Новшества в законодательстве по персональным данным

Анастасия Успенская 9 ноября 2015

С 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». В народе его прозвали законом «о хранении ПДн россиян на территории РФ».

Один закон меняет сразу три

Закон № 242-ФЗ от 21.07.2014 вносит изменения в положения трех уже существующих нормативно-правовых актов:

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» дополнен ст. 15.5, регламентирующей ведение реестра нарушителей прав субъектов ПДн. Также внесены изменения в ст. 16, определяющую обязанности обладателя информации (оператора информационной системы).

— Положения Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» теперь не распространяются на контроль за соблюдением требований в сфере распространения информации в сети «Интернет» и на контроль и надзор за обработкой персональных данных. Это означает ужесточение надзорной деятельности в этих сферах: значительное расширения оснований для проверок, отмену обязательного согласования проверок с прокуратурой, отмену обязанности Роскомнадзора размещать на своем официальном сайте план ежегодных проверок и другие меры.

— В ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» внесена ч. 5, обязывающая операторов выполнять запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ при сборе ПДн с использованием баз данных, находящихся на территории РФ (с небольшими исключениями).

Порядок трансграничной передачи персональных данных

По новым правилам восемь видов обработки ПДн (запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение) должны при сборе персональных данных производиться на территории РФ. Акцент следует сделать на слова «при сборе».

Давайте разберемся, что такое сбор персональных данных? Это понятие в ФЗ-152 не определено. Исходя из логики и здравого смысла, а также прислушиваясь к недавнему комментарию Минкомсвязи России, можно сделать вывод, что сбор персональных данных — не любое их получение, а получение лишь у субъекта персональных данных либо его законного представителя.

У операторов появилась обязанность собирать ПДн в российские базы, а далее, когда сбор окончен, закон не запрещает передавать, хранить, обновлять и совершать любые другие действия с данными, кроме сбора, на территории другого государства.

Новым законом не запрещается трансграничная передача персональных данных, ее правила никак не меняются. Осуществление трансграничной передачи данных, как и раньше, должно выполняться в соответствии со ст. 12 ФЗ № 152 «О персональных данных».

Где и как указывать сведения о базе данных?

В соответствии с нововведениями оператор персональных данных должен с 1 сентября 2015 года в уведомлении об обработке ПДн и информационном письме о внесении изменений сообщать Роскомнадзору сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ. Пункт о том, где выполняется хранение персональных данных — в России или за рубежом, должен стоять после сведений о трансграничной передаче. При этом на момент написания статьи (конец октября 2015 года) в формах уведомления и информационного письма на официальном сайте Роскомнадзора так и не появилось строчки для указания этой информации.

Тем временем Роскомнадзор уже засыпает ни о чем не подозревающих операторов письмами с требованием предоставить недостающие сведения. Остается только один вариант выполнить требования закона — вручную добавить эту информацию.

Рекомендации по предоставлению сведений:

  1. Заполните информационное письмо об изменениях, а если вашей организации еще нет в реестре операторов — уведомление об обработке на официальном сайте Роскомнадзора. Отправьте в ведомство электронную версию письма/уведомления. В печатную форму добавьте сведения о месте нахождения сервера с базами данных ПДн россиян и отправьте бумажный документ в Роскомнадзор по почте в измененном виде. Если сервер с базами данных принадлежит оператору, нужно указать адрес сервера, где хранится база данных граждан РФ, а если оператор использует серверные мощности другой компании, то — наименование, ИНН и адрес компании-владельца сервера.
  2. Проверьте, подпадает ли ваша деятельность под исключения (пп. 2, 3, 4, 8 ч. 1 ст. 6 ФЗ № 152 «О персональных данных»), например, не связана ли она с международным законодательством.
  3. Сфокусируйте внимание на грамотном построении и описании технологического процесса обработки информации в ИС персональных данных.

Анастасия Успенская, эксперт продукта Контур.Персональные данные компании СКБ Контур


Поделиться
Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
825 просмотров
В избранное
Комментарии Написать свой
Спасибо за ваше мнение!

Читайте также

Загрузить еще
loader
Спасибо за подписку.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.