Закон «О персональных данных» все что вы хотели знать, но боялись спросить

В сентябре 2015 года Федеральный закон о персональных данных претерпел серьезные изменения. Мы с вами сейчас внимательно их рассмотрим, чтобы понимать, как это все будет работать в реалиях Рунета. Юристы наши много раз говорили о ПДн и до вступления изменений в силу. И вот час настал, и все, что раньше только размусоливалось в теории, теперь введено в работу. Увы, мы пока не прорвались с докладом на главные каналы страны и все, что нам остается, писать сюда. Итак, приступим.
0fe680349f5943a38e5be8e2bfbecf33.jpg
Начать, конечно, нужно с того, что теперь при сборе персональных данных (сокращенно – ПДн, никто не знает почему именно так, но будем использовать то, что есть), в Интернете или офлайн, оператор обязан обеспечить запись, систематизацию, хранение и уточнение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации. Этот вопрос уже наделал много шума в Сети. И все уже много раз обсудили, что серверы с базами персональных данных граждан должны находиться на территории матушки нашей России. В этой связи возникло множество вопросов и кривотолков, и «уток», конечно, тоже. Граждане задались вопросами: «Где ж нам взять столько качественных серверов? А не ухудшит ли отсутствие конкуренции и без того «ниочень» ситуацию с отечественными серверами?». Оно и верно. Но мы сейчас не об этом.

Кого считать оператором? Как и прежде, это юридическое или физическое лицо, организующее или осуществляющее обработку ПДн. Но что конкретно скрывается за этим «ПДн-ом»? А это любая информация, относящаяся прямо или косвенно к определенному физическому лицу (то есть персональными данными можно считать не только ФИО и номер паспорта, а еще и номер телефона и e-mail этого самого лица).
Вся эта кутерьма с локализацией хранения данных граждан у нас на Руси – законодательная новинка. Поэтому закон несколько противоречив. Например, слишком широко и неоднозначно можно истолковать его положения, и, самое главное, непонятно, как должны работать новые нормы на практике.
Загадочно выглядит и главный камень преткновения – «базы персональных данных не должны храниться за рубежом», но в законе прописана возможность передачи персональных данных в другие страны (которые могут обеспечить адекватную защиту прав субъектов ПДн), именуемая трансграничной передачей данных. И вроде бы требование это относится только к российским компаниям и не распространяется на иностранные юрисдикции. То есть требование о хранении персональных данных в России не должно распространяться на организации, зарегистрированные за рубежом и собирающие персональные данные граждан РФ. Минкомсвязи пришел нам на помощь и пояснил, что при осуществлении деятельности в Интернете невозможно четко определить географические границы, а значит, необходимо обозначить ряд признаков, по которым тот или иной ресурс можно отнести к «используемым на территории РФ».
Конечно же, нельзя исключать и того, что закон, предложивший широкие трактовки и критерии, будет применяться избирательно и действие ФЗ «О персональных данных» будет направлено и на иностранные интернет-ресурсы, деятельность которых направлена в том числе на территорию России (интернет-магазины, маркетплейсы, платформы и пр.), которые могут быть заблокированы на территории РФ при несоблюдении требований российского закона о персональных данных. Как раз вокруг этого вопроса и поднялся основной срач шум и гам в соцсетях. Люди страшно боятся потерять своих френдов на Фб и фоловеров в Твиттере. Их можно понять, но мы снова отвлеклись от главного.

Минкомсвязи поделился с миром признаками ресурса, обязанного все наши персональные данные хранить в РФ, мы доносим их до вас, дорогие читатели.
Роскомнадзором будут использоваться два основных критерия:

  1. Использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru,.рф, .su и т. д.).
  2. Наличие русскоязычной версии интернет-сайта. А кроме того – наличие возможности осуществления расчетов в рублях, возможности исполнения заключенного на таком интернет-сайте договора на территории России или использование рекламы на русском языке.


Кстати, велика вероятность того, что контролирующие органы будут обращать свое зоркое око особливо на отечественные компании, работающие с заграничными сервисами.

Двинемся далее. Из текста статьи 18 ФЗ «О персональных данных» следует, что

При сборе ПДн оператор обязан обеспечить хранение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.


А это значит, что хранению в РФ подлежат персональные данные, полученные в результате организации сбора таких данных, а не в результате случайного попадания к нему. Соответственно, получение контактов, например, курьеров одной организации другой организацией, переданных в ходе рабочего процесса, не будет являться сбором персональных данных. А если вы получили визитку при личной встрече с сотрудником некой компании, потом забили эти данные в CRMку, да еще и в рассылку его включили, то, извините, это уже можно считать обработкой ПДн. Однако закон тут не дает точных формулировок и судебной практики еще нет. Поэтому можно долго и нудно обсуждать этот вопрос, но так и не прийти к точному ответу. Поэтому мы вместе с вами будем ждать пояснений свыше.

Рассматривать статьи ФЗ «О персональных данных» невозможно по отдельности. Простой пример: если требование по локализации отдельных процессов обработки ПДн из статьи 18 рассматривать вместе со ст. 12 о трансграничной передаче данных, при этом еще учитывая определения из статьи 3: «передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу», то в сумме мы получаем следующее: ПДн гражданина, изначально внесенные в базу на территории Российской Федерации и актуализируемые в ней («первичная база данных»), в дальнейшем можно передать в базы данных, расположенные за рубежом («вторичные базы данных»), с другими админами. Все это, естественно, должно проворачиваться с соблюдением положений о трансграничной передаче данных.

db4fa662e18a4c3f89cc508a00f2ec55.png
Следующее, о чем хотелось бы сказать, это «Реестр нарушителей прав субъектов персональных данных» (на картинке выше название портала Роскомнадзора), в который будут вноситься данные о тех ресурсах, которые обрабатывают персональные данные с нарушением закона. Пока попасть в реестр можно только по решению суда на основании заявления, поданного либо субъектом ПДн, либо Роскомнадзором. В качестве меры избрано ограничение доступа к сайту оператора. И чтобы эту меру осуществить, должен быть регламентированный порядок. Роскомнадзор не заставил себя ждать и уже утвердил такой порядок по схеме «реестр – хостинг-провайдер».
Мы его доносим как есть:

  1. Направление провайдеру хостинга уведомления о нарушении законодательства РФ в области персональных данных.
  2. Направление провайдером хостинга оператору реестра обращения об исключении информации о доменном имени или указателях страниц интернет-сайтов, сетевом адресе, позволяющем идентифицировать сайты, содержащие информацию, обрабатываемую с нарушением прав субъектов персональных данных, из реестра.
  3. Направление провайдеру хостинга оператором реестра уведомления об исключении из реестра доменного имени или указателя страницы интернет-сайта, а также сетевого адреса.
  4. Получение от провайдера хостинга оператором реестра информации, необходимой для организации взаимодействия в рамках ведения реестра.


В свою очередь провайдер сможет получить из реестра следующую информацию: доменное имя, сетевой адрес, страницу сайта, на котором осуществляется обработка информации с нарушением, номер дела и дата принятия судебного акта, на основании которого данные об информационном ресурсе были включены в реестр.

На этом у нас все.

Храните деньги в сберегательных кассах данные на территории РФ и не забывайте каждый раз просить согласия пользователей на сбор и обработку их персональных данных. Иначе Роскомнадзор найдет вас, даже если лично Вы находитесь на Бали.

© Megamozg