Заказать звонок

Спасибо!

Ваше сообщение успешно отправлено!

Юридическое сопровождение
интернет-проектов

Закон «О персональных данных» все что вы хотели знать, но боялись спросить

В сентябре 2015 года Федеральный закон о персональных данных претерпел серьезные изменения. Мы с вами сейчас внимательно их рассмотрим, чтобы понимать, как это все будет работать в реалиях Рунета. Юристы наши много раз говорили о ПДн и до вступления изменений в силу. И вот час настал, и все, что раньше только размусоливалось в теории, теперь введено в работу. Увы, мы пока не прорвались с докладом на главные каналы страны и все, что нам остается, писать сюда. Итак, приступим.
har.jpg
Начать, конечно, нужно с того, что теперь при сборе персональных данных (сокращенно – ПДн, никто не знает почему именно так, но будем использовать то, что есть), в Интернете или офлайн, оператор обязан обеспечить запись, систематизацию, хранение и уточнение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации. Этот вопрос уже наделал много шума в Сети. И все уже много раз обсудили, что серверы с базами персональных данных граждан должны находиться на территории матушки нашей России. В этой связи возникло множество вопросов и кривотолков, и «уток», конечно, тоже. Граждане задались вопросами: «Где ж нам взять столько качественных серверов? А не ухудшит ли отсутствие конкуренции и без того «ниочень» ситуацию с отечественными серверами?». Оно и верно. Но мы сейчас не об этом.

Кого считать оператором? Как и прежде, это юридическое или физическое лицо, организующее или осуществляющее обработку ПДн. Но что конкретно скрывается за этим «ПДн-ом»? А это любая информация, относящаяся прямо или косвенно к определенному физическому лицу (то есть персональными данными можно считать не только ФИО и номер паспорта, а еще и номер телефона и e-mail этого самого лица).
Вся эта кутерьма с локализацией хранения данных граждан у нас на Руси – законодательная новинка. Поэтому закон несколько противоречив. Например, слишком широко и неоднозначно можно истолковать его положения, и, самое главное, непонятно, как должны работать новые нормы на практике.
Загадочно выглядит и главный камень преткновения – «базы персональных данных не должны храниться за рубежом», но в законе прописана возможность передачи персональных данных в другие страны (которые могут обеспечить адекватную защиту прав субъектов ПДн), именуемая трансграничной передачей данных. И вроде бы требование это относится только к российским компаниям и не распространяется на иностранные юрисдикции. То есть требование о хранении персональных данных в России не должно распространяться на организации, зарегистрированные за рубежом и собирающие персональные данные граждан РФ. Минкомсвязи пришел нам на помощь и пояснил, что при осуществлении деятельности в Интернете невозможно четко определить географические границы, а значит, необходимо обозначить ряд признаков, по которым тот или иной ресурс можно отнести к «используемым на территории РФ». 
Конечно же, нельзя исключать и того, что закон, предложивший широкие трактовки и критерии, будет применяться избирательно и действие ФЗ «О персональных данных» будет направлено и на иностранные интернет-ресурсы, деятельность которых направлена в том числе на территорию России (интернет-магазины, маркетплейсы, платформы и пр.), которые могут быть заблокированы на территории РФ при несоблюдении требований российского закона о персональных данных. Как раз вокруг этого вопроса и поднялся основной шум и гам в соцсетях. Люди страшно боятся потерять своих френдов на Фб и фоловеров в Твиттере. Их можно понять, но мы снова отвлеклись от главного.

Минкомсвязи поделился с миром признаками ресурса, обязанного все наши персональные данные хранить в РФ, мы доносим их до вас, дорогие читатели. 
Роскомнадзором будут использоваться два основных критерия:
  1. Использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru,.рф, .su и т. д.).
  2. Наличие русскоязычной версии интернет-сайта. А кроме того – наличие возможности осуществления расчетов в рублях, возможности исполнения заключенного на таком интернет-сайте договора на территории России или использование рекламы на русском языке.
Кстати, велика вероятность того, что контролирующие органы будут обращать свое зоркое око особливо на отечественные компании, работающие с заграничными сервисами.

Двинемся далее. Из текста статьи 18 ФЗ «О персональных данных» следует, что 
При сборе ПДн оператор обязан обеспечить хранение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
А это значит, что хранению в РФ подлежат персональные данные, полученные в результате организации сбора таких данных, а не в результате случайного попадания к нему. Соответственно, получение контактов, например, курьеров одной организации другой организацией, переданных в ходе рабочего процесса, не будет являться сбором персональных данных. А если вы получили визитку при личной встрече с сотрудником некой компании, потом забили эти данные в CRMку, да еще и в рассылку его включили, то, извините, это уже можно считать обработкой ПДн. Однако закон тут не дает точных формулировок и судебной практики еще нет. Поэтому можно долго и нудно обсуждать этот вопрос, но так и не прийти к точному ответу. Поэтому мы вместе с вами будем ждать пояснений свыше.

Рассматривать статьи ФЗ «О персональных данных» невозможно по отдельности. Простой пример: если требование по локализации отдельных процессов обработки ПДн из статьи 18 рассматривать вместе со ст. 12 о трансграничной передаче данных, при этом еще учитывая определения из статьи 3: «передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу», то в сумме мы получаем следующее: ПДн гражданина, изначально внесенные в базу на территории Российской Федерации и актуализируемые в ней («первичная база данных»), в дальнейшем можно передать в базы данных, расположенные за рубежом («вторичные базы данных»), с другими админами. Все это, естественно, должно проворачиваться с соблюдением положений о трансграничной передаче данных.
har2.png
Следующее, о чем хотелось бы сказать, это «Реестр нарушителей прав субъектов персональных данных» (на картинке выше название портала Роскомнадзора), в который будут вноситься данные о тех ресурсах, которые обрабатывают персональные данные с нарушением закона. Пока попасть в реестр можно только по решению суда на основании заявления, поданного либо субъектом ПДн, либо Роскомнадзором. В качестве меры избрано ограничение доступа к сайту оператора. И чтобы эту меру осуществить, должен быть регламентированный порядок. Роскомнадзор не заставил себя ждать и уже утвердил такой порядок по схеме «реестр – хостинг-провайдер». 
Мы его доносим как есть:
  1. Направление провайдеру хостинга уведомления о нарушении законодательства РФ в области персональных данных.
  2. Направление провайдером хостинга оператору реестра обращения об исключении информации о доменном имени или указателях страниц интернет-сайтов, сетевом адресе, позволяющем идентифицировать сайты, содержащие информацию, обрабатываемую с нарушением прав субъектов персональных данных, из реестра.
  3. Направление провайдеру хостинга оператором реестра уведомления об исключении из реестра доменного имени или указателя страницы интернет-сайта, а также сетевого адреса.
  4. Получение от провайдера хостинга оператором реестра информации, необходимой для организации взаимодействия в рамках ведения реестра.
В свою очередь провайдер сможет получить из реестра следующую информацию: доменное имя, сетевой адрес, страницу сайта, на котором осуществляется обработка информации с нарушением, номер дела и дата принятия судебного акта, на основании которого данные об информационном ресурсе были включены в реестр. 

На этом у нас все.

Храните деньги в сберегательных кассах данные на территории РФ и не забывайте каждый раз просить согласия пользователей на сбор и обработку их персональных данных. Иначе Роскомнадзор найдет вас, даже если лично Вы находитесь на Бали.


Спасибо!

Пожалуйста, подтвердите подписку. Письмо отправлено вам на почту.

Следите за нашими новостями

Только полезные материалы.
Без спама.

+7 499 550-94-94 info@zarlaw.ru
Консультант доступен в будни, 10:00–19:00 по Москве
Заказать звонок