нарушениями законодательства.

Включение в Реестр и ограничение доступа к информационному ресурсу будут возможны только на основании вступившего в законную силу судебного акта.

ВЫВОДЫ

  1. После 01 сентября 2015 года запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ можно будет осуществлять с использованием серверов, расположенных исключительно на территории Российской Федерации. В связи с этим необходимо будет перенести все персональные данные граждан РФ, хранящиеся на серверах, расположенных в иностранных государствах, на сервера в РФ.
  2. Осуществлять иные действия можно с использованием баз данных, расположенных на территории иностранных государств. Оператор правомочен осуществлять обработку заказов без сбора персональных данных и калькуляцию персональных данных граждан РФ на серверах, расположенных в странах – участниках Конвенции либо перечисленных в Приказе Роскомнадзора от 15.03.2013 г. № 274. Трансграничная передача персональных данных возможна на территорию иностранных государств, являющихся сторонами вышеуказанной Конвенции Совета Европы, либо перечисленных в Приказе Роскомнадзора от 15.03.2013 г. № 274.
  3. Если сервер принадлежит иностранной компании и находится на территории иностранного государства, то иностранная компания вправе использовать его для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации, поскольку вступающие в силу изменения не распространяются на иностранные юридические лица, которые не имеют филиалов и представительств на территории РФ. Однако сложно предсказать действия Роскомнадзора к таким иностранным компаниям. Роскомнадзор может применить санкции к таким иностранным компаниям, например, блокировку информационного ресурса. Как действовать в таких случаях иностранным компаниям, пока сказать сложно. Помимо этого, с 01.09.2015 года вступит в силу п.п.3.1. п.3 ст.23 Федерального закона, согласно которому уполномоченный орган по защите прав субъектов персональных данных имеет право ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации.

С 01.09.2015 года вступили поправки к федеральному закону “О персональных данных" (Закон 152 ФЗ) .
Согласно закону, данные, которые клиент вводит на вашем сайте должны хранится на территории РФ.
И это еще не все. О том, кого коснется этот закон и что делать, в нашей в статье.

С 1 сентября 2015 года вступили поправки к закону “О персональных данных”.
Согласно этому закону, все данные, которые клиент вводит на вашем сайте и которые являются именно персональными данными (паспортные, адреса, в т.ч. e-mail, платежные данные и т.д.) должны храниться на территории Российской федерации.

ВОТ ВЫДЕРЖКА ИЗ ЗАКОНА 152 о защите персональных данных

“При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона» (ч. 5 ст. 18 ФЗ “О персональных данных”).”


Под термином “Оператор” стоит понимать все компании, в частности e-commerce, на сайтах которых клиенты указывают личную информацию.

Ну и это еще не все. В феврале 2017 года были внесены очередные поправки в закон о защите персональных данных. Эти поправки обязывают всех владельцев сайтов и интернет-магазинов (Операторов), оповещать пользователей о том, что при вводе личных данных на сайте, они дают свое согласие на их сбор, обработку и хранение.

Если проигнорировать эти поправки в закон, то вы рискуете получить штраф в размере до 75000 рублей за одно нарушение. А если их больше, то сумма штрафа возрастет (о нарушении законодательства РФ в области персональных данных - статья 13.11 КоАП РФ)

ЧЕМ ЕЩЕ ГРОЗИТ НЕСОБЛЮДЕНИЕ ЗАКОНА О ПЕРСОНАЛЬНЫХ ДАННЫХ?

Мы уже рассказали про немалые штрафы. Это может коснуться каждого. И не думайте, что это не про вас:) Посмотрите судебную практику и вы поймете, что это не шутки. Вот, например, нашумевшее дело Тамбовской юридической компании (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016), которую оштрафовали за нарушения в области хранения ПД. Сумма штрафа незначительная, но нужно иметь в виду, что с 1 июля 2017 года штрафы существенно выросли.

Помимо административной ответственности может быть и уголовная. Так если вы причините моральный вред пользователю, чьи персональные данные, например, попали в чужие руки.
Ну и за подобные нарушения Роскомнадзор может заблокировать сайт и внести вас в так называемый “черный список”.
И тогда будьте готовы к дополнительным проверкам со стороны Роскомнадзора.

ЧТО ДЕЛАТЬ?

  1. Первое, что нужно сделать - уведомить пользователей об обработке персональных данных . Если вы этого еще не сделали, то сейчас самое время. Разработайте и разместите на сайте документ об обработке ПД, а также заручитесь согласием пользователей на такую обработку (например, поставив чекбокс с информацией под каждой формой регистрации).
    Вообще, это можно сделать по-разному, в зависимости от ваших целей и особенностей бизнеса. Например, Озон размещает на сайте политику конфиденциальности и при регистрации пользователя берет согласие на обработку ПД. Или можно разместить информацию о сборе ПД в рамках публичной оферты, как это делает Ламода и также собирать согласие на обработку при регистрации. Или как у СберБанка, который размещает такую информацию в договоре.
  2. Подготовьте внутренние документы , регулирующие правила для исполнения данного закона. К таким можно отнести приказы, инструкции и назначения ответственных лиц за хранение персональной информации.
  3. Очень важно убедится, что данные хранятся в России (на российских серверах).
    Этого требует закон о защите информации пользователей (ч. 5 ст. 18 ФЗ “О персональных данных”).
    Поэтому уточните у своего хостинг-провайдера адрес места расположения серверов, на которых размещается ваш сайт и заключите с ним договор, где будет указан данный адрес. Этот адрес вам потребуется для заполнения уведомления в Роскомнадзор. Если у вас свой сервер, то обязательно сохраните документы на него. Их может потребовать Роскомнадзор в ходе возможной проверки. То же самое справедливо и для договора с хостинг-провайдером.

    Если ваш хостинг-провайдер размещает свои серверы в российском Дата-центре, то все хорошо.
    Это самый простой способ удовлетворить требования закона, купив хостинг у отечественного провайдера.

    Есть и другой способ, который называется трансграничная передача данных. Законом это не запрещено. Позволяется хранение ПД за рубежом, но с некоторыми оговорками. Так, компания в любом случае, помимо хранения ПД заграницей, должна иметь такую базу данных и на территории РФ. Но при этом база должна быть наиболее полной и актуальной. Схема тут такая - вся база с персональными данными собирается, систематизируется и хранится на территории РФ, а потом уже данные можно передавать за рубеж. Тут важно понимать, что первоисточник - это база на территории РФ.

  4. После этого, подготовьте и отправьте уведомление в Роскомнадзор.
    Сделать это можно через электронную форму на сайте :

    Уведомление подавать не нужно, если:


      вы обрабатываете только данные сотрудников;

      заключаете договор с конкретным лицом и указанные в договоре данные используются только для исполнения этого договора, т.е. информация не публикуется и не передается третьим лицам без согласия на то субъекта персональных данных (данный пункт является неоднозначным, так как могут возникнуть вопросы из-за специфики бизнеса. Важно грамотно составить договор, учитывая все нюансы, удовлетворяющие требованиям закона. Поэтому, рекомендуем проконсультироваться с юристом. И если однозначного ответа нет, то лучше подайте уведомление.);

      если собираемые данные включают в себя только ФИО пользователей;

      если пользователь сам сделал свои персональные данные общедоступными.

Обратите внимание , что речь идет только о случаях, когда уведомление подавать не надо. Вышеперечисленные данные все равно являются персональными и уведомлять об этом пользователя нужно обязательно.

ВМЕСТО ЗАКЛЮЧЕНИЯ

Боятся этого закона не стоит. Он же регулирует наши с вами права, как физических лиц. Каждый из нас хотя бы раз приобретал товары через интернет и оставлял свои личные данные. Теперь у нас с вами есть основания для отстаивания своих прав в законном порядке, если права наши будут нарушены.

Для владельцев сайтов самое главное все грамотно оформить. Этим вы обезопасите себя от штрафов, иной ответственности и заручитесь доверием клиентов.
Маленькая ремарка: советуем не делать под копирку, например, как у конкурентов - у каждого своя специфика. Лучше потратить время на разработку документации конкретно под ваш бизнес, чем потом платить штрафы. И если у вас все еще остались вопросы, обратитесь к помощи вашего юриста, так как данная статья не заменит специалиста , который поможет вам сделать все так как нужно и конкретно под ваши цели и задачи.

  • Поделиться: