Комментарий Роскомнадзора от 09.11.2016 к Федеральному закону от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (далее – Федеральный закон № 242-ФЗ), вступил в силу с 1 сентября 2015 г.
Комментируемый законодательный акт, включающий в себя 4 статьи, внес изменения в следующие федеральные законы:
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
По общему правилу (ст. 6 Федерального закона от 14 июня 1994 г. № 5-ФЗ «О порядке опубликования и вступления в силу федеральных конституционных законов, федеральных законов, актов палат Федерального Собрания») федеральные законы вступают в силу одновременно на всей территории Российской Федерации по истечении 10 дней после дня их официального опубликования, если самими законами не установлен другой порядок вступления их в силу.
В первоначальной редакции комментируемого федерального закона срок его вступления был установлен 1 сентября 2016 года. Впоследствии Федеральным законом от 31.12.2014 г. № 526-ФЗ «О внесении изменения в статью 4 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» срок вступления был изменен на 1 сентября 2015 года.
За год с небольшим реализации комментируемого федерального закона накоплена правоприменительная и судебная практика, выработаны основные подходы по реализации его положений.
Данный комментарий не носит обязательного или рекомендательного характера, он может быть использован в практической деятельности операторов, осуществляющих обработку персональных данных, в учебной и научной деятельности, а также может быть полезен профессиональной аудитории, для тех, кто интересуется вопросами обработки персональных данных в рамках своей непосредственной деятельности.
Статья 1
Статья 1 Федерального закона № 242-ФЗ дополнила Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон № 149-ФЗ) новой статьёй 15.5 «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных».
Нумерация вводимой статьи в контексте правовой конструкции Федерального закона № 149-ФЗ указывает на установление законодателем особого порядка ограничения доступа к информации, содержащей персональные данные.
Выделение вопроса ограничения доступа к персональным данным в отдельный порядок обусловлено, прежде всего, тем, что иные режимы ограничения, предусмотренные Федеральным законом № 149-ФЗ, связаны с информацией, распространение которой на территории Российской Федерации прямо запрещено законодательством Российской Федерации.
Распространение же персональных данных профильным законом не запрещено, но должно осуществляться в соответствии с требованием конфиденциальности, установленным статьей 7 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ).
Нет смысла в данном комментарии подробно описывать порядок ограничения доступа к персональным данным, поскольку он концептуально не отличается от аналогичных порядков блокировки, установленных статьями 15.1-15.4 Федерального закона № 149-ФЗ.
При этом следует выделить следующие его особенности.
В соответствии с частью 1 комментируемой статьи создана автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных» (далее-Реестр нарушителей), целью которой является ограничение доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.
Основанием для внесения в Реестр нарушителей доменного имени, URL-адреса интернет-страницы, законодателем установлено вступившее в законную силу решение суда о признании деятельности по распространению информации, содержащей персональные данные, нарушающей требования Федерального закона №152-ФЗ, а также права субъекта персональных данных на неприкосновенность частной жизни, личную и семейную тайну.
К слову, в отличие от иных механизмов ограничения доступа к информации, в сфере персональных данных в перечне правовых оснований внесения доменного имени, URL-адреса интернет-страницы в Реестр нарушителей отсутствует решение уполномоченного органа государственной власти, что предоставляет оператору возможность в судебном порядке представить доказательства правомерности осуществления деятельности по распространению персональных данных в сети «Интернет».
Данная конструкция позволяет соблюсти баланс прав и законных интересов граждан, операторского сообщества и уполномоченного органа по защите прав субъектов персональных данных.
В судебно-претензионной практике Роскомнадзора установление ответчиков в основном осуществляется посредством общедоступных whois-сервисов в сети Интернет.
При этом следует особо отметить, что правомерность использования интернет-ресурса «whois» для вышеуказанных целей подтверждена существующей судебной практикой (см. постановление ФАС Северо-Западного округа от 22.02.2012 по делу № А56-3597/2011; постановление Девятого арбитражного апелляционного суда от 30.08.2011 по делу № А40-4523/2011; постановление Девятого арбитражного суда от 28.10.2010 по делу № А40-52579/2010).
Основанием для запуска процедуры ограничения доступа к Интернет-ресурсу может стать не только сбор персональных данных, осуществляемый с нарушением статьи 2 комментируемого закона, но и обработка персональных данных субъектов персональных данных в отсутствие правовых оснований: согласие субъекта персональных данных на обработку его персональных данных, отсутствие законодательно возложенных на оператора функций, полномочий и обязанностей, предусматривающих распространение персональных данных в сети Интернет, предоставление доступа неограниченному кругу лиц к общедоступным персональным данным в целях и объеме, отличных от цели и объема их первоначального сбора.
Волжским районным судом г. Саратова решением от 01.10.2015 по делу № 2-5649/2015 установлен факт предоставления интернет-сайтом www.samosud.org доступа неограниченному кругу лиц к персональным данным заявителя, включающим в себя его ФИО, марку и государственный номер транспортного средства. При этом, в оригинале текста судебного акта, размещенного на сайте суда, данная информация размещена в обезличенном виде. Аналогичное решение было принято Таганским районным судом г. Москвы от 27.08.2015 по делу № 2-3322-15/10с. Решением Симоновского районного суда г. Москвы от 02.06.2016 по делу № 2-5818/16 деятельность Интернет-ресурса http://zvonki.octo.net, предоставлявшего доступ неограниченного круга лиц к персональным данным граждан в объеме: ФИО, телефон, адрес, паспортные данные, без соответствующего согласия, признана незаконной. Также суд обязал Роскомнадзор принять меры по ограничению доступа к информации в сети Интернет, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, путем внесения указанного сайта в Реестр нарушителей.
Также возможным основанием для принятия вышеуказанных мер реагирования может стать отсутствие, в нарушение положений статьи 18.1 Федерального закона №152-ФЗ, в сети Интернет документов оператора, определяющих политику оператора в отношении обработки персональных данных и регламентирующих порядок и условия их обработки.
В силу имеющихся отдельных прецедентов следует отдельно остановиться на вопросе распространения в сети Интернет персональных данных, содержащихся в архивных документах.
Норма ч. 2 ст. 1 Федерального закона № 152-ФЗ содержит исключительные виды обработки документов Архивного фонда Российской Федерации и других архивных документов, содержащих персональные данные, а именно: хранение, комплектование, учет и использование персональных данных, на которые Федеральный закон № 152-ФЗ не распространяется.
В указанном перечне видов обработки персональных данных отсутствует такой вид обработки как «распространение». На основании п. 5 ст. 3 Федерального закона № 152-ФЗ действия, направленные на раскрытие персональных данных неопределенному кругу лиц, определяются как распространение персональных данных.
Таким образом, на деятельность, связанную с распространением, в том числе в сети Интернет, архивных документов, содержащих персональные данные, действие Федерального закона № 152-ФЗ распространяется в полной мере.
Часть 2 анализируемой статьи содержит сведения, подлежащие включению в Реестр нарушителей. Эти сведения включают в себя данные об Интернет-ресурсе, а именно: доменные имена и (или) указатели страниц сайтов в сети «Интернет» и сетевые адреса, позволяющие идентифицировать сайты в сети «Интернет».
Также в Реестр нарушителей вносятся данные вступившего в законную силу судебного акта, на основании которого доступ к соответствующему Интернет-ресурсу ограничивается на территории Российской Федерации, включая наименование суда, номер дела, содержание нарушения законодательства Российской Федерации в области персональных данных, изложенное в резолютивной части судебного акта, дату вынесения судебного акта и дату его вступления в законную силу.
В случае, если нарушения законодательства Российской Федерации в области персональных данных устранены добровольно, то информация об этом включается в Реестр нарушителей.
В противном случае данные об Интернет-ресурсе направляются операторам связи для ограничения доступа к этому ресурсу. Сведения о дате и времени такого направления также включаются в Реестр нарушителей.
Часть 3 комментируемой статьи определяет Роскомнадзор в качестве органа, уполномоченного на создание, формирование и ведение Реестра нарушителей.
Согласно положениям указанной части порядок создания, формирования и ведения Реестра нарушителей устанавливается Правительством Российской Федерации.
Во исполнение требований данной статьи постановлением Правительства Российской Федерации от 19 августа 2015 г. № 857 были утверждены Правила создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», которые также вступили в силу 1 сентября 2015 года.
Положения части 4 анализируемой статьи предоставляют Роскомнадзору право в соответствии с критериями, определенными правительством Российской Федерации, привлечь организацию, зарегистрированную на территории Российской Федерации, к формированию и ведению Реестра нарушителей в качестве оператора такого реестра.
Постановлением Правительства Российской Федерации от 19 августа 2015 г. № 857 были утверждены Критерии определения оператора автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных» - организации, зарегистрированной на территории Российской Федерации, в целях привлечения к формированию и ведению такого реестра.
Согласно указанным критериям соответствующая организация должна обладать технической возможностью для приема обращений субъектов персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, а также техническими и организационными возможностями для ведения Реестра нарушителей, включая возможность взаимодействия с провайдерами хостинга и операторами связи, оказывающими услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет».
До привлечения в установленном порядке оператора Реестра нарушителей к ведению Реестра нарушителей его функции выполняет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Согласно части 6 комментируемой статьи субъекту персональных данных предоставлено право обратиться в Роскомнадзор с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.
Обязательным условием направления указанного заявления является наличие вступившего в законную силу судебного акта, являющегося основанием для принятия мер по ограничению доступа к соответствующему информационному ресурсу.
Во исполнение положений рассматриваемой части приказом Роскомнадзора от 22 июля 2015 г. № 85 утверждена Форма заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.
В соответствии с частью 7 комментируемой статьи Роскомнадзор после получения вступившего в законную силу судебного акта обязан в течение трех рабочих дней определить провайдера хостинга или иное лицо, обеспечивающее обработку информации в информационно-телекоммуникационной сети, в том числе в сети «Интернет», с нарушением законодательства Российской Федерации в области персональных данных.
Для формирования актуальных контактных данных провайдеров хостинга оператором Реестра нарушителей создается база данных, содержащая информацию о провайдерах хостинга.
После определения провайдера хостинга или иного установленного лица Роскомнадзор направляет в его адрес в электронном виде уведомление о нарушении законодательства Российской Федерации в области персональных данных с требованием принять меры по его устранению. В указанном уведомлении сообщается информация о вступившем в законную силу судебном акте, доменном имени и сетевом адресе, позволяющих идентифицировать сайт в сети «Интернет», на котором осуществляется обработка информации с нарушением законодательства Российской Федерации в области персональных данных, а также об указателях страниц сайта в сети «Интернет», позволяющих идентифицировать такую информацию.
Уведомление составляется на русском и английском языках и направляется на электронную почту провайдера хостинга или иного установленного лица с электронного адреса personal_data@rkn.gov.ru и подписывается усиленной квалифицированной электронной подписью оператора Реестра нарушителей.
Указанное уведомление содержит номер дела и дату принятия судебного акта, на основании которого данные об информационном ресурсе включаются в Реестр нарушителей, а также доменное имя и (или) указатели страниц сайта в сети «Интернет», сетевой адрес, содержащие информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных.
Дату и время направления уведомления провайдеру хостинга или иному установленному лицу Роскомнадзор фиксирует в Реестре нарушителей.
Провайдер хостинга или иное установленное лицо обязаны в течение одного рабочего дня с момента получения уведомления о нарушении законодательства Российской Федерации в области персональных данных довести до сведения обслуживаемого ими владельца информационного ресурса информацию о получении указанного уведомления.
Также на провайдере хостинга или ином установленном лице лежит обязанность уведомления владельца информационного ресурса о необходимости незамедлительно принять меры по устранению нарушения законодательства Российской Федерации в области персональных данных, указанного в уведомлении, или принять меры по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.
В части 9 комментируемой статьи регламентирована обязанность владельца информационного ресурса по принятию мер, связанных с устранением нарушений законодательства Российской Федерации в области персональных данных, в течение одного дня с момента получения уведомления о необходимости устранения имеющихся нарушений законодательства Российской Федерации.
Так же данная статья содержит меры, принимаемые провайдером хостинга или в соответствии с п. 1 ч. 7 комментируемой статьи иным лицом, обеспечивающим обработку информации в информационно-телекоммуникационной сети, в том числе в сети «Интернет», в случае отказа или бездействия владельца информационного ресурса.
К указанным мерам относится ограничение доступа к соответствующему информационному ресурсу в срок не позднее трех рабочих дней с момента получения уведомления.
Норма части 10 комментируемой статьи устанавливает меры, принимаемые в случае непринятия провайдером хостинга или иным указанным в пункте 1 части 7 настоящей статьи лицом и (или) владельцем информационного ресурса мер по устранению нарушения законодательства Российской Федерации в области персональных данных.
К указанным мерам относятся направление по автоматизированной информационной системе в адрес операторов связи сведений о доменном имени сайта в сети Интернет, его сетевой адрес, указатели страниц сайта в сети Интернет, позволяющие идентифицировать информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных, а также иных сведений об этом сайте и информации, для принятия мер по ограничению доступа к данному информационному ресурсу, в том числе к сетевому адресу, доменному имени, указателю страниц сайта в сети Интернет.
В комментируемой статье регламентирован трехдневный срок исключения из Реестра нарушителей доменного имени, указателя страницы сайта в сети Интернет или сетевого адреса, позволяющих идентифицировать сайт в сети Интернет, со дня обращения владельца сайта в сети Интернет, провайдера хостинга или оператора связи после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных или на основании вступившего в законную силу решения суда об отмене ранее принятого судебного акта.
Таким образом, законодателем установлены два правовых основания для исключения Интернет-ресурсов из Реестра нарушителей: принятие указанными выше лицами мер по устранению нарушений и принятие судом решения об отмене ранее принятого акта.
Как показывает практика ведения Реестра нарушителей, единственным основанием для исключения из Реестра нарушителей является обращение в Роскомнадзор владельца сайта об устранении признанного судом нарушения законодательства Российской Федерации в области персональных данных. После получения подобного обращения Роскомнадзор принимает решение и исключает соответствующий Интернет-ресурс из Реестра нарушителей.
Статистика ведения Реестра нарушителей показывает, что 50% владельцев сайтов, включенных в Реестр нарушителей, в добровольном порядке устраняют нарушения законодательства Российской Федерации в области персональных данных.
При этом, следует заметить, что прекращение деятельности сайта не является законным основанием для исключения его из Реестра нарушителей.
Частью 12 комментируемой статьи установлено, что порядок взаимодействия оператора Реестра нарушителей с провайдером хостинга и порядок получения доступа к содержащейся в таком реестре информации оператором связи устанавливается уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.
Во исполнение вышеуказанной нормы приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 22 июля 2015 г. № 84 утвержден Порядок взаимодействия оператора Реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в Реестре нарушителей прав субъектов персональных данных, оператором связи.
Согласно установленному порядку предоставление операторам связи информации об информационных ресурсах, в отношении которых требуется принятие мер в соответствии с частью 10 статьи 15.5 Федерального закона № 149-ФЗ, осуществляется посредством информационной системы взаимодействия круглосуточно в автоматическом режиме.
Получение доступа к информации из Реестра нарушителей осуществляется посредством обращения к веб-сервису, описание которого размещено на сайте в сети Интернет http://vigruzki.rkn.gov.ru.
В случае поступления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций вступившего в силу судебного акта об отмене ранее принятого судебного акта, на основании которого данные об информационном ресурсе были включены в Реестр нарушителей, сведения о таких информационных ресурсах исключаются из выгрузки не позднее трех рабочих дней со дня получения судебного акта.
Статья 2
Комментируемая статья вносит изменения в две статьи (ст. 18, 22) главы 4 «Обязанности оператора» и одну статью (ст. 23) главы 5 «Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего федерального закона» Федерального закона № 152-ФЗ.
Комментарии данной статьи основаны на существующей правоприменительной практике уполномоченного органа по защите прав субъектов персональных данных и разъяснениях, размещенных на официальном сайте Министерства связи и массовых коммуникаций Российской Федерации (http://minsvyaz.ru/ru/personaldata/).
1.Так, частью 1 комментируемой статьи законодателем внесены изменения в статью 18 «Обязанности оператора при сборе персональных данных» Федерального закона №152-ФЗ, согласно которым для оператора персональных данных установлена совершенно новая обязанность осуществлять при сборе персональных данных определенные виды обработки персональных данных в базах данных, которые находятся на территории России.
Комментируемая норма содержит четкий закрытый перечень видов обработки персональных данных, а именно: запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, которые оператор обязан осуществлять с использованием баз данных, находящихся на территории Российской Федерации.
Рассмотрим более детально содержание данного положения.
При определении понятия «база данных» следует учитывать, что в законодательстве Российской Федерации существует много понятий баз данных, тем не менее все они сводятся к одному общему значению, согласно которому база данных - это упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Так, например, базой данных можно считать таблицу в формате Excel, word, в которой содержатся персональные данные граждан.
При этом, единственным законным признаком, которым должна обладать база данных, является ее место нахождения – территория Российской Федерации.
Долгое время существовал спор можно ли считать предметом регулирования комментируемого закона базу данных, сформированную на бумажных носителях, при последующем внесении указанных сведений в информационную систему персональных данных.
Существующая позиция основывается на принципе, согласно которому обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. В связи с этим внесение персональных данных в информационную систему персональных данных, используемую в целях, аналогичных сбору данных на бумажных носителях, следует рассматривать как единый процесс, реализация которого должна осуществляться в строгом соответствии с требованиями части 5 статьи 18 Федерального закона №152-ФЗ. Разделение указанного единого процесса на отдельные действия законодательством Российской Федерации в области персональных данных не предусмотрено. Таким образом, отдельные виды обработки персональных данных, предусмотренные частью 5 статьи 18 Федерального закона №152-ФЗ, в том числе сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных, должны осуществляться как единый процесс в правовом поле законодательной нормы, обязывающей хранить персональные данные на территории Российской Федерации.
Понятие «оператор» содержится в статье 3 Федерального закона № 152-ФЗ, под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, в свете применения комментируемой нормы, оператором является лицо, осуществляющее сбор персональных данных, либо поручившее его третьему лицу на основании договора поручения.
В отношении отнесения той или иной информации к персональным данным следует руководствоваться п. 1 ст. 3 Федерального закона № 152-ФЗ, согласно которому персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, отнесение указанного перечня информации к персональным данным возможно при условии соответствия данной информации положениям Федерального закона № 152-ФЗ.
Реализация обязанности «при сборе данных» означает, что оператор должен их получать непосредственно у первоисточника, то есть у субъекта персональных данных или его представителя. В таком случае речь идет о сборе информации, а не о случаях передачи данных третьему лицу для обработки в каких-либо целях.
Так, оператор, получив данные субъекта, обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных, находящихся в России.
Указанные виды обработки данных представляют собой единый процесс формирования и поддержания базы данных в актуальном состоянии. Образно говоря, можно сказать, что законодатель вводит правило, согласно которому формирование и актуализация баз персональных данных российских граждан должны осуществляться на территории России.
Так, база данных, сформированная посредством сбора персональных данных, должна находиться на территории России и актуализироваться также на территории России.
При этом комментируемый закон не запрещает передавать данные из этой базы на территорию иностранного государства. Но обновление данных во всех случаях будет осуществляться в базе данных, расположенной на территории России, и, при необходимости, обновленные данные могут быть переданы на территорию иностранного государства.
Необходимо отметить, что параллельный ввод собранных персональных данных в российскую информационную систему и систему, находящуюся на территории иностранного государства, не отвечает требованиям комментируемой нормы, поскольку после сбора посредством российской информационной системы указанные сведения могут быть переданы в иностранную информационную систему только посредством трансграничной передачи.
Следует обратить внимание на возможность поручения иностранным лицом российскому юридическому лицу осуществить сбор персональных данных в России, однако необходимо учесть, что такие правоотношения возможны при условии неукоснительного соблюдения требований ч. 3 ст. 6 Федерального закона № 152-ФЗ.
В отношении использования международных территориально распределенных систем, в том числе при оказании услуг по кадровому и бухгалтерскому учету в рамках аутсорсинга следует отметить, что при сборе персональных данных российских пользователей в рамках территориально распределенной системы указанные действия должны быть обеспечены с использованием баз данных, расположенных на территории Российской Федерации.
При реализации деятельности по кадровому учету и расчету заработной платы, в том числе с участием аффилированного лица, оператор в соответствии с требованиями комментируемой нормы обязан обеспечить сбор указанных данных с использованием баз данных, расположенных на территории Российской Федерации. Последующая трансграничная передача в иную базу должна осуществляться согласно требованиям ст. 12 Федерального закона №152-ФЗ.
Передача информации из сформированной в России базы персональных данных, в том числе на территорию иностранного государства представляет собой отдельный вид обработки персональных данных.
При осуществлении трансграничной передачи оператор, находящийся и (или) осуществляющий деятельность на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (это страны, не являющиеся стороной Конвенции №108, и не входящие в Перечень, утверждаемый Роскомнадзором), может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных.
При этом следует иметь ввиду, что трансграничная передача данных представляет собой передачу сведений из базы (баз) данных, расположенных на территории России, в другую базу (базы) данных, расположенных на территории иностранного государства. Такая передача должна иметь конкретные и законные цели передачи, при необходимости согласие субъекта персональных данных в письменной форме на передачу и прочие условия обработки персональных данных посредством их трансграничной передачи согласно требованиям статьи 12 Федерального закона № 152-ФЗ.
По вопросу копирования персональных данных следует заметить, что «копирование» представляет собой процесс, характеризующийся созданием дубликата документа или информации. То есть основным свойством данного действия является создание дубликата вне зависимости от способа и цели его создания или места нахождения дублирующей информации. Таким образом, скопированные персональные данные подлежат хранению и последующему использованию в соответствии с требованиями Федерального закона № 152-ФЗ.
Хранение персональных данных должно быть ограничено достижением цели обработки. Федеральным законом № 152-ФЗ (ч.4 ст.21) предусмотрено, что в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.
В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев.
Необходимо отметить, что в комментируемой норме отсутствуют понятия «временное хранение», «постоянное хранение», в связи с чем использование подобной терминологии, в том числе в согласиях на обработку персональных данных, является недопустимым.
Представляется необходимым обратиться к вопросу о действии комментируемой нормы в пространстве, во времени и по кругу лиц.
Одним из ключевых вопросов является, на кого распространяется данная норма закона - исключительно на российские компании или в этот перечень входят и иностранные компании. Если иностранные компании должны исполнять эту обязанность, то как это соотносится с юридическим статусом организаций, которые осуществляют деятельность на территории России посредством постоянных представительств, без постоянных представительств. В том числе выполняющие только маркетинговые полномочия или полноправные.
Ответ на этот вопрос лежит в плоскости общей теории права, а именно в общих правилах, которые определяют действие любых нормативных правовых актов в пространстве и по кругу лиц.
Так, в части действия Закона в пространстве правило гласит, что все российские нормативные правовые акты действуют на всей территории страны. При этом деятельность иностранных компаний, осуществляемая посредством сети Интернет, особым свойством которого является трансграничность, не умаляет данного положения.
Действие закона по кругу лиц означает, что Закон действует в отношении всех лиц, находящихся на этой территории России и являющихся субъектами отношений, на которые распространяется акт.
Коррелируя это положение с понятием территории России с учетом свойств трансграничности Интернета, можно сказать, что комментируемая норма распространяет свое действие на лиц (операторов персональных данных), осуществляющих свою деятельность на территории Российской Федерации, то есть распространяется как на российские компании, так и на иностранные.
В настоящее время практика ведения бизнеса посредством Интернета сформировала модель оказания услуг пользователям, при которой компания не обязана образовывать юридическое лицо на территории места нахождения пользователей компании (направленности интернет сервисов компании), то есть места фактического осуществления своей деятельности, а также не обязана вносить налоговые платежи, исполнять иные требования национального законодательства.
Однако комментируемый закон определил необходимость исполнения нормы о локализации данных иностранными компаниями, в том числе которые осуществляют деятельность на территории России без образования официальных представительств или иных форм юридических лиц.
Следующим существенным вопросом является определение критериев направленности иностранных сайтов, посредством которых компании осуществляют коммерческую деятельность на территории России.
В настоящее время этот вопрос еще активно прорабатывается, в том числе на площадке Консультативного совета в рамках созданной им рабочей группы, однако предварительные результаты этой работы показали, что говорить о наличии направленности Интернет-сайта на территорию Российской Федерации могут свидетельствовать, в том числе следующие обстоятельства:
1) использование делегированного доменного имени, связанного с Российской Федерацией (.ru, .рф., .su) и/или
2) наличие русскоязычной версии Интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков, не должно приниматься во внимание);
3) возможности исполнения заключенного на таком Интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России).
Относительно применения требований комментируемой нормы к обработке общедоступных сведений необходимо отметить, что ст. 2 указанного закона не установлены исключения применительно к п.10 ч.1 ст. 6 Федерального закона № 152-ФЗ. Таким образом, при осуществлении сбора общедоступных персональных данных на деятельность оператора требования комментируемой нормы распространяются в полном объеме.
2. Частью 2 комментируемой статьи законодателем внесены изменения в статью 22 Федерального закона № 152-ФЗ в части дополнения уведомления о намерении осуществлять обработку персональных данных (далее – Уведомление) дополнительными сведениями.
Пункт 10.1 части 3 анализируемой статьи обязывает оператора предоставлять сведения о базе данных, включающие указание страны (стран) размещения базы данных и конкретный адрес (адреса) местонахождения базы данных.
Во исполнение положений комментируемой нормы приказом Министерства связи и массовых коммуникаций Российской Федерации № 315 от 28 августа 2015 г. внесены изменения в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 21 декабря 2011 г. № 346 (зарегистрирован Министерством юстиции Российской Федерации 29 марта 2012 г., регистрационный № 23650), в части дополнения формы уведомления и информационного письма о внесении изменений в сведения, содержащиеся в Реестре операторов, осуществляющих обработку персональных данных (далее – Реестр операторов), сведениями о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
Сведения о месте нахождения базы данных включают в себя: наименование страны, города, улицы и номер дома.
Кроме того, проведена актуализация форм Уведомления и Информационного письма о внесении изменений в сведения об операторе в Реестре операторов, осуществляющих обработку персональных данных (далее – Информационное письмо), на Едином портале государственных и муниципальных услуг (далее – ЕПГУ) и Портале персональных данных Роскомнадзора (далее - Портал ПД).
Актуализированные формы Уведомления и Информационного письма предусматривают указание наличия собственных технических средств хранения базы данных (ЦОД) или указание организации, с которой заключен договор (оферта) по размещению сайта/хранению базы данных.
При указании базы данных в Уведомлении (Информационном письме) Операторами допускаются следующие характерные ошибки: указание только страны размещения базы данных без указания конкретного адреса местонахождения базы данных; указание страны размещения базы данных за пределами России с указания адреса местонахождения на территории России; указание страны базы данных со ссылкой на страны трансграничной передачи без указания адреса местонахождения; указание организации, с которой заключен договор (оферта) по размещению сайта/хранению базы данных без указания страны размещения и адреса местоположения базы данных.
Операторы, сведения о которых уже внесены в Реестр операторов, в соответствии с частью 7 статьи 22 Федерального закона № 152-ФЗ должны направить Информационное письмо о внесении изменений в сведения об Операторе в Реестре операторов с указанием сведений о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
Необходимо обратить внимание, что часть 7 статьи 22 Федерального закона № 152-ФЗ устанавливает два случая, при наступлении которых оператор обязан уведомить Роскомнадзор об изменениях сведений, указанных в Реестре операторов:
-изменение сведений, указанных в части 3 статьи 22 Федерального закона № 152-ФЗ;
-прекращение обработки персональных данных.
В связи с тем, что Федеральным законом № 242-ФЗ внесены изменения в перечень сведений, включаемых в Уведомление, установленных частью 3 статьи 22 Федерального закона № 152-ФЗ, в части дополнения их новыми сведениями, а именно: сведениями о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации. С 1 сентября 2015 года у всех операторов, сведения о которых включены в Реестр операторов, произошли изменения сведений, указанных в части 3 статьи 22 Федерального закона № 152-ФЗ, а значит указанные операторы обязаны направить в Роскомнадзор Информационное письмо с указанием места нахождения базы данных.
Следует отметить, что Уведомление (Информационное письмо) направляется в виде бумажного документа на бумажном носителе или в форме электронного документа на бланке оператора и подписывается уполномоченным лицом. В электронном виде уведомление может быть направлено с использованием ресурсов ЕПГУ (https://www.gosuslugi.ru) или Портала ПД (http://pd.rkn.gov.ru).
В ходе анализа представленной информации Роскомнадзором были выявлены факты размещения баз данных на территории иностранных государств.
В результате принятых совместно с органами прокуратуры мер реагирования в отношении лиц, допустивших нарушения требований по локализации баз данных, возбуждены административные дела по ст. 13.11 КоАП РФ, внесены представления об устранении выявленных нарушений.
Указанная деятельность по выявлению и пресечению нарушений Федерального закона № 152-ФЗ направлена не только на защиту прав и законных интересов граждан, но формирование модели правового поведения операторов, соответствующей требованиям действующего законодательства Российской Федерации.
Следует обратить внимание на то, что комментируемая норма не предполагает получение каких-либо свидетельств о соответствии деятельности требованиям законодательства Российской Федерации, а равно не возлагает на Роскомнадзор полномочия по рекомендации конкретных лиц или технических решений для руководства при осуществлении оператором деятельности по обработке персональных данных.
Статья 3
Федеральный закон № 242-ФЗ внес изменения также в Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и вывел из-под его действия государственный контроль и надзор за обработкой персональных данных.
В настоящее время контроль (надзор) за обработкой персональных данных осуществляется в порядке, предусмотренном Административным регламентом исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, который был утвержден приказом Минкомсвязи России от 14 ноября 2011 г. № 312 (далее – Административный регламент).
Изменения коснулись не только правовой основы осуществления государственного контроля (надзора), но и вопросов его планирования. Согласно нововведениям плановые проверки в области персональных данных не включаются в Сводный план проверок юридических лиц и индивидуальных предпринимателей, формируемый Генеральной прокуратурой Российской Федерации. Кроме того, перечни проверок, формируемые территориальными органами Роскомнадзора, включаются в План деятельности территориальных органов Роскомнадзора, размещаемые на официальных сайтах территориальных органов Роскомнадзора, и не рассматриваются органами прокуратуры, за исключением проверок в отношении органов местного самоуправления и органов государственной власти субъектов Российской Федерации.
Планирование проверок в отношении органов местного самоуправления осуществляется в соответствии с Федеральным законом от 6 октября 2003 г. № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», предусматривающего рассмотрение планов проверок органами прокуратуры.
Относительно органов государственной власти субъектов Российской Федерации необходимо отметить, что согласно ч. 4 ст. 29.2 Федерального закона от 6 октября 1999 г. № 184 «Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации» плановые проверки деятельности органов государственной власти субъектов Российской Федерации и должностных лиц органов государственной власти субъектов Российской Федерации проводятся органами государственного контроля (надзора) в соответствии с ежегодным сводным планом проверок, сформированным Генеральной прокуратурой Российской Федерации на основании ежегодных планов проверок по субъектам Российской Федерации, сформированных прокуратурами субъектов Российской Федерации.
В соответствии с ч. 6 ст. 29.2 Федерального закона «Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации» порядок подготовки проектов ежегодных планов проверок, в то числе совместных проверок, их представления в органы прокуратуры и согласования, типовая форма ежегодного плана проверок и порядок согласования внеплановых проверок устанавливаются Правительством Российской Федерации.
В соответствии с Перечнем нормативно правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, подлежащих признанию утратившими силу, приостановлению, изменению или принятию в связи с принятием федерального закона «О внесении изменения в Федеральный закон «Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации» принятие Федерального закона «О внесении изменения в Федеральный закон «Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации» предполагает принятие постановления Правительства Российской Федерации, устанавливающего порядок подготовки ежегодного плана проведения плановых проверок, его представления в органы прокуратуры и согласования, а также типовую форму ежегодного плана проведения плановых проверок.
В соответствии с п. 54 Плана законопроектной деятельности Правительства Российской Федерации на 2016 год предусмотрена разработка законопроекта о внесении изменений в Федеральный закон № 152-ФЗ в части наделения федерального органа исполнительной власти полномочием по установлению порядка осуществления государственного контроля за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
В этой связи проектом федерального закона внесены изменения в ч.1 ст. 23 Федерального закона № 152-ФЗ в части возложения на Правительство Российской Федерации полномочий по установлению порядка осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
На основании распоряжения Правительства Российской Федерации от 18 июля 2016 г. №1515-р проект федерального закона внесен в Государственную Думу Федерального Собрания Российской Федерации и принят в первом чтении.