пятница, 22 августа 2014 г.

Персональные данные станут невыездными?

Добрый день, дорогие читатели! Сегодня мы с вами поговорим о законе "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" № 242-ФЗ от 21 июля 2014 года. 
Изменения этим законом вносятся в следующие законодательные акты:
1. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года № 149-ФЗ.
2. Федеральный закон "О персональных данных" от 27 июля 2006 года № 152-ФЗ.
3. Федеральный закон "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" от 26 декабря 2008 года № 294-ФЗ.

Что изменится?
1. Будет создан "Реестр нарушителей прав субъектов персональных данных", в который включат сайты с контентом, нарушающим законодательство Российской Федерации в области персональных данных. Информация в данный реестр будет вноситься исключительно по судебному акту. Также определен порядок уведомления владельца сайта, его провайдера. В случае непринятия мер по устранению нарушений, ресурс блокируется.
2. Обладатель информации, оператор информационной системы, в случаях, установленных законодательством РФ, обязан обеспечить:
"нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации."
3. Персональные данные должны обрабатываться на серверах, расположенных на территории Российской Федерации (есть исключения).
4. Роскомнадзор обязан ограничивать доступ к информации, обрабатываемой с нарушением законодательства в области персональных данных.

Закон вступает в силу 1 сентября 2016 года.
У нас с вами есть пара лет, чтобы подготовиться. Давайте поподробнее рассмотрим вопрос обработки ПДн на российских серверах. 

Изменения вносятся в статью 18 ФЗ:
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Исключения следующие (статьи 2, 3, 4 и 8):
1. 2-я статья - обработка персональных данных для целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
2. 3-я статья - осуществление правосудия.
3. 4-я статья - оказание государственных и муниципальных услуг.
4. 8-я статья - профессиональная деятельность СМИ и журналиста.

С тремя последними случаями все понятно. А вот статья 2-я довольно общая.Закон "О Международных договорах РФ" от 15.07.1995 № 101-ФЗ в статье 2-й определяет понятие "ратификация" как форму выражения согласия Российской Федерации на обязательность для нее международного договора. Евроконвенция по персональным данным ратифицирована, является международным договором, а значит, обработка в рамках ее положений подходит под исключение? Этот вопрос мне совершенно непонятен. А еще непонятно, каким образом будет осуществляться обработка ПДн работников международных компаний, ведь даже обезличенные персональные данные нельзя обрабатывать на иностранных серверах...

Коллеги, что думаете по этому поводу? Можно ли работу в международной компании, а также бронирование отелей и интернет-покупки отнести к исключениям из общего правила, и на что, по вашему мнению, будет распространятся требование обработки ПДн на территории РФ?


Хороших всем выходных!
William Duffield - Still Life with Mixed Fruit & a Rug with Landscape Beyond (источник)
Страница моего блога ВК: http://vk.com/kshudrova.