ФЗ 242 аб абароне персанальных дадзеных. Федэральны закон 242 (ФЗ аб персанальных дадзеных): змены і каментары

У Расіі дзейнічае асобны закон, у адпаведнасці з якім розныя арганізацыі і фізічныя асобы павінны ажыццяўляць аперацыі з персанальнымі дадзенымі — ФЗ № 152. У адпаведны прававы акт перыядычна заканадавец ўносіць змены. У прыватнасці, 1 верасня 2015 года ў сілу ўступілі нормы ФЗ № 242, пасля выдання якога ў ФЗ № 152 з'явіўся шэраг прынцыпова новых нормаў. У чым яны заключаюцца? Хто абавязаны выконваць адпаведныя палажэнні заканадаўства?

Што ўяўляе сабой ФЗ аб персанальных дадзеных?

Варта асабліва акцэнтаваць увагу на гэтым прынцыповым моманце: закон 242-ФЗ, які ўступіў у сілу з 1 верасня 2015 года, з'яўляецца нарматыўным актам, які ўнёс змены ў іншы, асноватворны крыніца права — ФЗ № 152, прыняты ў ліпені 2006 года. Такім чынам, фармулёўкі, якія змяшчаюцца ў законе № 242, варта разглядаць выключна ў кантэксце тых нормаў, што ўтрымліваюцца ў ФЗ № 152.

Асноватворны прававы акт — ФЗ № 152, усталяваў у заканадаўстве РФ такія прававыя катэгорыі, як:

- персанальныя дадзеныя;

- аператар адпаведных звестак;

- апрацоўка персанальных дадзеных.

Пад першай прававой катэгорыяй заканадавец загадвае разумець любую інфармацыю, што прама ці ўскосна адносіцца да фізічнай асобе. Гэта могуць быць, напрыклад, яго Ф. І. О., персанальныя дадзеныя, кантактныя звесткі.

Пад другой прававой катэгорыяй у законе разумеецца дзяржаўны або муніцыпальны орган улады, арганізацыя або фізічная асоба, якія самастойна або ў ходзе ўзаемадзеяння з іншымі суб'ектамі ажыццяўляюць працэдуру апрацоўкі дадзеных, а таксама вызначаюць іх склад і аперацыі з імі.

Пад трэцяй прававой катэгорыяй заканадавец загадвае разумець любую аперацыю альбо іх паслядоўнасць, што маюць дачыненне да персанальных дадзеных і ажыццяўляюцца з дапамогай прымянення сродкаў аўтаматызацыі ці ж без іх.

Асноўныя аперацыі з персанальнымі дадзенымі, вызначаныя законам № 152: збор, запіс, захоўванне, карэкціроўка, выкарыстанне, перадача, блакаванне, выдаленне. Названыя прававыя катэгорыі, у прынцыпе, на момант прыняцця маглі лічыцца даволі новымі для прававой сістэмы РФ. Да таго абарот персанальных дадзеных рэгламентавалася расейскім заканадаўствам дастаткова павярхоўна.

Навізна ФЗ № 152

Закон аб персанальных дадзеных, прыняты ў РФ, быў прызваны, такім чынам, наблізіць айчынную прававую сістэму да сусветным стандартам забеспячэння прыватнасці абмену інфармацыяй — перш за ўсё, прадстаўленай у электронным выглядзе і якая выкарыстоўваецца ў рамках анлайнавых камунікацый. Але ФЗ № 152 у роўнай ступені стварыў прававую сераду таксама для забеспячэння абароны розных афлайнавых дадзеных.

У адпаведнасці з дадзеным нарматыўна прававым актам было вызначана некалькі класаў персанальных дадзеных, якія патрабавалі прымянення пэўных алгарытмаў абароны. Акрамя таго, ФЗ № 152 устанавіў нормы, у адпаведнасці з якімі абарот розных дадзеных мог ажыццяўляцца ў спецыялізаваных інфармацыйных сістэмах — тых, якія патрабавалі асабліва высокай кваліфікацыі адміністратараў, а таксама атрымання імі ліцэнзій на ажыццяўленне аперацый з персанальнымі дадзенымі.

Нягледзячы на тое, што ФЗ № 152 быў выдадзены ў 2006 годзе, на практыцы яго асноўныя палажэнні аператараў персанальных дадзеных стала абавязкова ўжываць толькі з 1 ліпеня 2011 года. З таго моманту ў адпаведны крыніца права, як мы адзначылі вышэй, перыядычна ўносіліся розныя карэкціроўкі. У прыватнасці, тыя, што былі зацверджаны федэральнымі ўладамі з дапамогай Закона 242-ФЗ. Разгледзім яго асаблівасці больш падрабязна.

Асаблівасці прымянення прававога акта

Федэральны закон 242-ФЗ «Аб персанальных дадзеных» (дакладней, «Аб унясенні змяненняў у акты ў частцы ўдакладнення апрацоўкі дадзеных») усталяваў становішча, у адпаведнасці з якім аператары сталі абавязаны ажыццяўляць апрацоўку і захоўванне звестак толькі на серверах, што размешчаны на тэрыторыі Расеі. Альбо калі гэта афлайнавыя персанальныя дадзеныя — размяшчаць іх у базах дадзеных, што знаходзяцца ў РФ. Адзначым, што ў законе 242-ФЗ прапісаны шэраг выключэнняў адносна названай нормы — якія, у сваю чаргу, адлюстраваны ў палажэннях ФЗ № 152.

Яшчэ адзін нюанс прымянення закона заключаецца ў тым, што з дапамогай яго заканадавец таксама ўнёс змены не толькі ў асноўны прававы акт, які рэгулюе аперацыі з персанальнымі дадзенымі, але і ў іншыя крыніцы. А менавіта ў законы 149 «Аб інфармацыі», а таксама 249 («Аб абароне юрыдычных асоб і ІП пры дзяржаўным і муніцыпальным кантролі»).

У расійскіх СМІ актыўна тыражаваліся інфармацыя аб тым, што Роскомнадзор — ведамства, якое адказвае за забеспячэнне адпаведнасці дзейнасці аператараў дадзеных палажэнням ФЗ-242 «Аб абароне персанальных дадзеных», у 2016 годзе будзе праводзіць праверкі найбуйнейшых пастаўшчыкоў IT-рашэнняў, якія ажыццяўляюць дзейнасць у РФ. У прыватнасці, гаварылася аб тым, што мэта Раскамнагляду — даведацца, ці выконваюць прадпісанні разгляданага закона такія брэнды, як Microsoft, «Вконтакте», HeadHunter, LaModa. Меркавалася, што ведамства выканае каля 1 тыс. розных праверак.

Ініцыяваныя федэральнымі ўладамі з дапамогай выдання ФЗ № 242-ФЗ змены аб персанальных дадзеных у асноўным законе маглі прадвызначыць неабходнасць правядзення найбуйнейшымі аператарамі значнага абнаўлення апаратнага і праграмнага забеспячэння. Але дадзеная задача павінна быць вырашана брэндамі, інакш, пры неадпаведнасці якая выкарыстоўваецца імі інфраструктуры патрабаванням разгляданага закона, Раскамнагляд можа накласці штраф на кампанію.

Значную ролю ў праверках, як мяркуецца, павінны згуляць карыстальнікі розных IT-рашэнняў. У выпадку, калі яны пачнуць падазраваць, што іх дадзеныя не цалкам надзейна абаронены, то звесткі аб сэрвісе, які задзейнічаецца пры аперацыях з адпаведнымі дадзенымі, могуць быць перададзены карыстальнікамі непасрэдна ў Раскамнагляд. Які, у сваю чаргу, павінен будзе ініцыяваць праверку сэрвісу на прадмет адпаведнасці нормам закона 242-ФЗ.

Карысна будзе разгледзець тое, якая сфера дзеяння разгляданага крыніцы права.

Закон № 242: сфера дзеяння крыніцы права

Галоўны дыскусійны момант у дадзеным выпадку — тое, распаўсюджваецца юрысдыкцыя ФЗ-242 «Аб абароне персанальных дадзеных» на замежныя фірмы, якія, з аднаго боку, аказваюць паслугі расейскім карыстальнікам, з другога, размяшчаюцца за межамі РФ як з юрыдычнага пункту гледжання, так і ў плане задействуемой інфраструктуры.

Асобных палажэнняў у разгляданым законе, якія б адназначна вызначалі геаграфію яго дзеянні, заканадавец не зацвердзіў. Таму, у мэтах знаходжання адказу на разгляданы пытанне, ці неабходна звяртацца да іншым прававым актам.

Так, у адпаведнасці з законам аб інфармацыі, якія дзейнічаюць у РФ, прымяненне на тэрыторыі Расіі розных тыпаў камунікацыйнай інфраструктуры павінна ажыццяўляцца з улікам нормаў, зацверджаных у заканадаўстве РФ. Такім чынам, калі прытрымлівацца дадзенай норме, то можна прыйсці да высновы, што Федэральны закон № 242-ФЗ распаўсюджваецца ўсё ж толькі на тыя сэрвісы, якія адназначна задзейнічаюць інфраструктуру, што размешчана ў Расеі.

Вызначэнне дзейнасці аператара персанальных дадзеных у Расеі

Важнейшы крытэрый вызначэння юрысдыкцыі разгляданага крыніцы права — накіраванасць дзейнасці брэнда, які валодае тым ці іншым сэрвісам. Калі той ці іншы сайт абслугоўвае пераважна расійскіх карыстальнікаў, то ён павінен лічыцца аб'ектам рэгулявання з пункту гледжання прымянення нормаў закона № 242. Той факт, што сэрвіс накіраваны на атрыманне персанальных дадзеных грамадзян РФ, можа ўсталеўвацца зыходзячы з таго, што:

- у структуры адрасы сайта выкарыстоўваецца дамен .ru, .su, .рф або, напрыклад, .масква;

- кантэнт сайта выкананы на рускай мове;

- на старонках партала ёсць наяўнасць магчымасці ўступіць у праваадносіны з сэрвісам з выкарыстаннем формаў дагавораў, якія складаюцца ў адпаведнасці з Грамадзянскім кодэксам РФ.

На практыцы аператарамі дадзеных, якія трапляюць пад юрысдыкцыю ФЗ № 242, могуць быць самыя розныя структуры — напрыклад, кадравыя службы прадпрыемстваў, банкі, call-цэнтры. Усе яны абавязаны забяспечваць адпаведнасць сваёй дзейнасці патрабаванням закона, аб якім ідзе гаворка.

Закон № 242 з пункту гледжання яго прымянення зваротнай сілы

Закон № 242-ФЗ аб унясенні змяненняў у ФЗ № 152 быў выдадзены пазней, чым з'явіўся уласна сам ФЗ № 152, а таксама папярэднія папраўкі да яго, аднак абумовіў узнікненне неабходнасці ў дадатковай інтэрпрэтацыі палажэнняў асноўнага прававога акта. У прыватнасці, у асяроддзі юрыстаў з'явілася дыскусія аб тым, ці варта разглядаць закон № 242 як мае зваротную сілу.

Больш за ўсё папулярная кропка гледжання, у адпаведнасці з якой у дачыненні да ацэнкі юрыдычнага дзеяння разгляданага прававога акта варта ўжываць общеюридические прынцыпы, у адпаведнасці з якімі надзяленне зваротнай сілай тых законаў, якія пагаршаюць становішча тых ці іншых асоб альбо ўсталёўваюць для іх дадатковыя абавязкі, ажыццяўляцца не павінна.

Выключэнні могуць прымацца ў дачыненні да прававых актаў, у якіх прынцып зваротнай сілы зафіксаваны непасрэдна. Закон 242-ФЗ падобных палажэнняў не ўтрымлівае. Таму выконваць яго абавязаны толькітыя ўдзельнікі праваадносін, якія пачынаюць апрацоўваць персанальныя дадзеныя ўжо пасля ўступлення адпаведнага прававога акта ў законную сілу. Гэта значыць, з 1 верасня 2015 года.

Сутнасць збору дадзеных

Яшчэ адзін дыскусійны момант, які характарызуе разгляданы прававы акт — вызначэнне паняцця «збор дадзеных», зыходзячы з фармулёвак, якія прысутнічаюць у ім. У чым заключаецца складанасць трактовак у дадзеным выпадку? Справа ў тым, што ў адпаведнасці з палажэннямі ФЗ № 152, у якія былі ўнесены з дапамогай выдання ФЗ № 242-ФЗ змены аб персанальных дадзеных, аператары абавязаныя забяспечваць лакалізацыю файлаў у працэсе як раз такі збору адпаведных звестак. У сваю чаргу, сутнасць дадзенай працэдуры адназначна не вызначана ў законе, што, вядома ж, не спрыяе эфектыўнай рэалізацыі яго палажэнняў у шэрагу кантэкстаў.

У асяроддзі экспертаў распаўсюджаная кропка гледжання, па якой пад «зборам» правамерна разумець працэс, у рамках якога аператар дадзеных атрымлівае іх непасрэдна ад некаторага суб'екта небудзь управомоченных трэціх асоб. Атрымліваецца, што лакалізаваны ў адпаведнасці з нормамі ФЗ 242 павінны быць толькі тыя персанальныя дадзеныя, што былі набыты аператарам па факце правядзення ім мэтанакіраванай працы па збору адпаведных дадзеных. І калі, напрыклад, аператар атрымаў іх выпадкова - як варыянт, у выглядзе лісты на электронную пошту, то лакалізаваць, як гэта прадпісвае закон 242-ФЗ, персанальныя дадзеныя неабавязкова. Аналагічна неправамерна разглядаць як працэс збору дадзеных іх атрыманне адной фірмай ад іншай, калі яны ўяўляюць сабой тэлефоны і іншыя кантактныя дадзеныя прадстаўнікоў кампаніі.

Размяшчэнне дадзеных за мяжой па законе № 242

Наступны важны нюанс, які характарызуе правапрымяняльную практыку пры рэалізацыі палажэнняў закона № 242 — магчымасць размяшчэння дадзеных аператарамі за мяжой у неабходных выпадках — напрыклад, калі гаворка ідзе аб рэзервовым капіяванні адпаведных звестак на серверах, арандаваных у замежных пастаўшчыкоў. З аднаго боку, па законе № 242-ФЗ персанальныя дадзеныя павінны размяшчацца на серверах, што размешчаны на тэрыторыі Расеі. З іншага, вядома, можа узнікаць іх аб'ектыўная неабходнасць у размяшчэнні таксама і на замежных рэсурсах.

Як адзначаюць юрысты, трансмежная перадача дадзеных без парушэння палажэнняў якое рэгулюе заканадаўства, у прынцыпе, магчымая. Зыходзячы з якіх палажэнняў заканадаўства дадзеную пазіцыю можна лічыць правомерной?

Калі трансмежная перадача легальная

Справа у тым, што закон аб лакалізацыі персанальных дадзеных 242-ФЗ не ўключае палажэнняў аб унясенні карэкціровак у прававыя акты, якія рэгулююць трансгранічную перадачу файлаў, якія змяшчаюць індывідуалізаваныя звесткі аб грамадзянах РФ і іншых суб'ектах, якія трапляюць пад абарону закона № 152-ФЗ. Таму дадзеная працэдура легальная, як і да таго моманту, калі быў прыняты разглядаюцца папраўкі ў закон.

Але яшчэ раз звернем увагу — трансмежная перадача дадзеных можа быць ажыццёўлена толькі ў мэтах рэзервовага капіявання адпаведных файлаў. Іх арыгіналы, такім чынам, абавязкова павінны быць размешчаныя на серверах у РФ. Пры гэтым аператар дадзеных сам нясе адказнасць за несанкцыянаванае выкарыстанне тымі ці іншымі асобамі файлаў на замежных серверах. Акрамя таго, яму, верагодна, трэба будзе прывесці ў адпаведнасць свае інфармацыйныя сістэмы з патрабаваннямі, усталяванымі нормамі права дзяржавы, на тэрыторыі якога размяшчаюцца сервера.

Санкцыі за парушэнні закона № 242

такім чынам, мы вывучылі тое, якія ўнёс заканадавец шляхам выдання закона 242-ФЗ змены ў ФЗ № 152. Карысна будзе таксама разгледзець тое, з якімі санкцыямі могуць сутыкнуцца аператары дадзеных, якія парушылі палажэнні адпаведнага крыніцы права.

Па-першае, на кампанію, якая абавязаная выконваць патрабаванні закона № 242, можа быць накладзены адміністрацыйны штраф. Яго велічыня складае 500-1000 рублёў для службовых асоб, а таксама ў 10 разоў большыя сумы - для юрыдычных асоб. Дадзены штраф усталяваны арт. 13.11 Каап РФ.

Па-другое, можа быць прыменена такая санкцыя, як унясенне аператара дадзеных у рэестр парушальнікаў. Ён уяўляе сабой аўтаматызаваную базу, якая ўключае даменныя імёны і адрасы старонак сайтаў, на якіх персанальныя дадзеныя апрацоўваюцца з парушэннямі. Адзначым, што ўключэнне аператара ў адпаведны рэестр ажыццяўляецца на падставе рашэння суда. Выключэнне — пасля яго адмены або жа па факце ліквідацыі кампаніяй парушэнняў разгляданага закона.

па-трэцяе, можа быць абмежаваны доступ да сайту, на якім рэалізуецца некарэктная апрацоўка персанальных дадзеных. Дадзеная працэдура ажыццяўляецца пасля таго, як суб'ект персанальных дадзеных накіроўвае ў Раскамнагляд заяву аб неабходнасці прыняцця мер па блакаванні адпаведнага рэсурсу.

Акрамя таго, дадзены дакумент таксама павінен быць дапоўнены судовым актам, які ўступіў у законную сілу. Пасля гэтага Роскомнадзор накіроўвае звесткі аб парушэннях уладальнікам сайта закона № 242 хостынг-правайдэру, і той, калі ўладальнік рэсурсу не ліквідуе парушэнне, блакуе сайт.

Парадак прымянення санкцый дапарушальнікам палажэнняў разгляданага прававога акту шмат у чым залежыць ад правапрымяняльнай практыкі. Аператарам персанальных дадзеных мае сэнс рэгулярна вывучаць яе, так жа як, напрыклад, і розныя аналітычныя даследаванні палажэнняў закона № 242-ФЗ, каментары юрыстаў да яго. Выкананне нормаў ФЗ № 152 з улікам актуальных паправак да яго — найважнейшая ўмова карэктнага функцыянавання адпаведных інфармацыйных сэрвісаў.