Разъяснения Минкомсвязи России от 25.08.2015 "Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года согласно положениям 242-ФЗ"
Описание
C 1 сентября 2015 года в Российской Федерации начинает действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
В законе №242-ФЗ указано: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона» (ч. 5 ст. 18 ФЗ “О персональных данных”)».
Министерство связи и массовых коммуникаций предлагает разъяснения и ответы на часто задаваемые вопросы, подготовленные на основании информации, полученной от представителей бизнеса, научного сообщества и органов государственной власти РФ (Совет Федерации РФ, Минкомсвязи РФ, Роскомнадзор).
Разъяснения
Пояснительная записка
Положение о локализации хранения и отдельных процессов обработки персональных данных вступают в силу 1 сентября 2015 года. Вместе с тем отдельные термины и формулировки, использованные в тексте данного положения, не имеют законодательных дефиниций и допускают различные толкования. Кроме того, по причине новизны концепции локализации персональных данных, возникает ряд вопросов относительно соотношения данного положения с иными нормами ФЗ «О персональных данных».
В связи с этим образовалась правовая неопределенность относительно порядка исполнения требований ФЗ-242. Многие организации не понимают, какие изменения им необходимо внести в свою ИТ-инфраструктуру и (или) бизнес-процессы для того, чтобы исполнить закон, особенно если такая инфраструктура носит трансграничный характер. Поскольку от правильного понимания содержания ряда понятий и механизма реализации положений о локализации напрямую зависит объем затрат, которые должны понести организации для исполнения требований закона, во избежание создания необоснованной дополнительной финансовой нагрузки на бизнес, а также обеспечения единых «правил игры» для всех участников рынка, необходимо предоставление разъяснений по ряду ключевых вопросов, которые возникли у организаций. Указанные разъяснения целесообразно предоставить заблаговременно и до вступления в силу ФЗ-242 для того, чтобы обеспечить разумную возможность обеспечения исполнения требований закона, а также минимизировать напряженность, возникшую в связи с принятием ФЗ-242. К тому же такого рода разъяснения будут полезны и для обеспечения единообразия правоприменительной практики.
Перечень разъяснений подготовлен на основании информации, полученной от представителей бизнеса, научного сообщества и органов государственной власти РФ (Совет Федерации РФ, Минкомсвязи РФ, Роскомнадзор). Большая часть данных вопросов также выступала предметом дискуссий на серии закрытых встреч, проведенных Роскомнадзором в феврале-марте 2015 года.
Сфера действия ФЗ-242 по территории и кругу лиц
В связи с трансграничным характером сети Интернет, обеспечивающей возможность приобретения товаров и услуг у иностранных лиц, возникает вопрос, при каких условиях требования ч. 5 ст. 18 ФЗ «О персональных данных» распространяются на иностранные организации, не имеющие физического присутствия на территории Российской Федерации.
ФЗ «О персональных данных» не содержит специальных положений, регламентирующих сферу его действия по территории и кругу лиц. В связи с этим для решения вопроса необходимо обратиться к положениям иных законов. В соответствии с ч. 1 ст. 15 ФЗ «Об информации, информационных технологиях и защите информации» на территории Российской Федерации использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства Российской Федерации в области связи, настоящего Федерального закона и иных нормативных правовых актов Российской Федерации. Таким образом, действие российских законов, включая ФЗ «О персональных данных», по общему правилу, ограничено территорией Российской Федерации. Однако при осуществлении деятельности в информационно-телекоммуникационной сети Интернет, которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы осуществления такой деятельности, необходимо установление специальных критериев, при которых она может быть отнесена к осуществляемой на территории Российской Федерации. Одной лишь доступности интернет-сайта на территории Российской Федерации недостаточно для вывода о том, что на него распространяется законодательство Российской Федерации, в том числе о персональных данных, поскольку в таком случае сфера его применения носила бы по существу всемирный характер и делала бы практически невозможным контроль за его исполнением.
В связи с этим в международном частном праве и законодательстве о защите прав потребителей (ст. 1212 Гражданского кодекса РФ), с которым тесно связано законодательство о персональных данных, был выработан критерий направленности деятельности лица на территорию Российской Федерации как условия применения законодательства Российской Федерации к отношениям с иностранным субъектом. Аналогичный критерий используется и в европейской практике (Ст. 15(1)(с) Регламента ЕС № 44/2001 от 22 декабря 2000 г. «О юрисдикции, признании и исполнении судебных решений по гражданским и торговым делам»; ст. 6 Регламента EC № 593/2008 от 17 июня 2008 «О праве, применимом к договорным отношениям»; Ст. 3 (2) Draft EU General Data Protection Regulation).
В данном случае действие ФЗ «О персональных данных» будет направлено на интернет-ресурсы (сайт в сети Интернет, страница сайта в сети Интернет), с использованием которых лицо осуществляет направленную на территорию Российской Федерации деятельность, которые могут быть заблокированы в установленном порядке при несоблюдении их владельцем, являющимся резидентом иностранного государства требований Федерального закона «О персональных данных».
О наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства: 1) использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru, .рф., .su, .москва., moscow и т.п.) и (или) 2) наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков не должно приниматься во внимание). При этом поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности интернет-сайта именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов: возможности осуществления расчетов в российских рублях; возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России), использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту, или иных обстоятельств, явно свидетельствующих о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Таким образом, обязанности по локализации отдельных процессов обработки персональных данных распространяются на иностранных операторов при условии осуществления ими направленной деятельности на территорию Российской Федерации и отсутствии исключений, прямо указанных в ч. 5 ст. 18 ФЗ «О персональных данных» (например, международного договора, для достижения целей которого осуществляется обработка).
Сфера действия ФЗ-242 во времени
Достаточно много вопросов возникает у представителей бизнеса в связи с возможной обратной силой ФЗ-242 и распространением его действия на процессы обработки персональных данных, имевших место до вступления его в силу.
В соответствии с устоявшимися правовыми принципами придание обратной силы правовым нормам, ухудшающим правовое положение лиц и устанавливающим новые обязанности, является, по общему правилу, недопустимым. Исключение составляют случаи, когда обратная сила прямо предусмотрена в законе. ФЗ-242 не содержит подобного рода положений. Соответственно, обязанность по локализации, предусмотренная ч. 5 ст. 18 Федерального закона «О персональных данных», распространяется на отношения по обработке персональных данных, которые возникнут после вступления его в силу.
Таким образом, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации в рамках сбора, который будет осуществляться, начиная с 1 сентября 2015 года, должны производится с учетом новых требований Федерального закона №152-ФЗ, а именно с использованием баз данных, находящихся на территории Российской Федерации.
Понятие сбора персональных данных
Формулировка ч. 5 ст. 18 ФЗ «О персональных данных» связывает обязанность оператора по обеспечению локализации с процессом сбора персональных данных. В связи с этим важное значение приобретает определение понятия «сбора» персональных данных, поскольку от него напрямую зависит размер затрат, которые необходимо понести для адаптации информационных систем, задействованных в процессе обработки персональных данных, к требованиям ФЗ-242. Обязанности по локализации отдельных процессов обработки персональных данных возникают лишь при сборе персональных данных. Из ч. 1 ст. 18 ФЗ «О персональных данных», посвященной обязанностям оператора при сборе персональных данных, можно сделать вывод, что под сбором можно понимать целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц. Таким образом, локализации подлежат только те персональные данные, которые были получены оператором в результате осуществляемой им целенаправленной деятельности по организации сбора таких данных, а не в результате случайного (незапрошенного) попадания к нему персональных данных, например, вследствие получения писем по электронной или иной почте, в которых содержатся персональные данные. Аналогичным образом, не является сбором получение одним юридическим лицом персональных данных от другого юридического лица, если такие данные представляют собой контактную информацию работников или представителей такого юридического лица, переданную в ходе осуществления ими своей законной деятельности. Кроме того, следует отметить, что при осуществлении субъектом сбора информации, содержащей персональные данные, и ее последующей обработки с использованием вычислительных мощностей, предоставленных иным лицом, ответственность за соблюдение требований ч. 5 ст. 18 ФЗ «О персональных данных» лежит на указанном субъекте, учитывая целенаправленный характер его деятельности по сбору и обработке соответствующей информации.
Соотношение требования о локализации отдельных процессов обработки персональных данных с положениями о трансграничной передаче персональных данных
Вопрос о допустимости, а также об условиях допустимости хранения, обработки персональных данных граждан РФ за рубежом неизменно возникал в ходе любой дискуссии, связанной с принятием ФЗ-242. Во многом это обусловлено новизной самой концепции локализации персональных данных, а также рядом заявлений и комментариев, сделанных в медийном пространстве по поводу несовместимости требований о локализации процессов хранения персональных данных на территории РФ с возможностью их обработки за рубежом. Вместе с тем от наличия четких разъяснений по данному вопросу зависит функционирование не только трансграничных компаний на российском рынке, но и ряда отечественных компаний, которые оптимизируют свои затраты посредством использования зарубежных ИТ-сервисов.
В соответствии с ч. 5 ст. 18 ФЗ «О персональных данных» сбор персональных данных, их обновление и изменение должны производиться с использованием баз данных, расположенных на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч. 1 ст. 6 ФЗ «О персональных данных». Однако при этом следует иметь в виду, что изменения в ФЗ «О персональных данных», внесенные ФЗ-242, не затронули положений закона о трансграничной передаче данных. Соответственно передача персональных данных за пределы Российской Федерации возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных». Тем самым требование о локализации отдельных процессов обработки персональных данных, содержащееся в ч. 5 ст. 18 ФЗ «О персональных данных», следует толковать в системном единстве с положениями ст. 12 о трансграничной передаче данных и с учетом определения данного понятия, содержащегося в п. 11 ст. 3: «передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. При этом при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет такой оператор в соответствии с применимым к нему законодательством. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства ФЗ-242 не запрещается.
Ответы на часто задаваемые вопросы
Гражданство
Как следует определять гражданство субъекта персональных данных для целей выполнения требований локализации?
Вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке. Законодатель тем самым предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности. Если же этот вопрос не был решен оператором самостоятельно, то возможно применение ч. 5 ст. 18 ФЗ «О персональных данных» ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации.
Авиаперевозки
Распространяются ли требования, предусмотренные ч. 5 статьи 18 Федерального закона «О персональных данных» (в редакции Закона 242-ФЗ) на деятельность авиаперевозчиков, их уполномоченных агентов, а также иных лиц, в части обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов?
Как следует из положений частей 2 и 3 статьи 105 Воздушного кодекса Российской Федерации, договор воздушной перевозки пассажира, договор воздушной перевозки груза или договор воздушной перевозки почты удостоверяется соответственно билетом и багажной квитанцией в случае перевозки пассажиром багажа, грузовой накладной, почтовой накладной; билет, багажная квитанция, иные документы, используемые при оказании услуг по воздушной перевозке пассажиров, могут быть оформлены в электронном виде (электронный перевозочный документ) с размещением информации об условиях договора воздушной перевозки в автоматизированной информационной системе оформления воздушных перевозок. Таким образом, авиаперевозчикам в целях реализации вышеуказанных положений закона, требуется осуществление деятельности по обработке персональных данных пассажира в целях оформления документов, удостоверяющих заключение договора воздушной перевозки.
В соответствии со ст. 85.1 Воздушного кодекса Российской Федерации, в целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации. При этом следует иметь ввиду, что Российская Федерация является стороной ряда международных конвенций в области авиаперевозок, в частности, Чикагской конвенции («Конвенция о международной гражданской авиации» заключена в Чикаго 7 декабря 1944 года, вступила в силу для Российской Федерации 16 августа 2005 года – «Собрание законодательства РФ», 30.10.2006, №44) , Варшавской конвенции («Конвенция об унификации некоторых правил, касающихся международных воздушных перевозок» заключена в Варшаве 12 октября 1929 года, вступила в силу для СССР 13 февраля 1933 года, Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами, Вып. VIII, - М., 1935, с. 326 – 339.) и Гваладахарской конвенции («Конвенция, дополнительная к Варшавской конвенции, для унификации некоторых правил, касающихся международных воздушных перевозок, осуществляемых лицом, не являющимся перевозчиком по договору» заключена в Гвадалахаре 18 сентября 1961 года, вступила в силу для СССР 21 декабря 1983 года, «Ведомости ВС СССР», 15.02.1984, №7), которые также составляют неотъемлемую часть правового регулирования деятельности авиаперевозчиков и связанных с нею информационных процессов.
Исходя из вышеизложенного, требования ч. 5 ст. 18 ФЗ «О персональных данных» не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ «О персональных данных».
Требования ч. 5 ст. 18 ФЗ «О персональных данных» также не распространяются на деятельность лиц, действующих от имени авиаперевозчика (уполномоченный агент), деятельность которых предусмотрена пунктом 6 Общих правил воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей, утвержденных Приказом Минтранса России №82 от 28 июня 2007 года «Об утверждении Федеральных авиационных правил «Общие правила воздушных перевозок пассажиров, багажа, грузов и требования к обслуживанию пассажиров, грузоотправителей, грузополучателей», а также иных лиц, в части обработки персональных данных граждан-пассажиров исключительно для целей бронирования, оформления и выдачи последним авиабилетов (проездных билетов), багажных квитанций и иных перевозочных документов, в том числе в электронном виде при внутрироссийских и международных перелетах, в случае, если вышеуказанная деятельность данных лиц предусмотрена законодательством Российской Федерации или соответствующим международным договором, в том числе для целей обеспечения авиационной безопасности.
Кадры
Имеет ли право работодатель (при наличии письменного согласия субъекта персональных данных) на трансграничную передачу персональных данных своих работников?
Учитывая, что Федеральным законом «О персональных данных» не предусмотрен запрет на передачу персональных данных, в том числе трансграничную, если такая передача осуществляется в соответствии с законодательством Российской Федерации, считаем возможным трансграничную передачу указанной категории персональных данных.
Распространяется ли требование Закона об обязательной обработке ПД граждан РФ с использованием баз данных, находящихся на территории РФ, на работодателя, который обрабатывает персональные данные своих работников с целью соблюдения норм трудового законодательства Российской Федерации и у которого в силу специфики работы возникает необходимость обработки ПД своих работников с использованием баз данных, находящихся за пределами РФ?»
В случае, если обработка персональных данных подпадает под исключения, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», положения части 5 статьи 18 152-ФЗ не применяются. Соответствующая квалификация осуществляемых действий по обработке персональных данных и обеспечение ее соответствия требованиям законодательства осуществляются оператором персональных данных при обеспечении (организации обеспечения) такой обработки. Корректность упомянутой квалификации и обеспечения обработки в конкретной ситуации проверяется уполномоченным федеральным органом при проведении контрольных мероприятий.
Товары и услуги
Смогут ли граждане РФ размещать свои ПД в удобном для них формате и пользоваться услугами, предлагаемыми на мировом рынке товаров, работ, услуг (например: туризм (бронирование), заказ товаров, банковские услуги и т.п.)?
Считаем, что, изменения, вносимые в законодательство Российской Федерации Федеральным законом №242-ФЗ, не препятствуют гражданам Российской Федерации получать за пределами Российской Федерации услуги, в случае, если в их рамках обрабатываются персональные данные граждан Российской Федерации за пределами территории Российской Федерации, в соответствии с международным договором или в соответствии с федеральным законом, либо в рамках иных исключений, на которые не распространяется норма части 5 статьи 18 152-ФЗ.
Трансграничность
Применяется ли Закон экстерриториально и должны ли те лица (в том числе нерезиденты РФ), которым операторы или непосредственно сами субъекты ПД (граждане РФ) направляют ПД, на законных основаниях также обрабатывать их на территории РФ?
В соответствии с принципами международного права внутреннее законодательство государства действует исключительно на территории такого государства и не распространяется на нерезидентов государства, находящихся на территории иного государства. Аналогичная норма о том, что федеральные законы действуют на территории Российской Федерации, содержится также в статье 4 Конституции России. Таким образом, положения Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» №242-ФЗ от 21 июля 2014 года не распространяются на нерезидентов Российской Федерации, находящихся и действующих на территории иных государств. Деятельность таких лиц регулируется международными нормами права, в том числе Конвенцией Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера, в соответствии с которым обработка персональных данных осуществляется только в пределах целей, для которых эти персональные данные были собраны, а также законодательством стран, в которых действуют такие нерезиденты.
Ратификация Российской Федерацией Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера может привести к конфликту между Законом и Конвенцией: «сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни». Следует ли в данной ситуации следовать положениям Закона или Конвенции?
Из совокупности положений части 5 статьи 18 Федерального закона «О персональных данных» («при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона) и пункта 2 части 1 статьи 6 Федерального закона «О персональных данных» («обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей») следует, что обработка персональных данных в целях и в соответствии с требованиями, установленными ратифицированной Российской Федерацией Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера не противоречит законодательству Российской Федерации, регулирующему отношения в области защиты персональных данных. Кроме того, часть 5 статьи 18 152-ФЗ не ограничивают трансграничную передачу персональных данных граждан Российской Федерации.
Распространяется ли Закон на ПД граждан РФ, которые были переданы на законном основании для их обработки за пределы территории РФ до его вступления в силу?
Закон распространяется на правоотношения, возникшие после его вступления в силу, если иное не определено в самом законе. В Федеральном законе №242-ФЗ не имеется указаний на иной порядок распространения его норм во времени. В этой связи в случае, если персональные данные граждан РФ были правомерно собраны до вступления в силу Закона №242-ФЗ (1 сентября 2015 года), они могут находится в неизменном виде за границей. Вместе с тем, в случае, если после вступления в силу Закона №242-ФЗ были собраны персональные данные, в результате обработки которых, в том числе в отношении ранее собранных персональных данных, стали осуществляться действия, предусмотренные частью 5 статьи 18 Федерального закона «О персональных данных» (запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение), то в отношении и таких, ранее собранных персональных данных оператор обязан производить упомянутые действия с использованием баз данных, находящихся на территории Российской Федерации.
Указанная позиция разделяется Государственно-правовым управлением Президента Российской Федерации.
Если субъект персональных данных дал свое согласие оператору на обработку его ПД в базах ПД за пределами РФ, позволяет ли это оператору на основании такого волеизъявления субъекта ПД вести обработку ПД в базах за пределами РФ?
Само по себе это не является основанием для осуществления указанных действий.
В ФЗ-242 существует формулировка «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона». Накладывает ли Закон запрет на последующую обработку (после сбора, например, составление отчетности, анализ данных и т.д.) персональных данных в базах данных, расположенных за пределами Российской Федерации?
Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации. Таким образом, если для составления отчетности, либо анализа информации, содержащей персональные данные, оператору требуется осуществить упомянутые формы обработки персональных данных, то такие действия должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации.
Насколько обоснована трактовка Закона, согласно которой оператор персональных данных обязан обеспечить запись, систематизацию, накопление, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, только при (первичном) сборе персональных данных, а последующая обработка с использованием баз данных, находящихся не на территории РФ, а также трансграничная передача данных третьему лицу не запрещается?
Трактовка в части первичного сбора является неверной по следующим основаниям. Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации.
Распространяется ли требование локализации на случаи внесения персональных данных российских граждан в базы данных, которые расположены за пределами Российской Федерации, если такие персональные данные ранее уже были локализованы в соответствии с ФЗ-242?
Актуальность данного вопроса обуславливается частым наличием в рамках одной организации множества баз данных, в которых может осуществляться обработка персональных данных. Также нередко сбор персональных данных первоначально осуществляется в «бумажной» форме (заполненные бланки заявлений, анкет и пр.), c последующим их занесением сотрудником организации в общекорпоративную электронную базу данных, расположенную за рубежом. Возложение на оператора обязанности по локализации каждой из таких баз данных приводит к существенному возрастанию затрат, не сопровождающихся усилением защиты субъектов персональных данных (поскольку их данные уже были локализованы на территории РФ). К тому же, в некоторых случаях особенности построения информационной инфраструктуры компании не позволяют осуществить локализацию всех баз данных без кардинальной перестройки своей глобальной инфраструктуры. Как следует из текста ч. 5 ст. 18 ФЗ «О персональных данных», обязанность оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считается исполненной, когда указанные действия были совершены при сборе персональных данных с использованием базы данных, находящейся на территории Российской Федерации. При этом, статья не содержит указания на то, что такие действия должны совершаться исключительно с использованием баз данных, размещенных на территории России. В связи с этим, если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных не требуется, поскольку цели закона уже достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) оператора в принадлежащую ему электронную базу данных, находящуюся за пределами РФ.
Возможно ли хранить персональные данные (ПД) граждан РФ за ее пределами при условии наличия дублирующей (копии) базы ПД граждан РФ на территории РФ (и наоборот, когда база ПД за пределами РФ является копией (или частью) базы данных, сформированной и находящейся на территории России?), либо обработка ПД на территории другого государства в принципе запрещена?
В соответствии с положениями пункта 7 части 4 статьи 16 Федерального закона №149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
Принимая во внимание также положения части 5 статьи 18 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» (вступающей в силу с 1 сентября 2015 года), устанавливающих, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считаем, что обработка ПД граждан Российской Федерации на территории другого государства может осуществляться исключительно в случаях, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», для которых имеется изъятие в части 5 статьи 18 152-ФЗ. Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные. Вместе с тем, Федеральный закон не содержит указаний на общий запрет обработки персональных данных граждан Российской Федерации с использованием баз данных, не находящихся на территории Российской Федерации.
Когда согласие на трансграничную передачу персональных данных считается прекратившимся? По законодательству некоторых стран, переданная информация должна храниться в иностранных компаниях даже после истечения договоров с контрагентами.
В законодательстве в сфере персональных данных отсутствует понятие «прекратившееся согласие». Согласно части 7 статьи 5 Федерального закона №152-ФЗ обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
Возможно ли передавать персональные данные работников иностранным компаниям, принадлежащим к той же группе компаний, что и российский работодатель, на основании безвозмездного договора о передаче данных. Несет ли в таком случае ответственность российское юридическое лицо, которое не контролирует действия иностранного юридического лица, не определяя цели и объем обработки данных?
Трансграничная передача персональных данных не запрещена при условии соблюдения требований, установленных в статье 12 Федерального закона №152-ФЗ. При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору в случае нарушения порядка и условий, установленных для договора-поручения.
Каков максимально допустимый период, в течение которого данные могут находиться на иностранных серверах третьих лиц после их передачи? Разграничивает ли Закон понятия «временное хранение персональных данных» для целей передачи данных или их использования за пределами РФ и «постоянное хранение»?
Федеральным законом №152-ФЗ (часть 4 статья 21) предусмотрено, что в случае достижения цели обработки персональных данных (ПД), оператор обязан прекратить обработку ПД или обеспечить ее прекращение и уничтожить ПД в срок, не превышающий 30 дней с даты достижения цели обработки. В случае отсутствия возможности уничтожения ПД в течение указанного срока оператор осуществляет блокирование ПД и обеспечивает их уничтожение в срок не более чем 6 месяцев. В Федеральном законе №242-ФЗ отсутствуют понятия «временное хранение», «постоянное хранение».
Требуются ли какие-либо предварительные одобрения Роскомнадзора для возможности осуществить трансграничную передачу персональных данных?
Федеральный закон №152-ФЗ не устанавливает подобных требований согласования Роскомнадзором документов или действий оператора персональных данных при трансграничной передаче данных на территорию любого иностранного государства.
Терминология
Принимая во внимание Пояснительную записку к Закону, где говорится, что целью такового является совершенствование института обработки персональных данных граждан РФ в информационно-телекоммуникационных сетях, необходимо уточнить, относятся ли требования Закона ко всем лицам, отвечающим понятию «оператор» по смыслу ст. 3 ФЗ РФ №152-ФЗ от 27.07.2006 г., или только к операторам, чьим основным видом деятельности может быть признана обработка ПД с использованием информационно-телекоммуникационных сетей?
В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей.
В пояснительной записке к законопроекту, а также при освещении поправок прессой было упомянуто, что целью законопроекта является ограничение обработки персональных данных исключительно посредством сети Интернет, при этом финальная версия законопроекта, которая была принята Государственной Думой РФ, содержит в себе более расширительное и неоднозначное толкование данной нормы. Действительно ли закон распространяется на любую обработку персональных данных (а не только в сети интернет) и, если нет, то планируются ли к принятию какие-либо законопроекты, уточняющие этот момент?
В соответствии с положениями пункта 2 статьи 3 Федерального закона «О персональных данных», оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, положения Федерального закона №242-ФЗ распространяются на всех вышеуказанных субъектов. Принятый федеральный закон не привязывает распространение части 5 статьи 18 152-ФЗ только к операторам, где обработка персональных данных является их основным видом деятельности, либо к операторам, обрабатывающим персональные данные только с использованием информационно-телекоммуникационных сетей. В существующих планах законопроектной деятельности не предусмотрена разработка проекта федерального закона, корректирующего это положение.
Что понимается под сбором персональных данных в контексте требований закона?
152-ФЗ указанный термин не раскрывает. В целях толкования под сбором персональных данных можно понимать документально оформленную процедуру получения оператором от субъекта его персональных данных, для их последующей обработки в соответствии с заявленными целями сбора. Схожее определение содержится в статье 2 Модельного закона о персональных данных, принятого на XIV пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ постановлением от 16 октября 1999 года №14-19 (Сбор персональных данных - документально оформленная процедура получения держателем персональных данных от субъектов этих данных).
Новые требования (п.5 статьи 18) звучат «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации…». Означает ли это, что эти требования распространяются исключительно на процесс сбора, но не распространяются на любые последующие действия с персональными данными?
Вышеуказанные требования закона распространяются, в том числе, и на обработку оператором полученных в результате сбора персональных данных, а именно запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение.
Уточните, пожалуйста, в нормативных актах понятие персональных данных в связи с тем, что в законе это достаточно размыто.
Существующее понятие, содержащееся в пункте 1 статьи 3 152-ФЗ («любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»), соответствует международному праву – подпункт «а» статьи 1 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом №160-ФЗ от 19 декабря 2005 года («любая информация об определенном или поддающемся определению физическом лице»). Более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Закон также не содержит полномочий по уточнению этого термина подзаконными актами.
Учитывая, что с использованием баз данных, находящихся в России, оператор при сборе ПД обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ, а понятие «обработка персональных данных» помимо этих действий включает в себя также сбор, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД, правильно ли мы понимаем, что такая обработка ПД, как сбор, использование, передача, обезличивание, блокирование, удаление, уничтожение, возможна с использованием баз данных, находящихся за пределами РФ? Просьба уточнить, какие именно действия входят в понятие «использование персональных данных».
Понимание правильное. 152-ФЗ термин «использование персональных данных» не раскрывает. В целях толкования под «использованием персональных данных» можно понимать действия с персональными данными, не относящиеся к иным формам обработки персональных данных, в том числе принятие решений на основе персональных данных, для осуществления которых был осуществлен сбор персональных данных (цель сбора персональных данных должна соответствовать цели использования персональных данных).
Согласно п. 2 статьи 3 закона № 152-ФЗ понятие «оператор» включает в себя юридическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПД, а также определяет цели обработки ПД, состав ПД, подлежащих обработке, действия, совершаемые с ПД. В случае если юридическое лицо лишь отчасти соответствует этому определению (например, не осуществляет обработку ПД, а только определяет цели обработки ПД), считается ли такое юр. лицо оператором ПД?
Понятие «оператор» содержится в статье 3 закона №152-ФЗ, под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Принимая во внимание, что статья 3 Закона №152-ФЗ не содержит исключений в части осуществления лицом отдельных операций по обработке персональных данных, а равно иных определений, отличных от оператора, лицо, определяющее цель обработки персональных данных, либо осуществляющее отдельные действия по обработке персональных данных в контексте положений закона №152-ФЗ является оператором, осуществляющим обработку персональных данных.
Действительно ли не требуется повторное или дополнительное уведомление об обработке персональных данных после 1 сентября 2015 года. Нужно ли дополнительно сообщать, где находятся базы данных?
Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. В Федеральный закон №242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления в силу закона операторы, руководствуясь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.
Подпадает ли первоначальный сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных под требования части 5 статьи 18 Федерального закона №152-ФЗ?
Согласно требованиям части 5 статьи 18 Федерального закона №152-ФЗ при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. Основополагающим принципом законодательства в области персональных данных является принцип, согласно которому обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. В связи с этим внесение персональных данных в информационную систему персональных данных, используемую в целях, аналогичных сбору данных на бумажных носителях, следует рассматривать как единый процесс, реализация которого должна осуществляться в строгом соответствии с требованиями части 5 статьи 18 Федерального закона №152-ФЗ. Разделение указанного единого процесса на отдельные действия законодательством Российской Федерации в области персональных данных не предусмотрено. Таким образом, отдельные виды обработки персональных данных, предусмотренные частью 5 статьи 18 Федерального закона №152-ФЗ, в том числе сбор персональных данных на бумажных носителях с последующим их внесением в электронную базу данных, должны осуществляться как единый процесс в правовом поле законодательной нормы, обязывающей хранить персональные данные на территории Российской Федерации.
Ответы пользователям и представителям организаций
Правомерно ли заключение о том, что база данных может быть в любой форме, в том числе бумажной, поэтому требование закона о локализации будет исполнено, если в РФ в бумажном виде хранятся персональные данные (например, личные дела сотрудников), которые затем в электронном виде вносятся в автоматизированные системы учета, которые располагаются на зарубежных серверах головной компании?
В связи с тем, что понятие «база данных» на уровне федерального закона раскрыто в абзаце втором части 2 статьи 1260 Гражданского кодекса Российской Федерации в виде «базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины», при применении вступающей в силу с 1 сентября 2015 года части 5 статьи 18 Федерального закона №152-ФЗ под термином «база данных» будет пониматься указанное выше значение, предполагающее, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным при условии их наличия в электронной форме.
Насколько строго будет применяться Федеральный закон от 21 июля 2014 года №242-ФЗ “О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях”, и как скоро государственные органы, уполномоченные на проверку соответствия компаний новому закону, начнут осуществлять такие проверки и, предположительно, в отношение каких компаний, в первую очередь?
В соответствии с положениями статьи 24 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее — Федеральный закон №152-ФЗ) лица, виновные в нарушении требований указанного Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность, включая административную, гражданского-правовую, а также уголовную.
Одновременно отмечаем, что в настоящее время ведется разработка проекта постановления Правительства Российской Федерации, в соответствии с которым будет определен порядок проведения государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации.
Дополнительный вопрос по теме “сфера действия закона по территории и кругу лиц”. В случае, если иностранное юридическое лицо (ИЮЛ) требует от российской дочерней компании предоставления отчетности посредством размещения информации (включая, в том числе, некоторые персональные данные граждан РФ) на веб-сайте ИЮЛ, доступ к которому предоставлен российской дочерней компании, будет ли применяться ч. 5 ст. 18 ФЗ “О персональных данных” к такому интернет-ресурсу ИЮЛ и будет ли данный процесс рассматриваться как сбор ИЮЛ персональных данных, или как передача персональных данных российской дочерней компанией иностранному юридическому лицу?
Часть 5 статьи 18 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных», предусмотренная Федеральным законом №242-ФЗ от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» вступает в силу с 1 сентября 2015 года.
Указанной нормой устанавливается, что оператор персональных данных при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6.
Полагаем, что под сбором персональных данных можно понимать документально оформленную процедуру получения оператором от субъекта его персональных данных, для их последующей обработки в соответствии с заявленными целями сбора. Следует отметить, что персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, позволяющих обрабатывать такие данные без согласия их субъекта (пункты 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 закона «О персональных данных»).
Учитывая изложенное, соответствующие действия с учетом вышеизложенного могут являться сбором и передачей персональных данных.
Одновременно отмечаем, что Федеральный закон № 242-ФЗ не изменяет положений Федерального закона № 152-ФЗ в части трансграничной передачи персональных данных.
Добрый день! В разделе “Авиаперевозки” уточняется, что требования ч. 5 ст. 18 ФЗ “О персональных данных” не распространяются на деятельность российских, а также иностранных авиаперевозчиков в части сбора и обработки персональных данных граждан-пассажиров для целей бронирования, оформления и выдачи им авиабилетов (проездных билетов), …так как они подпадают под исключение, предусмотренное п. 2 ч. 1 ст. 6 ФЗ “О персональных данных”. Уточните, пожалуйста, подпадают ли под аналогичное исключение данные, которые получает онлайн-агентство при продаже туристических пакетов, где авиаперевозка является частью такого туристического пакета, в который, помимо авиабилета, входят и другие услуги (например, размещение в гостинице, наземные транспортные услуги и т. п.)
Действующая редакция Федерального закона №152-ФЗ «О персональных данных» не содержит части 5 статьи 18.
Вместе с тем отмечаем, что соответствующая норма Федерального закона «О персональных данных», предусмотренная Федеральным законом №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», вступает в действие с 1 сентября 2015 года.
Одновременно отмечаем, что в соответствии с частью 2 статьи 5 Федерального закона №152-ФЗ обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
В связи с этим исключения из требований по обработке персональных данных, которые будут содержаться в части 5 статьи 18 Федерального закона №152-ФЗ, распространяются только на операторов персональных данных, осуществляющих обработку персональных данных для осуществления авиаперевозок в соответствии с международными договорами Российской Федерации.
В разъяснении о понятии сбора персональных данных указано, что "не является сбором получение одним юридическим лицом персональных данных от другого юридического лица, если такие данные представляют собой контактную информацию работников или представителей такого юридического лица, переданную в ходе осуществления ими своей законной деятельности". Подпадают ли под это условие учетные записи пользователей организации, которые содержат контактную информацию (ФИО, электронная почта, телефон, имя пользователя в корпоративных системах) и используются для доступа к информационным системам на территории Российской Федерации (то есть, для осуществления законной деятельности на территории РФ) и при этом синхронизированные с интернет-сервисами и/или базами данных, находящимися за рубежом (при наличии соглашения и/или договора о предоставлении сервиса или услуг) для целей доступа к информационным системам, сервисам, ресурсам?
Федеральный закон «О персональных данных» термин «сбор персональных данных» не раскрывает. В целях толкования под сбором персональных данных можно понимать документально оформленную процедуру получения оператором от субъекта его персональных данных, для их последующей обработки в соответствии с заявленными целями сбора. Следует отметить, что персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, позволяющих обрабатывать такие данные без согласия их субъекта (пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 закона «О персональных данных»). Однако приведенные в обращении обстоятельства к указанным основаниям не относятся.
Организация пользуется сервисом электронной почты, чья серверная инфраструктура расположена за рубежом. На электронные почтовые ящики могут приходить электронные письма, содержащие персональные данные в неструктурированном виде. После получения письма работник осуществляет извлечение и внесение полученных персональных данных в базу данных, расположенную в России. То есть, на почтовых серверах могут храниться получаемые персональные данные в несистематизированном виде. Подпадает ли инфраструктура почтового сервиса под требования 242-ФЗ?
В соответствии с пунктом 1 статьи 3 Федерального закона №152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Федеральным законом №242-ФЗ внесены изменения в статью 18 Федерального закона №152-ФЗ по ее дополнению новой частью 5, устанавливающей обязанность оператора при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 данного Федерального закона.
Учитывая изложенное, в случае, если на территории Российской Федерации происходит сбор персональных данных гражданина Российской Федерации, за исключением вышеуказанных случаев, оператор персональных данных должен будет соблюдать требования Федерального закона №242-ФЗ.
Имеет ли право оператор, юридическое лицо обрабатывать персональные данные индивидуального предпринимателя (покупателя продукции) в рамках исполнения договорных обязательств с ним (ФИО, адрес, ИНН, банковские реквизиты) в базах данных за пределами РФ (в странах с адекватной защитой), использующиеся для формирования налоговых (счет-фактура) и товаросопроводительных (товарная и товарно-транспортная накладная) документов по договору?
На основании пункта 5 части 1 статьи 6 Федерального закона №152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ) от 27 июля 2006 года допускается обработка персональных данных, когда она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Частью 1 статьи 12 Федерального закона №152-ФЗ устанавливается, что трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с данным Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Иных требований, в соответствии с которыми может быть ограничена передача персональных данных за пределы территории Российской Федерации, рамках исполнения договора, в Федеральном законе №152-ФЗ не содержится.
Распространяются ли требования 242-ФЗ на зарубежные филиалы российских организаций? Отмечаю, что такие зарубежные филиалы российских организаций работают в иностранных юрисдикциях, их деятельность подчиняется иностранному праву, в том числе иностранному законодательству об обработке персональных данных, которое противоречит требованиям 242-ФЗ и не позволяет передавать полученные зарубежным филиалом персональные данные клиентов-граждан РФ в РФ.
Учитывая, что в соответствии с гражданским законодательством, филиал юридического лица не является самостоятельным юридическим лицом, оператором персональных данных, обрабатываемых таким филиалом, является юридическое лицо, создавшее филиал. Соответственно, на данное юридическое лицо (российскую организацию), а, соответственно, и на ее филиалы, полностью распространяются требования, устанавливаемые частью 5 статьи 18 Федерального закона «О персональных данных»
Когда на сайте Роскомнадзора РФ появится форма уведомления для предоставления операторами сведений о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации, как того требует 242-ФЗ? В какие сроки необходимо будет предоставить такие сведения? Какая санкция будет применяться за нарушение сроков, если они будут установлены?
Размещение на официальном сайте Роскомнадзора образца формы уведомления, доработанного с учетом положений 242-ФЗ, будет осуществлено после утверждения Минкомсвязью России приказа «О внесении изменений в Административный регламент по оказанию государственной услуги “Ведение реестра операторов, осуществляющих обработку персональных данных”». По существу вопроса о сроках предоставления информации о местонахождении баз данных сообщаем, что после вступления 242-ФЗ в силу операторы персональных данных в силу положений части 7 статьи 22 Федерального закона «О персональных данных» должны сообщить в Роскомнадзор сведения о месте нахождения базы данных в течение десяти рабочих дней. В случае неисполнения указанного требования оператор может быть привлечен к административной ответственности, предусмотренной ст. 19.7 КоАП РФ.
Являются ли свободно-наблюдаемые на кладбище данные усопших (ФИО, даты жизни) персональными данными, попадающими под действие 152-ФЗ? Если да, то какой порядок получения согласия на обработку этих данных?
В соответствии с положениями части 7 статьи 9 Федерального закона №152-ФЗ «О персональных данных», в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни. Положениями части 12 статьи 3 и части 2 статьи 7 Федерального закона №152-ФЗ «О персональных данных», обеспечение конфиденциальности персональных данных не требуется в отношении общедоступных персональных данных.
Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» закрепляет, что общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
Таким образом, размещая на надмогильном сооружении соответствующие надписи, родственники сами делают персональные данные об усопшем, в том числе:
- ФИО усопшего;
- дата рождения;
- дата смерти;
общедоступными, что по факту является их согласием на ознакомление сторонних лиц с такими персональными данными.