В законе №242-ФЗ указано: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона» (ч. 5 ст. 18 ФЗ “О персональных данных”)».
Министерство связи и массовых коммуникаций предлагает разъяснения и ответы на часто задаваемые вопросы, подготовленные на основании информации, полученной от представителей бизнеса, научного сообщества и органов государственной власти РФ (Совет Федерации РФ, Минкомсвязи РФ, Роскомнадзор).
Положение о локализации хранения и отдельных процессов обработки персональных данных вступают в силу 1 сентября 2015 года. Вместе с тем отдельные термины и формулировки, использованные в тексте данного положения, не имеют законодательных дефиниций и допускают различные толкования. Кроме того, по причине новизны концепции локализации персональных данных, возникает ряд вопросов относительно соотношения данного положения с иными нормами ФЗ «О персональных данных».
В связи с этим образовалась правовая неопределенность относительно порядка исполнения требований ФЗ-242. Многие организации не понимают, какие изменения им необходимо внести в свою ИТ-инфраструктуру и (или) бизнес-процессы для того, чтобы исполнить закон, особенно если такая инфраструктура носит трансграничный характер. Поскольку от правильного понимания содержания ряда понятий и механизма реализации положений о локализации напрямую зависит объем затрат, которые должны понести организации для исполнения требований закона, во избежание создания необоснованной дополнительной финансовой нагрузки на бизнес, а также обеспечения единых «правил игры» для всех участников рынка, необходимо предоставление разъяснений по ряду ключевых вопросов, которые возникли у организаций. Указанные разъяснения целесообразно предоставить заблаговременно и до вступления в силу ФЗ-242 для того, чтобы обеспечить разумную возможность обеспечения исполнения требований закона, а также минимизировать напряженность, возникшую в связи с принятием ФЗ-242. К тому же такого рода разъяснения будут полезны и для обеспечения единообразия правоприменительной практики.
Перечень разъяснений подготовлен на основании информации, полученной от представителей бизнеса, научного сообщества и органов государственной власти РФ (Совет Федерации РФ, Минкомсвязи РФ, Роскомнадзор). Большая часть данных вопросов также выступала предметом дискуссий на серии закрытых встреч, проведенных Роскомнадзором в феврале-марте 2015 года.
В связи с трансграничным характером сети Интернет, обеспечивающей возможность приобретения товаров и услуг у иностранных лиц, возникает вопрос, при каких условиях требования ч. 5 ст. 18 ФЗ «О персональных данных» распространяются на иностранные организации, не имеющие физического присутствия на территории Российской Федерации.
ФЗ «О персональных данных» не содержит специальных положений, регламентирующих сферу его действия по территории и кругу лиц. В связи с этим для решения вопроса необходимо обратиться к положениям иных законов. В соответствии с ч. 1 ст. 15 ФЗ «Об информации, информационных технологиях и защите информации» на территории Российской Федерации использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства Российской Федерации в области связи, настоящего Федерального закона и иных нормативных правовых актов Российской Федерации. Таким образом, действие российских законов, включая ФЗ «О персональных данных», по общему правилу, ограничено территорией Российской Федерации. Однако при осуществлении деятельности в информационно-телекоммуникационной сети Интернет, которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы осуществления такой деятельности, необходимо установление специальных критериев, при которых она может быть отнесена к осуществляемой на территории Российской Федерации. Одной лишь доступности интернет-сайта на территории Российской Федерации недостаточно для вывода о том, что на него распространяется законодательство Российской Федерации, в том числе о персональных данных, поскольку в таком случае сфера его применения носила бы по существу всемирный характер и делала бы практически невозможным контроль за его исполнением.
В связи с этим в международном частном праве и законодательстве о защите прав потребителей (ст. 1212 Гражданского кодекса РФ), с которым тесно связано законодательство о персональных данных, был выработан критерий направленности деятельности лица на территорию Российской Федерации как условия применения законодательства Российской Федерации к отношениям с иностранным субъектом. Аналогичный критерий используется и в европейской практике (Ст. 15(1)(с) Регламента ЕС № 44/2001 от 22 декабря 2000 г. «О юрисдикции, признании и исполнении судебных решений по гражданским и торговым делам»; ст. 6 Регламента EC № 593/2008 от 17 июня 2008 «О праве, применимом к договорным отношениям»; Ст. 3 (2) Draft EU General Data Protection Regulation).
В данном случае действие ФЗ «О персональных данных» будет направлено на интернет-ресурсы (сайт в сети Интернет, страница сайта в сети Интернет), с использованием которых лицо осуществляет направленную на территорию Российской Федерации деятельность, которые могут быть заблокированы в установленном порядке при несоблюдении их владельцем, являющимся резидентом иностранного государства требований Федерального закона «О персональных данных».
О наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства: 1) использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru, .рф., .su, .москва., moscow и т.п.) и (или) 2) наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков не должно приниматься во внимание). При этом поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности интернет-сайта именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов: возможности осуществления расчетов в российских рублях; возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России), использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту, или иных обстоятельств, явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Таким образом, обязанности по локализации отдельных процессов обработки персональных данных распространяются на иностранных операторов при условии осуществления ими направленной деятельности на территорию Российской Федерации и отсутствии исключений, прямо указанных в ч. 5 ст. 18 ФЗ «О персональных данных» (например, международного договора, для достижения целей которого осуществляется обработка).
Достаточно много вопросов возникает у представителей бизнеса в связи с возможной обратной силой ФЗ-242 и распространением его действия на процессы обработки персональных данных, имевших место до вступления его в силу.
В соответствии с устоявшимися правовыми принципами придание обратной силы правовым нормам, ухудшающим правовое положение лиц и устанавливающим новые обязанности, является, по общему правилу, недопустимым. Исключение составляют случаи, когда обратная сила прямо предусмотрена в законе. ФЗ-242 не содержит подобного рода положений. Соответственно, обязанность по локализации, предусмотренная ч. 5 ст. 18 Федерального закона «О персональных данных», распространяется на отношения по обработке персональных данных, которые возникнут после вступления его в силу.
Таким образом, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации в рамках сбора, который будет осуществляться, начиная с 1 сентября 2015 года, должны производится с учетом новых требований Федерального закона №152-ФЗ, а именно с использованием баз данных, находящихся на территории Российской Федерации.
Формулировка ч. 5 ст. 18 ФЗ «О персональных данных» связывает обязанность оператора по обеспечению локализации с процессом сбора персональных данных. В связи с этим важное значение приобретает определение понятия «сбора» персональных данных, поскольку от него напрямую зависит размер затрат, которые необходимо понести для адаптации информационных систем, задействованных в процессе обработки персональных данных, к требованиям ФЗ-242. Обязанности по локализации отдельных процессов обработки персональных данных возникают лишь при сборе персональных данных. Из ч. 1 ст. 18 ФЗ «О персональных данных», посвященной обязанностям оператора при сборе персональных данных, можно сделать вывод, что под сбором можно понимать целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц. Таким образом, локализации подлежат только те персональные данные, которые были получены оператором в результате осуществляемой им целенаправленной деятельности по организации сбора таких данных, а не в результате случайного (незапрошенного) попадания к нему персональных данных, например, вследствие получения писем по электронной или иной почте, в которых содержатся персональные данные. Аналогичным образом, не является сбором получение одним юридическим лицом персональных данных от другого юридического лица, если такие данные представляют собой контактную информацию работников или представителей такого юридического лица, переданную в ходе осуществления ими своей законной деятельности. Кроме того, следует отметить, что при осуществлении субъектом сбора информации, содержащей персональные данные, и ее последующей обработки с использованием вычислительных мощностей, предоставленных иным лицом, ответственность за соблюдение требований ч. 5 ст. 18 ФЗ «О персональных данных» лежит на указанном субъекте, учитывая целенаправленный характер его деятельности по сбору и обработке соответствующей информации.
Вопрос о допустимости, а также об условиях допустимости хранения, обработки персональных данных граждан РФ за рубежом неизменно возникал в ходе любой дискуссии, связанной с принятием ФЗ-242. Во многом это обусловлено новизной самой концепции локализации персональных данных, а также рядом заявлений и комментариев, сделанных в медийном пространстве по поводу несовместимости требований о локализации процессов хранения персональных данных на территории РФ с возможностью их обработки за рубежом. Вместе с тем от наличия четких разъяснений по данному вопросу зависит функционирование не только трансграничных компаний на российском рынке, но и ряда отечественных компаний, которые оптимизируют свои затраты посредством использования зарубежных ИТ-сервисов.
В соответствии с ч. 5 ст. 18 ФЗ «О персональных данных» сбор персональных данных, их обновление и изменение должны производиться с использованием баз данных, расположенных на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч. 1 ст. 6 ФЗ «О персональных данных». Однако при этом следует иметь в виду, что изменения в ФЗ «О персональных данных», внесенные ФЗ-242, не затронули положений закона о трансграничной передаче данных. Соответственно передача персональных данных за пределы Российской Федерации возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных». Тем самым требование о локализации отдельных процессов обработки персональных данных, содержащееся в ч. 5 ст. 18 ФЗ «О персональных данных», следует толковать в системном единстве с положениями ст. 12 о трансграничной передаче данных и с учетом определения данного понятия, содержащегося в п. 11 ст. 3: «передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. При этом при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет такой оператор в соответствии с применимым к нему законодательством. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства ФЗ-242 не запрещается.
Вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке. Законодатель тем самым предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности. Если же этот вопрос не был решен оператором самостоятельно, то возможно применение ч. 5 ст. 18 ФЗ «О персональных данных» ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации.
Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.
В соответствии со ст. 85.1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года – «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, - М., 1935, с. 326 – 339.) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.
Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».
Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил «Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.
Учитывая, что Федеральным законом «О персональных данных» не предусмотрен запрет на передачу персональных данных, в том числе трансграничную, если такая передача осуществляется в соответствии с законодательством Российской Федерации, считаем возможным трансграничную передачу указанной категории персональных данных.
В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются. Соответствующая квалификация осуществляемых действий по обработке персональных данных и обеспечение ее соответствия требованиям законодательства осуществляются оператором персональных данных при обеспечении (организации обеспечения) такой обработки. Корректность упомянутой квалификации и обеспечения обработки в конкретной ситуации проверяется уполномоченным федеральным органом при проведении контрольных мероприятий.
Считаем, что, изменения, вносимые в законодательство Российской Федерации Федеральным законом №242-ФЗ, не препятствуют гражданам Российской Федерации получать за пределами Российской Федерации услуги, в случае, если в их рамках обрабатываются персональные данные граждан Российской Федерации за пределами территории Российской Федерации, в соответствии с международным договором или в соответствии с федеральным законом, либо в рамках иных исключений, на которые не распространяется норма части 5 статьи 18 152-ФЗ.
В соответствии с принципами международного права внутреннее законодательство государства действует исключительно на территории такого государства и не распространяется на нерезидентов государства, находящихся на территории иного государства. Аналогичная норма о том, что федеральные законы действуют на территории Российской Федерации, содержится также в статье 4 Конституции России. Таким образом, положения Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» №242-ФЗ от 21 июля 2014 года не распространяются на нерезидентов Российской Федерации, находящихся и действующих на территории иных государств. Деятельность таких лиц регулируется международными нормами права, в том числе Конвенцией Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера, в соответствии с которым обработка персональных данных осуществляется только в пределах целей, для которых эти персональные данные были собраны, а также законодательством стран, в которых действуют такие нерезиденты.
Из совокупности положений части 5 статьи 18 Федерального закона «О персональных данных» («при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона) и пункта 2 части 1 статьи 6 Федерального закона «О персональных данных» («обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей») следует, что обработка персональных данных в целях и в соответствии с требованиями, установленными ратифицированной Российской Федерацией Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера не противоречит законодательству Российской Федерации, регулирующему отношения в области защиты персональных данных. Кроме того, часть 5 статьи 18 152-ФЗ не ограничивают трансграничную передачу персональных данных граждан Российской Федерации.
Закон распространяется на правоотношения, возникшие после его вступления в силу, если иное не определено в самом законе. В Федеральном законе №242-ФЗ не имеется указаний на иной порядок распространения его норм во времени. В этой связи в случае, если персональные данные граждан РФ были правомерно собраны до вступления в силу Закона №242-ФЗ (1 сентября 2015 года), они могут находится в неизменном виде за границей. Вместе с тем, в случае, если после вступления в силу Закона №242-ФЗ были собраны персональные данные, в результате обработки которых, в том числе в отношении ранее собранных персональных данных, стали осуществляться действия, предусмотренные частью 5 статьи 18 Федерального закона «О персональных данных» (запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение), то в отношении и таких, ранее собранных персональных данных оператор обязан производить упомянутые действия с использованием баз данных, находящихся на территории Российской Федерации.
Указанная позиция разделяется Государственно-правовым управлением Президента Российской Федерации.
Само по себе это не является основанием для осуществления указанных действий.
Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации. Таким образом, если для составления отчетности, либо анализа информации, содержащей персональные данные, оператору требуется осуществить упомянутые формы обработки персональных данных, то такие действия должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации.
Трактовка в части первичного сбора является неверной по следующим основаниям. Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации.
Актуальность данного вопроса обуславливается частым наличием в рамках одной организации множества баз данных, в которых может осуществляться обработка персональных данных. Также нередко сбор персональных данных первоначально осуществляется в «бумажной» форме (заполненные бланки заявлений, анкет и пр.), c последующим их занесением сотрудником организации в общекорпоративную электронную базу данных, расположенную за рубежом. Возложение на оператора обязанности по локализации каждой из таких баз данных приводит к существенному возрастанию затрат, не сопровождающихся усилением защиты субъектов персональных данных (поскольку их данные уже были локализованы на территории РФ). К тому же, в некоторых случаях особенности построения информационной инфраструктуры компании не позволяют осуществить локализацию всех баз данных без кардинальной перестройки своей глобальной инфраструктуры. Как следует из текста ч. 5 ст. 18 ФЗ «О персональных данных», обязанность оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считается исполненной, когда указанные действия были совершены при сборе персональных данных с использованием базы данных, находящейся на территории Российской Федерации. При этом, статья не содержит указания на то, что такие действия должны совершаться исключительно с использованием баз данных, размещенных на территории России. В связи с этим, если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных не требуется, поскольку цели закона уже достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) оператора в принадлежащую ему электронную базу данных, находящуюся за пределами РФ.
В соответствии с положениями пункта 7 части 4 статьи 16 Федерального закона №149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
Принимая во внимание также положения части 5 статьи 18 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» (вступающей в силу с 1 сентября 2015 года), устанавливающих, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считаем, что обработка ПД граждан Российской Федерации на территории другого государства может осуществляться исключительно в случаях, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», для которых имеется изъятие в части 5 статьи 18 152-ФЗ. Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные. Вместе с тем, Федеральный закон не содержит указаний на общий запрет обработки персональных данных граждан Российской Федерации с использованием баз данных, не находящихся на территории Российской Федерации.
В законодательстве в сфере персональных данных отсутствует понятие «прекратившееся согласие». Согласно части 7 статьи 5 Федерального закона №152-ФЗ обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
Трансграничная передача персональных данных не запрещена при условии соблюдения требований, установленных в статье 12 Федерального закона №152-ФЗ. При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору в случае нарушения порядка и условий, установленных для договора-поручения.
Федеральным законом №152-ФЗ (часть 4 статья 21) предусмотрено, что в случае достижения цели обработки персональных данных (ПД), оператор обязан прекратить обработку ПД или обеспечить ее прекращение и уничтожить ПД в срок, не превышающий 30 дней с даты достижения цели обработки. В случае отсутствия возможности уничтожения ПД в течение указанного срока оператор осуществляет блокирование ПД и обеспечивает их уничтожение в срок не более чем 6 месяцев. В Федеральном законе №242-ФЗ отсутствуют понятия «временное хранение», «постоянное хранение».
Федеральный закон №152-ФЗ не устанавливает подобных требований согласования Роскомнадзором документов или действий оператора персональных данных при трансграничной передаче данных на территорию любого иностранного государства.
В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей.
В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей. В существующих планах законопроектной деятельности не предусмотрена разработка проекта федерального закона, корректирующего это положение.
152-ФЗ указанный термин не раскрывает. В целях толкования под сбором персональных данных можно понимать документально оформленную процедуру получения оператором от субъекта его персональных данных, для их последующей обработки в соответствии с заявленными целями сбора. Схожее определение содержится в статье 2 Модельного закона о персональных данных, принятого на XIV пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ постановлением от 16 октября 1999 года №14-19 (Сбор персональных данных - документально оформленная процедура получения держателем персональных данных от субъектов этих данных).
Вышеуказанные требования закона распространяются, в том числе, и на обработку оператором полученных в результате сбора персональных данных, а именно запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение.
Существующее понятие, содержащееся в пункте 1 статьи 3 152-ФЗ («любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»), соответствует международному праву – подпункт «а» статьи 1 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом №160-ФЗ от 19 декабря 2005 года («любая информация об определенном или поддающемся определению физическом лице»). Более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Закон также не содержит полномочий по уточнению этого термина подзаконными актами.
Понимание правильное. 152-ФЗ термин «использование персональных данных» не раскрывает. В целях толкования под «использованием персональных данных» можно понимать действия с персональными данными, не относящиеся к иным формам обработки персональных данных, в том числе принятие решений на основе персональных данных, для осуществления которых был осуществлен сбор персональных данных (цель сбора персональных данных должна соответствовать цели использования персональных данных).
Понятие «оператор» содержится в статье 3 закона №152-ФЗ, под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Принимая во внимание, что статья 3 Закона №152-ФЗ не содержит исключений в части осуществления лицом отдельных операций по обработке персональных данных, а равно иных определений, отличных от оператора, лицо, определяющее цель обработки персональных данных, либо осуществляющее отдельные действия по обработке персональных данных в контексте положений закона №152-ФЗ является оператором, осуществляющим обработку персональных данных.
Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. В Федеральный закон №242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления в силу закона операторы, руководствуясь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.
Согласно требованиям части 5 статьи 18 Федерального закона №152-ФЗ при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. Основополагающим принципом законодательства в области персональных данных является принцип, согласно которому обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. В связи с этим внесение персональных данных в информационную систему персональных данных, используемую в целях, аналогичных сбору данных на бумажных носителях, следует рассматривать как единый процесс, реализация которого должна осуществляться в строгом соответствии с требованиями части 5 статьи 18 Федерального закона №152-ФЗ. Разделение указанного единого процесса на отдельные действия законодательством Российской Федерации в области персональных данных не предусмотрено. Таким образом, отдельные виды обработки персональных данных, предусмотренные частью 5 статьи 18 Федерального закона №152-ФЗ, в том числе сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных, должны осуществляться как единый процесс в правовом поле законодательной нормы, обязывающей хранить персональные данные на территории Российской Федерации.
В связи с тем, что понятие «база данных» на уровне федерального закона раскрыто в абзаце втором части 2 статьи 1260 Гражданского кодекса Российской Федерации в виде «базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины», при применении вступающей в силу с 1 сентября 2015 года части 5 статьи 18 Федерального закона №152-ФЗ под термином «база данных» будет пониматься указанное выше значение, предполагающее, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным при условии их наличия в электронной форме.
В соответствии с положениями статьи 24 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее — Федеральный закон №152-ФЗ) лица, виновные в нарушении требований указанного Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность, включая административную, гражданского-правовую, а также уголовную.
Одновременно отмечаем, что в настоящее время ведется разработка проекта постановления Правительства Российской Федерации, в соответствии с которым будет определен порядок проведения государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации.
Часть 5 статьи 18 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных», предусмотренная Федеральным законом №242-ФЗ от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» вступает в силу с 1 сентября 2015 года.
Указанной нормой устанавливается, что оператор персональных данных при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6.
Полагаем, что под сбором персональных данных можно понимать документально оформленную процедуру получения оператором от субъекта его персональных данных, для их последующей обработки в соответствии с заявленными целями сбора. Следует отметить, что персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, позволяющих обрабатывать такие данные без согласия их субъекта (пункты 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 закона «О персональных данных»).
Учитывая изложенное, соответствующие действия с учетом вышеизложенного могут являться сбором и передачей персональных данных.
Одновременно отмечаем, что Федеральный закон № 242-ФЗ не изменяет положений Федерального закона № 152-ФЗ в части трансграничной передачи персональных данных.
Действующая редакция Федерального закона №152-ФЗ «О персональных данных» не содержит части 5 статьи 18.
Вместе с тем отмечаем, что соответствующая норма Федерального закона «О персональных данных», предусмотренная Федеральным законом №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», вступает в действие с 1 сентября 2015 года.
Одновременно отмечаем, что в соответствии с частью 2 статьи 5 Федерального закона №152-ФЗ обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
В связи с этим исключения из требований по обработке персональных данных, которые будут содержаться в части 5 статьи 18 Федерального закона №152-ФЗ, распространяются только на операторов персональных данных, осуществляющих обработку персональных данных для осуществления авиаперевозок в соответствии с международными договорами Российской Федерации.
Федеральный закон «О персональных данных» термин «сбор персональных данных» не раскрывает. В целях толкования под сбором персональных данных можно понимать документально оформленную процедуру получения оператором от субъекта его персональных данных, для их последующей обработки в соответствии с заявленными целями сбора. Следует отметить, что персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, позволяющих обрабатывать такие данные без согласия их субъекта (пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 закона «О персональных данных»). Однако приведенные в обращении обстоятельства к указанным основаниям не относятся.
В соответствии с пунктом 1 статьи 3 Федерального закона №152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Федеральным законом №242-ФЗ внесены изменения в статью 18 Федерального закона №152-ФЗ по ее дополнению новой частью 5, устанавливающей обязанность оператора при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 данного Федерального закона.
Учитывая изложенное, в случае, если на территории Российской Федерации происходит сбор персональных данных гражданина Российской Федерации, за исключением вышеуказанных случаев, оператор персональных данных должен будет соблюдать требования Федерального закона №242-ФЗ.
На основании пункта 5 части 1 статьи 6 Федерального закона №152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ) от 27 июля 2006 года допускается обработка персональных данных, когда она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Частью 1 статьи 12 Федерального закона №152-ФЗ устанавливается, что трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с данным Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Иных требований, в соответствии с которыми может быть ограничена передача персональных данных за пределы территории Российской Федерации, рамках исполнения договора, в Федеральном законе №152-ФЗ не содержится.
Учитывая, что в соответствии с гражданским законодательством, филиал юридического лица не является самостоятельным юридическим лицом, оператором персональных данных, обрабатываемых таким филиалом, является юридическое лицо, создавшее филиал. Соответственно, на данное юридическое лицо (российскую организацию), а, соответственно, и на ее филиалы, полностью распространяются требования, устанавливаемые частью 5 статьи 18 Федерального закона «О персональных данных»
Размещение на официальном сайте Роскомнадзора образца формы уведомления, доработанного с учетом положений 242-ФЗ, будет осуществлено после утверждения Минкомсвязью России приказа «О внесении изменений в Административный регламент по оказанию государственной услуги “Ведение реестра операторов, осуществляющих обработку персональных данных”». По существу вопроса о сроках предоставления информации о местонахождении баз данных сообщаем, что после вступления 242-ФЗ в силу операторы персональных данных в силу положений части 7 статьи 22 Федерального закона «О персональных данных» должны сообщить в Роскомнадзор сведения о месте нахождения базы данных в течение десяти рабочих дней. В случае неисполнения указанного требования оператор может быть привлечен к административной ответственности, предусмотренной ст. 19.7 КоАП РФ.
В соответствии с положениями части 7 статьи 9 Федерального закона №152-ФЗ «О персональных данных», в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни. Положениями части 12 статьи 3 и части 2 статьи 7 Федерального закона №152-ФЗ «О персональных данных», обеспечение конфиденциальности персональных данных не требуется в отношении общедоступных персональных данных.
Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» закрепляет, что общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
Таким образом, размещая на надмогильном сооружении соответствующие надписи, родственники сами делают персональные данные об усопшем, в том числе:
- ФИО усопшего;
- дата рождения;
- дата смерти;
общедоступными, что по факту является их согласием на ознакомление сторонних лиц с такими персональными данными.