Написать письмо Заказать звонок
Улица 1905 года 8 (495) 287-60-01
Невский проспект 8 (812) 612-00-71

Обзор изменения законодательства о персональных данных

09.10.2015

Ключевые поправки в Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» вносятся в статью 18. Согласно этим изменениям, оператор, собирающий персональные данные, обязан хранить их на сервере, который располагается на территории России.

При этом предусмотрены исключения для указанных в четырех пунктах данных (2, 3, 4, 8 части 1 статьи 6). Они связаны с международными обязательствами России, осуществлением правосудия, работой органов государственной власти, научной, творческой и журналистской деятельностью. Стоит понимать, что речь в поправках идет только об операторах данных. Оператор данных — это физическое либо юридическое лицо или государственный орган, который осуществляет хранение и обработку персональных данных.

В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются. Соответствующая квалификация осуществляемых действий по обработке персональных данных и обеспечение ее соответствия требованиям законодательства осуществляются оператором персональных данных при обеспечении (организации обеспечения) такой обработки. Корректность упомянутой квалификации и обеспечения обработки в конкретной ситуации проверяется уполномоченным федеральным органом при проведении контрольных мероприятий.

Исходя из системного толкования законодательства (и недопустимости необоснованной экстерриториальности его действия), требования закона о персональных данных распространяются на российские компании и зарегистрированные на территории РФ филиалы и представительства иностранных юридических лиц.

В указанных случаях — такие субъекты являются операторами персональных данных по законодательству РФ.

Актуализация всех ранее собранных персональных данных (их обновление, изменение, уточнение) первоначально также должна производиться в базах данных на территории Российской Федерации, и эти базы на территории России всегда должны содержать все актуальные персональные данные, используемые оператором и полученные или актуализированные им в период времени, начиная с 1 сентября 2015 года.

Если у иностранного юридического лица нет на территории России филиала или представительства, то на него не распространяются требования закона «О персональных данных».

При учреждении новой компании в РФ, такая компания подпадает под действие закона «О персональных данных». Существующее понятие персональных данных, содержащееся в пункте 1 статьи 3 152-ФЗ («любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»), соответствует международному праву – подпункт «а» статьи 1 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом №160-ФЗ от 19 декабря 2005 года («любая информация об определенном или поддающемся определению физическом лице»).

Это значит, то такая компания, например, принимая на работу сотрудников и получая данные покупателей ее товаров, а по сути, получая любые данные о любом физическом лице гражданине РФ, подпадает под действие ст. 18 данного закона. Т.е. новая компания, созданная по законодательству РФ и осуществляющая свою деятельность в РФ, в любом случае ОБЯЗАНА хранить и обрабатывать такие персональные данные на серверах в РФ с использованием соответствующих баз данных.

В соответствии с ч. 1 ст. 22 Закона «О персональных данных» операторы обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Уведомление, предусмотренное ч. 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Указанный закон пока никак не регулирует вопрос копирования таких данных на иностранные серверы (при сохранении их на серверах в РФ).

Поправки в закон касаются только хранения персональных данных на территории РФ. То есть серверы с базами данных должны находиться на территории Российской Федерации, но передачи и обработки этих данных за рубежом поправки не коснулись.

В законе «О персональных данных» уже существует статья 12 под названием «Трансграничная передача персональных данных». И согласно первому пункту статьи, персональные данные граждан могут отправляться в те страны, которые приняли конвенцию Совета Европы о защите этих самых данных, а также в страны, не являющиеся стороной конвенции, но обеспечивающие адекватную защиту прав субъектов персональных данных.

Согласно разъяснениям Минсвязи РФ: Федеральным законом «О персональных данных» не предусмотрен запрет на передачу персональных данных, в том числе трансграничную, если такая передача осуществляется в соответствии с законодательством Российской Федерации, считаем возможным трансграничную передачу персональных данных работников с их письменного согласия.

Закон в новой редакции не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, за исключением периода их сбора.

Российская Федерация законом от 19.12.2005 № 160-ФЗ ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108). Ратификационная грамота принята Советом Европы 15.05.2013, и с 01.09.2013 вступили в силу обязательства Российской Федерации, обусловленные данной конвенцией. В соответствии с частью 2 статьи 12 «Передача персональных данных через границы и национальное право» Европейской конвенции, сторона конвенции не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.

Часть 1 статьи 12 закона «О персональных данных» устанавливает, что трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Европейской конвенции, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена лишь в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Иностранными государствами, обеспечивающими адекватную защиту прав субъектов персональных данных, в соответствии с частями 1 и 2 статьи 12 закона «О персональных данных», помимо государств-сторон Европейской конвенции, являются страны, включенные в утверждаемый Роскомнадзором перечень иностранных государств, не являющихся сторонами Европейской конвенции.

Вместе с тем, надо отметить, что актуализация всех ранее собранных персональных данных (их обновление, изменение, уточнение) первоначально также должна производиться в базах данных на территории Российской Федерации, и эти базы на территории России всегда должны содержать все актуальные персональные данные, используемые оператором и полученные или актуализированные им в период времени, начиная с 1 сентября 2015 года. Таким образом, после 1 сентября 2015 года российский оператор для использования при обработке персональных данных облачных сервисов, серверы которых расположены за пределами Российской Федерации, должен принять дополнительные меры, в частности, базу персональных данных, предназначенную для их первичного сбора, записи и накопления, а также последующей актуализации (уточнения, обновления, изменения) разместить на территории Российской Федерации и постоянно хранить обрабатываемые персональные данные в такой базе. При этом возможным является последующее копирование (перенос) этих данных на сервера за пределами Российской Федерации.

Соответственно, при неисполнении вышеуказанных требований закона может наступить ответственность за его нарушение.

Согласно ст. 24 ФЗ «О персональных данных»: лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность; моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Таким образом, существует несколько видов ответственности:

1. Уголовная:

ст. 137 УК РФ — нарушение неприкосновенности частной жизни: — штраф размером до 200 тысяч рублей или же в размере равном заработной плате за 18 месяцев, — обязательные работы сроком до 360 часов; — исправительные работы сроком до 1 года;— принудительные работы сроком до 2 лет; — запрет заниматься определенной деятельностью сроком до 3 лет; — арест сроком до 2 лет.

ст. 272 — неправомерный доступ к компьютерной информации.

2. Гражданская — в форме возмещения морального вреда.

3. Административная:

ст. 13.11 КоАП РФ - Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных): влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Статья 13.12 КоАП РФ - Нарушение правил защиты информации:
согласно этой статье административный штраф возлагается на нарушителей закона в размере от 500 до 30 тысяч рублей. Кроме того, к юридическим лицам может быть применена конфискация или административное приостановление деятельности сроком на 3 месяца.

ст. 13.14 КоАП РФ — Разглашение персональных данных: влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.

Кроме того, статья 19.7 КоАП РФ устанавливает ответственность за непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление таких сведений в неполном объеме или искаженном виде (влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей). 

Теги: законодательство, адвокат

Возврат к списку

Оставьте Ваше сообщение:

Заполните форму обратной связи и наш специалист свяжется с Вами в ближайшее время.

 
Выберите офис для обращения:*
Имя*
Е-mail*
Телефон
Ваше сообщение*
Защита от спама, отметьте пункт ниже:*
 

* - Поля, обязательные для заполнения